一体化端点安全能力白皮书.pdf

北京数字世界咨询有限公司 2023.8一体化端点安全能力白皮书 北京数字世界咨询有限公司 2023.8一体化端点安全能力白皮书目录前言 1关键发现 3第一章一体化端点安全典型场景 51.1基于安全合规的终端管理 51.2防病毒与防恶意软件 51.3端点漏洞管理 51.4威胁检测与响应 51.5端点数据安全 6第二章一体化端点安全概念概述 72.1一体化端点安全定义 2.2一体化端点安全能力框架 72.3一体化端点安全概念说明 8第三章一体化端点安全主要能力 93.1基于安全的终端管理 93.2防病毒 93.3威胁检测与响应 103.4终端类型与数量 10目录3.5操作易用性 11第四章一体化端点安全代表企业124.1微软124.2Trellix 144.3360 数字安全 16第五章未来趋势195.1一体化端点安全落地难 195.2泛终端安全一体化纳管 195.3有效助力信创安全风险管理水平 19Reference 21 一体化端点安全能力白皮书 1前言数字化转型带来的数字办公，意味着越来越多的工作是在数字化环境中完成。而端点则是数字化环境中，负责进行人机交互，以及信息处理、存储的重要环节。因此，端点始终是攻击者的主要目标之一，端点依然是企业必然要防护的对象。端点面临的风险数量很多，包括资产不清晰、勒索攻击、漏洞利用、违规远程接入、敏感文件、数据的泄露和未知威胁攻击等等。近几年，在各级别各行业实网攻防演练的带动下，国内的终端安全需求有两个新变化：一是终端侧面对的威胁等级在提高，0day漏洞、无文件攻击等高级攻击手段开始频繁出现；二是终端侧面对的攻击手段越来越多样，除勒索病毒、钓鱼邮件外，身份仿冒、大规模鱼叉式攻击、U 盘诱骗、社工攻击等让一线终端用户防不胜防。终端安全多样化威胁场景，需要的则是一体化终端安全能力，我们称之为All in One 的能力。为什么需要 All in One，我们以终端上的 agent 来举例。传统各类终端安全产品，如终端管理软件、防病毒软件、EDR、终端 DLP 每个单点安全能力都有各自的 agent 要安装，这对于有经验的安全管理员来说，尚且头疼，对于不太熟悉电脑操作的用户，还可能“无意中”安装各类终端优化软件，结果是优化不成，终端反而成为 agent 们互相斗法的战场，尤其是当这些产品来自于不同供应商的时候，不仅难以协同对端点进行防护，甚至当端点出现安全事件的时候，各类产品反而容易引发端点系统的崩溃。这让一线普通用户和安全管理员都苦不堪言。对于大部分普通用户来说，都希望只要一个 agent，就覆盖绝大部分终端安全需求。且多种安全能力只在用户需要的时候才下发使用，做到“按需使用，2随用随取”。用户需求是明确的，但实现起来并不容易。“少就是多”的难度不在于单点能力的实现，而在于如何将这些能力有机融合，按需提供。即以 All in One的思路，将多样化的终端安全需求（如终端管理、防病毒、EDR、终端 DLP、身份安全等）融合在单一终端安全产品中，以极简交付方式，为用户提供一体化的终端安全能力。可以说，一体化的端点安全防护解决方案则会成为未来的主要方向。鉴于上述背景，数世咨询撰写本报告。*勘误及交流请联系本报告主笔分析师刘宸宇： 一体化端点安全能力白皮书 3关键发现 企业需要及时掌握各环境场景中各类端点的漏洞情况，才能更为全面地了解自身端点的攻击暴露面。数据的价值在于流动，流动过程中的最重要节点就是端点。“一体化”不仅指将多类型的终端通过一个平台进行管理，同时也意味着将端点面临的各类威胁通过一个平台进行管理和响应。