本文转载自公众号“数师咨询”(ID:dwconcn)。2020年,世界上第一次大规模疫情发生,是现代人类社会历史上的元年。这样的黑天鹅事件,对未来世界的影响是深远的。再加上不可逆转的中美关系,今年将发生百年未有之大变局。在这种情况下,我们的生活和工作发生了很大的变化。2021即将到来,展望新的一年,我们有更多美好的愿望和憧憬。继2020年十大端点安全趋势发布后,相较于去年,我们结合国内实际情况,结合大量客户实地调研,发布了2021年十大端点安全趋势。趋势一:从BYOD到BYOPC,过去十年是移动互联网的黄金十年。依托移动互联网和移动智能设备的发展,移动营销、移动办公、移动会展、移动在线学习等业务快速发展。更加直观、及时、人性化的服务体验,充分利用内部员工的碎片化时间,大幅提升内部协作效率。如今,个人移动智能设备作为信息查看、确认和简单处理的载体。每个人都可能有笔记本、平板电脑、手机等作为生产力设备。BYOD更多时候指的是设备的这一部分。但传统的笔记本管控仍然比较严格,面临立即申请、及时收回访问权限等情况。2020年疫情的爆发,导致公司大部分员工都被困在家里。该公司被迫暂时大量释放虚拟专用网络的远程访问权限。员工使用台式机和笔记本电脑在家工作。但是,由于部分个人设备的安全性得不到保障,很多企业发现病毒木马可以通过虚拟专网通道进入内网。与此同时,黑产也趁着疫情,有针对性地推出社工病毒,进一步加剧了网络安全问题。此外,将公司数据存储在个人电脑上更容易导致数据泄露。国内疫情阶段性结束后,在意识到疫情再次对企业业务造成影响后,远程办公、移动办公、居家办公在调动员工主观能动性方面的存在,提高时间利用效率、节省企业运营成本等带来的巨大收益,加上员工对远程办公的进一步需求,以及国外巨头的远程办公常态化战略,进一步刺激了远程办公的增长。上述因素也引发了新一轮的终端安全管控。因此,Gartner在2020年端点安全技术成熟度报告中正式提出BYOPCSecurity。随着该领域解决方案的成熟,相信会有越来越多的企业能够随时随地实现办公战略,进一步推进数字化转型之路。趋势二:零信任网络接入从发散走向融合,从少量场景验证走向全面融合。如果说今年安全领域最火的词,恐怕非零信任莫属。从2010年Forrester研究公司首席分析师JohnKindervag提出零信任一词至今已有十年。这十年间,国内外企业都基于对零信任安全框架的理解开展了工作。技术探索和布局,从各个角度来看,目前已经基本融合,尤其是随着NIST及其下属单位NCCOE正式发布零信任架构和实现方法,业界对零信任的认识逐渐统一。图1NISTNCCoE《实现零信任架构》正式版(2020年10月发布)零信任定位:零信任架构不是单一的网络架构或产品,它是一套网络基础设施设计和运营的指导原则,用于改善网络整体安全能力。零信任目标:零信任架构的核心是重构访问控制,采用更灵活的技术手段,为动态变化的人、终端和系统建立新的逻辑边界。零信任现状:目前各厂商、企业都在积极探讨如何在曝光融合、远程办公、远程运维、跨网访问、多云访问等场景下实现零信任。零信任未来:围绕零信任架构的核心组件,在不同场景下叠加不同的功能组件,将零信任理念融入到企业的各种安全场景中。未来零信任是企业未来安全建设的主要技术理念之一。在2020年网络安全行业全景图中,信通所将零信任作为一个通用的技术概念(见图2)。图2书说安全2020年中国网络安全市场全景分类架构示意图总的来说,零信任的范围很广,既可以用于端点安全,也可以用于网络安全。目前比较成熟的场景是端点到资源的访问控制。这也是企业践行零信任的第一步。可以预见,企业在远程办公、远程运维、虚拟专用网替代、多云接入等场景验证零信任网络访问核心组件后,将逐步扩展到端点最终访问资源的其他场景涵盖所有端点到资源的访问。