RSA2018掀起的安全浪花似乎還未平息，RSA2019又於3月4日在美國舊金山開幕。在這帶有“網路安全風向標”頭銜的創新沙盒環節中，10家入圍的網路安全廠商猶如“八仙過海，各顯神通”，展現各自看家本領，其中包括資產管理、身份與特權管理、硬體及韌體威脅預防、應用安全等。眾多的創新技術，給終端安全帶來新的啟發和解決思路。

 

1 終端成為安全的 “寵兒”

回顧2016年RSA會議時，似乎就釋放出“終端強勢迴歸，檢測響應興起”的訊號，預示EDR（Endpoint Detection and Response）的將獲得安全界的新寵。無獨有偶，EDR持續入圍Gartner 16/17年釋出的新技術專案趨勢。而在2018新專案中，如“CARTA-Inspired Vulnerability Management Project”、“Privileged Account Management Project”等涉及眾多的終端相關的安全技術，預示終端安全的內涵逐漸擴大，向平臺側傾斜。

在本年度的RSAC創新沙盒比賽中，進入Top 10的公司都是安全行業中最大膽的創新者。在過去的5年中，Top 10的決賽選手已經獲得超過20.5億美元以上的投資。

Top10廠商中涉及資產管理、DevOps、雲安全、資料安全和韌體安全等多種強化終端安全的技術。本屆被冠以“最具創新性”公司頭銜的AXONIUS聚焦於網路安全資產管理平臺，主要幫助使用者進行資產管理、應用管理和補丁管理等，確認是否符合該單位的安全保護要求，解決傳統環境或技術產品的短板，強化終端的有效保護。

從攻擊者的角度來說，無論發起多麼複雜的攻擊，在網路中經歷了多少環節，採用了多少高階的技術，這些攻擊動作必須透過某一個或多個終端才能完成。正是終端是大多數安全事件發生過程的跳板、目標或者發生地，終端成為了安全的主戰場。儘管終端上執行著賬戶管理、防毒軟體等基礎防護，但仍存在安裝效率低、盲區大的問題。此外，對越發複雜的APT攻擊，僅依靠單一終端資訊難以察覺。這些問題需要聯合眾多終端的資料與安全能力，進行統一平臺安全分析與管理，以提供全面、精細的事件檢測與安全響應。正如Gartner在2018《Magic Quadrant for Endpoint Protection Platforms (EPP)》報告中說明那樣，終端保護平臺應能夠自適應安全事件和告警動態變化，提供自動化、精心策劃的事件調查和違規響應能力。

2 一切為了安全

不謀全域性者，不足謀一域。不謀平臺者，不足謀一端。所有的籌謀皆是為了安全。從平臺的視角，看待終端側安全，其內涵極其豐富。資料集中控制與分析、策略的分級與部署、邊緣的檢測與響應均可為終端安全添磚加瓦。

美國國家標準和技術研究所（NIST）在2014年釋出的《Framework for Improving Critical Infrastructure Cybersecurity》報告中，指出系統層面保障資訊保安的五大類高度抽象活動，包括：Identify-Protect-Detect-Respond-Recovery，為實現特定安全需求提供了指導。研究企業組織的業務功能，充分識別系統、人員、資產、資料、能力等的風險，是充分理解和保護企業安全的基石。從創新沙盒Top 10的廠商看，AXONIUX廠商提供了極具創新性的資產管理平臺，為我們在資產的管理方面提供可借鑑的思路。對於發現的各風險，進行提前防護，有助於增強平臺和終端安全能力，限制潛在安全事件的影響。在這些方面，eclypsium、Salt Security、ShiftLeft等廠商針對不同的潛在威脅物件進行深入、細緻的研究，給出了具有市場潛力的保護實現方案。在檢測與響應方面，基於全流量側的檢測佔據主流地位，豐富的終端內資料未充分利用。基於檢測分析的安全態勢，進行簡單的自動響應以及人在環路的取證和補救。CAPSULE8、DisruptOps在精確檢測和自主響應上取得了具有廣泛應用前景的成果，加速了安全服務自動化真正落地與投入應用的步伐。

儘管在很多安全技術方面，取得了可喜的進步和成果，但僅依靠單一的安全技術或能力仍然無法保證充分的安全。安全是一個相對的概念，實現客戶投入與安全能力的平衡是所期望的。在一定的成本下，如何整合各方安全能力，實現最大安全能力正是我們所追求的。正如NIST釋出的《System Security Engineering》指出的網路安全是一個系統概念一樣，如何從系統平臺側看終端側安全，在成本等約束條件下，充分利用終端側資源，整合單點安全能力，最大化系統平臺的安全能力，實現潛在威脅攻擊影響的最小化是一個不容易並且需要長期探索的問題。

3 終端安全任重道遠

站在防禦者的角度，安全技術的探索和防護永遠都是投入不足的。終端安全問題仍然任重道遠。未來的終端安全體系或許具備如下特徵：

l 如數字化工廠標準《IEC 62794》對資產從Construction、Function、Performance、Location、Business方面描述一樣，建立覆蓋資產大多數（全）維度屬性的自動化高效資產管理平臺是有必要的；

l 針對攻擊不斷髮展、特徵多樣的特點，防護立足於平臺或終端自身的各種屬性和行為，進行持續的監控，充分利用流量側、終端側等多源資料進行大資料安全分析，主動發現入侵影響並做出響應；

l 配合適當的許可權管理，有效整合邊緣終端能力和策略集中分析與分級部署能力，實現不同自主度、不同力度、不同及時度的平臺或終端的敏捷響應能力，以保障足夠的安全彈性；

這樣的終端安全體系，必須具備至少3種能力：對平臺和終端知識的全面理解和靈活掌控、對已知威脅的精確感知和敏捷響應、對未知可疑活動的及時發現與主動攔截。多（全）維度屬性的資產管理貫穿於其中，提供堅實的資料支撐；自動化資產發現、主機風險態勢識別、多維度的視覺化，幫助客戶快速精準定級風險，降低運維成本；全面事件活動軌跡記錄，使用者可迅速還原事件發生過程，形成完整事件證據鏈，確認相關責任人；綜合多源資料的精確檢測和供應多種策略的靈活響應，提升防護的精準度，降低企業安全風險。

面對終端安全的新態勢，綠盟科技推出新一代終端安全防護產品：綠盟終端檢測與響應系統（綠盟EDR：NSFOCUS Endpoint Detection and Response）。該系統採用主動防禦和橫向對比模式，使企業的防禦模式從靜態、被動、基於規則的防禦，逐漸轉變為主動、動態、自適應的彈性防禦，幫助客戶降低企業安全風險、溯源安全事件、提高運維效率，全面提升企業的安全防禦能力。