[Gartner MQ] Endpoint Security Platform 市場報告

端點安全 (Endpoint Security Platform – EPP) 絕對是近幾年資安市場最熱門的主題之一，在這份五月份出版的報告中，Gartner 比較了目前市場上主要的一些 EPP 廠商/產品。Gartner MQ 系列報告的特色之一，就是其分析的目標不只是產品本身，包含廠商的執行力、願景、產品策略、價格策略、支援能力…等等，你可以想的到的項目幾乎都包含了。

市場定義

在Gartner的定義中，EPP 至少包含了企業用防毒軟體、防間諜程式軟體、個人式防火牆與主機型入侵防禦系統 (HIPS) 這些功能。整體市場的產值在2008年為25億 (2.5 billions) 美元，而且預估的年複合成長率 (compound annual growth rate) 達到8%。目前市場的主要領導者皆為以前是屬於防毒軟體的廠商-McAfee、 Symantec、Trend Micro，此三家廠商所擁有的市占率高達85%。雖然有很多新進的廠商在這個市場 (包含 Microsoft) 努力，但是要挑戰這些領導廠商的市場地位並不是一件容易的事情。

產品功能評估項目

雖然 Gartner MQ 的分析報告涵蓋各個面向，但是對於許多客戶而言，功能依舊是相當重要的一環，所以我特別列出在這份報告中針對產品功能有哪些評估項目。

• 以特徵值為依據的反惡意程式能力 (Anti-malware Signature Capabilities)。Gartner 特別指出雖然特徵值的偵測方式存在不少問題，而且其有效性越來越低，但是依舊是大部分使用者所注重的能力，所以納入評估的項目之中。
• 主機型入侵防禦系統能力 (HIPS Capabilities)。這裡指的是非特徵值的偵測/防禦能力。
• 個人防火牆的能力 (Personal Firewall Capabilities)。
• 管理與報表能力 (Management and Reporting Capabilities)。 PC Life Cycle Configuration Management – PCLCM 是一個重要指標。PCLCM 就像是比較複雜的資產管理，包含軟體管理、設定管理、弱點管理等功能。
• 資料與資訊的防護 (Data and Information Protection)。包含硬碟加密(非檔案加密)、DLP 與外接埠/設備管理。

重點整理

• 惡意程式發展迅速，不但以特徵值偵測的方式有效性越來越低，包含啟發式或主機入侵防禦系統也很難有效地加以對抗。
• 儘管問題的嚴重性越來越高，IT 部門通常還是因為懼怕增加管理負擔而排斥導入功能更為強大的產品。
• 因應 Web 平台成為惡意程式的主要散播來源，自動化加以判斷安全的網站、應用程式與檔案的能力也越來越受重視。
• PCLCM 對端點安全的重要性越來越受重視，良好的資產管理可以減少可供攻擊的目標。而弱點評估與修補管理系統可用來有效支持應用程式管控的需求。
• 有些廠商 (Trend Micro、McAfee、F-Secure與Prevx) 利用雲端運算的技術來解決判斷的即時性與準確性問題。有些則是將(特徵碼)更新的時間縮短以期解決即時性的問題，但是準確性的問題光靠縮短更新時間並沒有辦法解決。
• Rootkit 偵測能力依舊是一個重要的區分項目，而且是部分廠商的主要改進方向。
• BigFix 與 LANDesk 透過合作或併購的方式來增強產品特徵式偵測能力與主機型入侵防禦能力。然而大部分的廠商對於整合以進入新的市場仍舊採取相對謹慎的態度。
• 利用白名單的方式來加速判斷應用程式是否安全，以及做為允許網路使用的依據受到重視。Bit9 甚至僅允許所知安全的程式才能執行，而Gartner 也預測這樣的技術將會在明年 (2010) 被其他技術方面領先的廠商所應用。
• 雖然 DLP 跟 EPP 兩者是不同性質的概念與產品，但是 DLP 已經成為 EPP 不可或缺的一個功能。包含硬碟加密(非檔案加密)、DLP 與外接埠/設備管理。
• 雖然 EPP 的產品多有限制網路存取的功能，但是大多數仍舊稱不上屬於 NAC 的產品，因為不具備限制未受管理或外來電腦的能力。其中 Check Point、McAfee、Sophos 和 Symantec 具有 NAC 的功能。
• 透過功能整合與技術的演進， EPP 減低了對使用者產生的影響(尤其是效能的影響)。此外，管理性的提升與支援平台的增加，讓管理人員在使用上更具彈性。儘管如此，目前依舊很難達成支援廣泛平台的需求。

