一体化端点安全能力白皮书

目录目录前言 1关键发现 3第一章 一体化端点安全典型场景 5基于安全合规的终端管理 5防病毒与防恶意软件 5端点漏洞管理 5威胁检测与响应 5端点数据安全 6第二章 一体化端点安全概念概述 7一体化端点安全定义 ７一体化端点安全能力框架 7一体化端点安全概念说明 8第三章3.1一体化端点安全主要能力 9基于安全的终端管理 93.2防病毒 93.3威胁检测与响应 103.4终端类型与数量 10目录目录3.5 操作易用性 11第四章一体化端点安全代表企业 124.1微软 124.2144.3360数字安全 16第五章 未来趋势 19一体化端点安全落地难 19泛终端安全一体化纳管 19有效助力信创安全风险管理水平 19Reference 21•前 言数字化转型带来的数字办公，意味着越来越多的工作是在数字化环境中完成。而端点则是数字化环境中，负责进行人机交互，以及信息处理、存储的重要环节。因此，端点始终是攻击者的主要目标之一，端点依然是企业必然要防护的对象。端点面临的风险数量很多，包括资产不清晰、勒索攻击、漏洞利用、违规远程接入、敏感文件、数据的泄露和未知威胁攻击等等。近几年，在各级别各行业实网攻防演练的带动下，国内的终端安全需求有两个新变化：一是终端侧大规模鱼叉式攻击、U终端安全多样化威胁场景，需要的则是一体化终端安全能力，我们称之为llinOne的能力。AllinOneagent安全产品，如终端管理软件、防病毒软件、EDRDLP……每个单点安全agentagent全管理员都苦不堪言。agent，就覆盖绝大部分终端随用随取”。点能力的实现，而在于如何将这些能力有机融合，按需提供。即以llinOne的思路，将多样化的终端安全需求（如终端管理、防病毒、EDRDLP、身份安全等）融合在单一终端安全产品中，以极简交付方式，为用户提供一化的终端安全能力。可以说，一体化的端点安全防护解决方案则会成为未来的主要方向。鉴于上述背景，数世咨询撰写本报告。勘误及交流请联系本报告主笔分析师刘宸宇：liuchenyu@•关键发现了解自身端点的攻击暴露面。数据的价值在于流动，流动过程中的最重要节点就是端点。“一体化”不仅指将多类型的终端通过一着将端点面临的各类威胁通过一个平台进行管理和响应。一一一防病毒一势，另一方面需要将病毒沙箱等能力点开放输出。一体化端点安全在端点侧应当具备更广泛的威胁发现能力——以外，端点上的异常行为、恶意软件、数据泄露等都应覆盖。在产品操作易用性上重点关注，不能将“使用成本”简单堆叠后转嫁给用户。未来一犹豫。一体化端点安全的端点覆盖范围将进一步向泛终端扩展。短时间内快速提升信创操作系统及信创应用的整体风险管理水平，最具性价比的方式就是从一体化端点安全入手，通过一体化管理平台同时从“终端•第一章 一体化端点安全典型场景1.5•第二章 一体化端点安全概念概述一体化端点安全定义（IntegratedEndpointSecurity）描述如下：以统一管理平台与单一agentPC（/IoT）提供一体化的安全解决方案。一体化能力应当包括但不限于：终端管理、安全准入、防勒索、AV/EPP数据防泄漏、威胁检测与响应等。一体化端点安全能力框架图1 一体化端点安全能力框架一体化端点安全概念说明PCWindows、Linux、macOS及信创操作系统等终端类型。PCHDRPCPC另一方面随着远程办公的兴起，移动终端、智能终端的安全需求也不容忽视。PC此外要着重说明的是，报告中的“一体化”不仅指将多类型的终端通过一个平台进行管理，同时也意味着将端点面临的各类威胁通过一个平台进行管理和响应。由于端点安全的产品不断有新的理念、产品形态出现，因此将一体化端点安全认为是端点安全产品的简单堆叠是欠妥的，缺乏发展视角的；而最终目的是对终端侧的威胁风险进行一体化应对和处置，这与数世咨询提出的“威胁检测与响应（TDR）”也是呼应的。