一体化端点安全将端点侧存在的多种风险在数据层面拉通，才能更高效看见风险，有效进行统一分析、统一管理，从而实现统一视角下的智能化响应。防病毒一方面需要迭代演进，满足勒索病毒频发、信创环境普及等新形势，另一方面需要将病毒沙箱等能力点开放输出。一体化端点安全在端点侧应当具备更广泛的威胁发现能力除防病毒以外，端点上的异常行为、恶意软件、数据泄露等都应覆盖。一体化端点安全具有多样化需求、多场景应用、多维度能力，因此需要在产品操作易用性上重点关注，不能将“使用成本”简单堆叠后转嫁给用户。未来一段时间，行业用户自身在一体化端点安全的落地上会存在一定的犹豫。一体化端点安全的端点覆盖范围将进一步向泛终端扩展。短时间内快速提升信创操作系统及信创应用的整体风险管理水平，最具4性价比的方式就是从一体化端点安全入手，通过一体化管理平台同时从“终端管理”与“终端安全”两个主要维度降低信创国产化替代过程中伴随的安全风险。一体化端点安全能力白皮书 5第一章一体化端点安全典型场景1.1基于安全合规的终端管理端点侧的合规是大部分企业用户的第一需求。近年来，网络安全法律法规相继完善，行业区域监管愈加严格，企业用户愈发重视机构内大量端点的安全合规，尤其是对包括安全管理、终端准入等在内的端点安全合规一体化管理。因此用户需要一个一体化平台，对环境内大量端点的相关安全配置进行监控与管理，确保端点的安全基线，避免因不合规带来的安全风险。1.2防病毒与防恶意软件病毒与恶意软件是端点面临的最直接风险。尽管产业已发展多年，防病毒与防恶意软件能力依然是一体化端点安全扎实必备的基础能力。加之国内许多企业机构因为各种原因，仍存在纯封闭的内网环境，因此从全球范围来看，结合云端情报能力的反病毒分析是大势所趋，但以病毒库特征匹配为基本模式的病毒查杀能力与防恶意软件能力始终必不可少。1.3端点漏洞管理端点上的漏洞对企业而言是另一个巨大隐患。口罩三年加速了远程办公的普及，端点类型多样化的趋势突显，企业需要及时掌握各环境场景中各类端点的漏洞情况，才能更为全面地了解自身端点的攻击暴露面。针对这些端点漏洞风险，企业需要结合业务、区域等相关优先级，对端点漏洞采取响应措施，包括对端点系统实施升级策略以及使用虚拟补丁等。这是一体化端点安全应对漏洞时的典型场景。1.4威胁检测与响应6端点远离安全团队的覆盖触角，天然具有被优先突破的脆弱性，因此在实网攻防演练等场景中，蓝队攻击者大多将端点作为首选攻击入口比如大量的钓鱼邮件攻击，在野0.5day/1day漏洞攻击等。防守团队就需要第一时间在端点侧发现威胁，横向阻断，同时将该威胁情报迅速同步至所有终端，这即是典型的EDR终端威胁检测与响应场景，也是一体化端点安全能力当中不可或缺的能力之一。1.5端点数据安全数据的价值在于流动，流动过程中的最重要节点就是端点。居家办公、远程办公普及后，企业机构的各类数据特别是大量的非结构化数据都会在终端由用户读取、修改、写入。因此，在数据的远程访问与终端处理过程中，如何从端点侧应对数据泄露的风险，这是一体化端点安全要面对的另一个主要场景。一体化端点安全能力白皮书 7第二章一体化端点安全概念概述2.1一体化端点安全定义 本 报 告 中，数 世 咨 询 对 一 体 化 端 点 安 全（Integrated Endpoint Security）描述如下：以统一管理平台与单一agent为终端PC及其他多种端点类型（如服务器、智能设备/移动设备、IoT 终端等）提供一体化的安全解决方案。一体化能力应当包括但不限于：终端管理、安全准入、防勒索、AV/EPP、漏洞管理、终端数据防泄漏、威胁检测与响应等。2.2一体化端点安全能力框架图 1一体化端点安全能力框架82.3一体化端点安全概念说明首先，本报告中的“一体化端点安全”主要指覆盖传统 PC 或者桌面办公场景下的端点安全解决方案。