EDR(EndpointDetectionandResponse)在2016年和2017年连续入围Gartner发布的新技术项目趋势,散发出了“终端强势回归,检测响应兴起”的信号。2018年新项目如“CARTA-InspiredVulnerabilityManagementProject”、“PrivilegedAccountManagementProject”等涉及了众多终端相关的安全技术,预示终端安全的内涵逐渐扩大,向平台侧倾斜。
2019年RSAC上被冠以“最具创新性”公司头衔的AXONIUS就聚焦于网络安全资产管理平台,解决传统环境或技术产品的短板,强化终端的有效保护。
从攻击者的角度来说,无论发起多么复杂的攻击,在网络中经历了多少环节,采用了多少高级的技术,这些攻击动作必须通过某一个或多个终端才能完成。终端正是大多数安全事件发生过程的跳板、目标或者发生地,终端成为了安全的主战场。尽管终端上运行着账户管理、杀毒软件等基础防护,但仍存在安装效率低、盲区大的问题。此外,对越发复杂的APT攻击,仅依靠单一终端信息难以察觉。这些问题需要联合众多终端的数据与安全能力,进行统一平台安全分析与管理,以提供全面、精细的事件检测与安全响应。正如Gartner在2018《MagicQuadrantforEndpointProtectionPlatforms(EPP)》报告中说明的,终端保护平台应能够自适应安全事件和告警动态变化,提供自动化、精心策划的事件调查和违规响应能力。
2、一切为了安全
不谋全局者,不足谋一域。
不谋平台者,不足谋一端。
所有的筹谋皆是为了安全。
从平台的视角,看待终端侧安全,其内涵极其丰富。数据集中控制与分析、策略的分级与部署、边缘的检测与响应均可为终端安全添砖加瓦。
美国国家标准和技术研究所(NIST)在2014年发布的《FrameworkforImprovingCriticalInfrastructureCybersecurity》报告中,指出系统层面保障信息安全的五大类高度抽象活动,包括:Identify-Protect-Detect-Respond-Recovery,为实现特定安全需求提供了指导。研究企业组织的业务功能,充分识别系统、人员、资产、数据、能力等的风险,是充分理解和保护企业安全的基石。
尽管在很多安全技术方面,取得了可喜的进步和成果,但仅依靠单一的安全技术或能力仍然无法保证充分的安全。
安全是一个相对的概念,实现客户投入与安全能力的平衡是所期望的。在一定的成本下,如何整合各方安全能力,实现最大安全能力正是我们所追求的。正如NIST发布的《SystemSecurityEngineering》指出的网络安全是一个系统概念一样,如何从系统平台侧看终端侧安全,在成本等约束条件下,充分利用终端侧资源,整合单点安全能力,最大化系统平台的安全能力,实现潜在威胁攻击影响的最小化是一个不容易并且需要长期探索的问题。
3、终端安全任重道远
站在防御者的角度,安全技术的探索和防护永远都是投入不足的。终端安全问题仍然任重道远。未来的终端安全体系或许具备如下特征:
如数字化工厂标准《IEC62794》对资产从Construction、Function、Performance、Location、Business方面描述一样,建立覆盖资产大多数(全)维度属性的自动化高效资产管理平台是有必要的;
针对攻击不断发展、特征多样的特点,防护立足于平台或终端自身的各种属性和行为,进行持续的监控,充分利用流量侧、终端侧等多源数据进行大数据安全分析,主动发现入侵影响并做出响应;
配合适当的权限管理,有效整合边缘终端能力和策略集中分析与分级部署能力,实现不同自主度、不同力度、不同及时度的平台或终端的敏捷响应能力,以保障足够的安全弹性;
这样的终端安全体系,必须具备至少3种能力:对平台和终端知识的全面理解和灵活掌控、对已知威胁的精确感知和敏捷响应、对未知可疑活动的及时发现与主动拦截。
面对终端安全的新态势,绿盟科技推出新一代终端安全防护产品:绿盟终端检测与响应系统(绿盟EDR:NSFOCUSEndpointDetectionandResponse)。该系统采用主动防御和横向对比模式,使企业的防御模式从静态、被动、基于规则的防御,逐渐转变为主动、动态、自适应的弹性防御,帮助客户降低企业安全风险、溯源安全事件、提高运维效率,全面提升企业的安全防御能力。