1987年,巴斯特及阿姆捷特两兄弟经营着一家贩卖计算机的商店,但却无法禁止软件经常被别人免费盗拷的情况。百般劝阻无果,二人赫然而怒,于是编写了C-BRAIN,只要有人盗拷软件,这个病毒就会将盗拷者剩下的硬盘空间“吃掉”。由此,计算机病毒的始祖C-BRAIN诞生。
当时,传奇人物迈克菲正在著名军火商洛克希德公司打工。从报纸上看到这个消息后,他关起门研究了几个星期,发明了全球第一款商用杀毒软件。从此,病毒与防毒两方正式宣战。这似乎是一场永不停息的“肉搏战”......一个个“致命病毒”(太多了,讲不过来)是编织网络安全世界叹为观止的真实感的丝线和纺锤。故事中,反派光环下的病毒自然被一次次绞杀,不过也诞生出两种产品形态:端点侧的杀毒软件,以及网络边界侧的防火墙。(业内网安产品基本上都是沿着这两条线来发展的。)但是,随着安全威胁形态的演化,传统端点安全产品存在的问题越来越突出:
传统安全应对机制是被动的,用户只有受到攻击后才能感知和捕获,并将其特征放到病毒库中,然后通过升级杀毒软件并应用到用户才能应对。但越来越多的系统漏洞被发现,病毒变种更是几何倍数增长,各种 “库” 规模也越来越臃肿,效率也变得非常低下。目前,终端安全防护的技术手段极为有限,安全隐患随处可见,其中最大的问题是普遍存在数据泄露风险。随着万物互联时代的到来,终端种类繁多,数量巨大且部署分散,任何一个失陷的端点都可能造成全面的网络安全事故,数据泄密事件只会越来越多。随着数字化进程加速,威胁的不断演变,终端管理早已不是防毒这一件事了。因此,对终端安全解决方案提出了“更全”的要求。例如:融合资产管理、运维管理、补丁管理、审计管理、准入控制、数据防泄漏等,将安全和业务结合,将安全与运维结合。攻击系统和网络的程序存在实际的和潜在的财务损失、不利的媒体曝光威胁(声誉的损失),尤其是遭遇勒索软件攻击,其采用了高强度的加密算法,而在事后想要恢复文件是很难的。因此,应急响应中不仅要调查溯源、抑制威胁扩散,更需要事前预防的文件备份系统。技术的发展,让终端的定义超出了桌面PC,在笔记本、智能手机、PAD、AR/VR设备加入大家族之后,AI+5G技术让IoT连接的设备数比移动互联网时代扩大数十倍以上。而要为如此繁多的终端皆能提供安全保护,便逐渐形成了“大终端”安全的新定义。网络威胁早已不再是技术炫耀,而是意图获利敛财。无文件病毒、无文件挖矿、无文件勒索……随着无文件攻击渗透形式的盛行,以及有组织、有计划、团队协作、持续攻击的与日俱增,许多端点防护平台(Endpoint Protection Platform,EPP)纷纷失效,这让更多信息安全管理者决定,在端点保护中融合更加先进的检测和响应解决方案(EDR)。这可以被称为大终端时代的“备孕期”。但是,从独立的EPP和EDR,再到二者的融合,之后呢?大家似乎都忘记了“手机”......在这种情形下,市场需求用鞭子抽了一下安全技术。Gartner在《Hype Cycle for Endpoint Security, 2020》中,提出了UES(统一端点安全)。并且在相关报告中指出,为了应对新出现的端点安全挑战,安全和风险管理领导者必须将端点保护平台、端点检测和响应以及移动威胁防御(MTD)等功能结合起来,采用统一的端点安全方法。也就是融合EPP+EDR和MTD的XDR解决方案。与此同时,Gartner预期在到2024年,将有超过50%的端点安全产品将支持统一端点安全(UES)框架。这一预判来自于终端安全从业者不断改进思维和自动化威胁的狩猎、检测和修复,EDR(Endpoint Detection and Response)和XDR(eXtended Detection and Response)的成功应用。作为国内最早提出XDR理念,以及拥有大量用户案例的安全厂商,亚信安全认为:UES与之前的防毒软件换代一样,需要几年时间才能成熟并获得认可,但其能够基于统一中台,跨数据分析检测未知威胁的特点,使其拥有了足够的吸引力。而新冠疫情下的远程访问、零信任技术应用,以及安全运维的统一管理需求,将会加速UES的落地速度。
在上述背景下,亚信安全针对全球网络威胁演化趋势和我国网安合规(网络安全法及等保)要求推出了大终端一体化安全解决方案,将安全防护、终端管理、运维管理、文档管理“化零为整”。同时,亚信安全建议用户从现有的防毒系统平台上(OfficeScan+)开始集成,将安全与运维服务进行融合,以提供更低的总体拥有成本(TCO)和更好的运营效率。
Gartner指出,要想成为成功的UES供应商就必须有能力证明通过安全性和运营的整合可以显着提高生产力以及可以快速处理大量数据,可以检测那些过去未遇到过的威胁。而亚信安全“大终端”背后的优势,则是强大的“数据湖”威胁情报体系。目前,亚信安全数据湖利用自动化系统,在全球范围主动采集威胁情报数据,覆盖了150个数据源,每天数据的采集和更新情报量超过1亿条,日均增加存储量超过1TB。
另外,在终端系统平台支撑方面,大终端一体化方案不仅可以以支持Windows、Linux、MacOS、Android,更对通过亚信安全端点安全管理系统ESM广泛地适配x86、ARM和MIPS架构,实现了与主流国产操作系统平台(麒麟、统信等)的全面兼容,并且已经与麒麟、统信、长城等硬件厂商取得了互认,为用户的端点安全升级换代提供了平滑过渡与可靠支撑。
自适应安全架构(Adaptive SecurityArchitecture,简称ASA)是由Gartner在2014年提出的安全体系,以持续监控和分析为核心,将防御、检测、响应、预测四个方面结合起来提供更好的安全服务,实现持续的自我进化,自我调整来适应新型、不断变化的攻击类型。而脆弱的终端一直以来就被认为是ASA安全框架中的漏点和沙眼,必然会成为“安全+运维”交叉最频繁的“联合会诊室”。然而,安全运维不是一蹴而就的,九层之台,起于垒土,大终端的安全才刚刚开始。
