2019，馬上過去，自2016年端點(diǎn)安全再次成為安全熱點(diǎn)后，端點(diǎn)安全市場(chǎng)正在經(jīng)歷過去20年以來最大的轉(zhuǎn)型。

2020，即將來臨，展望新的一年，作為中國(guó)企業(yè)端點(diǎn)安全領(lǐng)域的領(lǐng)導(dǎo)者，聯(lián)軟科技預(yù)測(cè)出了2020年端點(diǎn)安全方面的十大趨勢(shì)，萬物始春，網(wǎng)絡(luò)常安：

01 從PC終端到萬物互聯(lián)的泛終端時(shí)代

今天的數(shù)字化技術(shù)正在不斷的改變每一個(gè)企業(yè)。大數(shù)據(jù)、云計(jì)算、AI等新技術(shù)正逐漸運(yùn)用到企業(yè)數(shù)字化轉(zhuǎn)型戰(zhàn)略中。未來，絕大多數(shù)企業(yè)都將成為數(shù)字化的公司，實(shí)現(xiàn)快速和創(chuàng)新發(fā)展。而數(shù)據(jù)是讓企業(yè)擁有全面分析、判斷當(dāng)下形勢(shì)和預(yù)測(cè)未來趨勢(shì)等能力的基礎(chǔ)，首先我們需要思考的是，這些數(shù)據(jù)從哪里來？

根據(jù)目前互聯(lián)網(wǎng)發(fā)展形勢(shì)，目前數(shù)據(jù)基本都來源于四類設(shè)備：

1）PC端：信息產(chǎn)生的主要源頭之一；

2）移動(dòng)終端：對(duì)數(shù)據(jù)的處理比較多，過程中會(huì)再產(chǎn)生新的數(shù)據(jù)；

3）云主機(jī)：通過數(shù)據(jù)的服務(wù)、分析、挖掘，產(chǎn)生新的數(shù)據(jù)；

4）IoT終端：廣泛用于多維度的數(shù)據(jù)采集。

根據(jù)GSMA統(tǒng)計(jì)和預(yù)測(cè)，僅IoT終端一項(xiàng)，截至2019年，全球物聯(lián)網(wǎng)設(shè)備連接數(shù)量達(dá)到110億，2025年將達(dá)250億，年平均增長(zhǎng)率達(dá)15%。除了物聯(lián)網(wǎng)設(shè)備的興起，傳統(tǒng)的啞終端、非智能終端也開始向不同程度的智能終端方向靠攏，加上基于虛擬化的云主機(jī)出現(xiàn)爆炸式增長(zhǎng)，企業(yè)的防御對(duì)象從原來的PC終端逐漸轉(zhuǎn)變到數(shù)量眾多、類型多樣、不同接入方式的泛終端。

02 異構(gòu)的PC、移動(dòng)端、IoT終端、云主機(jī)統(tǒng)一管理

針對(duì)數(shù)量眾多的泛終端，當(dāng)前IT管理人員既需要傳統(tǒng)的NAC、EPP等產(chǎn)品對(duì)PC終端進(jìn)行管理，還分別需要MDM、CMDB等產(chǎn)品對(duì)移動(dòng)端和服務(wù)器進(jìn)行管理，而對(duì)于IoT終端，尤其是與傳統(tǒng)PC終端、移動(dòng)端混合接入的場(chǎng)景下，目前還沒有很好的管理措施。

為解決上述現(xiàn)象，達(dá)到安全高效的結(jié)果，IT管理員使用單一控制臺(tái)管理所有復(fù)雜設(shè)備的能力就十分必要了。統(tǒng)一端點(diǎn)管理（Unified Endpoint Management，簡(jiǎn)稱UEM）系統(tǒng)，是Gartner定義區(qū)分于EPP的另一個(gè)細(xì)分市場(chǎng)，強(qiáng)調(diào)對(duì)異構(gòu)的PC、移動(dòng)端、IoT終端、云主機(jī)的統(tǒng)一管理。

