数世咨询-一体化端点安全能力白皮书
一体化端点安全能力白皮书 ©北京数字世界咨询有限公司2023.8 一体化端点安全能力白皮书 ©北京数字世界咨询有限公司2023.8 市场圈family资源分享交流群 打造高价值、超强赋能、高端市场圈智库平台 【覆盖行业】 B端及企业服务、区块链、教育、电商、直播及短视频、保险及金融、投资、泛娱乐产业、人工智能、智能硬件、零售、汽车、物联网及产业互联网、工具类… 扫码发送名片加入资源分享交流群 获取最新免费报告资料 【社群属性】 人脉拓展、学习课程分享、营销方案资源库、行业报告、趋势研究、商业模式… 数字世界以网络连接为基础,以数据流动释放价值,以人工智能塑造未来。 数字安全以网络安全为基本手段,以数据安全为核心目的,支撑数字经济的健康发展和国家社会的和谐稳定。 数字世界,安全共生! 数世咨询作为国内独立的第三方调研咨询机构,为监管机构、地方政府、投资机构、企业用户等合作伙伴提供数字安全产业现状调研,细分技术领域调研、投融资对接、技术尽职调查、市场品牌活动等调研咨询服务。 报告编委 综合分析师刘宸宇 数世智库数字安全能力研究院 版权声明 本报告版权属于北京数字世界咨询有限公司(以下简称数世咨询)。 任何转载、摘编或利用其他方式使用本报告文字或者观点,应注明来源。违反上述声明者,数世咨询将保留依法追究其相关责任的权利。 目 录 前言1 关键发现3 第一章一体化端点安全典型场景5 1.1基于安全合规的终端管理5 1.2防病毒与防恶意软件5 1.3端点漏洞管理5 1.4威胁检测与响应5 1.5端点数据安全6 第二章一体化端点安全概念概述7 2.1一体化端点安全定义7 2.2一体化端点安全能力框架7 2.3一体化端点安全概念说明8 第三章 3.1 一体化端点安全主要能力9 基于安全的终端管理9 3.2 防病毒9 3.3 威胁检测与响应10 3.4 终端类型与数量10 目 录 3.5操作易用性11 第四章一体化端点安全代表企业12 4.1微软12 4.2Trellix14 4.3360数字安全16 第五章未来趋势19 5.1一体化端点安全落地难19 5.2泛终端安全一体化纳管19 5.3有效助力信创安全风险管理水平19 Reference21 •一体化端点安全能力白皮书• 前言 数字化转型带来的数字办公,意味着越来越多的工作是在数字化环境中完成。而端点则是数字化环境中,负责进行人机交互,以及信息处理、存储的重要环节。因此,端点始终是攻击者的主要目标之一,端点依然是企业必然要防护的对象。 端点面临的风险数量很多,包括资产不清晰、勒索攻击、漏洞利用、违规远程接入、敏感文件、数据的泄露和未知威胁攻击等等。近几年,在各级别各行业实网攻防演练的带动下,国内的终端安全需求有两个新变化:一是终端侧面对的威胁等级在提高,0day漏洞、无文件攻击等高级攻击手段开始频繁出现;二是终端侧面对的攻击手段越来越多样,除勒索病毒、钓鱼邮件外,身份仿冒、大规模鱼叉式攻击、U盘诱骗、社工攻击等让一线终端用户防不胜防。 All One 的能力。 终端安全多样化威胁场景,需要的则是一体化终端安全能力,我们称之为in 为什么需要AllinOne,我们以终端上的agent来举例。传统各类终端安全产品,如终端管理软件、防病毒软件、EDR、终端DLP……每个单点安全能力都有各自的agent要安装,这对于有经验的安全管理员来说,尚且头疼,对于不太熟悉电脑操作的用户,还可能“无意中”安装各类终端优化软件,结果是优化不成,终端反而成为agent们互相斗法的战场,尤其是当这些产品来自于不同供应商的时候,不仅难以协同对端点进行防护,甚至当端点出现安全事件的时候,各类产品反而容易引发端点系统的崩溃。这让一线普通用户和安全管理员都苦不堪言。 对于大部分普通用户来说,都希望只要一个agent,就覆盖绝大部分终端安全需求。