水是流动的,没有固定的形状,风也是飘荡的,没有固定的轨迹。网络威胁也是如此,在日益数智化的世界里,安全防御更需要灵活应对。
我们的笔记本电脑、手机、平板电脑、打印机、服务器,甚至是我们的智能手表和其他可穿戴设备,以及自动取款机、工业机械、医疗设备等,大量的终端设备正在以难以想象的速度将我们与数字世界连接起来。而这些看似普通的终端设备,却往往成为网络攻击的最佳入口。终端安全已经成为保护我们个人和企业数字化未来的重要一环。
“房子外”有大怪兽
据IDC的预测,到2025年,全球物联网连接的设备数量将达到519亿,中国将达到80亿。全球有95%的企业同时使用公有云和私有云,88%的企业同时与两家以上的云服务商合作,而混合IT环境的最大挑战就是安全问题。这些攻击包括网络钓鱼攻击、无文件恶意软件、勒索软件、加密劫持(挖矿)、零日攻击、拒绝服务(DoS)攻击等。
在这些网络攻击中,最让企业头疼的是勒索软件。来自IDC的一份调查显示,从全球来看,无论企业规模大小,也无论他们所处的行业和地区,被访企业有50% 以上都称曾遭受到勒索软件的攻击。由此可见,勒索软件攻击的整体影响范围之大是前所未有的,并且增长态势愈发迅猛。IDC在2021年的调研中,有70%以上的企业因为勒索软件使业务中断了一天以上,而到2022 年再次调研时,这一数字已经达到了83%。
在传统意义上,企业的终端安全就是把工作站和服务器放在边界防火墙的防御范围中,再通过调整防火墙安全策略进行防护,防火墙是抵御网络威胁的第一道防线。然而,随着远程办公和混合办公模式的发展,接入企业网络的终端逐渐外移,越来越多新的终端设备开始出现,并需要随时接入内部办公网络,访问企业敏感信息。
移动介质、邮件、供应链、网址等等,这些都是对终端进行入侵的途径。90%以上的企业同时存在内部员工和外部合作者,他们会在企业的 IT范围之外上网办公,如果没有一个好的安全防御机制,他们的个人电脑或者其他终端很可能在不安全的 Wi-Fi环境下受到入侵,而后黑客再通过这些终端进入企业。这意味着,整个终端面临的攻击面变得特别大。
在企业进行IT部署的时候,公有云、行业云、边缘云的混合云模式越来越多,过去传统的 IT架构下,所有的设备都在自己的“房子”里,但现在已经不是了。IDC中国研究总监王军民表示:“传统的安全边界消失,我们面对是更为宽泛的网络边界,而企业IT终端将成为这个新边界的最前沿。”一旦接入企业网络的终端受到攻击,影响的将是内部所有的IT系统。
“新一代终端安全”破局
如今,随着终端设备的种类和数量的快速增长,终端安全面临了巨大的压力。首先是终端种类、数量繁杂,不仅包括我们常见的PC,还有智能手机、平板电脑以及各类物联网设备,每一种设备的安全性和管理复杂性都各有特点,不同的平台,下放的策略不一样,就可能带来矛盾。此外,网络攻击手段一直在不断升级和演变,黑产也在积极利用 AI 技术,传统的终端安全防护手段变得无力。同时,也不能忽视人为因素的影响,员工的安全意识和行为习惯对终端安全起着至关重要的作用。
据IDC研究,目前国内终端安全的需求日益与业务融合,因此IDC在正式提出了“中国新一代终端安全”的理念。相较于全球的终端安全产品,中国新一代终端安全套件更强调对终端平台的整体管控。
在IDC看来,中国新一代终端安全能力的技术特点主要集中在四个方面。
- 首先是能力集成化,未来的重点不仅仅是防病毒功能或者是EDR,而是将零信任理念融合,使得终端的防御能力越来越强大。
- 其次,是加强对终端设备暴露面的统一管控,将更好地提升整个IT安全体系的防御效果。由于大量员工在外办公,终端的暴露面非常大。也就是说,网络安全防御体系不再是普通的边界防御,而是将防御体系扩散到每一台终端设备。
