【亞信安全】-【2021年8月5日】2019年,EPP+EDR重新定義了終端安全。
無文件病毒、無文件挖礦、無文件勒索……隨著無文件攻擊滲透形式的盛行,以獲利斂財為目的的,有組織、有計劃、團(tuán)隊協(xié)作、持續(xù)攻擊與日俱增,許多端點防護(hù)平臺(Endpoint Protection Platform,EPP)紛紛失效,這讓更多信息安全管理者決定,在端點保護(hù)中融合更加先進(jìn)的檢測和響應(yīng)解決方案(EDR)。
EDR的快速檢測、響應(yīng)以及溯源等能力,補齊并強化了傳統(tǒng)防病毒產(chǎn)品在高級威脅治理方面的需求。EPP+EDR的融合,增強了對于威脅的監(jiān)測、分析、遏制以及修復(fù)的能力,形成了端點上的閉環(huán)管理。
但是,從獨立的EPP和EDR,再到二者的融合,之后呢?面對威脅的不斷演進(jìn),我們面臨的問題似乎更加嚴(yán)峻:
01愈來愈大的“庫”
傳統(tǒng)安全應(yīng)對機制是被動的,用戶只有受到攻擊后才能感知和捕獲,并將其特征放到病毒庫中,然后通過升級殺毒軟件并應(yīng)用到用戶才能應(yīng)對。但越來越多的系統(tǒng)漏洞被發(fā)現(xiàn),病毒變種更是幾何倍數(shù)增長,各種 “庫” 規(guī)模也越來越臃腫,效率也變得非常低下。
02防不勝防的“漏”
目前,終端安全防護(hù)的技術(shù)手段極為有限,安全隱患隨處可見,其中最大的問題是普遍存在數(shù)據(jù)泄露風(fēng)險。隨著萬物互聯(lián)時代的到來,終端種類繁多,數(shù)量巨大且部署分散,任何一個失陷的端點都可能造成全面的網(wǎng)絡(luò)安全事故,數(shù)據(jù)泄密事件只會越來越多。
03花樣繁多的“管”
隨著數(shù)字化進(jìn)程加速,威脅的不斷演變,終端管理早已不是防毒這一件事了。因此,對終端安全解決方案提出了“更全”的要求。例如:融合資產(chǎn)管理、運維管理、補丁管理、審計管理、準(zhǔn)入控制、數(shù)據(jù)防泄漏等,將安全和業(yè)務(wù)結(jié)合,將安全與運維結(jié)合。
04魚游沸鼎的“急”
攻擊系統(tǒng)和網(wǎng)絡(luò)的程序存在實際的和潛在的財務(wù)損失、不利的媒體曝光威脅(聲譽的損失),尤其是遭遇勒索軟件攻擊,其采用了高強度的加密算法,而在事后想要恢復(fù)文件是很難的。因此,應(yīng)急響應(yīng)中不僅要調(diào)查溯源、抑制威脅擴散,更需要事前預(yù)防的文件備份系統(tǒng)。
05由靜到動的“類”
技術(shù)的發(fā)展,讓終端的定義超出了桌面PC,在筆記本、智能手機、PAD、AR/VR設(shè)備加入大家族之后,AI+5G技術(shù)讓IoT連接的設(shè)備數(shù)比移動互聯(lián)網(wǎng)時代擴大數(shù)十倍以上。而要為如此繁多的終端皆能提供安全保護(hù),便逐漸形成了“大終端”安全的新定義。
UES應(yīng)運而生
2020年,Gartner就在《Hype Cycle for Endpoint Security, 2020》中,提出了UES(統(tǒng)一端點安全)。并且在相關(guān)報告中指出,為了應(yīng)對新出現(xiàn)的端點安全挑戰(zhàn),安全和風(fēng)險管理領(lǐng)導(dǎo)者必須將端點保護(hù)平臺、端點檢測和響應(yīng)以及移動威脅防御(MTD)等功能結(jié)合起來,采用統(tǒng)一的端點安全方法。也就是融合EPP+EDR和MTD的XDR解決方案。
與此同時,Gartner預(yù)期在到2024年,將有超過50%的端點安全產(chǎn)品將支持統(tǒng)一端點安全(UES)框架。這一預(yù)判來自于終端安全從業(yè)者不斷改進(jìn)思維和自動化威脅的狩獵、檢測和修復(fù),EDR(Endpoint Detection and Response)和XDR(eXtended Detection and Response)的成功應(yīng)用。
