一體化端點安全能力白皮書

目錄目錄前言 1關鍵發(fā)現(xiàn) 3第一章 一體化端點安全典型場景 5基于安全合規(guī)的終端管理 5防病毒與防惡意軟件 5端點漏洞管理 5威脅檢測與響應 5端點數(shù)據(jù)安全 6第二章 一體化端點安全概念概述 7一體化端點安全定義 ７一體化端點安全能力框架 7一體化端點安全概念說明 8第三章3.1一體化端點安全主要能力 9基于安全的終端管理 93.2防病毒 93.3威脅檢測與響應 103.4終端類型與數(shù)量 10目錄目錄3.5 操作易用性 11第四章一體化端點安全代表企業(yè) 124.1微軟 124.2144.3360數(shù)字安全 16第五章 未來趨勢 19一體化端點安全落地難 19泛終端安全一體化納管 19有效助力信創(chuàng)安全風險管理水平 19Reference 21?前 言數(shù)字化轉(zhuǎn)型帶來的數(shù)字辦公，意味著越來越多的工作是在數(shù)字化環(huán)境中完成。而端點則是數(shù)字化環(huán)境中，負責進行人機交互，以及信息處理、存儲的重要環(huán)節(jié)。因此，端點始終是攻擊者的主要目標之一，端點依然是企業(yè)必然要防護的對象。端點面臨的風險數(shù)量很多，包括資產(chǎn)不清晰、勒索攻擊、漏洞利用、違規(guī)遠程接入、敏感文件、數(shù)據(jù)的泄露和未知威脅攻擊等等。近幾年，在各級別各行業(yè)實網(wǎng)攻防演練的帶動下，國內(nèi)的終端安全需求有兩個新變化：一是終端側(cè)大規(guī)模魚叉式攻擊、U終端安全多樣化威脅場景，需要的則是一體化終端安全能力，我們稱之為llinOne的能力。AllinOneagent安全產(chǎn)品，如終端管理軟件、防病毒軟件、EDRDLP……每個單點安全agentagent全管理員都苦不堪言。agent，就覆蓋絕大部分終端隨用隨取”。點能力的實現(xiàn)，而在于如何將這些能力有機融合，按需提供。即以llinOne的思路，將多樣化的終端安全需求（如終端管理、防病毒、EDRDLP、身份安全等）融合在單一終端安全產(chǎn)品中，以極簡交付方式，為用戶提供一化的終端安全能力?？梢哉f，一體化的端點安全防護解決方案則會成為未來的主要方向。鑒于上述背景，數(shù)世咨詢撰寫本報告?？闭`及交流請聯(lián)系本報告主筆分析師劉宸宇：liuchenyu@?關鍵發(fā)現(xiàn)了解自身端點的攻擊暴露面。數(shù)據(jù)的價值在于流動，流動過程中的最重要節(jié)點就是端點。“一體化”不僅指將多類型的終端通過一著將端點面臨的各類威脅通過一個平臺進行管理和響應。一一一防病毒一勢，另一方面需要將病毒沙箱等能力點開放輸出。一體化端點安全在端點側(cè)應當具備更廣泛的威脅發(fā)現(xiàn)能力——以外，端點上的異常行為、惡意軟件、數(shù)據(jù)泄露等都應覆蓋。在產(chǎn)品操作易用性上重點關注，不能將“使用成本”簡單堆疊后轉(zhuǎn)嫁給用戶。未來一猶豫。一體化端點安全的端點覆蓋范圍將進一步向泛終端擴展。短時間內(nèi)快速提升信創(chuàng)操作系統(tǒng)及信創(chuàng)應用的整體風險管理水平，最具性價比的方式就是從一體化端點安全入手，通過一體化管理平臺同時從“終端?第一章 一體化端點安全典型場景1.5?第二章 一體化端點安全概念概述一體化端點安全定義（IntegratedEndpointSecurity）描述如下：以統(tǒng)一管理平臺與單一agentPC（/IoT）提供一體化的安全解決方案。一體化能力應當包括但不限于：終端管理、安全準入、防勒索、AV/EPP數(shù)據(jù)防泄漏、威脅檢測與響應等。一體化端點安全能力框架圖1 一體化端點安全能力框架一體化端點安全概念說明PCWindows、Linux、macOS及信創(chuàng)操作系統(tǒng)等終端類型。PCHDRPCPC另一方面隨著遠程辦公的興起，移動終端、智能終端的安全需求也不容忽視。PC此外要著重說明的是，報告中的“一體化”不僅指將多類型的終端通過一個平臺進行管理，同時也意味著將端點面臨的各類威脅通過一個平臺進行管理和響應。由于端點安全的產(chǎn)品不斷有新的理念、產(chǎn)品形態(tài)出現(xiàn)，因此將一體化端點安全認為是端點安全產(chǎn)品的簡單堆疊是欠妥的，缺乏發(fā)展視角的；而最終目的是對終端側(cè)的威脅風險進行一體化應對和處置，這與數(shù)世咨詢提出的“威脅檢測與響應（TDR）”也是呼應的。