终端类型主要集中在 Windows、Linux、macOS 以及信创操作系统等终端类型。对于主机服务器场景，其安全需求与技术环境和传统的 PC 端都有非常大的区别，例如极高的业务连续性要求、更高的应急响应时效要求，以及极少的自动化响应需求。因此主机侧的安全解决方案，相比之下笔者推荐更有针对性的 HDR 主机检测与响应。当然，在调研过程中我们也发现，尽管 PC 侧与主机侧的环境差异巨大，依然会有部分企业希望能够通过一个平台实现对 PC 和主机等各类端点的管控。另一方面随着远程办公的兴起，移动终端、智能终端的安全需求也不容忽视。因此，对于当前一体化端点安全的覆盖范围，本报告定义为至少要包含 PC 与桌面端，然后向智能设备、移动设备，以及主机侧延伸。此外要着重说明的是，报告中的“一体化”不仅指将多类型的终端通过一个平台进行管理，同时也意味着将端点面临的各类威胁通过一个平台进行管理和响应。由于端点安全的产品不断有新的理念、产品形态出现，因此将一体化端点安全认为是端点安全产品的简单堆叠是欠妥的，缺乏发展视角的；而最终目的是对终端侧的威胁风险进行一体化应对和处置，这与数世咨询提出的“威胁检测与响应（TDR）”也是呼应的。所以，“一体化”并非是指端点安全产品的堆叠一体化，而是指应对端点风险和威胁的安全能力的一体化。一体化端点安全能力白皮书 9第三章一体化端点安全主要能力如前所述，一体化端点安全并非简单地将各个端点安全产品进行堆砌，而是对端点进行统一的安全管理和防护，这就要求一体化端点安全能力首先对端点上多种类型的攻击事件以及安全风险都能够检出与告警，在此基础上，再将端点侧存在的多种风险在数据层面拉通，从而有效看清端点资产台账，看见潜在风险威胁，最终通过高易用性的统一管理平台，进行统一分析、统一管理，从而实现统一视角下的智能化响应。3.1基于安全的终端管理相比传统终端安全管理平台日志割裂，联动能力匮乏的问题，基于安全的终端管理可以在端点资产管理、安全配置管理、漏洞管理等多维度统一管控的基础上，实现后续端点资产的病毒防护、安全接入、威胁检测与响应以及数据安全防泄漏等能力。这里终端管理以攻击面视角，根据不同的工作负载类型（物理PC、桌面云、物理主机、虚拟主机、容器），对端点资产可能存在的各类风险进行提示和修复，赋予其更有针对性的检测防护能力，如可疑资产接入、弱密码等端点的风险配置、已知漏洞等。相当于基于安全视角为后续各安全能力提前梳理了潜在的攻击暴露面，全盘掌控全局不同端点类型安全管理状况。值得一提的是，针对操作系统老旧版本的终端，例如 Window7 和 IE 浏览器环境，终端管理应当重点提供漏洞管理、系统加固等功能。3.2防病毒防病毒是最主要的传统安全能力，但传统不代表不重要。作为一体化端点10安全能力中最基础的一项能力，防病毒一方面需要迭代演进，满足勒索病毒频发、信创环境普及等新形势，另一方面需要将病毒沙箱等能力点开放输出，与诸如 NDR、TIP 等流量与情报侧的产品联动，提升针对“黑名单”类威胁的检测与响应能力。根据不同行业用户的不同网络环境，防病毒查杀引擎应当采用本地多引擎部署、或是云端查杀引擎联合部署等不同方式。3.3威胁检测与响应一体化端点安全在端点侧应当具备更广泛的威胁发现能力除防病毒以外，端点上的异常行为、恶意软件、数据泄露等都应覆盖。针对威胁做出的响应，应当以“单点封禁、横向阻断”为原则，对失陷终端与其他终端联动处置。例如结束失陷终端上的恶意进程，隔离进程文件，同时横向对所有潜在受到威胁的终端封禁恶意 IP 和域名，遏制进一步受影响的范围。