终端安全迎来重生

终端安全正在经历大规模复兴，新一代产品和服务令形势发生了扭转：由原来推崇防病毒软件的防御，变成一种更实用、更实际的战术-----在用户设备层面进行检测和事件响应。

在过去一、两年中，一大批下一代终端安全初创公司进入了公众视线，包括Cybereason、enSilo、Hexis、SentinelOne、Tanium、Triumfant和Ziften。风险投资公司也扎堆进入这个领域：终端安全初创公司Tanium现在估价值高达35亿美元，超过全球所有风投支持的网络安全公司。Tanium拥有塔吉特、维萨、纳斯达克和韦里逊等知名客户。

除初创公司外，老牌安全公司也专注于各种各样的先进终端保护方法，比如Bromium、思科、Cylance、CrowdStrike、Mandiant、Bit9 /Carbon Black、CounterTack、ForeScout、Invincea、Palo Alto Networks、RSA Security、Tripwire及其他公司。

终端是真相之源

Gartner公司副总裁Peter Firstbrook说：“从风投公司的角度来看，这显然是个炙手可热的市场。大量资金涌入了许多新的初创公司。”Firstbrook表示，如今在密切关注所谓的终端检测和响应（EDR）安全领域的30多家厂商；而在过去12个月，终端检测和响应（EDR）领域的初创公司已筹集到了3.22亿美元。

英特尔安全/迈克菲、赛门铁克、卡巴斯基实验室和Sophos，像这些传统的防病毒和终端安全巨头没有袖手旁观，它们一直在为自己的防病毒平台补充旨在检测未知威胁的功能特性。预计它们也会推出各自的解决方案，加入终端响应和检测这一代产品的阵营。据Gartner声称，到目前为止，唯一拥有正式终端响应和检测解决方案的知名终端安全平台厂商是趋势科技。

终端仍然是网络犯罪分子和网络间谍人员眼里最有吸引力、最易受攻击的目标，可趁机溜入攻击目标的大门。终端处有关于攻击的大批情报，终端响应和检测工具就是充分利用了这些情报：它可以收集和存储这些信息以响应攻击，并用作挫败未来攻击的情报。

Mandiant创始人兼FireEye总裁Kevin Mandia说：“你应该进入终端。因为终端是最终的真相根源。”Mandia表示，终端安全工具应该会检测防病毒产品的“漏网之鱼”，如果攻击者闯入到里面，还能提供取证分析信息。他说：“最终，它需要防止坏事发生，但......如果坏事果真发生了，它能牢牢锁定你的数据，确保安全。”

说到阻止高级威胁，防病毒技术可能如一潭死水，但基于病毒特征的终端防御在全球各地的Windows台式机上仍在积极发挥作用。专家们表示，对根本不会销声匿迹的日常普通恶意软件而言，防病毒仍是不可缺少的一环。

不过，采用终端响应和检测仍是少数情况。不妨看一下这个：Gartner的最新数字显示，传统防病毒市场的收入是35亿美元，安装数大约是4亿套，而如今大约只有5000家公司（总共大约只有25万个终端）在地终端响应和检测系统。

Gartner估计，今年终端响应和检测市场的收入会达到1.3亿美元，最大一块份额属于传统安全厂商，比如思科、FireEye和Tripwire。据Gartner估计，预计终端响应和检测市场的产值到2016年会翻番。

据Gartner估计，到2018年，大约80%的终端保护平台会包括与终端响应和检测有关的用户活动监控和取证分析功能。而截至2013年，只有5%的终端保护平台包括这类功能。

Firstbrook说：“许多客户在为其终端寻找额外的解决方案。他们不喜欢现有的终端保护厂商来保护自己。他们将部分预算拨给了防病毒和主机入侵防御系统（HIPS）。白名单则是第二代技术。”

终端响应和检测无所不做：从检测终端上未打补丁的漏洞和可疑事件，到隔离、调查和补救漏洞，再到事件发生后，与网络上其余人员共享攻击情报。据Firstbrook声称，但是如今采用终端响应和检测仍很少见，而且通常处于早期阶段。“以试验居多。”

