2019年,EPP+EDR重新定义了终端安全。
无文件病毒、无文件挖矿、无文件勒索……随着无文件攻击渗透形式的盛行,以获利敛财为目的的,有组织、有计划、团队协作、持续攻击与日俱增,许多端点防护平台(Endpoint Protection Platform,EPP)纷纷失效,这让更多信息安全管理者决定,在端点保护中融合更加先进的检测和响应解决方案(EDR)。
EDR的快速检测、响应以及溯源等能力,补齐并强化了传统防病毒产品在高级威胁治理方面的需求。EPP+EDR的融合,增强了对于威胁的监测、分析、遏制以及修复的能力,形成了端点上的闭环管理。
但是,从独立的EPP和EDR,再到二者的融合,之后呢?面对威胁的不断演进,我们面临的问题似乎更加严峻:
01愈来愈大的“库”
传统安全应对机制是被动的,用户只有受到攻击后才能感知和捕获,并将其特征放到病毒库中,然后通过升级杀毒软件并应用到用户才能应对。但越来越多的系统漏洞被发现,病毒变种更是几何倍数增长,各种 “库” 规模也越来越臃肿,效率也变得非常低下。
02防不胜防的“漏”
目前,终端安全防护的技术手段极为有限,安全隐患随处可见,其中最大的问题是普遍存在数据泄露风险。随着万物互联时代的到来,终端种类繁多,数量巨大且部署分散,任何一个失陷的端点都可能造成全面的网络安全事故,数据泄密事件只会越来越多。
03花样繁多的“管”
随着数字化进程加速,威胁的不断演变,终端管理早已不是防毒这一件事了。因此,对终端安全解决方案提出了“更全”的要求。例如:融合资产管理、运维管理、补丁管理、审计管理、准入控制、数据防泄漏等,将安全和业务结合,将安全与运维结合。
04鱼游沸鼎的“急”
攻击系统和网络的程序存在实际的和潜在的财务损失、不利的媒体曝光威胁(声誉的损失),尤其是遭遇勒索软件攻击,其采用了高强度的加密算法,而在事后想要恢复文件是很难的。因此,应急响应中不仅要调查溯源、抑制威胁扩散,更需要事前预防的文件备份系统。
05由静到动的“类”
技术的发展,让终端的定义超出了桌面PC,在笔记本、智能手机、PAD、AR/VR设备加入大家族之后,AI+5G技术让IoT连接的设备数比移动互联网时代扩大数十倍以上。而要为如此繁多的终端皆能提供安全保护,便逐渐形成了“大终端”安全的新定义。
UES应运而生
2020年,Gartner就在《Hype Cycle for Endpoint Security, 2020》中,提出了UES(统一端点安全)。并且在相关报告中指出,为了应对新出现的端点安全挑战,安全和风险管理领导者必须将端点保护平台、端点检测和响应以及移动威胁防御(MTD)等功能结合起来,采用统一的端点安全方法。也就是融合EPP+EDR和MTD的XDR解决方案。
与此同时,Gartner预期在到2024年,将有超过50%的端点安全产品将支持统一端点安全(UES)框架。这一预判来自于终端安全从业者不断改进思维和自动化威胁的狩猎、检测和修复,EDR(Endpoint Detection and Response)和XDR(eXtended Detection and Response)的成功应用。
终端安全一体化管控平台
作为在终端安全领域拥有突出技术实力,并在国内提出XDR理念的厂商,亚信安全认为:在远程访问、零信任技术应用,以及安全运维的统一管理的需求下, 实现运维+管控的UES平台是大势所趋,将加速落地与应用。
因此,亚信安全针对当前网络威胁演化趋势和我国网安合规(网络安全法及等保)要求推出了大终端一体化安全解决方案,将安全防护、终端管理、运维管理、文档管理“化零为整”。同时,亚信安全建议用户从现有的防毒系统平台(OfficeScan+)上开始集成,将安全与运维服务进行融合,以提供更低的总体拥有成本(TCO)和更好的运营效率。
Gartner指出,要想成为成功的UES供应商就必须有能力证明通过安全性和运营的整合可以显著提高生产力以及可以快速处理大量数据,可以检测那些过去未遇到过的威胁。而亚信安全“大终端”背后的优势,则是强大的“数据湖”威胁情报体系。目前,亚信安全数据湖利用自动化系统,在全球范围主动采集威胁情报数据,覆盖了150个数据源,每天数据的采集和更新情报量超过1亿条,日均增加存储量超过1TB。
在桌面管理、数据备份、文件加密等方面,亚信安全提供了与之对应的TSM、TDB、TDE系统,将内部网络安全、信息安全与终端计算机管理,以及容灾恢复云服务和涉密文档全生命周期管理全面打通,真正实现了更全、更简的统一管理。
【图:亚信安全终端安全一体化方案实现全平台支撑】
另外,在终端系统平台支撑方面,大终端一体化方案不仅可以支持Windows、Linux、MacOS、Android,更对通过亚信安全端点安全管理系统ESM广泛地适配x86、ARM和MIPS架构,实现了与主流国产操作系统平台(麒麟、统信等)的全面兼容,并且已经与麒麟、统信、长城等硬件厂商取得了互认,为用户的端点安全升级换代提供了平滑过渡与可靠支撑。
参照ASA自适应模型开展安全运维
自适应安全架构(Adaptive SecurityArchitecture,简称ASA)是由Gartner在2014年提出的安全体系,以持续监控和分析为核心,将防御、检测、响应、预测四个方面结合起来提供更好的安全服务,实现持续的自我进化,自我调整来适应新型、不断变化的攻击类型。
而脆弱的终端一直以来就被认为是ASA安全框架中的漏点和沙眼,必然会成为“安全+运维”交叉最频繁的“联合会诊室”。然而,安全运维不是一蹴而就的,九层之台,起于垒土,大终端的安全才刚刚开始。