結果摘要

Gartner MQ 系列的報告會將廠商分為4種類型 (所以稱之為 Magic Quadrant – MQ)，其中領導者 (Leaders) 表示在執行力與願景等都有突出的表現，講得簡單一點就是綜合分數比較高的廠商。結果不令人意外，四家落於此區的廠商其中三家正是市場的領導者，而另外一家也是從防毒軟體出身的 - Sophos。LANDesk 則位於夢想家 (Visionaries) 這一區，也就是願景的表現高於執行力。對於比較年輕的廠商，這樣的評價已經是很好的了。因為年輕的廠商通常沒有太多的歷史來磨練/證明其執行能力，但是能夠提供好的技術願景，未來依舊有很好的機會。完整的廠商評估結果請參見下圖。

相關連結：

• Magic Quadrant for Endpoint Protection Platforms

稽核人員，你知道你被騙嗎了？

有當過兵的人都知道，軍中不管做大大小小的事情，總有一堆表格、資料要填寫。我當兵時負責機房/設備的管理，要填寫的表格，包含輪班表、值勤記錄表、訪客紀錄表、日常保養表(日、周、月)等等，可說是每天有填不完的表格。這些表格，往往也是各級長官的最愛，沒事總要來進行一下所謂的督導。督導除了檢查表格外，機車精實一點的長官還喜歡到處問、到處摸。例如有些長官甚至會檢查絕緣用的凡士林是否塗的過厚或過薄，也因此當時只能抱著如履薄冰的精神，不敢有一絲疏忽。如果運氣好，駐地剛好位於觀光勝地，三天兩頭就有長官前往督導也就稱不上是甚麼奇怪的現象了。

這些督導跟我們所謂的稽核意義其實是一樣的，就是為了確保所有訂定的規範是否有確實遵守，又是否有意想不到的問題發生。稽核在這幾年，因為 ISMS 的風行而受到相當的重視，當然有很大的一個因素就是政府等公務機關的推動。稽核的方法除了看書面的資料外，當然也同樣必須透過觀察、詢問加以確認。但是跟督導的情況不一樣的是，軍中長官通常是從基層幹起，所以對於業務的進行都有一定的實務經驗(至少我當兵的部隊是這樣的)。也就是說要看甚麼、問甚麼、聽甚麼，這些長官可是了然於胸。如果你想欺騙，往往也不是那麼容易(除了書面的資料可以稍微”修飾”一下)。而稽核，不管是第幾方的稽核，稽核人員不見得有實際操作的經驗，甚至可能連足夠的技術背景都沒有。另外，以現在資訊安全涵蓋範圍之廣，就算是有實務經驗的稽核人員，也多是僅限於其中少數幾個部分。當然，稽核是一門專門的學問，有它特有的專業要求。是不是需要有所謂的操作經驗或技術背景才能做好，倒也不一定。但是不熟悉表示被”呼嚨”的機會就會增加，而且是會大幅增加。有句台灣的諺語說得好，『軟土深掘』大概就是這個意思。

雖然身為資安從業人員，道德的遵守是職業的重要素養之一，但是我們也不能因此過於樂觀。更何況，人在江湖總有身不由起的時候。像是這近一年來景氣持續的低迷，或多或少都會影響到資源的利用與分配，所以業務受到影響也是理所當然。但是，稽核可不管這麼多。有做到就是有做到，沒做到甚麼理由也說不過去。而根據近期一份國外的報告顯示，有高達 20% 的資安從業人員承認自己或同事曾經為了通過稽核而說謊。這種數據通常實際的數字只會更高，因為不會有人假裝說謊，但是假裝誠實的人倒是有那麼一些。

我自己沒從事過稽核的工作，所以沒辦法說稽核該怎麼做才能了解實際的狀況，甚至是對組織有真正的幫助。但是我想最基本的要求是稽核跟被稽核的人，不應該處於敵對的狀態，而是應該採用合作的心態，共同找出問題並解決之。要做到這樣，除了雙方要改變外，更重要的是組織也要改變，畢竟員工的心態(至少做法)往往是受到公司文化的影響。如果公司就是鼓勵(或默許)稽核人員在雞蛋裡挑骨頭，或是只要求被稽核者敷衍行事(通常會發生在外部稽核，但是內部稽核也有可能，因為需要稽核的記錄)，就是神仙也改變不了雙方緊張的關係。在此情形下，說謊也只能說是早可預期的反應了。如果稽核只變成了虛應故事，甚至是諜對諜的情節，那實在是很無意義且可悲的一件事。

