下一代終端安全的興起

提到終端安全技術(shù)，很多人第一個(gè)想到的就是防病毒產(chǎn)品，而在當(dāng)今安全威脅不斷的演化的時(shí)代，以傳統(tǒng)的簽名庫對(duì)比技術(shù)的解決方案已經(jīng)無法應(yīng)對(duì)新型威脅。在這樣的背景下，下一代終端安全技術(shù)應(yīng)運(yùn)而生。IDC將此類的解決方案定義為“Endpoint Specialized Threat Analysis and Protection (STAP)”，即終端特定威脅分析與防護(hù)。終端安全技術(shù)正在從傳統(tǒng)的簽名技術(shù)轉(zhuǎn)向具有下一代安全能力轉(zhuǎn)移，業(yè)內(nèi)廠商也紛紛推出了下一代終端安全的解決方案，將特定的檢測(cè)技術(shù)集成到現(xiàn)有的平臺(tái)，為用戶提供高級(jí)的安全防護(hù)。

下一代終端安全防護(hù)的價(jià)值在于它們能夠識(shí)別出特定攻擊并在檢測(cè)到這類攻擊后提升響應(yīng)能力。通過收集網(wǎng)絡(luò)上往來于終端及其他設(shè)備之間的通信內(nèi)容來獲取信息，同時(shí)對(duì)那些有可能遭到惡意利用的終端作出主動(dòng)式預(yù)防。下一代終端安全技術(shù)能夠?qū)崿F(xiàn)遙測(cè)功能并作為取證工具使用，從而深入調(diào)查攻擊活動(dòng)以及關(guān)聯(lián)性、發(fā)現(xiàn)有弱點(diǎn)的終端并預(yù)測(cè)未來可能出現(xiàn)安全威脅并實(shí)現(xiàn)提前阻斷。

IDC認(rèn)為下一代終端安全技術(shù)平臺(tái)需要具備以下幾個(gè)方面。

傳統(tǒng)防御能力

下一代終端安全技術(shù)并不是可以取代傳統(tǒng)的基于簽名機(jī)制的防護(hù)，針對(duì)已知威脅依然需要依賴傳統(tǒng)防御技術(shù)，在惡意程序執(zhí)行前進(jìn)行阻斷。

動(dòng)態(tài)檢測(cè)能力

下一代終端安全技術(shù)最核心的功能就是應(yīng)對(duì)未知威脅以及零日漏洞的檢測(cè)。這種動(dòng)態(tài)的檢測(cè)能力需要在操作系統(tǒng)底層對(duì)應(yīng)用和進(jìn)程行為進(jìn)行分析和實(shí)時(shí)監(jiān)控，包括內(nèi)存、磁盤、注冊(cè)表、網(wǎng)絡(luò)等。

安全響應(yīng)能力

例如當(dāng)終端面臨高級(jí)威脅的時(shí)候有校驗(yàn)、遏制以及修復(fù)能力，幫助安全響應(yīng)團(tuán)隊(duì)監(jiān)控安全狀態(tài)、改進(jìn)威脅檢測(cè)，并且從前瞻性發(fā)現(xiàn)、詳細(xì)分析、鑒證調(diào)查、全面報(bào)告以及優(yōu)先警報(bào)和操作方面，全面擴(kuò)展事件響應(yīng)能力，在造成損失之前阻斷威脅。

實(shí)時(shí)威脅情報(bào)

能夠整合云端和整網(wǎng)獲得威脅情報(bào)，針對(duì)不同的情報(bào)來源，形成諸如ATP事件報(bào)告、可機(jī)器讀取的IOC、情報(bào)共享信息等，進(jìn)行有針對(duì)性的應(yīng)急響應(yīng)。

安全取證能力

對(duì)整個(gè)組織中的終端上發(fā)生的惡意行為清晰及時(shí)的可見性是快速評(píng)估攻擊并采取響應(yīng)的關(guān)鍵，并且能夠?qū)糁械氖录峁?shí)時(shí)的審計(jì)追溯，以及搜索所有終端上的入侵證據(jù)。所以提供終端實(shí)時(shí)取證和可見性就成為了下一代終端安全技術(shù)的具備能力。

基于上述的下一代終端安全技術(shù)的核心能力，IDC認(rèn)為在此領(lǐng)域未來幾年將呈現(xiàn)出以下幾點(diǎn)趨勢(shì)。

威脅情報(bào)尤為重要

下一代終端安全解決方案必將依賴強(qiáng)大的威脅情報(bào)為核心支柱，實(shí)現(xiàn)自動(dòng)化的修復(fù)能力以應(yīng)對(duì)日益增長(zhǎng)的安全需求。

檢測(cè)防御能力的整合

當(dāng)前很多大型企業(yè)利用整合的安全平臺(tái)來監(jiān)控和防護(hù)他們的終端設(shè)備，將下一代終端安全技術(shù)的檢測(cè)和防御能力無縫集成到現(xiàn)有的平臺(tái)將是必然的發(fā)展趨勢(shì)，這種整合將會(huì)給事件響應(yīng)人員對(duì)終端的安全態(tài)勢(shì)及風(fēng)險(xiǎn)緩解有完整的視圖。

安全即服務(wù)的部署模式

IDC認(rèn)為，安全廠商對(duì)現(xiàn)有的客戶將進(jìn)一步促進(jìn) SaaS （Security as a Service）安全即服務(wù)的部署模式。這是一種典型的混合部署模式，在客戶端部署傳感器或安裝代理，在云端進(jìn)行策略執(zhí)行和管控。從安全廠商營收的角度看，安全及服務(wù)模式的盈利將會(huì)高于傳統(tǒng)的本地部署模式。

下一代終端安全技術(shù)正不斷取得令人可喜的進(jìn)展，相較于單純利用已知惡意軟件簽名作為查殺依據(jù)的傳統(tǒng)反病毒軟件方案，下一代終端安全技術(shù)結(jié)合威脅情報(bào)能夠?qū)崟r(shí)分析過程、變化與連接，從而檢測(cè)出實(shí)時(shí)活動(dòng)當(dāng)中的可疑對(duì)象，并以更為出色的效果解決零日漏洞等高級(jí)威脅。