1987年,巴斯特及阿姆捷特两兄弟(dì)经营着一家贩卖计算机的商(shāng)店(diàn),但却无法禁止软件经常被别人免费盗拷的情况。百般劝阻无果,二人赫然而怒,于是编写了C-BRAIN,只要有(yǒu)人盗拷软件,这个病毒就会将盗拷者剩下的硬盘空间“吃掉”。由此,计算机病毒的始祖C-BRAIN诞生。
当时,传奇人物(wù)迈克菲正在著名(míng)军火商(shāng)洛克希德(dé)公(gōng)司打工(gōng)。从报纸上看到这个消息后,他(tā)关起门研究了几个星期,发明了全球第一款商(shāng)用(yòng)杀毒软件。从此,病毒与防毒两方正式宣战。这似乎是一场永不停息的“肉搏战”......一个个“致命病毒”(太多(duō)了,讲不过来)是编织网络安(ān)全世界叹為(wèi)观止的真实感的丝線(xiàn)和纺锤。故事中(zhōng),反派光环下的病毒自然被一次次绞杀,不过也诞生出两种产(chǎn)品形态:端点侧的杀毒软件,以及网络边界侧的防火墙。(业内网安(ān)产(chǎn)品基本上都是沿着这两条線(xiàn)来发展的。)但是,随着安(ān)全威胁形态的演化,传统端点安(ān)全产(chǎn)品存在的问题越来越突出:
传统安(ān)全应对机制是被动的,用(yòng)户只有(yǒu)受到攻击后才能(néng)感知和捕获,并将其特征放到病毒库中(zhōng),然后通过升级杀毒软件并应用(yòng)到用(yòng)户才能(néng)应对。但越来越多(duō)的系统漏洞被发现,病毒变种更是几何倍数增長(cháng),各种 “库” 规模也越来越臃肿,效率也变得非常低下。目前,终端安(ān)全防护的技(jì )术手段极為(wèi)有(yǒu)限,安(ān)全隐患随处可(kě)见,其中(zhōng)最大的问题是普遍存在数据泄露风险。随着万物(wù)互联时代的到来,终端种类繁多(duō),数量巨大且部署分(fēn)散,任何一个失陷的端点都可(kě)能(néng)造成全面的网络安(ān)全事故,数据泄密事件只会越来越多(duō)。随着数字化进程加速,威胁的不断演变,终端管理(lǐ)早已不是防毒这一件事了。因此,对终端安(ān)全解决方案提出了“更全”的要求。例如:融合资产(chǎn)管理(lǐ)、运维管理(lǐ)、补丁管理(lǐ)、审计管理(lǐ)、准入控制、数据防泄漏等,将安(ān)全和业務(wù)结合,将安(ān)全与运维结合。攻击系统和网络的程序存在实际的和潜在的财務(wù)损失、不利的媒體(tǐ)曝光威胁(声誉的损失),尤其是遭遇勒索软件攻击,其采用(yòng)了高强度的加密算法,而在事后想要恢复文(wén)件是很(hěn)难的。因此,应急响应中(zhōng)不仅要调查溯源、抑制威胁扩散,更需要事前预防的文(wén)件备份系统。技(jì )术的发展,让终端的定义超出了桌面PC,在筆(bǐ)记本、智能(néng)手机、PAD、AR/VR设备加入大家族之后,AI+5G技(jì )术让IoT连接的设备数比移动互联网时代扩大数十倍以上。而要為(wèi)如此繁多(duō)的终端皆能(néng)提供安(ān)全保护,便逐渐形成了“大终端”安(ān)全的新(xīn)定义。条条大路通罗马,但去罗马的路上有(yǒu)“军团”。网络威胁早已不再是技(jì )术炫耀,而是意图获利敛财。无文(wén)件病毒、无文(wén)件挖矿、无文(wén)件勒索……随着无文(wén)件攻击渗透形式的盛行,以及有(yǒu)组织、有(yǒu)计划、团队协作(zuò)、持续攻击的与日俱增,许多(duō)端点防护平台(Endpoint Protection Platform,EPP)纷纷失效,这让更多(duō)信息安(ān)全管理(lǐ)者决定,在端点保护中(zhōng)融合更加先进的检测和响应解决方案(EDR)。这可(kě)以被称為(wèi)大终端时代的“备孕期”。但是,从独立的EPP和EDR,再到二者的融合,之后呢(ne)?大家似乎都忘记了“手机”......在这种情形下,市场需求用(yòng)鞭子抽了一下安(ān)全技(jì )术。