相關連結：

• Tufin Survey Reveals Recession Cost Cutting Leads to Compliance Issues, Buying Security Equipment Off eBay, and Cheating on Audits

[Gartner MQ] Network Access Control 市場報告

在去年底的這篇文章中，我稍微提到 Network Access Control – NAC 這類產品。嚴格來說，NAC 並不一定指的是某種產品，反而比較像是一種概念。而這樣的概念在許多不同類型的產品中都可以發現。比較常見的包含網路設備、端點安全產品等。在今年 3 月的時候， Gartner 發表了第一份有關 NAC 的 MQ 報告。去年 Gartner 也曾發表一份有關 NAC 的報告，不過今年的報告才是屬於 MQ 系列。在今年的這篇報告中也特別指出，因為 NAC 的導入通常是漸進式的，所以長期的計劃更顯得重要，當然這包含了產品與廠商的選擇。

市場定義

NAC 的市場在2008年呈現穩定與成熟的狀態，這也是 Gartner 將報告改為 MQ 系列的主因。Gartner 預估 2008 年 NAC 市場的產值為 2.2 億 ($221 millions) 美元，與前一年度相較其成長率達到51%。雖然 Garnter 原先預估新年度的成長率可達到 100%，不過在景氣低迷與微軟 NAP 布署不如預期的影響下，成長率必須下修。除了市場產值的增加，NAC 廠商也獲得了相當資金的挹注。

提供 NAC 方案的廠商可分為四類，包含網路架構廠商(如 Cisco)、端點安全廠商(如 Symantec)、安全設備廠商(如 Mirage)，以及以 NAC 為主要訴求的廠商(如 ForeScout)，而其中以 NAC 為主要訴求的廠商面對的挑戰最為艱巨。雖然前兩年收益的成長還是很高，但是已經呈現快速下滑的現象。而Gartner 預計此一下滑的現象將會持續，而且整合在其他產品 (如網路設備) 的 NAC 成為主流，排擠單純 NAC 產品的生存空間。

產品功能評估項目

Gartner 將 NAC 的功能分為三大主要區塊，分別是：

• 政策 (Policy)
• 基準值 (Baseline) - 包含軟體與應用程式的管理、系統更新狀態、惡意程式的偵測。基準值的取得包含三種方式：無代理程式 (Agentless)、一次性代理程式 (Dissolvable agent)、永久性代理程式 (Permanent agent)。
• 存取控制 (Access Control) - 限制網路的使用當然是 NAC 的重頭戲。這部分可能是透過網路架構加以達成，也可能使用額外的機制 (如 ARP spoofing、DHCP)。

重點整理

• 針對已導入 NAC 的客戶對於 NAC 大多呈現滿意的態度，而且也將持續投注在更為全面的佈署與新功能的導入。
• NAC 已經由原先限制不合乎規範的設備連結到網路，進化到包含其他面向的功能(依需求程度排列)：
  • 訪客網路服務 (Guest network services) - 也就是將訪客與公司原有網路做一個隔離，並僅提供必要的網路服務(例如連上網際網路)。有高達 80% 的使用者是因為此一需求而導入 NAC 。
  • 端點基準值 (Endpoint baseline)。
  • 以身分為依據的網路連結 (Identity-aware networking) - 除了可以依據身分做存取限制外，也可以用來記錄使用者的使用行為。
  • 監測 (Monitoring/containment) - 可從設備或使用者的角度加以監測其行為是否將/已造成危害。
• NAC 預期將會持續有新的應用需求。
• 基準值可以透過與其他廠商/產品同盟或合作的方式加以取得，而不需要自行開發。
• 單純以代理程式做為管理與限制的手段並不能稱之為 NAC 產品。

結果摘要

Gartner MQ 系列的報告會將廠商分為4種類型 (所以稱之為 Magic Quadrant – MQ)，其中領導者 (Leaders) 表示在執行力與願景等都有突出的表現，講得簡單一點就是綜合分數比較高的廠商。分析結果顯示領導者包含 Cisco、Juniper Network 與 Symantec 三家，其中兩家是網路架構的廠商，另外一家則是從事端點安全。而以 NAC 為主要訴求的廠商，則處於願景者 (Visionaries)或特殊市場(Niche players)這些族群。因為新興廠商在執行能力上面本來就相對薄弱，所以也沒有太大的意外。對於處在 Visionaries 族群的廠商，如能好好把握市場的機會，機會倒也是不小。

相關連結：

• Magic Quadrant for Network Access Control
• MarketScope for Network Access Control, 2008