为提高响应时效，针对单个端点的部分操作如病毒查杀、单点封禁等动作，可以以自动化方式完成；对于需要安全分析人员参与的部分，可由统一管理平台对相关事件日志、操作日志留存、汇总并可视化呈现，供有条件的团队进一步对威胁事件进行复现与溯源等操作。3.4终端类型与数量一体化端点安全要覆盖主流操作系统如 Windows（包含 PC 与 Server 版）、Linux、macOS，以及统信、麒麟等信创操作系统；所支持的终端数量一般单机数万，并支持级联扩展；部署方式要同时兼顾互联网开放环境与具有保密要求的隔离网环境，特别是对于病毒防护场景，要具备离线升级病毒库的能力。各类终端上的 agent 要具备兼顾业务稳定性的“适时防护逻辑”，即一体化端点防护平台能够能力化输出给客户具体业务系统，可以做到按需启动，忙时不占用客户资源，闲时可实时启动，在保证业务稳定运行的前提下，最大限 一体化端点安全能力白皮书 11度保障业务安全。3.5操作易用性端点类安全产品普遍存在着不同程度的操作繁琐、上手成本高等问题，相比满足单点需求的产品或工具，一体化端点安全更具有多样化需求、多场景应用、多维度能力，因此需要在操作易用性上重点关注与投入，提供符合端点安全运营管理者及终端用户心智的人机交互界面，切不可将功能简单堆叠后，把复杂留给用户，这将直接带来高使用门槛和低安全运营效率。首先架构上要以统一平台管理为基础，其次对用户侧的功能操作流程、页面信息结构均要有针对性地提炼，以提升关键信息传递效率及功能易学易用性。例如针对常用典型场景划分功能模块、单模块下的操作要简单且闭环、结果的可视化要优先呈现重要或结论性数据等等。总之，一体化端点安全在提高安全效率的同时，应当以简化管理为同等标准与目标。12第四章一体化端点安全代表企业4.1微软2020 年，微软凭借超过 100 亿美元的安全业务收入，走到台前一跃成为实质上的全球第一大安全厂商。其安全能力来源于强大的整合能力和超强的AI 自动化能力，整合能力是因为微软在操作系统、智能设备、软件应用、人工智能、云和网络安全等多个技术领域，均居世界顶尖之位。聚焦到安全方面，身份与访问管理、端点安全、邮件安全、应用安全、数据防泄露、SIEM 和云安全，真正实现了端到端的安全。结合本报告，微软的上述安全能力在其 Defender 产品中均有所体现，我们从微软官方发布的 Microsoft Cybersecurity Reference Architecture（MCRA）中可以看到。如上图所示，在端点与设备侧（Endpoint&Devices），其能力在具备 一体化端点安全能力白皮书 13“统一端点管理”的基础上，同时对 Android、macOS、Windows 等多类型终端，覆盖了 EDR、Web 内容过滤、威胁与漏洞管理、终端 DLP 等能力，这些安全能力一方面依托于 Windows OS（2021 年发布时为 Windows10 操作系统）的原生安全能力，同时也依托于微软来自物联网终端、云端、以及 GitHub 社区等层面强大的威胁情报能力。同时微软也会从身份安全（Securing Privileged Access）与安全分值评估与建议（Microsoft Secure Score）两方面提供支持。如上图所示，具体在终端侧，依托 Microsoft 365 Defender，微软提供了漏洞管理、攻击面收敛、下一代安全防护、EDR、自动化调查与整改、威胁专家服务等多样化能力，这些能力都是通过 API 接口与一体化平台对接后进行统一配置与统一管理的。对于用户来说，上述能力已经能够覆盖大部分端点侧的安全需求，且对于微软来说，上述安全能力可以通过操作系统为用户原生交付，大大提升了交付效率、使用效果与用户体验。