EDR(EndpointDetectionandResponse)在2016年和2017年連續入圍Gartner發布的新技術項目趨勢,散發出了“終端強勢回歸,檢測響應興起”的信號。2018年新項目如“CARTA-InspiredVulnerabilityManagementProject”、“PrivilegedAccountManagementProject”等涉及了眾多終端相關的安全技術,預示終端安全的內涵逐漸擴大,向平臺側傾斜。
2019年RSAC上被冠以“最具創新性”公司頭銜的AXONIUS就聚焦于網絡安全資產管理平臺,解決傳統環境或技術產品的短板,強化終端的有效保護。
從攻擊者的角度來說,無論發起多么復雜的攻擊,在網絡中經歷了多少環節,采用了多少高級的技術,這些攻擊動作必須通過某一個或多個終端才能完成。終端正是大多數安全事件發生過程的跳板、目標或者發生地,終端成為了安全的主戰場。盡管終端上運行著賬戶管理、殺毒軟件等基礎防護,但仍存在安裝效率低、盲區大的問題。此外,對越發復雜的APT攻擊,僅依靠單一終端信息難以察覺。這些問題需要聯合眾多終端的數據與安全能力,進行統一平臺安全分析與管理,以提供全面、精細的事件檢測與安全響應。正如Gartner在2018《MagicQuadrantforEndpointProtectionPlatforms(EPP)》報告中說明的,終端保護平臺應能夠自適應安全事件和告警動態變化,提供自動化、精心策劃的事件調查和違規響應能力。
2、一切為了安全
不謀全局者,不足謀一域。
不謀平臺者,不足謀一端。
所有的籌謀皆是為了安全。
從平臺的視角,看待終端側安全,其內涵極其豐富。數據集中控制與分析、策略的分級與部署、邊緣的檢測與響應均可為終端安全添磚加瓦。
美國國家標準和技術研究所(NIST)在2014年發布的《FrameworkforImprovingCriticalInfrastructureCybersecurity》報告中,指出系統層面保障信息安全的五大類高度抽象活動,包括:Identify-Protect-Detect-Respond-Recovery,為實現特定安全需求提供了指導。研究企業組織的業務功能,充分識別系統、人員、資產、數據、能力等的風險,是充分理解和保護企業安全的基石。
盡管在很多安全技術方面,取得了可喜的進步和成果,但僅依靠單一的安全技術或能力仍然無法保證充分的安全。
安全是一個相對的概念,實現客戶投入與安全能力的平衡是所期望的。在一定的成本下,如何整合各方安全能力,實現最大安全能力正是我們所追求的。正如NIST發布的《SystemSecurityEngineering》指出的網絡安全是一個系統概念一樣,如何從系統平臺側看終端側安全,在成本等約束條件下,充分利用終端側資源,整合單點安全能力,最大化系統平臺的安全能力,實現潛在威脅攻擊影響的最小化是一個不容易并且需要長期探索的問題。
3、終端安全任重道遠
站在防御者的角度,安全技術的探索和防護永遠都是投入不足的。終端安全問題仍然任重道遠。未來的終端安全體系或許具備如下特征:
如數字化工廠標準《IEC62794》對資產從Construction、Function、Performance、Location、Business方面描述一樣,建立覆蓋資產大多數(全)維度屬性的自動化高效資產管理平臺是有必要的;
針對攻擊不斷發展、特征多樣的特點,防護立足于平臺或終端自身的各種屬性和行為,進行持續的監控,充分利用流量側、終端側等多源數據進行大數據安全分析,主動發現入侵影響并做出響應;
配合適當的權限管理,有效整合邊緣終端能力和策略集中分析與分級部署能力,實現不同自主度、不同力度、不同及時度的平臺或終端的敏捷響應能力,以保障足夠的安全彈性;
這樣的終端安全體系,必須具備至少3種能力:對平臺和終端知識的全面理解和靈活掌控、對已知威脅的精確感知和敏捷響應、對未知可疑活動的及時發現與主動攔截。
面對終端安全的新態勢,綠盟科技推出新一代終端安全防護產品:綠盟終端檢測與響應系統(綠盟EDR:NSFOCUSEndpointDetectionandResponse)。該系統采用主動防御和橫向對比模式,使企業的防御模式從靜態、被動、基于規則的防御,逐漸轉變為主動、動態、自適應的彈性防御,幫助客戶降低企業安全風險、溯源安全事件、提高運維效率,全面提升企業的安全防御能力。
