隨著云計算、大數據、物聯網等創新技術的加速落地，企業原有的網絡邊界被打破，各種終端設備如：筆記本電腦、臺式機、平板電腦、智能手機、物聯網終端等成為了新的安全邊界。

　　在此背景下，想確保企業高效辦公的靈活性、安全性和隱私性，就必須讓終端設備具有與時俱進的安全能力，而不是一味通過管理措施去限制員工對終端設備的使用。

　　但是，要實現全面的終端安全防護并不容易，企業安全團隊在開展終端安全能力建設時面臨多重挑戰。

　　終端安全事件頻發政策合規走向實戰化

　　近年來，隨著黑色產業鏈的萌生和壯大，網絡安全環境愈加復雜，APT攻擊、勒索病毒、挖礦等攻擊手段大行其道，而傳統終端防護手段已很難對此類攻擊有防護效果。

　　過去十年，全球發生了多起終端安全事件，例如：

　　2016年發生多次針對ATM發起網絡攻擊導致ATM機自動吐錢的黑客事件，經過研究人員分析，黑客實現對銀行內部的ATM專用網絡植入了惡意程序，最終實現操控ATM機吐錢。

　　2017年5月，勒索病毒WannaCry爆發，全球范圍近百個國家遭到大規模網絡攻擊，惡意病毒利用漏洞在內部網絡大范圍傳播和感染，造成嚴重損失。

　　2020年12月，美國多個重要政企機構遭受了國家級APT組織的入侵，攻擊疑似由于網絡安全管理軟件供應商SolarWinds遭遇國家級APT團伙高度復雜的供應鏈攻擊并植入木馬后門導致。

　　不僅如此，以網絡釣魚為代表的社會工程攻擊也對企業終端安全構成了嚴峻的挑戰由于開展網絡釣魚活動的成本不斷降低，網絡釣魚已經成為目前最常用的終端安全攻擊途徑之一。

　　據思科公司研究報告顯示，86%的企業都遇到過至少一次釣魚攻擊。只要有一名內部員工淪為網絡釣魚攻擊的受害者，他們就可能無意中將惡意軟件傳播到整個網絡，導致嚴重的后果。

　　從企業自身看，由于數字化轉型的加速，企業對于終端設備的使用方式都發生了巨大的改變。

　　一方面，大多數企業都采用了多種終端設備，包括移動設備、筆記本、無線設備和桌面設備等。這些終端設備運行在不同的操作系統上，想要跟蹤記錄所有聯網終端的操作與使用情況非常困難，這也使得安全團隊對終端設備使用的可見性非常有限。

　　缺乏可見性嚴重影響了企業及時發現易受攻擊的終端和發生在這些設備上的可疑活動。而大量的惡意軟件正是利用這一特點，長期潛伏在已被攻陷的終端設備中，伺機竊取或加密組織的敏感數據。

　　另一方面，后疫情時代，遠程辦公已經成為現代企業工作模式的新常態，這讓保護遠程終端安全變得頗具挑戰性。由于遠程辦公時，員工是在企業物理網絡之外工作，往往難以嚴格遵循企業網絡安全管理的最佳實踐要求。

　　此外，企業對遠程辦公終端的安全控制能力也很有限，比如員工一旦在咖啡館等公共場所遺失手機、筆記本等終端設備，就會危及企業整體的數據安全。

　　同時，很多企業都會允許并鼓勵員工在自帶設備(BYOD)上辦公，但BYOD設備屬于員工個人所有，企業如果無法對這些設備進行有效的管理和控制，將是企業未來終端安全建設中面臨的一大挑戰。

　　在政策層面，國家越來越重視網絡安全，企業安全建設方和監管機構也從傳統的“產品檢查”轉換為當代的“能力檢查”，以往堆砌網絡安全設備的就能應付合規要求和檢查的方式，轉變為實戰化的效果驗證。

　　面對外部網絡安全環境、政策要求和企業數字化需求的變化，企業應如何開展終端安全建設?

　　企業需構建新一代終端安全防護能力

　　研究機構Forrester在《終端安全管理的未來》研究報告中指出，對所有終端設備進行有效的安全防護和管理，是保護企業數字化轉型安全開展的基礎。而組織在開展新一代終端安全防護能力建設時，也需要重點關注以下技術發展趨勢：

　　加大AI技術應用

　　將新一代AI技術用于終端安全建設已經越來越普遍，可以在無需人員干預的情況下自動修復端點問題。此外，AI為終端系統自我修復帶來了更大的彈性。

　　研究人員認為，新一代終端安全防護平臺需要在應用程序、操作系統和固件這三個主要層面提供自我修復，才能起到實際效果。

　　其中，嵌入在固件中的自我修復將最重要，因為它確保端點上運行的所有軟件。固件層面的自我修復也很有必要，如果在端點上運行的端點安全代理崩潰或損壞，固件層面的自我修復有助于快速修復。