当然，在目前的国际大背景下，这对于国内用户来说恰恰成为一个现实问题。一方面信创国产化替代等合规要求，使微软在国内行业用户侧已不再适用；另一方面，普通用户侧不少终端还在使用 Windows 7（甚至 Windows XP）操作系统，不具备原生交付安全能力的条件，甚至连最基本的漏洞补丁升级服务也难以得到保障。即便如此，从全球范围来看，微软在终端侧的一体化端点安全能力，在数世咨询看来，依然是值得重点考虑的厂商之一。144.2Trellix2021 年 底，McAfee 与 FireEye 合 并，2022 年 初，新 公 司 命 名 为Trellix。强强联合带来的优势能力互补整合，使得 Trellix 的端点安全解决方案以强大防病毒能力为基础的同时，兼具了以攻击面管理为视角的EDR能力、可视化管理能力。具体来说，Trellix 端点安全产品一方面使用单个 agent 从多个层面自动化收集威胁信息，消除多个产品造成的冗余，减少手动威胁关联的工作量与潜在错误；另一方面将进一步需要人工参与调查的威胁详细信息自动提交给事件响应团队，并通过 Story Graph 页面以简单、一目了然的格式呈现，方便安全团队深入了解和调查恶意行为者的来源。依托其端点安全产品，Trellix 打造了以攻击面管理、预防、检测、调查、响应等 5 个阶段为闭环的端点安全解决方案，提供包括安全态势评分、配置管理、漏洞利用暴露面、自动化策略更新、自动化威胁狩猎、原生系统管控、用户行为管控、漏洞利用防护、无文件攻击防护、持续监测预警、优先级分析、AI 引导的调查、ATT&CK 映射、主动行动情报、大规模实时响应等在内的安全能力。一体化端点安全能力白皮书 15为了提升响应时效，方案还融合了 XDR 产品、MDR 服务，并开放 API 支持与生态合作伙伴的应用进行对接。如下图所示：总体而言，Trellix 的一体化端点安全解决方案更倾向于高级威胁的全面端点防护，通过使用统一平台简化管理，用户能够在攻击发生之前，以攻击者视角进行更加高效的风险管理。同微软一样，Trellix 也会遇到信创国产化替代等现实问题。此外，在国内用户多年来普遍接受的 McAfee 品牌更换为 Trellix 后，实现品牌价值延续成为了一个新问题。但不可否认的是，McAfee 与 FireEye 多年来的技术与产品积累，使其一体化端点安全能力在业内仍然处于领先地位，这一点是毋庸置疑的。在 2022年正式更名 Trellix 后，经过一年多的整合与“蛰伏“，今年 Trellix 已经开始在国内多地举办小型活动，崭露头角。164.3360 数字安全作为国内最早同时涉足操作系统优化与终端防病毒防护的厂商之一的360，经过多年的持续投入与积累，目前其一体化端点安全能力以强大的终端管理能力与防病毒能力为基础，同时具备了包括资产管理、威胁对抗、合规管控、安全自助管理、安全接入、以及终端 DLP 等在内的多项终端安全能力。虽然是以终端管理与防病毒为基础，但威胁对抗能力远不局限于特征匹配这一传统模式。凭借多年积累的海量安全威胁数据，360 一体化端点安全凭借优秀的数据支撑能力，如威胁情报、知识库、设备指纹库、终端行为数据等，以知识图谱、机器学习等方式将前述单点安全能力进行数据层面的整合与拉通，保证了其在威胁检测与响应方面的准确率与时效。此外，在核心能力之外，与微软、Trellix 相比，360 一体化端点安全解决方案最大的特点是符合国内用户的使用场景需求。