03 技術(shù)快速融合、方案統(tǒng)一規(guī)劃

終端安全在過去的很長(zhǎng)時(shí)間內(nèi)，主要以集中管控、安全合規(guī)為主要驅(qū)動(dòng)力，一般都是從安全事件之后的補(bǔ)救措施開始建設(shè)。隨著網(wǎng)絡(luò)形勢(shì)的復(fù)雜化，安全事件頻發(fā)，終端上將會(huì)積累越來越多的客戶端，大部分情況下一個(gè)終端上可能安裝多達(dá)5個(gè)以上的安全系統(tǒng)，這一方面使得終端運(yùn)行越來越慢，用戶體驗(yàn)感變差，企業(yè)安全人員不得不陷入對(duì)產(chǎn)品的大量運(yùn)維工作當(dāng)中。另一方面系統(tǒng)之間沒有聯(lián)動(dòng)，數(shù)據(jù)不能融合，一旦出了安全事件，頭痛醫(yī)頭，腳痛醫(yī)腳，效果差強(qiáng)人意。

從2016年開始，終端安全市場(chǎng)突然火爆起來，終端安全再度受到關(guān)注，但卻不是簡(jiǎn)單的回歸，企業(yè)迫切需要基于一個(gè)Agent、一個(gè)管控平臺(tái)的理念打造的終端一體化解決方案，并以最終效果為出發(fā)點(diǎn)，以安全運(yùn)營(yíng)為主線，圍繞設(shè)備接入、設(shè)備管理、數(shù)據(jù)防泄露、高級(jí)威脅檢測(cè)等進(jìn)行逐步建設(shè)，幫助企業(yè)構(gòu)建起一個(gè)全面、有效且滿足網(wǎng)絡(luò)安全發(fā)展需求的防御架構(gòu)，而不是像以前一樣進(jìn)行簡(jiǎn)單的產(chǎn)品堆砌。

04 EDR從方案補(bǔ)充到核心組件

Gartner從2013年提出ETDR，2015年正式命名EDR，2017年正式發(fā)布EDR市場(chǎng)指南，2018年Gartner將EDR從補(bǔ)充性功能變成必備功能，同時(shí)還給出了一個(gè)全新升級(jí)的EPP定義：

“

EPP解決方案部署在端點(diǎn)之上，用于阻止基于文件的惡意代碼攻擊、檢測(cè)惡意行為，并提供調(diào)查和修復(fù)的能力去處理需要響應(yīng)的動(dòng)態(tài)安全事件和告警。

這個(gè)定義也進(jìn)一步反映了EPP與EDR市場(chǎng)融合。Gartner在2019年的EPP MQ中再次指出，傳統(tǒng)上在端點(diǎn)檢測(cè)和響應(yīng)（EDR）市場(chǎng)中發(fā)現(xiàn)的功能現(xiàn)在被認(rèn)為是可以解決和應(yīng)對(duì)現(xiàn)代威脅的EPP的核心組件。Gartner預(yù)測(cè)，到2020年有80%的大型企業(yè)，25%的中型企業(yè)，以及10%的小型企業(yè)將投資部署EDR。

05 從防御模式到檢測(cè)模式

面對(duì)網(wǎng)絡(luò)威脅層出不窮以及當(dāng)前攻防極度不平衡的現(xiàn)狀，越來越多企業(yè)的安全思想已經(jīng)轉(zhuǎn)變?yōu)椋簝H僅預(yù)防是不夠的，安全建設(shè)需要以假設(shè)邊界失效、假設(shè)PC終端淪陷為前提，積極尋找新的解決方案，加強(qiáng)安全檢測(cè)功能，對(duì)網(wǎng)絡(luò)攻擊的防御要由被動(dòng)走向主動(dòng)。

而Gartner對(duì)于檢測(cè)響應(yīng)不僅僅是指終端，整個(gè)檢測(cè)響應(yīng)項(xiàng)目包含：

面向日志的檢測(cè)與響應(yīng)技術(shù)（SIEM）

面向端點(diǎn)的檢測(cè)與響應(yīng)技術(shù)（EDR）

面向網(wǎng)絡(luò)的檢測(cè)與響應(yīng)技術(shù)（NDR）

面向欺騙的檢測(cè)與響應(yīng)技術(shù)

面向運(yùn)營(yíng)的檢測(cè)與響應(yīng)服務(wù)（MDR）

隨著這些產(chǎn)品和服務(wù)的成熟，企業(yè)將逐步進(jìn)入到以檢測(cè)為主的安全模式。從目前的行業(yè)動(dòng)態(tài)來看，這些產(chǎn)品已呈現(xiàn)出融合趨勢(shì)，如我們熟知的Elastic已經(jīng)收購(gòu)了著名的EDR廠商Endgame，業(yè)內(nèi)許多做SOC、SIEM的廠商也都相繼推出自己的EDR、NDR產(chǎn)品。這些網(wǎng)絡(luò)安全產(chǎn)品將通過統(tǒng)一的威脅檢測(cè)框架（如ATT&CK），幫助企業(yè)用戶進(jìn)行多維度、多位置和更加全面的檢測(cè)，進(jìn)而實(shí)現(xiàn)威脅的自動(dòng)響應(yīng)和統(tǒng)一編排。