　　體系化的終端安全能力

　　統一終端安全防護平臺可以提供終端檢測和響應(EDR)、漏洞管理、反網絡釣魚以及生物特征驗證。

　　調查發現，企業組織需要為整合的終端安全管理和防護平臺提供統一視圖，實時了解所有終端的安全運行情況，體系化解決方案能力也將成為評價終端安全廠商競爭力的重要因素。

　　增強用戶的應用體驗感

　　新一代終端安全解決方案需要廣泛收集用戶體驗監測數據，并作為產品優化的參考依據。

　　增強用戶體驗可以先從縮短設備啟動時間的這一場景開始，隨后范圍會擴大到應用程序、網絡和身份驗證機制等。

　　增強用戶體驗的目的是提供更安全的終端安全應用，同時讓用戶幾乎感覺不到對數字化業務的影響。

　　以隱私數據保護為中心

　　企業需要在支持員工自帶設備的同時，加大對核心應用和隱私數據的保護。因此，新一代終端安全能力建設需要更關注以數據和應用程序為中心的保護，而不是對硬件設備的保護。

　　目前，獨立的數據安全技術已經被大量采用，即便在員工自己購買的終端設備上，也可以使用虛擬化隔離系統，來分離公司數據和個人數據，這樣不僅為員工提供了更好的靈活性，也為企業帶來了更好的安全性。

　　新一代終端安全解決方案的關鍵性能力

　　那么，從技術上看，新一代終端安全解決方案需要具備哪些關鍵性能力?

　　事實上，由于傳統終端安全關注已知威脅，如防病毒、終端HIPS、HWAF類，基于已知特征進行防護，對于APT攻擊、勒索、挖礦等高級攻擊、病毒、木馬的變種等高級威脅，這些基于規則的主機防護軟件都已經失去了作用。

　　因此，新一代終端安全產品需要新技術來補充上層的安全能力：

　　主機行為分析

　　利用終端病毒檢測能力、行為檢測能力等，結合終端安全服務端上的關聯分析能力，精準識別主機各類異常文件及異常行為，包括：僵木蠕異常文件分析、密碼嗅探、U盤異常文件操作、邊界文件行為分析、Webshell后門分析、反彈shell分析、挖礦木馬分析等。

　　威脅情報

　　基于大數據技術統一匯聚各類終端日志，結合綠盟實時威脅情報數據(IP、域名、樣本hash)，通過威脅分析建模引擎、異常行為分析引擎等進行深度危險關聯分析以及威脅判定實現對APT攻擊等的有效檢測。

　　機器學習

　　依賴于對攻擊數據的訓練及學習，不斷增強威脅檢測模型及檢測能力，從而更加準確、智能化的應對威脅及其變種。

　　威脅狩獵

　　利用終端誘捕系統中的蜜罐檢測技術、模擬IP技術、模擬漏洞技術、模擬服務技術、誘餌技術等，誘使攻擊方對它們實施攻擊，從而可以對攻擊行為進行捕獲和分析，了解攻擊方所使用的工具與方法，推測攻擊意圖和動機，能夠讓防御方清晰地了解他們所面對的安全威脅。

　　內存馬檢測

　　針對主機的內存保護技術，可有效應對一些新型攻擊手段、病毒變種等威脅，特別是內存Webshell，從而保障業務系統的安全。

　　微隔離技術

　　基于零信任的設計理念，提供對終端精細化的點對點自適應訪問控制能力，以保證終端安全風險的精細化即時響應。切實做到既能保證威脅的有效隔離，又能保證業務影響最小化。

　　自動化響應

　　基于安全分析產生的運維事件，進行運維模型的構建，進一步確定當前威脅運維模型的防護模型，并基于當前的事件智能提取防護參數，從而形成一系列的安全防護策略。同時，系統還可以根據客戶化訴求，確定自動化執行防護策略或者人工審核執行。

　　溯源分析

　　提供全景式展示攻擊者的攻擊時序過程、攻擊所處攻擊階段及對應的ATT&CK攻擊圖譜、可視化攻擊進程父子關系等，幫助運維人員溯源攻擊者的行為及最終意圖。

　　需要特別指出的是，以上安全能力建設都不是獨立的，而是需要與整體的安全防護框架及體系緊密融合。它不僅要保證終端自身的安全，也要保證其他層面的安全。

　　而整體的安全防護包括網絡安全、應用安全、數據安全等多個方面。在整體防護的基礎上，通過對終端設備的加強防護，可以有效防范終端設備被攻擊的風險，保障企業的信息安全。