一体化终端安全趋势 All in One
在数世咨询日常调研中我们发现,近几年,在各级别各行业实网攻防演练的带动下,国内的终端安全需求有两个新变化:
一是终端侧面对的威胁等级在提高,0day漏洞、无文件攻击等高级攻击手段开始频繁出现;
二是终端侧面对的攻击手段越来越多样,除勒索病毒、钓鱼邮件外,身份仿冒、大规模鱼叉式攻击、U盘诱骗、社工攻击等让一线终端用户防不胜防。
总体而言,终端安全的需求越来越趋于实战化。但具体面对上述两个终端安全需求的新变化时,所需要的终端安全能力侧重点是不同的。
第一个变化,即终端安全高级威胁场景,需要的是更高精准度的检测能力与基于上下文关联分析的智能化响应能力;第二个变化,即终端安全多样化威胁场景,需要的则是一体化终端安全能力,我们称之为All in One的能力。本文我们主要谈论后者。
为什么需要All in One,我们以终端上的agent来举例
传统各类终端安全产品,如终端管理软件、防病毒软件、EDR、终端DLP…… 每个单点安全能力都有各自的agent要安装,这对于有经验的安全管理员来说,尚且头疼,对于不太熟悉电脑操作的用户,还可能“无意中”安装各类终端优化软件,结果是优化不成,终端反而成为agent们互相斗法的战场,这让一线普通用户和安全管理员都苦不堪言。
对于大部分普通用户来说,都希望只一个agent,就覆盖绝大部分终端安全需求。不仅如此,照此思路,如果这些安全能力能够在用户需要的时候才下发使用,能做到“按需使用,随用随取”,那就能好了。
除了agent,各类终端安全产品间的相互协作、检测对照、协同响应,都存在着各种各样的实际问题。对一线用户来说,终端安全能力一体化的需求其实由来已久,近几年的实网攻防演练,让这一需求更显迫切——临近演练,设备越上越多,效果却未见好转。
用户需求是明确的,但实现起来并不容易。“少就是多”的难度不在于单点能力的实现,而在于如何将这些能力有机融合,按需提供。
我们再明确一下,何为一体化终端安全?顾名思义,以All in One的思路,将多样化的终端安全需求(如终端管理、防病毒、EDR、终端DLP、身份安全等)融合在单一终端安全产品中,以极简交付方式,为用户提供一体化的终端安全能力。
这样的能力要求,对于供给侧安全能力者而言,通过传统的“集成”方法是无法实现的,正确的思路是以“原子化”方法实现。
具体来说,在技术层面,安全企业利用容器、微服务等云原生技术,驱动安全产品的设计、开发、测试、交付,实现安全产品能力的模块化、细粒度化;在管理层面,安全企业要打破部门墙,重构产品、研发、测试、交付、乃至销售等团队间的协作方式。目前能做到这一点的安全企业并不多,单点安全能力的积累、新技术的持续学习、自我革新的勇气,都不可或缺。
安全能力原子化的核心思想:离散式制造、统一式交付、集中化管理、智能化应用。
——数世咨询《原子化安全能力平台白皮书》2023年6月
本文列举两家企业。国外企业中目前以CrowdStrike 的 Falcon 平台最具代表性。
Falcon 平台在用户侧是以单一产品形态(Lightweight Agent)交付的,但却涵盖了终端安全、云安全、威胁情报、身份安全、安全运营等多个能力,用户可以根据自身需要,“打钩”按需取用。其产品背后是 CrowdStrike 威胁检测与响应所需的各项原子化能力。
国内这边,数世咨询注意到近日刚刚结束的C3安全大会上,亚信安全刚刚发布的一体化终端安全产品 TrustOne 也做到了All in One。
如其产品发布会上的示意图所示,用户侧只需安装单一轻量化融合agent,其终端能力即可覆盖防病毒、EDR、终端管理、漏洞管理、终端准入、零信任身份等多维度的终端安全需求。同样,用户只需按需“打钩”,这些安全能力即可随用随取。
不仅如此,结合国内特有的实网攻防演练场景,以及安全团队话语权相对较弱等需求,TrustOne还以攻击面管理视角为基础,引入了“可供行业横向参考的安全分值”等具备安全度量价值的数字化指标。这恰好弥补了“极简”交付后可能带来的“过度简化”问题,让用户对自身的终端安全水平,在时间维度和同行业维度,都有了可持续提升的直观依据。
最后总结一下,终端安全的重要趋势之一,一体化终端安全All in One,通过“安全能力原子化”实现的极简化交付,解决了大部分用户的大部分终端安全需求,能够显著提升行业用户的整体安全水线。这一趋势会在越来越多安全能力者与行业用户身上得到体现。数世咨询会持续关注这一领域。
— 【 THE END 】—
更多推荐