且多种安全能力只在用户需要的时候才下发使用,做到“按需使用, 随用随取”。 用户需求是明确的,但实现起来并不容易。“少就是多”的难度不在于单点能力的实现,而在于如何将这些能力有机融合,按需提供。即以AllinOne的思路,将多样化的终端安全需求(如终端管理、防病毒、EDR、终端DLP、身份安全等)融合在单一终端安全产品中,以极简交付方式,为用户提供一体化的终端安全能力。可以说,一体化的端点安全防护解决方案则会成为未来的主要方向。 鉴于上述背景,数世咨询撰写本报告。 *勘误及交流请联系本报告主笔分析师刘宸宇:liuchenyu@dwcon.cn •一体化端点安全能力白皮书• 关键发现 了解自身端点的攻击暴露面。 ●企业需要及时掌握各环境场景中各类端点的漏洞情况,才能更为全面地 ●数据的价值在于流动,流动过程中的最重要节点就是端点。 着将端点面临的各类威胁通过一个平台进行管理和响应。 ●“一体化”不仅指将多类型的终端通过一个平台进行管理,同时也意味 ●一体化端点安全将端点侧存在的多种风险在数据层面拉通,才能更高效看见风险,有效进行统一分析、统一管理,从而实现统一视角下的智能化响应。 ●防病毒一方面需要迭代演进,满足勒索病毒频发、信创环境普及等新形势,另一方面需要将病毒沙箱等能力点开放输出。 ●一体化端点安全在端点侧应当具备更广泛的威胁发现能力——除防病毒以外,端点上的异常行为、恶意软件、数据泄露等都应覆盖。 ●一体化端点安全具有多样化需求、多场景应用、多维度能力,因此需要在产品操作易用性上重点关注,不能将“使用成本”简单堆叠后转嫁给用户。 犹豫。 ●未来一段时间,行业用户自身在一体化端点安全的落地上会存在一定的 ●一体化端点安全的端点覆盖范围将进一步向泛终端扩展。 ●短时间内快速提升信创操作系统及信创应用的整体风险管理水平,最具 性价比的方式就是从一体化端点安全入手,通过一体化管理平台同时从“终端管理”与“终端安全”两个主要维度降低信创国产化替代过程中伴随的安全风险。 •一体化端点安全能力白皮书• 第一章一体化端点安全典型场景 基于安全合规的终端管理 1.1 端点侧的合规是大部分企业用户的第一需求。近年来,网络安全法律法规相继完善,行业区域监管愈加严格,企业用户愈发重视机构内大量端点的安全合规,尤其是对包括安全管理、终端准入等在内的端点安全合规一体化管理。因此用户需要一个一体化平台,对环境内大量端点的相关安全配置进行监控与管理,确保端点的安全基线,避免因不合规带来的安全风险。 1.2防病毒与防恶意软件 病毒与恶意软件是端点面临的最直接风险。尽管产业已发展多年,防病毒与防恶意软件能力依然是一体化端点安全扎实必备的基础能力。加之国内许多企业机构因为各种原因,仍存在纯封闭的内网环境,因此从全球范围来看,结合云端情报能力的反病毒分析是大势所趋,但以病毒库特征匹配为基本模式的病毒查杀能力与防恶意软件能力始终必不可少。 端点漏洞管理 1.3 端点上的漏洞对企业而言是另一个巨大隐患。口罩三年加速了远程办公的普及,端点类型多样化的趋势突显,企业需要及时掌握各环境场景中各类端点的漏洞情况,才能更为全面地了解自身端点的攻击暴露面。针对这些端点漏洞风险,企业需要结合业务、区域等相关优先级,对端点漏洞采取响应措施,包括对端点系统实施升级策略以及使用虚拟补丁等。这是一体化端点安全应对漏洞时的典型场景。 威胁检测与响应 1.4 端点远离安全团队的覆盖触角,天然具有被优先突破的脆弱性,因此在实网攻防演练等场景中,蓝队攻击者大多将端点作为首选攻击入口——比如大量的钓鱼邮件攻击,在野0.5day/1day漏洞攻击等。防守团队就需要第一时间在端点侧发现威胁,横向阻断,同时将该威胁情报迅速同步至所有终端,这即是典型的EDR终端威胁检测与响应场景,也是一体化端点安全能力当中不可或缺的能力之一。 端点数据安全 1.5 数据的价值在于流动,流动过程中的最重要节点就是端点。