一、概述

　　知名信息技術(shù)咨詢公司Gartner發(fā)布的2020年度的終端安全成熟度曲線(如圖1所示)顯示：終端安全領(lǐng)域的技術(shù)和實踐正遭受著兩個趨勢的影響：終端攻擊的持續(xù)增長和遠程工作的驟然激增。

　　安全領(lǐng)導者不僅需要防范和避免各種終端攻擊和泄露事件，還需要確保遠程訪問的安全、高效以及用戶體驗良好。在此情況下，終端安全領(lǐng)域的相關(guān)技術(shù)也隨之不斷發(fā)展和演化，一些技術(shù)逐漸走向成熟以應對新威脅，一些技術(shù)卻銷聲匿跡。

　　終端安全成熟度曲線能夠幫助安全領(lǐng)導者追蹤終端安全領(lǐng)域的創(chuàng)新技術(shù)和實踐，對于安全領(lǐng)導者應對終端安全的問題和挑戰(zhàn)具有重要參考意義。

圖1：2020年終端安全成熟度曲線

　　首先，終端攻擊的持續(xù)增長推動了終端安全技術(shù)的創(chuàng)新。

　　終端安全從業(yè)者不斷改進和自動化威脅的狩獵、檢測和修復，EDR(Endpoint Detection and Response)和XDR(eXtended Detection and Response)成為焦點。

　　具體來說，為了應對高級攻擊，需要關(guān)聯(lián)來自終端和其他位置的數(shù)據(jù)進行威脅狩獵，XDR因而首次進入了成熟度曲線。與此同時，EDR和 EPP(Endpoint Protection Platform)越來越成熟，并被越來越多的采用。最新概念UES(Unified Endpoint Security)結(jié)合了EDR、EPP和MTD(Mobile Threat Defense)等技術(shù)正式進入成熟度曲線。

　　為了專門應對網(wǎng)絡釣魚攻擊，BEC(Business Email Compromise Protection)今年進入了成熟度曲線。SWG(Secure Web Gateways)雖然是一種基于網(wǎng)絡的技術(shù)，但對于防止針對終端(尤其是云終端)的攻擊至關(guān)重要，被越來越多的組織采用。值得注意的是，大多數(shù)處于期望膨脹期(Peak of Inflated Expectations)的創(chuàng)新技術(shù)都涉及多通道或多系統(tǒng)的安全性。例如，UES一個涉及安全工作站、智能手機和平板電腦的單一產(chǎn)品;XDR并不局限于終端，而是將多個來源(如網(wǎng)絡)的信息組合起來以檢測威脅。

　　其次，遠程工作的驟然激增使得遠程訪問安全擺在更加優(yōu)先的位置。當前遠程工作的相關(guān)技術(shù)已完全成熟，如VPN、CASB(Cloud Access Security Brokers)、BYOPC(Bring your own PC)、UEM(Unified Endpoint Management)和DaaS(Desktop as a Service)等，這些技術(shù)又重新引起企業(yè)和組織的重視。長期來看，ZTNA(Zero Trust Network Access)及其演化SASE(Secure Access Service Edge)更有前景。且SASE處在今年成熟度曲線高峰期，是終端安全成熟度曲線中的一項變革性創(chuàng)新。SASE允許任何終端以受保護的方式通過任何網(wǎng)絡訪問任何應用程序。安全領(lǐng)導者應該開始實施一項戰(zhàn)略促使ZTNA、CASB和SD-WAN一起融合，形成SASE的長期成果。

　　此外，新趨勢也使得一些技術(shù)被取代或演化為更加通用的技術(shù)從而銷聲匿跡。例如，瀏覽器保護技術(shù)在很大程度上已經(jīng)成為UEM的一個特性;移動設備的DLP 并沒有按預期實現(xiàn)，而是被UEM提供的容器所取代或者作為CASB套件中集成的DLP;MDR(Managed Detection and Response)雖然在安全領(lǐng)域仍然非常有用，但已成為EDR解決方案和較新的XDR解決方案的一個功能;UEBA(User and Entity Behavior Analytics)使用的技術(shù)已經(jīng)嵌入到EDR等其他技術(shù)中;面向網(wǎng)絡的物聯(lián)網(wǎng)安全技術(shù)是大勢所趨，但很大程度上受限于遺留物聯(lián)網(wǎng)設備的糟糕狀況而止步不前;內(nèi)容協(xié)作平臺(Content collaboration platforms)對數(shù)據(jù)泄漏保護很重要，但是創(chuàng)建和維護一個協(xié)作環(huán)境，并沒成熟的技術(shù)支撐;隨著遠程工作的發(fā)展，BYOPC已經(jīng)取代了BYOD(Bring Your Own Device)。