06 零信任從概念走向落地

傳統(tǒng)的基于邊界的網(wǎng)絡(luò)安全架構(gòu)在某種程度上假設(shè)或默認(rèn)了內(nèi)網(wǎng)是安全的，而在如今“企業(yè)邊界正在瓦解，基于邊界的安全防護(hù)體系正在失效”這一大背景下，零信任安全針對(duì)傳統(tǒng)邊界安全架構(gòu)思想進(jìn)行了重新評(píng)估和審視，并對(duì)安全架構(gòu)思路給出了新的建議，其核心思想是：默認(rèn)情況下不應(yīng)該信任網(wǎng)絡(luò)內(nèi)部和外部的任何人/設(shè)備/系統(tǒng)，必須基于認(rèn)證和授權(quán)重構(gòu)訪問控制的信任基礎(chǔ)。

零信任安全（或零信任網(wǎng)絡(luò)、零信任架構(gòu)、零信任）最早由研究機(jī)構(gòu)Forrester的首席分析師約翰·金德維格（John Kindervag）在2010年提出，中國(guó)信息通信研究院發(fā)布的《中國(guó)網(wǎng)絡(luò)安全產(chǎn)業(yè)白皮書（2019年）》中表示，零信任正從概念逐漸走向落地，國(guó)內(nèi)外企業(yè)基于對(duì)零信任安全框架的理解，也開展了技術(shù)探索和布局，目前零信任多用于解決身份管理和訪問控制的問題，聚焦于軟件定義邊界（SDP）、微隔離等方向。

07VPN正在被SDP所取代

VPN是一種廣泛用于安全遠(yuǎn)程用戶訪問控制的普遍技術(shù)。這種技術(shù)在與多因子身份認(rèn)證結(jié)合時(shí)，對(duì)于具有傳統(tǒng)邊界的企業(yè)以及靜態(tài)用戶和服務(wù)器資源來說效果很好。但是正如Gartner的調(diào)研報(bào)告所說，“DMZ和傳統(tǒng)VPN 是為上世紀(jì)90年代的網(wǎng)絡(luò)設(shè)計(jì)的，由于缺乏保護(hù)數(shù)字業(yè)務(wù)所需的敏捷性，它們已經(jīng)過時(shí)。”

首先，VPN對(duì)所分配的網(wǎng)絡(luò)提供非常粗粒度的訪問控制。它們的目標(biāo)是讓遠(yuǎn)程用戶的行為就像在本地網(wǎng)絡(luò)上一樣，這意味著所有用戶都可以對(duì)整個(gè)虛擬局域網(wǎng)VLAN進(jìn)行完全的網(wǎng)絡(luò)訪問，嘗試配置VPN為不同用戶提供不同級(jí)別的訪問是不現(xiàn)實(shí)的。它們也不能很容易地適應(yīng)網(wǎng)絡(luò)或服務(wù)器集群的變化，VPN根本無法跟上當(dāng)今的動(dòng)態(tài)發(fā)展的企業(yè)需要；其次，即使公司對(duì)VPN所提供的控制級(jí)別感到滿意，但VPN只是一種控制遠(yuǎn)程用戶的豎井式解決方案——它們不會(huì)幫助保護(hù)本地內(nèi)網(wǎng)中的用戶，由此意味著組織需要一組完全不同的技術(shù)和策略來控制本地用戶的訪問，這將使協(xié)調(diào)和匹配這兩個(gè)解決方案所需的工作量成倍增加。而且，隨著企業(yè)采用混合和基于云計(jì)算的計(jì)算模型，VPN就更難被有效地使用。