- 第三是智能化的检测,未来许多的攻击模型都是基于人工智能辅助实现的。这意味着,安全防御也需要使用人工智能和机器学习技术来自动识别和阻止潜在的威胁。
- 最后是持续优化的检测框架,从过去的防病毒软件EDR到如今的XDR,核心与终端紧密绑定和融合,才能达到快速防御的效果。全球很多做XDR的厂商已经证明了这一点,他们都是从做EDR的厂商演化过来的,从终端演化到未来的XDR将具有明显的优势。
积跬步,以防千里
数智时代需要通过对海量数据的深度分析来为企业决策提供科学判断的依据。为了获取更强大的数据分析和挖掘能力,数据大集中成为数字化转型的一大特征。当企业使尽浑身解数去构建数据集中管理平台的时候,黑客们也在绞尽脑汁地想要从中攫取更多利益。“原来可能需要通过一台机器反复横向迁移去寻找最有价值的数据。现在不需要了,在一个大的数据库里面直接加密就好了。”亚信安全首席研发官吴湘宁表示。
一边是接入企业的终端层出不穷,勒索的入侵点越来越不可控;另一边是数据大集中的客观需求,一旦遭到攻击或泄露,将会给企业造成比以往更大的安全风险和损失。
海恩法则指出,每一起严重事件的背后,必然有29次轻微事故和300起未遂先兆,以及1000起事故隐患。数据大集中时代,更需要企业的风险状态发生变化时,能够马上进行对应的处置。亚信安全指出,终端之所以重要,是因为终端上能够感知企业发生的所有变化,当被感知到,能够第一时间与业务系统做关联,做好处置和治理。这也是亚信安提出的:中国安全产品迎来的一个新的机会——不仅仅是安全,而是能够深度介入企业的数字化转型,提供有用的帮助和有用的数据。
维护终端安全是一项艰巨的任务,但这也是现阶段企业必须面对和解决的问题。随着网络攻击的手段日益狡猾和复杂,网络安全防护策略、技术和产品也需要寻求应对之法。
在今年的“C3安全大会”上,亚信安全发布了新一代终端安全一体化解决方案——TrustOne,基于资产风险数字化的暴露面管控,以攻击者视角代入,持续识别并量化评估组织内可被利用的薄弱环节,为IT运营管理数字化提供全面、持续、实时的资产信息,实现安全与运营的闭环。涵盖了终端防护、威胁检测、行为分析、安全管理等多个方面,帮助企业用户实现终端产品能力一体化,方案部署一体化,以及终端管理运维一体化。
在笔者看来,亚信安全对安全领域的深度认知是TrustOne给客户带来的核心价值,也是他们在整个产品架构上的优势。
数字化转型后,企业组织的特征之一是扁平化,因为扁平化才能让数据的传递不失真,更好地保持数据的原始性;另一个特征就是集约化,把数据集成在某一个点上的时候,才能做更大规模、更系统、更全面的分析。
由此可以判断,安全能力集成也是网络安全的未来发展方向。但是集成化从另一个维度来看,也给用户侧的运营能力提出了更高的要求。对此,亚信安全认为,当产品在使用上变得复杂时,需要在另一个角度去平衡,即自动化。
基于亚信安全在安全领域的深度认知,TrustOne给客户提供的正是他们对网络安全问题的自动化处置建议,而这种自动化需要建立在大量精密计算基础上,分成几个阶段去完成。第一个阶段对于安全产品运营本身,特别是大规模的企业,它需要有配套的 MSS运营能力,能够把SOC工具运用起来,之后才能在此基础上,形成专家知识库融入到平台里面;第二阶段是提升产品的自动化能力,解决操作复杂的问题。
在网络安全问题日益复杂的今天,寻找并实施合适的安全解决方案显得尤为重要。借助TrustOne,亚信安全正在尝试构建从终端设备通往数字生活的无忧之路。终端安全的道路或许充满挑战,但每一步的努力都将为我们创造一个更安全的未来。