趋势三:ZTNA(又称SDP)加速虚拟专用网虚拟专用网(VirtualPrivateNetwork)是一种广泛应用于安全远程用户访问控制的通用技术。这种技术与多因素身份验证相结合,非常适合具有传统边界和静态用户和服务器资源的企业。但正如Gartner的研究报告所说:DMZ和传统VPN是为1990年代的网络设计的,它们已经过时,因为它们缺乏保护数字业务所需的敏捷性。首先,VPN对分配的网络提供非常粗粒度的访问控制。他们的目标是让远程用户的行为就像在本地网络上一样,这意味着所有用户都可以完全访问整个虚拟局域网(VLAN)。试图配置VPN为不同的用户提供不同级别的访问是不现实的,它们也不能轻易适应网络或服务器群的变化。VPN根本跟不上当今企业的动态需求。其次,即使公司对VPN提供的控制级别感到满意,VPN也只是控制远程用户的孤岛解决方案——它们无助于保护本地Intranet上的用户,这意味着组织需要一套完全不同的技术和控制本地用户访问的策略。这将使协调和匹配两种解决方案所需的工作量成倍增加。而且,随着企业采用混合和基于云的计算模型,VPN更难以有效使用。最后,在虚拟专用网设计之初,主要考虑了组件虚拟专用网的接入。但在远程办公场景下,企业数据缺乏安全保障,容易出现数据泄露的情况。基于此,Gartner在2020年ZTNA(零信任网络接入)市场指南中也指出:到2022年,80%向生态合作伙伴开放的新数字业务应用将通过ZTNA接入;到2023年,60%的企业将逐步淘汰大多数远程访问VPN,转而使用ZTNA。但受疫情带动的远程办公需求,以及国内大规模攻防演练首日虚拟专网0day漏洞的影响,目前大部分用户都在考虑使用ZTNA代替虚拟专用网,所以这个过程会加快。趋势四:ZTNA将推动UEM的发展。统一端点管理(UnifiedEndpointManagement,简称UEM)是Gartner定义的不同于EPP的另一个细分市场。初衷是强调异构PC和移动端的统一管理。随着操作系统的演进,原有PC与移动端的技术差异逐渐缩小,近十年来企业中Windows应用的数量也在缓慢下降,取而代之的是基于浏览器或与移动端无关的应用。的操作系统程序。随着以资源保护和BYOD、BYOPC为中心的零信任安全架构的广泛使用,企业IT管理者将越来越重视管理应用程序访问和数据保护,而不是管理整个设备,而零信任架构的实施使企业能够对所有设备访问企业资源进行统一、细粒度、动态的授权。因此,2020ZTNA市场指南指出,企业在评估如何实现零信任网络接入时,必须考虑UEM的重要性。图3GartnerZTNAMarketGuide2020在实际调研过程中发现,在远程办公、互联网曝光融合等场景下,大部分客户通常将PC和移动智能设备放在一起考虑。因此,零信任架构的实施让UEM变得更加迫切。.但是,国内外UEM的实施路径存在较大差异。苹果几年前就开始在MacOSX中包含MDMAPI,而微软在Windows8.1中率先引入了EMMAPI,并在Windows10中进一步扩展,这样EMM就可以非常方便的管理PC和Mac。所以国外UEM厂商更多的是移动安全厂商,比如MobileIron、BlackBerry等,都是从MDM到EMM再到UEM。图4UEM发展的三个阶段目前国内UEM厂商寥寥无几。一方面,中国基于PC端和移动端的原生应用还比较多,转型需要时间。另一方面,国内企业对PC终端的管控要求非常复杂。许多原生API不足以满足控制要求。同时,大部分客户也希望能够对混合接入的物联网终端进行统一管理。大部分EMM厂商不具备PC终端和物联网终端的管控能力,导致国内EMM厂商向UEM转型的寥寥无几。所以国内的UEM厂商一般都是由少数同时拥有EPP和EMM产品的厂商来实现。趋势五:UEM和UES肯定会融合成为ZTNA的核心组件通过上面对UEM的介绍,我们可以看出UEM的安全属性不多,所以Gartner在今年的中提出了UES这个词。