所以，“一體化”并非是指端點安全產(chǎn)品的堆疊一體化，而是指應對端點風險和威脅的安全能力的一體化。?第三章 一體化端點安全主要能力從而實現(xiàn)統(tǒng)一視角下的智能化響應?；诎踩慕K端管理相比傳統(tǒng)終端安全管理平臺日志割裂，聯(lián)動能力匱乏的問題，基于安全的終端管理可以在端點資產(chǎn)管理、安全配置管理、漏洞管理等多維度統(tǒng)一管控的基礎上，實現(xiàn)后續(xù)端點資產(chǎn)的病毒防護、安全接入、威脅檢測與響應以及數(shù)據(jù)安全防泄漏等能力。（PC物理主機、虛擬主機、容器），對端點資產(chǎn)可能存在的各類風險進行提示和修復，賦予其更有針對性的檢測防護能力，如可疑資產(chǎn)接入、弱密碼等端點的風險配置、已知漏洞等。相當于基于安全視角為后續(xù)各安全能力提前梳理了潛在的攻擊暴露面，全盤掌控全局不同端點類型安全管理狀況。值得一提的是，針對操作系統(tǒng)老舊版本的終端，例如Window7IE器環(huán)境，終端管理應當重點提供漏洞管理、系統(tǒng)加固等功能。防病毒防病毒是最主要的傳統(tǒng)安全能力，但傳統(tǒng)不代表不重要。作為一體化端點安全能力中最基礎的一項能力，防病毒一方面需要迭代演進，滿足勒索病毒頻發(fā)、信創(chuàng)環(huán)境普及等新形勢，另一方面需要將病毒沙箱等能力點開放輸出，與諸如NDR、TIP等流量與情報側(cè)的產(chǎn)品聯(lián)動，提升針對“黑名單”類威脅的檢測與響應能力。根據(jù)不同行業(yè)用戶的不同網(wǎng)絡環(huán)境，防病毒查殺引擎應當采用本地多引擎部署、或是云端查殺引擎聯(lián)合部署等不同方式。威脅檢測與響應一體化端點安全在端點側(cè)應當具備更廣泛的威脅發(fā)現(xiàn)能力——除防病毒以外，端點上的異常行為、惡意軟件、數(shù)據(jù)泄露等都應覆蓋。針對威脅做出的響例如結束失陷終端上的惡意進程，隔離進程文件，同時橫向?qū)λ袧撛谑艿酵蘒P可以以自動化方式完成；對于需要安全分析人員參與的部分，可由統(tǒng)一管理平臺對相關事件日志、操作日志留存、匯總并可視化呈現(xiàn)，供有條件的團隊進一步對威脅事件進行復現(xiàn)與溯源等操作。終端類型與數(shù)量一體化端點安全要覆蓋主流操作系統(tǒng)如PCServerLinux、macOS，以及統(tǒng)信、麒麟等信創(chuàng)操作系統(tǒng)；所支持的終端數(shù)量一般單機數(shù)萬，并支持級聯(lián)擴展；部署方式要同時兼顧互聯(lián)網(wǎng)開放環(huán)境與具有保密要求的隔離網(wǎng)環(huán)境，特別是對于病毒防護場景，要具備離線升級病毒庫的能力。agent?度保障業(yè)務安全。操作易用性端點類安全產(chǎn)品普遍存在著不同程度的操作繁瑣、上手成本高等問題，相比滿足單點需求的產(chǎn)品或工具，一體化端點安全更具有多樣化需求、多場景應用、多維度能力，因此需要在操作易用性上重點關注與投入，提供符合端點安全運營管理者及終端用戶心智的人機交互界面，切不可將功能簡單堆疊后，把復雜留給用戶，這將直接帶來高使用門檻和低安全運營效率。首先架構上要以統(tǒng)一平臺管理為基礎，其次對用戶側(cè)的功能操作流程、頁例如針對常用典型場景劃分功能模塊、單模塊下的操作要簡單且閉環(huán)、結果的可視化要優(yōu)先呈現(xiàn)重要或結論性數(shù)據(jù)等等?？傊惑w化端點安全在提高安全效率的同時，應當以簡化管理為同等標準與目標。第四章 一體化端點安全代表企業(yè)微軟2020100AI身份與訪問管理、端點安全、郵件安全、應用安全、數(shù)據(jù)防泄露、SIEM安全，真正實現(xiàn)了端到端的安全。結合本報告，微軟的上述安全能力在其Defender產(chǎn)品中均有所體現(xiàn)，我們從微軟官方發(fā)布的MicrosoftCybersecurityReferenceArchitecture（MCRA）中可以看到。如上圖所示，在端點與設備側(cè)（Endpoint&Devices），其能力在具備?Android、macOS、WindowsEDR、Web內(nèi)容過濾、威脅與漏洞管理、終端DLP等能力，這些安全WindowsOS（2021Windows10）的原GitHub層面強大的威脅情報能力。