居家办公、远程办公普及后,企业机构的各类数据——特别是大量的非结构化数据——都会在终端由用户读取、修改、写入。因此,在数据的远程访问与终端处理过程中,如何从端点侧应对数据泄露的风险,这是一体化端点安全要面对的另一个主要场景。 •一体化端点安全能力白皮书• 第二章一体化端点安全概念概述 2.1一体化端点安全定义 本报告中,数世咨询对一体化端点安全(IntegratedEndpointSecurity)描述如下: 以统一管理平台与单一agent为终端PC及其他多种端点类型(如服务器、智能设备/移动设备、IoT终端等)提供一体化的安全解决方案。一体化能力应当包括但不限于:终端管理、安全准入、防勒索、AV/EPP、漏洞管理、终端数据防泄漏、威胁检测与响应等。 2.2一体化端点安全能力框架 图1一体化端点安全能力框架 2.3一体化端点安全概念说明 首先,本报告中的“一体化端点安全”主要指覆盖传统PC或者桌面办公场景下的端点安全解决方案。终端类型主要集中在Windows、Linux、macOS以及信创操作系统等终端类型。 对于主机服务器场景,其安全需求与技术环境和传统的PC端都有非常大的区别,例如极高的业务连续性要求、更高的应急响应时效要求,以及极少的自动化响应需求。因此主机侧的安全解决方案,相比之下笔者推荐更有针对性的HDR主机检测与响应。 当然,在调研过程中我们也发现,尽管PC侧与主机侧的环境差异巨大,依然会有部分企业希望能够通过一个平台实现对PC和主机等各类端点的管控。另一方面随着远程办公的兴起,移动终端、智能终端的安全需求也不容忽视。因此,对于当前一体化端点安全的覆盖范围,本报告定义为至少要包含PC与桌面端,然后向智能设备、移动设备,以及主机侧延伸。 此外要着重说明的是,报告中的“一体化”不仅指将多类型的终端通过一个平台进行管理,同时也意味着将端点面临的各类威胁通过一个平台进行管理和响应。 由于端点安全的产品不断有新的理念、产品形态出现,因此将一体化端点安全认为是端点安全产品的简单堆叠是欠妥的,缺乏发展视角的;而最终目的是对终端侧的威胁风险进行一体化应对和处置,这与数世咨询提出的“威胁检测与响应(TDR)”也是呼应的。所以,“一体化”并非是指端点安全产品的堆叠一体化,而是指应对端点风险和威胁的安全能力的一体化。 •一体化端点安全能力白皮书• 第三章一体化端点安全主要能力 如前所述,一体化端点安全并非简单地将各个端点安全产品进行堆砌,而是对端点进行统一的安全管理和防护,这就要求一体化端点安全能力首先对端点上多种类型的攻击事件以及安全风险都能够检出与告警,在此基础上,再将端点侧存在的多种风险在数据层面拉通,从而有效看清端点资产台账,看见潜在风险威胁,最终通过高易用性的统一管理平台,进行统一分析、统一管理,从而实现统一视角下的智能化响应。 3.1基于安全的终端管理 相比传统终端安全管理平台日志割裂,联动能力匮乏的问题,基于安全的终端管理可以在端点资产管理、安全配置管理、漏洞管理等多维度统一管控的基础上,实现后续端点资产的病毒防护、安全接入、威胁检测与响应以及数据安全防泄漏等能力。 这里终端管理以攻击面视角,根据不同的工作负载类型(物理PC、桌面云、物理主机、虚拟主机、容器),对端点资产可能存在的各类风险进行提示和修复,赋予其更有针对性的检测防护能力,如可疑资产接入、弱密码等端点的风险配置、已知漏洞等。相当于基于安全视角为后续各安全能力提前梳理了潜在的攻击暴露面,全盘掌控全局不同端点类型安全管理状况。 值得一提的是,针对操作系统老旧版本的终端,例如Window7和IE浏览器环境,终端管理应当重点提供漏洞管理、系统加固等功能。 3.2防病毒 防病毒是最主要的传统安全能力,但传统不代表不重要。作为一体化端点 安全能力中最基础的一项能力,防病毒一方面需要迭代演进,满足勒索病毒频发、信创环境普及等新形势,另一方面需要将病毒沙箱等能力点开放输出,与诸如
