传统终端安全技术已显疲态 应对新威胁需新思路和新模式

2023年2月23日，微步在线举办“无界守护 终于安全”终端安全新产品发布会，正式发布OneSEC新一代终端安全管理平台，致力于有效应对针对办公网的安全风险，解决终端安全威胁的可见、可管和可控的问题。在发布会现场，微步在线创始人薛锋以“新威胁，新安全”为主题，对近两年来网络威胁趋势的变化以及应对当前终端安全挑战的新思路做了分享。



新技术催生新威胁 监管及需求关注点已从合规转向实战
 
尽管5G、IoT、云等新兴技术并非是近期诞生的，但它们及伴生的相关场景在此前三年中发展迅猛，并带动基础设施发生了巨大的变化，同时也为安全带来了诸多新的挑战。其中比较典型的如办公场景，远程或混合办公模式的广泛采用导致此前传统办公模式下的众多安全措施成为虚设。
 
同时，监管层面也在发生着变化。行业级、区域级乃至国家级攻防演练活动都已经或正在形成常态化，充分体现出在近几年网络威胁形势日趋严峻的情况下，监管层面的关注点开始从面向合规转变为面向实战和效果。值得一提的是，这也带动了用户一侧的需求开始转变，同样会更关注安全建设的实战能力和效果。目前不少用户已从传统的被动防御建设转向更积极的主动防御建设，会更加注重威胁的发现能力以及持续的安全保障体系，同时也会更注重安全运营，因为用户也意识到，安全不是靠一时的安全能力堆砌就可以解决后续长期的问题。
 
作为攻防对抗中的一份子，攻击者的变化不能忽视，它主要体现在三点：首先是攻击技术平民化，一些技术水平较低的不法分子通过利用制作好的攻击工具就可以发起对各类目标的无差别攻击；其次是加密货币和暗网的流行，在很大程度上刺激了那些以获利为目的的网络犯罪分子不断推陈出新，如勒索软件攻击从最早的加密数据扩展到窃取数据、泄露数据等多重勒索攻击，以达到索取更高赎金的目的，让受害用户承受包括资金损失、信誉损失、合规损失等诸多严重后果；第三则是由地缘政治引起国家间的网络对抗风险急剧上升，从微步在线所观察到的数据看，此类攻击的数量和频次都出现大幅度增长。
 
具体到终端安全，薛锋表示，这一领域在当前之所以会遇到如此大的挑战，源于攻击者越来越多的将攻击对象从服务器转向终端。
 
一方面，对于具有一定规模的企业，其服务器数量会远远小于其终端数量，对攻击者而言，这意味着攻击入口增加了几十倍甚至几百倍；
 
另一方面，直接攻击服务器意味着要面对企业内具备一定技术能力的安全或IT团队人员，而在终端领域，则普遍面对的是无技术能力甚至是无安全意识的普通员工，孰难孰易一眼便知。
 
应对新威胁需要新思路和新模式
 
攻防对抗需要一种平衡，面对攻击者的变化，防御一方也同样发生着变化，薛锋在这里为大家分享了他所看到的一些安全新思路、新模式。
 
首先是安全技术的变化，以往的安全技术更多是基于规则、特征的匹配，而现在则开始向数据化转变，以微步在线为例，其情报数据与企业自身所采集的安全相关数据结合匹配，经过精准的数据分析去发现、定位问题，通过这种数据化思路所能取得的安全成效要显著优于此前的传统思路。
 
其次是安全载体的变化，安全能力云化已经成为当前安全行业的主流趋势之一，相比传统安全建设更多是依靠堆砌安全设备的方式去完成，云化所带来的数据、算力优势是显而易见的，同时在用户一侧的部署和应用方面也同样具备极大优势。
 
第三是服务模式的变化，据薛锋介绍，微步在线一直都坚持认为将安全能力以盒子这种方式交付且一次性买断的模式并非是对客户最有利的，以订阅服务的方式去交付安全能力才是对双方更有价值的模式，因其将选择权真正交给了客户。于是，微步在线于2017年就成立了客户成功团队，也是国内最早拥有此类团队的安全企业。
 
 
当前主流终端安全技术面对当前威胁形势已显疲态
 
‍威胁形势日趋严峻，防守一方也亟需新的技术和解决方案去应对，然而当下主流的防护手段主要集中在三大类——杀毒软件类、流量检测类和日志类，这些类别的安全产品并非不好，却各自存在不足也是不争的事实，用薛锋的话讲，就是它们都存在各自的盲区。
 