終端安全一體化管控平臺
作為在終端安全領(lǐng)域擁有突出技術(shù)實力,并在國內(nèi)提出XDR理念的廠商,亞信安全認(rèn)為:在遠(yuǎn)程訪問、零信任技術(shù)應(yīng)用,以及安全運維的統(tǒng)一管理的需求下, 實現(xiàn)運維+管控的UES平臺是大勢所趨,將加速落地與應(yīng)用。
因此,亞信安全針對當(dāng)前網(wǎng)絡(luò)威脅演化趨勢和我國網(wǎng)安合規(guī)(網(wǎng)絡(luò)安全法及等保)要求推出了大終端一體化安全解決方案,將安全防護(hù)、終端管理、運維管理、文檔管理“化零為整”。同時,亞信安全建議用戶從現(xiàn)有的防毒系統(tǒng)平臺(OfficeScan+)上開始集成,將安全與運維服務(wù)進(jìn)行融合,以提供更低的總體擁有成本(TCO)和更好的運營效率。
Gartner指出,要想成為成功的UES供應(yīng)商就必須有能力證明通過安全性和運營的整合可以顯著提高生產(chǎn)力以及可以快速處理大量數(shù)據(jù),可以檢測那些過去未遇到過的威脅。而亞信安全“大終端”背后的優(yōu)勢,則是強大的“數(shù)據(jù)湖”威脅情報體系。目前,亞信安全數(shù)據(jù)湖利用自動化系統(tǒng),在全球范圍主動采集威脅情報數(shù)據(jù),覆蓋了150個數(shù)據(jù)源,每天數(shù)據(jù)的采集和更新情報量超過1億條,日均增加存儲量超過1TB。
在桌面管理、數(shù)據(jù)備份、文件加密等方面,亞信安全提供了與之對應(yīng)的TSM、TDB、TDE系統(tǒng),將內(nèi)部網(wǎng)絡(luò)安全、信息安全與終端計算機管理,以及容災(zāi)恢復(fù)云服務(wù)和涉密文檔全生命周期管理全面打通,真正實現(xiàn)了更全、更簡的統(tǒng)一管理。
【圖:亞信安全終端安全一體化方案實現(xiàn)全平臺支撐】
另外,在終端系統(tǒng)平臺支撐方面,大終端一體化方案不僅可以支持Windows、Linux、MacOS、Android,更對通過亞信安全端點安全管理系統(tǒng)ESM廣泛地適配x86、ARM和MIPS架構(gòu),實現(xiàn)了與主流國產(chǎn)操作系統(tǒng)平臺(麒麟、統(tǒng)信等)的全面兼容,并且已經(jīng)與麒麟、統(tǒng)信、長城等硬件廠商取得了互認(rèn),為用戶的端點安全升級換代提供了平滑過渡與可靠支撐。
參照ASA自適應(yīng)模型開展安全運維
自適應(yīng)安全架構(gòu)(Adaptive Security Architecture,簡稱ASA)是由Gartner在2014年提出的安全體系,以持續(xù)監(jiān)控和分析為核心,將防御、檢測、響應(yīng)、預(yù)測四個方面結(jié)合起來提供更好的安全服務(wù),實現(xiàn)持續(xù)的自我進(jìn)化,自我調(diào)整來適應(yīng)新型、不斷變化的攻擊類型。
而脆弱的終端一直以來就被認(rèn)為是ASA安全框架中的漏點和沙眼,必然會成為“安全+運維”交叉最頻繁的“聯(lián)合會診室”。然而,安全運維不是一蹴而就的,九層之臺,起于壘土,大終端的安全才剛剛開始。
(免責(zé)聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請進(jìn)一步核實,并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏,概不負(fù)任何法律責(zé)任。
任何單位或個人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時,應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后,將會依法盡快聯(lián)系相關(guān)文章源頭核實,溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。 )