針對(duì)傳統(tǒng)VPN的局限性，Gartner 指出：“到2021年，60%的企業(yè)將逐步淘汰VPN，換而使用軟件定義邊界（SDP）。”通過使用SDP，企業(yè)的云資源對(duì)于未經(jīng)授權(quán)的用戶完全不可見。SDP以預(yù)認(rèn)證和預(yù)授權(quán)為兩個(gè)基本支柱。通過在單數(shù)據(jù)包到達(dá)目標(biāo)服務(wù)器之前對(duì)用戶和設(shè)備進(jìn)行身份驗(yàn)證和授權(quán)，可以在網(wǎng)絡(luò)層上基于用戶而非IP執(zhí)行最小權(quán)限原則，顯著地縮小攻擊面。目前SDP憑借更細(xì)粒度的控制、更靈活的擴(kuò)展、更高的可靠性、更高的運(yùn)維效率以及更低的成本，正在改變傳統(tǒng)的遠(yuǎn)程連接方式。

08 5G將進(jìn)一步推動(dòng)零信任、SDP的發(fā)展

5G的大熱將會(huì)給網(wǎng)路安全領(lǐng)域帶來新一波變革，eMBB、mMTC、URLLC這些特點(diǎn)使得IoT設(shè)備海量增加，其安全接入問題迫切需要零信任等方案進(jìn)行解決；同時(shí)超高帶寬和低延遲使得移動(dòng)智能設(shè)備、移動(dòng)PC設(shè)備更多地選擇移動(dòng)互聯(lián)網(wǎng)進(jìn)行業(yè)務(wù)訪問，保障移動(dòng)安全更需要類似于SDP的解決方案。

在Gartner行業(yè)報(bào)告《Market Report：Strategies Communications Service Providers Can Use To Address Key 5G Security Challenges》中提到，把縱深防御、持續(xù)性和自適應(yīng)以及零信任安全列為5G安全戰(zhàn)略的三大支柱，并且指出應(yīng)該把微隔離和SDP技術(shù)列入5G項(xiàng)目預(yù)算和試點(diǎn)?？梢娏阈湃伟踩c5G將緊密融合進(jìn)未來的商業(yè)市場(chǎng)應(yīng)用，在各行各業(yè)中發(fā)揮更多作用。

09 基于云模式的交付會(huì)越來越多

基于云模式的交付，在以往很長(zhǎng)一段時(shí)間里都沒有網(wǎng)絡(luò)安全產(chǎn)品在這方面很好落地。但隨著5G部署、云計(jì)算的增強(qiáng)、大數(shù)據(jù)的成熟和機(jī)器學(xué)習(xí)技術(shù)的進(jìn)步，云交付模式迎來了高速發(fā)展的階段。隨著高級(jí)威脅越來越多，加上威脅事件調(diào)查、分析類的產(chǎn)品使用門檻較高，對(duì)人員具有一定的專業(yè)知識(shí)要求，這些都使得企業(yè)在未來相當(dāng)長(zhǎng)一段時(shí)間內(nèi)需要高度依賴于安全廠商，而對(duì)廠商而言更為全面的數(shù)據(jù)、更為強(qiáng)大的算力是提高機(jī)器學(xué)習(xí)威脅檢測(cè)效率的保障，在實(shí)際運(yùn)用中，廠商還可以通過社區(qū)門戶，由管理員和事件響應(yīng)人員在其中分享洞察力，確保實(shí)時(shí)獲取信息。

以終端安全新貴CrowdStrike為例，CrowdStrike通過SaaS模式在其云平臺(tái)Falcon上為170多個(gè)國(guó)家的客戶提供端點(diǎn)安全、威脅情報(bào)和事件響應(yīng)服務(wù)。公司將安全模塊集中在Falcon平臺(tái)上，該模型涵蓋多個(gè)大型安全市場(chǎng)，包括端點(diǎn)安全，安全和IT運(yùn)營(yíng)（含漏洞管理）和威脅情報(bào)。客戶可以在各種端點(diǎn)上快速采用Falcon平臺(tái)的技術(shù)。公司的輕量級(jí)代理將計(jì)算密集型任務(wù)布置到云中，同時(shí)保留端點(diǎn)上必需的本地檢測(cè)和防御功能。

10 個(gè)人隱私保護(hù)將是數(shù)據(jù)安全的重點(diǎn)

隨著網(wǎng)安法、等保2.0以及即將發(fā)布的數(shù)據(jù)安全管理辦法，加上GDPR、CCPA等一系列國(guó)內(nèi)外法律法規(guī)的相繼實(shí)施，這些都將使得個(gè)人隱私保護(hù)是2020年企業(yè)數(shù)據(jù)保護(hù)中優(yōu)先解決的重點(diǎn)問題。