图52020年端点安全技术成熟度曲线尽管Gartner对UES的定义范围很广,目前还处于起步阶段,但笔者更愿意相信,在UEM的落地过程中,很多企业除了运营之外,还期望统一端点和维护团队。管理方面,安全团队也希望从端点分析的整合中提供对身份和访问管理更深入的洞察,或者更好地支持安全操作。特别是随着零信任架构的实施,PC端和移动端之间的身份验证、环境感知、信任评估、动态授权、基于用户的行为分析和安全事件之间的联系非常紧密,基于UEM的统一先进设备控制能力和数据收集能力是UES中必不可少的选项。同时,利用移动端强大的身份属性和更好的安全性作为PC端安全属性的补充,比如通过移动端扫码等,也是一个不错的选择。Authentication是PC端身份认证的推荐方式,或者使用移动端的确认方式作为身份一致性的验证,或者当PC端出现风险时,利用移动端的设备优势进行更高级别的认证-基于生物特征的强度二次认证。身份认证,确定您是否可以继续访问企业资源。UES未来发展的价值是什么?笔者认为,如果仅仅作为EPP和EDR的延伸和延展,XDR的一种实践,那么意义不大。未来,UEM与UES融合后,将作为ZTNA的重要核心组件,支撑ZTNA的实施,成为企业安全运营中心安全数据的主要来源之一。这是UES最大的价值。趋势六:零信任架构下EDR面临新机遇。Gartner于2013年提出ETDR,2015年正式命名为EDR,2017年正式发布EDR市场指南。2018年,Gartner将EDR从补充功能转变为端点安全的必备功能。它的重要性不言而喻,Gartner预测,到2020年,80%的大型企业、25%的中型企业和10%的小型企业将投资部署EDR。同时,CrowdStrike超高的估值也是EDR市场的一个很好的证明。但是,与国外EDR的快速发展不同,国内PC端EDR的发展相比国外相对缓慢,不同的客户群体也有不同的表现因素。对于大型企业来说,主要有以下几个原因:国内大客户终端管理非常复杂,任务繁重。基于员工普遍抵制在终端做太多事情的前提,很多优先从网络侧开始,因此网络侧的威胁检测发展迅速;国内很多大客户有多网,其中Production和office网络一般不允许上网,所以大部分威胁都是从外部入侵的,尤其是国内大规模的攻防演习,更是加剧了这个问题,使得CWPP(在服务端/云主机端也称为EDR)已经能够快速发展;国内外的文化差异也不同。对于端点侧的单点威胁,国家可以通过行政手段及时介入,进行严格管控。从影响力来看,优先级一般。因此,基于检测的EDR一般被作为企业整体安全运营的一部分,提供更全面的威胁分析数据、更好的安全可见性和处置手段。对于中小企业来说,他们面临的高级威胁大多是勒索软件,所以EDR更多的是以下一代杀毒或者传统杀毒的整合形式存在。作为防御勒索软件的主要产品,它与XDR是一脉相承的。基于清晰成熟的威胁防御用例,提供开箱即用的功能和持续的安全服务。然而,这种现状可能会被当前的零信任架构所改变。一方面,零信任架构的实施使企业能够更敏捷地向云端迁移、端点去PC化、移动设备接入网络环境多样化等。个人笔记本的访问已经大大增加了威胁,EDR提供更强大的威胁检测是非常必要的。另一方面,可信访问代理的广泛使用,改变了传统的网络访问路径,要么对链路进行加密,要么代理转发后丢失源IP地址等。因此,未来基于零的安全体系信任架构,EDR是环境感知和威胁检测的核心组件(至少是核心数据源),而传统的网络侧检测产品的适用场景会减少。趋势七:从防御到检测,再到扩展检测(XDR)Gartner对检测和响应项目的新发现指出,检测和响应不仅仅是终端,整个检测和响应项目还包括:日志面向端点的检测与响应技术(SIEM)面向端点的检测与响应技术(EDR)面向网络的检测与响应技术(NDR)面向欺骗的检测与响应技术面向操作的检测与响应服务(MDR)这些产品和服务,从行业动态来看,这些产品正在逐步融合。