首先，应用场景覆盖勒索防护、APT 防护、挖矿防护、攻防演练、重大事件保障、等保合规、数据安全等多个国内典型场景需求，例如，在操作易用性方面，360 将实网攻防演练、重大事件保障等典型专项场景所需的功能菜单专 一体化端点安全能力白皮书 17门做了场景化聚合，增加了必要的场景向导，缩短了操作链路，闭环了操作流程，不仅降低用户操作流程易中断的问题，同时在专项场景的安全运营上给出有效指导，使得针对上述各专项场景的安全运营门槛降低、效率提升。据 360 数字安全提供的数据，其易用性测评专项场景及核心功能安全运营操作效率平均提升 27.9%。其次，支持的端点类型除了主流的 Windows、Linux 与 macOS 之外，还覆盖统信 UOS、麒麟等信创终端操作系统并提供了与之匹配的信创专杀引擎。值得一提的是，针对 Windows7 等老旧操作系统，360 的一体化端点安全产品还提供漏洞补丁加固功能。此外，在国家电网、运营商等典型客户的最佳实践中，其端点安全解决方案还支持国内典型的隔离内网环境部署方式。如此一来，有效补足了国外产品在上述方面的不足。此外，在可视化方面，管理平台将隐蔽的、抽象的、复杂的、未关联的、不直观的关键安全数据通过突出量化的方式直接传递给用户，让信息更高效传达至安全运营人员。如实网攻防演练前的终端资产暴露面巡检环节，总览页面会以分值形式直观显示“全网终端”体检的未通过率，以及存在各维度风险的终端数量。18可以看出，作为入选本报告代表企业之一的 360 数字安全，其一体化端点安全能力也更加符合本报告“关键能力”部分所提出的基于安全的终端管理、防病毒、威胁检测与响应、多类型终端支持、操作易用性等方面的描述。一体化端点安全能力白皮书 19第五章未来趋势5.1一体化端点安全落地难一体化端点安全能力在当前来看，技术上的实现并不存在太多难点。但是在落地实践过程中，却存在着用户和厂商之间博弈的矛盾。对于用户而言，固然由同一个供应商提供的一体化端点安全能力能大大提升端点侧安全运维效率及安全管理效果，但是却同样面临着将整个端点侧的安全由单一供应商建立的风险。从商业角度来看，这无疑会削弱企业对自身安全产品采购的管控力。因此，行业用户自身在一体化端点安全的落地上会存在一定的犹豫。5.2泛终端安全一体化纳管未来一段时间内，攻击暴露面的思路变化会促使一体化端点安全的端点覆盖范围进一步向泛终端扩展。从用户角度来说，端点设备一般按照功能或场景来分类使用，如 PC 个人电脑、主机服务器、打印机等；但从攻击暴露面的角度来说，端点设备在攻击者眼中只有脆弱性强弱之分，诸如摄像头、签到机这样的 IoT 设备，反而会成为优先攻击的目标。因此泛终端安全基于攻击暴露面的统一纳管逐渐会成为安全管理团队的共识。5.3有效助力信创安全风险管理水平信创国产化替代很大程度上解决了“后门”的问题，但却带来了更多的潜在的“漏洞”问题。目前信创操作系统及信创应用的升级、加固、漏洞补丁管20理从技术到生态都还不够成熟，安全风险有增无减。因此，要想短时间内快速提升信创操作系统及信创应用的整体风险管理水平，最具性价比的方式就是从一体化端点安全入手，通过一体化管理平台同时从“终端管理”与“终端安全”两个主要维度降低信创国产化替代过程中伴随的安全风险。一体化端点安全能力白皮书 21Reference收入破百亿美元 微软安全凭什么能独占鳌头？https:/ 网络安全参考体系结构https:/aka.ms/MCRAMicrosoft Defender for Endpoint https:/ Endpoint Security https:/ Endpoint Security(ENS)https:/ Endpoint Security Suite https:/ 终端安全管理系统https:/ https:/