EDR（EndpointDetectionandResponse）在2016年和2017年連續(xù)入圍Gartner發(fā)布的新技術(shù)項(xiàng)目趨勢(shì)，散發(fā)出了“終端強(qiáng)勢(shì)回歸，檢測(cè)響應(yīng)興起”的信號(hào)。2018年新項(xiàng)目如“CARTA-InspiredVulnerabilityManagementProject”、“PrivilegedAccountManagementProject”等涉及了眾多終端相關(guān)的安全技術(shù)，預(yù)示終端安全的內(nèi)涵逐漸擴(kuò)大，向平臺(tái)側(cè)傾斜。

 

　　2019年RSAC上被冠以“最具創(chuàng)新性”公司頭銜的AXONIUS就聚焦于網(wǎng)絡(luò)安全資產(chǎn)管理平臺(tái)，解決傳統(tǒng)環(huán)境或技術(shù)產(chǎn)品的短板，強(qiáng)化終端的有效保護(hù)。

 

　　從攻擊者的角度來說，無論發(fā)起多么復(fù)雜的攻擊，在網(wǎng)絡(luò)中經(jīng)歷了多少環(huán)節(jié)，采用了多少高級(jí)的技術(shù)，這些攻擊動(dòng)作必須通過某一個(gè)或多個(gè)終端才能完成。終端正是大多數(shù)安全事件發(fā)生過程的跳板、目標(biāo)或者發(fā)生地，終端成為了安全的主戰(zhàn)場(chǎng)。盡管終端上運(yùn)行著賬戶管理、殺毒軟件等基礎(chǔ)防護(hù)，但仍存在安裝效率低、盲區(qū)大的問題。此外，對(duì)越發(fā)復(fù)雜的APT攻擊，僅依靠單一終端信息難以察覺。這些問題需要聯(lián)合眾多終端的數(shù)據(jù)與安全能力，進(jìn)行統(tǒng)一平臺(tái)安全分析與管理，以提供全面、精細(xì)的事件檢測(cè)與安全響應(yīng)。正如Gartner在2018《MagicQuadrantforEndpointProtectionPlatforms(EPP)》報(bào)告中說明的，終端保護(hù)平臺(tái)應(yīng)能夠自適應(yīng)安全事件和告警動(dòng)態(tài)變化，提供自動(dòng)化、精心策劃的事件調(diào)查和違規(guī)響應(yīng)能力。

 

 

　　不謀全局者，不足謀一域。

 

　　不謀平臺(tái)者，不足謀一端。

 

　　所有的籌謀皆是為了安全。

 

　　從平臺(tái)的視角，看待終端側(cè)安全，其內(nèi)涵極其豐富。數(shù)據(jù)集中控制與分析、策略的分級(jí)與部署、邊緣的檢測(cè)與響應(yīng)均可為終端安全添磚加瓦。

 

　　美國國家標(biāo)準(zhǔn)和技術(shù)研究所（NIST）在2014年發(fā)布的《FrameworkforImprovingCriticalInfrastructureCybersecurity》報(bào)告中，指出系統(tǒng)層面保障信息安全的五大類高度抽象活動(dòng)，包括：Identify-Protect-Detect-Respond-Recovery，為實(shí)現(xiàn)特定安全需求提供了指導(dǎo)。研究企業(yè)組織的業(yè)務(wù)功能，充分識(shí)別系統(tǒng)、人員、資產(chǎn)、數(shù)據(jù)、能力等的風(fēng)險(xiǎn)，是充分理解和保護(hù)企業(yè)安全的基石。

 

　　盡管在很多安全技術(shù)方面，取得了可喜的進(jìn)步和成果，但僅依靠單一的安全技術(shù)或能力仍然無法保證充分的安全。

 

　　安全是一個(gè)相對(duì)的概念，實(shí)現(xiàn)客戶投入與安全能力的平衡是所期望的。在一定的成本下，如何整合各方安全能力，實(shí)現(xiàn)最大安全能力正是我們所追求的。正如NIST發(fā)布的《SystemSecurityEngineering》指出的網(wǎng)絡(luò)安全是一個(gè)系統(tǒng)概念一樣，如何從系統(tǒng)平臺(tái)側(cè)看終端側(cè)安全，在成本等約束條件下，充分利用終端側(cè)資源，整合單點(diǎn)安全能力，最大化系統(tǒng)平臺(tái)的安全能力，實(shí)現(xiàn)潛在威脅攻擊影響的最小化是一個(gè)不容易并且需要長期探索的問題。

 

 

　　站在防御者的角度，安全技術(shù)的探索和防護(hù)永遠(yuǎn)都是投入不足的。終端安全問題仍然任重道遠(yuǎn)。未來的終端安全體系或許具備如下特征：

 

　　如數(shù)字化工廠標(biāo)準(zhǔn)《IEC62794》對(duì)資產(chǎn)從Construction、Function、Performance、Location、Business方面描述一樣，建立覆蓋資產(chǎn)大多數(shù)（全）維度屬性的自動(dòng)化高效資產(chǎn)管理平臺(tái)是有必要的；

 

　　針對(duì)攻擊不斷發(fā)展、特征多樣的特點(diǎn)，防護(hù)立足于平臺(tái)或終端自身的各種屬性和行為，進(jìn)行持續(xù)的監(jiān)控，充分利用流量側(cè)、終端側(cè)等多源數(shù)據(jù)進(jìn)行大數(shù)據(jù)安全分析，主動(dòng)發(fā)現(xiàn)入侵影響并做出響應(yīng)；

 

　　配合適當(dāng)?shù)臋?quán)限管理，有效整合邊緣終端能力和策略集中分析與分級(jí)部署能力，實(shí)現(xiàn)不同自主度、不同力度、不同及時(shí)度的平臺(tái)或終端的敏捷響應(yīng)能力，以保障足夠的安全彈性；

 

　　這樣的終端安全體系，必須具備至少3種能力：對(duì)平臺(tái)和終端知識(shí)的全面理解和靈活掌控、對(duì)已知威脅的精確感知和敏捷響應(yīng)、對(duì)未知可疑活動(dòng)的及時(shí)發(fā)現(xiàn)與主動(dòng)攔截。

 

　　面對(duì)終端安全的新態(tài)勢(shì)，綠盟科技推出新一代終端安全防護(hù)產(chǎn)品：綠盟終端檢測(cè)與響應(yīng)系統(tǒng)（綠盟EDR：NSFOCUSEndpointDetectionandResponse）。該系統(tǒng)采用主動(dòng)防御和橫向?qū)Ρ饶Ｊ剑蛊髽I(yè)的防御模式從靜態(tài)、被動(dòng)、基于規(guī)則的防御，逐漸轉(zhuǎn)變?yōu)橹鲃?dòng)、動(dòng)態(tài)、自適應(yīng)的彈性防御，幫助客戶降低企業(yè)安全風(fēng)險(xiǎn)、溯源安全事件、提高運(yùn)維效率，全面提升企業(yè)的安全防御能力。