【亞信安全】-【2021年8月5日】2019年,EPP+EDR重新定義了終端安全。
無文件病毒、無文件挖礦、無文件勒索……隨著無文件攻擊滲透形式的盛行,以獲利斂財為目的的,有組織、有計劃、團隊協(xié)作、持續(xù)攻擊與日俱增,許多端點防護平臺(Endpoint Protection Platform,EPP)紛紛失效,這讓更多信息安全管理者決定,在端點保護中融合更加先進的檢測和響應解決方案(EDR)。
EDR的快速檢測、響應以及溯源等能力,補齊并強化了傳統(tǒng)防病毒產(chǎn)品在高級威脅治理方面的需求。EPP+EDR的融合,增強了對于威脅的監(jiān)測、分析、遏制以及修復的能力,形成了端點上的閉環(huán)管理。
但是,從獨立的EPP和EDR,再到二者的融合,之后呢?面對威脅的不斷演進,我們面臨的問題似乎更加嚴峻:
01愈來愈大的“庫”
傳統(tǒng)安全應對機制是被動的,用戶只有受到攻擊后才能感知和捕獲,并將其特征放到病毒庫中,然后通過升級殺毒軟件并應用到用戶才能應對。但越來越多的系統(tǒng)漏洞被發(fā)現(xiàn),病毒變種更是幾何倍數(shù)增長,各種 “庫” 規(guī)模也越來越臃腫,效率也變得非常低下。
02防不勝防的“漏”
目前,終端安全防護的技術手段極為有限,安全隱患隨處可見,其中最大的問題是普遍存在數(shù)據(jù)泄露風險。隨著萬物互聯(lián)時代的到來,終端種類繁多,數(shù)量巨大且部署分散,任何一個失陷的端點都可能造成全面的網(wǎng)絡安全事故,數(shù)據(jù)泄密事件只會越來越多。
03花樣繁多的“管”
隨著數(shù)字化進程加速,威脅的不斷演變,終端管理早已不是防毒這一件事了。因此,對終端安全解決方案提出了“更全”的要求。例如:融合資產(chǎn)管理、運維管理、補丁管理、審計管理、準入控制、數(shù)據(jù)防泄漏等,將安全和業(yè)務結合,將安全與運維結合。
04魚游沸鼎的“急”
攻擊系統(tǒng)和網(wǎng)絡的程序存在實際的和潛在的財務損失、不利的媒體曝光威脅(聲譽的損失),尤其是遭遇勒索軟件攻擊,其采用了高強度的加密算法,而在事后想要恢復文件是很難的。因此,應急響應中不僅要調(diào)查溯源、抑制威脅擴散,更需要事前預防的文件備份系統(tǒng)。
05由靜到動的“類”
技術的發(fā)展,讓終端的定義超出了桌面PC,在筆記本、智能手機、PAD、AR/VR設備加入大家族之后,AI+5G技術讓IoT連接的設備數(shù)比移動互聯(lián)網(wǎng)時代擴大數(shù)十倍以上。而要為如此繁多的終端皆能提供安全保護,便逐漸形成了“大終端”安全的新定義。
UES應運而生
2020年,Gartner就在《Hype Cycle for Endpoint Security, 2020》中,提出了UES(統(tǒng)一端點安全)。并且在相關報告中指出,為了應對新出現(xiàn)的端點安全挑戰(zhàn),安全和風險管理領導者必須將端點保護平臺、端點檢測和響應以及移動威脅防御(MTD)等功能結合起來,采用統(tǒng)一的端點安全方法。也就是融合EPP+EDR和MTD的XDR解決方案。
與此同時,Gartner預期在到2024年,將有超過50%的端點安全產(chǎn)品將支持統(tǒng)一端點安全(UES)框架。這一預判來自于終端安全從業(yè)者不斷改進思維和自動化威脅的狩獵、檢測和修復,EDR(Endpoint Detection and Response)和XDR(eXtended Detection and Response)的成功應用。
終端安全一體化管控平臺
作為在終端安全領域擁有突出技術實力,并在國內(nèi)提出XDR理念的廠商,亞信安全認為:在遠程訪問、零信任技術應用,以及安全運維的統(tǒng)一管理的需求下, 實現(xiàn)運維+管控的UES平臺是大勢所趨,將加速落地與應用。
因此,亞信安全針對當前網(wǎng)絡威脅演化趨勢和我國網(wǎng)安合規(guī)(網(wǎng)絡安全法及等保)要求推出了大終端一體化安全解決方案,將安全防護、終端管理、運維管理、文檔管理“化零為整”。同時,亞信安全建議用戶從現(xiàn)有的防毒系統(tǒng)平臺(OfficeScan+)上開始集成,將安全與運維服務進行融合,以提供更低的總體擁有成本(TCO)和更好的運營效率。
Gartner指出,要想成為成功的UES供應商就必須有能力證明通過安全性和運營的整合可以顯著提高生產(chǎn)力以及可以快速處理大量數(shù)據(jù),可以檢測那些過去未遇到過的威脅。而亞信安全“大終端”背后的優(yōu)勢,則是強大的“數(shù)據(jù)湖”威脅情報體系。目前,亞信安全數(shù)據(jù)湖利用自動化系統(tǒng),在全球范圍主動采集威脅情報數(shù)據(jù),覆蓋了150個數(shù)據(jù)源,每天數(shù)據(jù)的采集和更新情報量超過1億條,日均增加存儲量超過1TB。
在桌面管理、數(shù)據(jù)備份、文件加密等方面,亞信安全提供了與之對應的TSM、TDB、TDE系統(tǒng),將內(nèi)部網(wǎng)絡安全、信息安全與終端計算機管理,以及容災恢復云服務和涉密文檔全生命周期管理全面打通,真正實現(xiàn)了更全、更簡的統(tǒng)一管理。
【圖:亞信安全終端安全一體化方案實現(xiàn)全平臺支撐】
另外,在終端系統(tǒng)平臺支撐方面,大終端一體化方案不僅可以支持Windows、Linux、MacOS、Android,更對通過亞信安全端點安全管理系統(tǒng)ESM廣泛地適配x86、ARM和MIPS架構,實現(xiàn)了與主流國產(chǎn)操作系統(tǒng)平臺(麒麟、統(tǒng)信等)的全面兼容,并且已經(jīng)與麒麟、統(tǒng)信、長城等硬件廠商取得了互認,為用戶的端點安全升級換代提供了平滑過渡與可靠支撐。
參照ASA自適應模型開展安全運維
自適應安全架構(Adaptive Security Architecture,簡稱ASA)是由Gartner在2014年提出的安全體系,以持續(xù)監(jiān)控和分析為核心,將防御、檢測、響應、預測四個方面結合起來提供更好的安全服務,實現(xiàn)持續(xù)的自我進化,自我調(diào)整來適應新型、不斷變化的攻擊類型。
而脆弱的終端一直以來就被認為是ASA安全框架中的漏點和沙眼,必然會成為“安全+運維”交叉最頻繁的“聯(lián)合會診室”。然而,安全運維不是一蹴而就的,九層之臺,起于壘土,大終端的安全才剛剛開始。