所以，“一体化”并非是指端点安全产品的堆叠一体化，而是指应对端点风险和威胁的安全能力的一体化。•第三章 一体化端点安全主要能力从而实现统一视角下的智能化响应。基于安全的终端管理相比传统终端安全管理平台日志割裂，联动能力匮乏的问题，基于安全的终端管理可以在端点资产管理、安全配置管理、漏洞管理等多维度统一管控的基础上，实现后续端点资产的病毒防护、安全接入、威胁检测与响应以及数据安全防泄漏等能力。（PC物理主机、虚拟主机、容器），对端点资产可能存在的各类风险进行提示和修复，赋予其更有针对性的检测防护能力，如可疑资产接入、弱密码等端点的风险配置、已知漏洞等。相当于基于安全视角为后续各安全能力提前梳理了潜在的攻击暴露面，全盘掌控全局不同端点类型安全管理状况。值得一提的是，针对操作系统老旧版本的终端，例如Window7IE器环境，终端管理应当重点提供漏洞管理、系统加固等功能。防病毒防病毒是最主要的传统安全能力，但传统不代表不重要。作为一体化端点安全能力中最基础的一项能力，防病毒一方面需要迭代演进，满足勒索病毒频发、信创环境普及等新形势，另一方面需要将病毒沙箱等能力点开放输出，与诸如NDR、TIP等流量与情报侧的产品联动，提升针对“黑名单”类威胁的检测与响应能力。根据不同行业用户的不同网络环境，防病毒查杀引擎应当采用本地多引擎部署、或是云端查杀引擎联合部署等不同方式。威胁检测与响应一体化端点安全在端点侧应当具备更广泛的威胁发现能力——除防病毒以外，端点上的异常行为、恶意软件、数据泄露等都应覆盖。针对威胁做出的响例如结束失陷终端上的恶意进程，隔离进程文件，同时横向对所有潜在受到威IP可以以自动化方式完成；对于需要安全分析人员参与的部分，可由统一管理平台对相关事件日志、操作日志留存、汇总并可视化呈现，供有条件的团队进一步对威胁事件进行复现与溯源等操作。终端类型与数量一体化端点安全要覆盖主流操作系统如PCServerLinux、macOS，以及统信、麒麟等信创操作系统；所支持的终端数量一般单机数万，并支持级联扩展；部署方式要同时兼顾互联网开放环境与具有保密要求的隔离网环境，特别是对于病毒防护场景，要具备离线升级病毒库的能力。agent•度保障业务安全。操作易用性端点类安全产品普遍存在着不同程度的操作繁琐、上手成本高等问题，相比满足单点需求的产品或工具，一体化端点安全更具有多样化需求、多场景应用、多维度能力，因此需要在操作易用性上重点关注与投入，提供符合端点安全运营管理者及终端用户心智的人机交互界面，切不可将功能简单堆叠后，把复杂留给用户，这将直接带来高使用门槛和低安全运营效率。首先架构上要以统一平台管理为基础，其次对用户侧的功能操作流程、页例如针对常用典型场景划分功能模块、单模块下的操作要简单且闭环、结果的可视化要优先呈现重要或结论性数据等等。总之，一体化端点安全在提高安全效率的同时，应当以简化管理为同等标准与目标。第四章 一体化端点安全代表企业微软2020100AI身份与访问管理、端点安全、邮件安全、应用安全、数据防泄露、SIEM安全，真正实现了端到端的安全。结合本报告，微软的上述安全能力在其Defender产品中均有所体现，我们从微软官方发布的MicrosoftCybersecurityReferenceArchitecture（MCRA）中可以看到。如上图所示，在端点与设备侧（Endpoint&Devices），其能力在具备•Android、macOS、WindowsEDR、Web内容过滤、威胁与漏洞管理、终端DLP等能力，这些安全WindowsOS（2021Windows10）的原GitHub层面强大的威胁情报能力。