购买终端响应和检测产品的企业组织这么做主要是为了补充现有的传统终端安全，而不是取代它。Forrester研究公司的分析师Chris Sherman表示，现在大多数企业离不开防病毒是出于合规原因或其他要求。Sherman表示，许多企业最终会走这条路：免费防病毒或轻量级防病毒系统与更新颖的终端安全技术相结合。

以宾夕法尼亚州的Council Rock学区为例，该学区运行Ziften的终端响应和检测软件，但也保留了趋势科技的防病毒企业解决方案。该学校系统的IT主管Matthew J. Frederickson说：“你得补充它（防病毒技术），要有额外的安全层。”该学区有13000个用户，有大约5500个终端，外加一些平板电脑。

该学校系统的工具发现、隔离并清除了最近袭击其中一台机器的僵尸网络感染。Frederickson表示，他注意到一个奇怪的IP地址，随后查看了Lancope StealthWatch网络监控系统，结果发现该IP地址是欺骗地址，与这所小学其中一个计算机实验室中被感染了僵尸网络的一台机器密切相关。他说：“我清除了这个感染，花了大概五分钟。这让我大为惊讶。”他表示，如果只借助传统安全工具，找到并消除僵尸网络感染通常需要一周左右，而且可能只有在学校注意到僵尸网络流量引起网络速度减慢后才有所察觉。

终端检测和响应的引爆点

安全专家们表示，终端安全之所以由纯粹的黑名单和基于病毒特征的技术发展为终端响应和检测，引爆点是过去几年中塔吉特、家得宝和索尼等知名企业遇到了引人注目的大规模攻击。Ziften Technologies是一家终端响应和检测初创公司，主管产品战略的副总裁JoshApplebaum说：“现在安全已经是董事会关注的问题。没有哪个CIO或首席信息安全官想解释为何数据会泄露、原本如何可以预防泄露。这方面观念发生了变化。以前持续监控只是个时髦词而已。”

Applebaum说：“如果仅仅使用防病毒技术，有许多漏网之鱼，因为许多行为不知道好坏。我们认为需要查看每个行为，同时占用资源尽量要少。家得宝甚至没有将所有防病毒技术部署到所有终端上，因为防病毒系统占用大量资源。”

许多企业不想处理这个艰巨任务：改造桌面系统及其他终端的安全，也不想承担因此带来的成本。更新颖的产品很轻巧（比如传感器），驻留在内核，作为操作系统服务来运行，没有像笨拙的客户机程序包（比如防病毒）那样的包袱。

Surescripts是全美一个医疗信息网络，连接众多药店、医院和医生诊所，它在部署Invincea软件的头两个月内就检测并阻止了Cryptolocker勒索软件攻击。Surescripts的首席信息安全官Paul Calatayud表示，他添加了额外的终端保护层，保护内部人士，以免成为别人攻击其网站的一条途径。他说：“终端在受到危害，它们的登录信息被盗。然后，终端成了一种内部威胁。”

不过到头来，终端响应和检测中的“响应”可能是说服企业使用这类工具的关键。Tanium公司首席安全架构师Ryan Kazanciyan说：“事件响应和取证分析很难。这方面技能严重短缺，而这个挑战不会消失。所以，我们能够使之大众化，降低现有技能的门槛，不需要外包，也不需要组建恶意软件、反向工程和取证分析等专家组成的团队。”

Kazanciyan之前在Mandiant从事事件响应工作，他表示，事件响应和取证分析功能让你可以“推放”（push play），并且追溯攻击者的步骤和活动。他说：“这肯定能减少分析方面的大量工作，并帮助你从终端获取原先靠它自己无法获取的证据，比如连接到哪个IP地址、为何连接。”

另外可以迅速清理被感染的机器。他说：“需要花多少工时才能完成调查工作？我预计，技术熟练的分析员在单单一个系统上手动分析就需要40个小时。借助这项技术，只要几分钟，最多1小时。”