同時微軟也會從身份安全（SecuringPrivilegedAccess（MicrosoftSecureMicrosoft365Defender，微軟提供了漏洞管理、攻擊面收斂、下一代安全防護、EDR、自動化調(diào)查與整改、威脅API統(tǒng)一配置與統(tǒng)一管理的。對于用戶來說，上述能力已經(jīng)能夠覆蓋大部分端點側(cè)的安全需求，且對于微軟來說，上述安全能力可以通過操作系統(tǒng)為用戶原生交付，大大提升了交付效率、使用效果與用戶體驗。當然，在目前的國際大背景下，這對于國內(nèi)用戶來說恰恰成為一個現(xiàn)實問Windows7（WindowsXP）操作系統(tǒng)，不具備原生交付安全能力的條件，甚至連最基本的漏洞補丁升級服務也難以得到保障。即便如此，從全球范圍來看，微軟在終端側(cè)的一體化端點安全能力，在數(shù)世咨詢看來，依然是值得重點考慮的廠商之一。2021，McAfeeFireEye，2022TrellixEDR可視化管理能力。具體來說，Trellixagent在錯誤；另一方面將進一步需要人工參與調(diào)查的威脅詳細信息自動提交給事件響應團隊，并通過StoryGraph安全團隊深入了解和調(diào)查惡意行為者的來源。5ATT&CK能力。?XDRMDRAPI與生態(tài)合作伙伴的應用進行對接。如下圖所示：總體而言，Trellix的一體化端點安全解決方案更傾向于高級威脅的全面端點防護，通過使用統(tǒng)一平臺簡化管理，用戶能夠在攻擊發(fā)生之前，以攻擊者視角進行更加高效的風險管理。同微軟一樣，TrellixMcAfeeTrellix成為了一個新問題。但不可否認的是，McAfeeFireEye體化端點安全能力在業(yè)內(nèi)仍然處于領先地位，這一點是毋庸置疑的。在2022TrellixTrellix360作為國內(nèi)最早同時涉足操作系統(tǒng)優(yōu)化與終端防病毒防護的廠商之一的360，經(jīng)過多年的持續(xù)投入與積累，目前其一體化端點安全能力以強大的終端管理能力與防病毒能力為基礎，同時具備了包括資產(chǎn)管理、威脅對抗、合規(guī)管控、安全自助管理、安全接入、以及終端DLP等在內(nèi)的多項終端安全能力。雖然是以終端管理與防病毒為基礎，但威脅對抗能力遠不局限于特征匹配這一傳統(tǒng)模式。憑借多年積累的海量安全威脅數(shù)據(jù)，360保證了其在威脅檢測與響應方面的準確率與時效。此外，在核心能力之外，與微軟、Trellix相比，360一體化端點安全解決方案最大的特點是符合國內(nèi)用戶的使用場景需求。首先，應用場景覆蓋勒索防護、APT防護、挖礦防護、攻防演練、重大事件保障、等保合規(guī)、數(shù)據(jù)安全等多個國內(nèi)典型場景需求，例如，在操作易用性方面，360將實網(wǎng)攻防演練、重大事件保障等典型專項場景所需的功能菜單專?不僅降低用戶操作流程易中斷的問題，同時在專項場景的安全運營上給出有效360Windows、LinuxmacOSUOS、麒麟等信創(chuàng)終端操作系統(tǒng)并提供了與之匹配的信創(chuàng)專殺引擎。值Windows7，360的一體化端點安全產(chǎn)品還其端點安全解決方案還支持國內(nèi)典型的隔離內(nèi)網(wǎng)環(huán)境部署方式。如此一來，有效補足了國外產(chǎn)品在上述方面的不足。此外，在可視化方面，管理平臺將隱蔽的、抽象的、復雜的、未關聯(lián)的、不直觀的關鍵安全數(shù)據(jù)通過突出量化的方式直接傳遞給用戶，讓信息更高效傳達至安全運營人員。如實網(wǎng)攻防演練前的終端資產(chǎn)暴露面巡檢環(huán)節(jié)，總覽頁面會以分值形式直觀顯示“全網(wǎng)終端”體檢的未通過率，以及存在各維度風險的終端數(shù)量。360防病毒、威脅檢測與響應、多類型終端支持、操作易用性等方面的描述。?第五章 未來趨勢一體化端點安全落地難一體化端點安全能力在當前來看，技術上的實現(xiàn)并不存在太多難點。但是在落地實踐過程中，卻存在著用戶和廠商之間博弈的矛盾。對于用戶而言，固然由同一個供應商提供的一體化端點安全能力能大大提升端點側(cè)安全運維效率及安全管理效果，但是卻同樣面臨著將整個端點側(cè)的安全由單一供應商建立的風險。從商業(yè)角度來看，這無疑會削弱企業(yè)對自身安全產(chǎn)品采購的管控力。因此，行業(yè)用戶自身在一體化端點安全的落地上會存在一定的猶豫。泛終端安全一體化納管未來一段時間內(nèi)，攻擊暴露