比如知名的Elastic收购了著名的EDR厂商Endgame,业界的SOC和SIEM厂商也开始推出自己的EDR和NDR产品。通过统一的威胁检测框架(如ATT&CK),实现更多维度、更多位置更全面的检测,进而实现威胁的自动响应和统一编排。XDR不是一个新术语。Gartner将XDR列为今年的十大安全项目。这是合乎逻辑的,甚至有点晚了。XDR也出现在端点安全(见图5)和安全运营(见图6)两条技术趋势曲线中。可以期待。图62020年安全运营技术成熟度曲线Gartner将XDR定义为:XDR是一种基于SaaS的、特定于供应商的安全威胁检测和事件响应工具,它将多种安全产品原生集成到一个统一的安全操作系统中,该系统统一了所有许可的安全组件。从定义上看,作者认为是一种如何实现检测和响应产品的思路。这类产品最大的问题是高度依赖安全专家。因此,国内真正能够启动此类项目的企业都是安全能力非常强的龙头企业。同时,这些龙头企业也在根据自己的安全规划做XDR,只是应用深度的问题。因此,XDR的提出,更多的是为广大中小客户提供一个全面的、相对完善的、开箱即用的检测响应产品和基于云的威胁分析安全服务。但是,产品与检测分析维度的联动是第一步。XDR的本质应该是Cross。真正的目标是能够基于一个威胁线索无缝跨越多个检测产品。如何实现这一目标目前还不清楚。目前还没有明确的答案,所以目前的XDR更多应该是在商业模式和营销上,毕竟技术上已经没有更多的新东西了。趋势八:访问控制与ZTNA融合访问控制作为设备接入企业网络的安全边界,一直是企业的安全基础设施之一,但访问控制是以网络为中心的,零信任是基于企业资源的-centered,但两者的概念类似于零信任。他们都默认不信任任何设备,只有经过严格验证后才允许访问。因此,两者都有身份验证、环境感知、信任评估、动态最小授权等环节。严格来说,这些链接有重复的部分。在具体的实现过程中,我们必须考虑如何将它们统一起来,才能给用户最好的体验。和最低的性能成本。从企业网络安全的角度来看,两者解决的问题并不冲突。访问控制主要保障使用企业网络基础设施的安全,ZTNA主要解决访问企业资源的安全。因此,谷歌的零信任实践项目BeyondCorp(见图7)企业网络的第一步也是准入控制(802.1x)。图7BeyondCorp组件及接入流程趋势九:个人信息保护将推动全行业重视数据安全今年11月,某快递公司爆出内部员工泄密案。公司5名员工以每天500元的价格出租员工账号,导致个人信息泄露超过40万条。这些信息包括寄件人和收件人的地址、姓名和电话号码。据犯罪团伙供述,将这些信息打包后以每条1元的价格向全国及东南亚等电信诈骗高发地区销售。今年的《个人信息保护法(草案)》第七章规定,违规处理个人信息情节严重的,处5000万元以下或者上一年营业额5%以下的罚款;对直接负责的主管人员和其他直接责任人员处10万元以上100万元以下罚款。在征求意见稿公布的同一天,多家银行因“侵犯消费者个人信息”被罚款。保护已成为国家和社会关注的焦点。明年,随着《个人信息保护法》的推出和发布,将开启中国隐私和个人信息保护的新纪元。为更好地满足合规要求、客户人身权益和企业自身管理需要,企业需要从综合角度进一步加强个人信息安全和隐私保护能力,尤其是通过零信任和数据防泄露相关技术,防止客户个人信息在访问、使用、存储、出境等方面的安全问题。趋势十:企业在选择端点安全产品时需要考虑信创终端。在中美关系不可逆转的大背景下,鑫创实业一直呈现出平稳快速的发展态势。从个别行业的试点项目,扩展到各行业的龙头客户。相信明年的扩张速度会更快,影响也会更广。但端点安全产品的部署周期一般在三年以上,所以在选择时必须考虑对信创终端的支持。