同时微软也会从身份安全（SecuringPrivilegedAccess（MicrosoftSecureMicrosoft365Defender，微软提供了漏洞管理、攻击面收敛、下一代安全防护、EDR、自动化调查与整改、威胁API统一配置与统一管理的。对于用户来说，上述能力已经能够覆盖大部分端点侧的安全需求，且对于微软来说，上述安全能力可以通过操作系统为用户原生交付，大大提升了交付效率、使用效果与用户体验。当然，在目前的国际大背景下，这对于国内用户来说恰恰成为一个现实问Windows7（WindowsXP）操作系统，不具备原生交付安全能力的条件，甚至连最基本的漏洞补丁升级服务也难以得到保障。即便如此，从全球范围来看，微软在终端侧的一体化端点安全能力，在数世咨询看来，依然是值得重点考虑的厂商之一。2021，McAfeeFireEye，2022TrellixEDR可视化管理能力。具体来说，Trellixagent在错误；另一方面将进一步需要人工参与调查的威胁详细信息自动提交给事件响应团队，并通过StoryGraph安全团队深入了解和调查恶意行为者的来源。5ATT&CK能力。•XDRMDRAPI与生态合作伙伴的应用进行对接。如下图所示：总体而言，Trellix的一体化端点安全解决方案更倾向于高级威胁的全面端点防护，通过使用统一平台简化管理，用户能够在攻击发生之前，以攻击者视角进行更加高效的风险管理。同微软一样，TrellixMcAfeeTrellix成为了一个新问题。但不可否认的是，McAfeeFireEye体化端点安全能力在业内仍然处于领先地位，这一点是毋庸置疑的。在2022TrellixTrellix360作为国内最早同时涉足操作系统优化与终端防病毒防护的厂商之一的360，经过多年的持续投入与积累，目前其一体化端点安全能力以强大的终端管理能力与防病毒能力为基础，同时具备了包括资产管理、威胁对抗、合规管控、安全自助管理、安全接入、以及终端DLP等在内的多项终端安全能力。虽然是以终端管理与防病毒为基础，但威胁对抗能力远不局限于特征匹配这一传统模式。凭借多年积累的海量安全威胁数据，360保证了其在威胁检测与响应方面的准确率与时效。此外，在核心能力之外，与微软、Trellix相比，360一体化端点安全解决方案最大的特点是符合国内用户的使用场景需求。首先，应用场景覆盖勒索防护、APT防护、挖矿防护、攻防演练、重大事件保障、等保合规、数据安全等多个国内典型场景需求，例如，在操作易用性方面，360将实网攻防演练、重大事件保障等典型专项场景所需的功能菜单专•不仅降低用户操作流程易中断的问题，同时在专项场景的安全运营上给出有效360Windows、LinuxmacOSUOS、麒麟等信创终端操作系统并提供了与之匹配的信创专杀引擎。值Windows7，360的一体化端点安全产品还其端点安全解决方案还支持国内典型的隔离内网环境部署方式。如此一来，有效补足了国外产品在上述方面的不足。此外，在可视化方面，管理平台将隐蔽的、抽象的、复杂的、未关联的、不直观的关键安全数据通过突出量化的方式直接传递给用户，让信息更高效传达至安全运营人员。如实网攻防演练前的终端资产暴露面巡检环节，总览页面会以分值形式直观显示“全网终端”体检的未通过率，以及存在各维度风险的终端数量。360防病毒、威胁检测与响应、多类型终端支持、操作易用性等方面的描述。•第五章 未来趋势一体化端点安全落地难一体化端点安全能力在当前来看，技术上的实现并不存在太多难点。但是在落地实践过程中，却存在着用户和厂商之间博弈的矛盾。对于用户而言，固然由同一个供应商提供的一体化端点安全能力能大大提升端点侧安全运维效率及安全管理效果，但是却同样面临着将整个端点侧的安全由单一供应商建立的风险。从商业角度来看，这无疑会削弱企业对自身安全产品采购的管控力。因此，行业用户自身在一体化端点安全的落地上会存在一定的犹豫。泛终端安全一体化纳管未来一段时间内，攻击暴露