Gartner在《Hype Cycle for Endpoint Security, 2020》中(zhōng),提出了UES(统一端点安(ān)全)。并且在相关报告中(zhōng)指出,為(wèi)了应对新(xīn)出现的端点安(ān)全挑战,安(ān)全和风险管理(lǐ)领导者必须将端点保护平台、端点检测和响应以及移动威胁防御(MTD)等功能(néng)结合起来,采用(yòng)统一的端点安(ān)全方法。也就是融合EPP+EDR和MTD的XDR解决方案。与此同时,Gartner预期在到2024年,将有(yǒu)超过50%的端点安(ān)全产(chǎn)品将支持统一端点安(ān)全(UES)框架。这一预判来自于终端安(ān)全从业者不断改进思维和自动化威胁的狩猎、检测和修复,EDR(Endpoint Detection and Response)和XDR(eXtended Detection and Response)的成功应用(yòng)。作(zuò)為(wèi)國(guó)内最早提出XDR理(lǐ)念,以及拥有(yǒu)大量用(yòng)户案例的安(ān)全厂商(shāng),亚信安(ān)全认為(wèi):UES与之前的防毒软件换代一样,需要几年时间才能(néng)成熟并获得认可(kě),但其能(néng)够基于统一中(zhōng)台,跨数据分(fēn)析检测未知威胁的特点,使其拥有(yǒu)了足够的吸引力。而新(xīn)冠疫情下的遠(yuǎn)程访问、零信任技(jì )术应用(yòng),以及安(ān)全运维的统一管理(lǐ)需求,将会加速UES的落地速度。
在上述背景下,亚信安(ān)全针对全球网络威胁演化趋势和我國(guó)网安(ān)合规(网络安(ān)全法及等保)要求推出了大终端一體(tǐ)化安(ān)全解决方案,将安(ān)全防护、终端管理(lǐ)、运维管理(lǐ)、文(wén)档管理(lǐ)“化零為(wèi)整”。同时,亚信安(ān)全建议用(yòng)户从现有(yǒu)的防毒系统平台上(OfficeScan+)开始集成,将安(ān)全与运维服務(wù)进行融合,以提供更低的总體(tǐ)拥有(yǒu)成本(TCO)和更好的运营效率。
Gartner指出,要想成為(wèi)成功的UES供应商(shāng)就必须有(yǒu)能(néng)力证明通过安(ān)全性和运营的整合可(kě)以显着提高生产(chǎn)力以及可(kě)以快速处理(lǐ)大量数据,可(kě)以检测那些过去未遇到过的威胁。而亚信安(ān)全“大终端”背后的优势,则是强大的“数据湖(hú)”威胁情报體(tǐ)系。目前,亚信安(ān)全数据湖(hú)利用(yòng)自动化系统,在全球范围主动采集威胁情报数据,覆盖了150个数据源,每天数据的采集和更新(xīn)情报量超过1亿条,日均增加存储量超过1TB。
另外,在终端系统平台支撑方面,大终端一體(tǐ)化方案不仅可(kě)以以支持Windows、Linux、MacOS、Android,更对通过亚信安(ān)全端点安(ān)全管理(lǐ)系统ESM广泛地适配x86、ARM和MIPS架构,实现了与主流國(guó)产(chǎn)操作(zuò)系统平台(麒麟、统信等)的全面兼容,并且已经与麒麟、统信、長(cháng)城等硬件厂商(shāng)取得了互认,為(wèi)用(yòng)户的端点安(ān)全升级换代提供了平滑过渡与可(kě)靠支撑。
自适应安(ān)全架构(Adaptive SecurityArchitecture,简称ASA)是由Gartner在2014年提出的安(ān)全體(tǐ)系,以持续监控和分(fēn)析為(wèi)核心,将防御、检测、响应、预测四个方面结合起来提供更好的安(ān)全服務(wù),实现持续的自我进化,自我调整来适应新(xīn)型、不断变化的攻击类型。而脆弱的终端一直以来就被认為(wèi)是ASA安(ān)全框架中(zhōng)的漏点和沙眼,必然会成為(wèi)“安(ān)全+运维”交叉最频繁的“联合会诊室”。然而,安(ān)全运维不是一蹴而就的,九层之台,起于垒土,大终端的安(ān)全才刚刚开始。