是否新瓶装旧酒？

安全分析师们预计赛门铁克会提供自己的下一代终端安全解决方案。赛门铁克副总裁兼网络安全服务总经理Samir Kapuria表示，最近出售旗下维尔（Veritas）存储公司，让赛门铁克得以将精力集中在安全业务上。他特别指出，改变终端防病毒软件公司的形象确实很难，不过“新赛门铁克”关注的却不仅仅是终端。

Kapuria说：“终端绝不是唯一。终端是要保护的一个非常重要的部分，但我们在通盘考虑全局，那才是新赛门铁克的做法。”他表示，赛门铁克在全球有大约1.75亿个终端将攻击信息返回总部，另外有大约5700万个攻击传感器，这些海量数据为这家公司提供了“独特的宝贵资产”。

他说：“我们有机会借助更现代化的技术能力（比如大数据分析），充分利用这些信息。”这个安全巨头计划在未来两个季度推出围绕其统一安全分析（Unified Security Analytics）新兴平台的几款新的产品和服务。预计，赛门铁克会推出新的事件响应、补救及其他下一代功能，公司还计划“保留来自防病毒防护功能的强项”。

他说：“我们分析企业的攻击面后发现，包括终端、移动设备、云到数据中心------全部一切。我们改用了综合方法。企业在考虑威胁防护时，没必要操心这是终端、移动设备还是云应用程序。我们现在引入的方法是通盘考虑。”

说到终端安全，英特尔的迈克菲安全部门正在经历类似的蜕变。Candace Worley是英特尔安全部门的高级副总裁兼终端安全总经理，他在迈克菲已效力了15年。她表示，自己看到了从防病毒、主机入侵防御系统（IPS）到个人防火墙的演变；如今，移动设备和家庭办公人员改变了游戏规则。

Worley说：“展望未来，防病毒最多扮演第三位的角色。这种解决方案从事清洁工作......它显著减少了企业中恶意软件数量，然后你可以专注于未知威胁。”

迈克菲最近发布的威胁情报交换平台（ThreatIntelligence Exchange）就像赛门铁克的统一安全分析平台，也采用了综合安全方法，根据情报状况动态提供威胁防护，而且可以跨网络、网关和终端来运作。Worley说：“它提供了响应恶意软件的机制，事件响应方面得到了更大程度的协调。它与我们的终端产品协同运行。”

Worley认为迈克菲根本不存在防病毒公司的身份形象一说。她说：“我们自2003年以来就不是一家防病毒公司了。”早在2003年，迈克菲就将主机IPS添加到桌面系统，后来又添加了应用程序控制、数据丢失防护（DLP）和监控机制。“我们改用了更注重云的方法，以便确保可见性、安全性以及报告这些设备的机制。”据英特尔安全/迈克菲的产品和解决方案主管Edward Metcalf表示，公司计划下周宣布终端响应和检测领域的动作。

安全分析人士表示，在传统的防病毒软件厂商当中，趋势科技在新一代终端响应和检测方面走得最远。趋势科技的首席技术官Raimund Genes表示，他更喜欢称之为终端安全领域的进化，而不是新一代。除了传统的基本技术外，“白名单、启发式方法、终端传感器、状态检测和防火墙”这些都是趋势科技解决方案的一部分。他说：“赛门铁克称防病毒技术已死，我很烦这种说法。关闭反病毒技术，看看要是没有这项技术，企业还能不能存活得下来。”

他表示，现代化终端安全产品的一些关键因素是可管理性和可用性。“而问题的根源在于人的行为，而不是终端。”

当然，终端响应和检测还需要成熟起来。Forrester研究公司的Sherman表示，预计在未来三五年，大的终端安全厂商会收购一些小公司，将其产品组合扩大到终端响应和检测领域。

——推荐给朋友

如果感觉内容有点价值，请顺手转发下吧

公众微信名：首席安全官 或 CSOWorld

也可长按二维码，扫描关注属于CSO的社区

欢迎企业CSO投稿。

坚持原创，欢迎打赏。