杀毒软件类产品的不足主要体现在它们只能消灭已知恶意威胁，因为是基于特征库进行攻击比对，防御效果直接和特征库的信息数量挂钩，这就意味着其主要对已知威胁进行检测和防护。同时也无法进一步发现其行为相关信息以及溯源。流量检测类产品则无法看到终端内部的恶意行为，日志类产品所收集的往往是防火墙、WAF、IPS等安全产品的日志，这些信息对于提升整体终端安全可见性并无太高价值。
‍
当然，这些不足并不能抹杀他们在整个安全建设中的价值和意义，但单纯的依靠这些技术及相关产品去应对当前的终端威胁，无疑是力不从心的。
 
相比之下，EDR 描述的是整个攻击过程，并且并不局限于单独某一个终端的防御，它能将各个终端上的事件进行关联并加以分析，从而还原整个攻击的流程，描绘出攻击事件的全貌。
 
正如前文所述，每一类安全产品都有其核心能力，仅是面向终端安全领域的产品就有如此之多，但为什么依然难以应对当前的终端安全威胁形势呢？薛锋在发布会中对这一问题也表达了自己的观点，那就是每一款产品都有其不足之处，而好的终端安全，应当是通过多技术、多产品的组合方式以覆盖单一产品的不足。



如上图所示，如果将要防护的企业视作为一栋楼宇，那就需要尽可能的覆盖所有可能出现风险的地方，比如每一个通道（流量）和每一个房间（终端），流量和日志类产品，在这里面所扮演的类似于通道的监控设备，它们可以清楚的看到这些通道中所可能出现的可疑人员，也就是为了去更好的发现南北向、东西向流量中的风险，但问题在于，攻击者也会主动的去寻找进入目标房间的其他方式，比如通过正常的快递人员将风险物品送入房间，这就绕开了这些通道中的监控防护措施，且无法发现进入房间的风险。如每个房间（终端）都安装了监控设备，则可清晰地发现这个房间内发生的所有行为，如此便覆盖了彼此之间各自所存在的盲区，形成互为补充的关系，也更充分的发挥了各自所擅长地能力，从而提升了对企业整体安全风险的可见性，帮助企业能够更好、更快地发现威胁。
 
由此可见，EDR也并非是网络安全的灵丹妙药，但是它所具备的能力又能够与其他DR类产品形成互补，进而形成了更好的安全保障。
 
终端安全市场将显著增长 创新企业入局将有利于用户
 
我国终端安全市场的增长空间可谓是显而易见，这也成为吸引创新力更强的专业厂商入局该领域的因素之一。据赛迪顾问发布的《中国终端安全检测与响应产品市场研究报告（2022）》内容显示，2021 年，中国终端安全产品市场规模达到44.5 亿元，增长率达到了21.6％，同时，报告还表示，随着行业数字化建设的加快和网络安全需求的变化，客户的采购方式已经不局限于安全硬件产品，而更多的选择适宜于自身系统的安全软件产品或服务。以EDR为代表的终端安全无疑是最重要的赛道之一。
 
此外，我们还应看到信创市场的发展对终端安全领域需求的拉动同样起着巨大的作用，尤其是在去年国家下发79号文，新增了量化要求，预计在2025年底，央企的办公OA系统实现100%国产化，2027年前完成国产信创替代，涉及范围包括底层硬件、基础软件、平台软件、应用软件和信息安全，这背后所蕴含的市场潜力不可小觑。
 
在终端安全领域的市场格局方面根据此前多份国内调研机构给出的中国终端安全市场相关的报告显示，目前在终端安全市场中占据领先地位的普遍是奇安信、360、深信服、亚信安全等综合性厂商，另外，一些如北信源、江民等从杀软领域转型而来的老牌厂商也在市场中占有一席之地，而以微步在线为代表的众多创新企业入局，它们其所具备的更强创新驱动力将有利于为行业提供更多的新思路，充分发挥在“专”方面的优势，借助自身在某些领域的深厚积累，通过与新模式相结合，为用户提供多样化的选择，而由此所带来的市场竞争，也将为推动我国EDR领域产品能力的进步注入重要动能，促进产品的优胜略汰，在这种情况下，才有利于形成用户和真正有能力的安全企业之间形成双赢局面，也会更进一步促进我国终端安全领域的创新和发展。