　　二、技術(shù)成熟度分析

　　成熟度曲線包括創(chuàng)新啟動期(Innovation Trigger)、期望膨脹期(Peak of Inflated Expectations)、幻覺破滅期(Trough of Disillusionment)、穩(wěn)步爬升期(Slope of Enlightenment)和生產(chǎn)高峰期(Plateau of Productivity)等5個主要周期。

2.1 創(chuàng)新啟動期

　　創(chuàng)新啟動期意味著技術(shù)的突破、公開演示、產(chǎn)品發(fā)布或其他活動會引起媒體和行業(yè)的極大興趣。統(tǒng)一終端安全(Unified Endpoint Security，UES)、擴展檢測和響應(Extended Detection and Response，XDR)和商業(yè)電子郵件泄露保護(Business Email Compromise Protection，BEC)處于該階段。

　　UES集成了EPP、EDR和MTD的主要特性，基于單個控制臺跨所有終端設備進行威脅分析，通過跨數(shù)據(jù)分析檢測以前未發(fā)現(xiàn)的威脅。UES滿足了IT對所有安全事件采用單一控制臺進行集中控制的需求，新冠疫情加速了這種需求。與之前的UEM市場一樣，UES需要幾年時間才能成熟并獲得認可。未來的市場屬于那些能夠從安全和運營的集成中獲得顯著生產(chǎn)力且能夠快速處理大量數(shù)據(jù)以檢測先前未知威脅的供應商。

　　XDR是一個供應商專門的威脅檢測和事件響應工具，將多個安全產(chǎn)品統(tǒng)一到一個安全運營系統(tǒng)中。XDR在功能上與SIEM以及SOAR工具相似，區(qū)別在于其具備在部署時集成特定供應商產(chǎn)品的能力，更加聚焦威脅檢測和事件響應。新興的XDR產(chǎn)品主要由具有基礎(chǔ)設施保護系列產(chǎn)品(例如，EDR、CASB、SEG、SWG、防火墻、IDS、身份基礎(chǔ)設施)提供能力的供應商銷售。更高級的XDR產(chǎn)品仍處于開發(fā)階段，試圖建立集成身份、數(shù)據(jù)保護和應用程序訪問的堆棧。這些高級產(chǎn)品充滿風險，對于XDR的過度保證可能會導致對單個供應商的過度依賴，最終只會有一小部分供應商能夠真正提供XDR，并且大型供應商在應對新威脅方面往往比同類最佳的初創(chuàng)公司慢得多。

　　BEC保護用來檢測和過濾冒充業(yè)務伙伴進行資金或數(shù)據(jù)誘導的惡意電子郵件。BEC檢測往往采用機器學習和自然語言處理技術(shù)，盡管這些技術(shù)很成熟，但在電子郵件安全特別是BEC保護方面的應用才出現(xiàn)幾年，往往局限于預警用戶，易產(chǎn)生“告警疲勞”問題。目前的采用率很低，隨著技術(shù)的成熟，其將成為電子郵件安全解決方案的一部分，而不是一個獨立的補充產(chǎn)品。

2.2 期望膨脹期

　　期望膨脹期意味著技術(shù)正處于過度熱情和不切實際的設想階段，隨著技術(shù)被推向極限，技術(shù)領(lǐng)導者們采取了一系列廣泛宣傳活動并帶來了一些成功，但更多的是失敗。自帶個人電腦安全(Bring your own PC，BYOPC)、安全訪問服務邊緣(Secure Access Service Edge ，SASE)處于該階段。

　　BYOPC允許員工使用個人自主選擇的客戶端設備來訪問企業(yè)應用程序、服務和數(shù)據(jù)。雖然新冠疫情使得BYOPC廣泛采用，但是BYOPC因未管理、未匹配和受感染的用戶設備而構(gòu)成嚴重的潛在安全威脅，需要立即采用新的工具來保護能夠訪問數(shù)據(jù)和應用程序的設備安全。

　　SASE用來支持分支機構(gòu)和遠程工作者訪問。SASE是由企業(yè)數(shù)字業(yè)務轉(zhuǎn)型驅(qū)動的，發(fā)展?jié)摿薮螅刑幱谑袌鲩_發(fā)的早期階段，供應商正在積極地進行營銷和開發(fā)。盡管SASE術(shù)語相對較新，但架構(gòu)方法已經(jīng)部署了至少兩年。隨著用戶、設備和服務離開傳統(tǒng)的企業(yè)邊界，網(wǎng)絡和網(wǎng)絡安全的模式逆轉(zhuǎn)將徹底改變網(wǎng)絡和網(wǎng)絡安全作為一種服務的競爭格局。真正的SASE服務是云本地化的，具備動態(tài)可伸縮、全球可訪問的特點，通?；谖⒎蘸投嘧鈶?。

2.3 幻覺破滅期

　　幻覺破滅期意味著技術(shù)還達不到其過度膨脹的預期，并且很快變得過時，媒體的興趣逐漸減弱。應用程序內(nèi)保護(In-App Protection，IAP)、瀏覽器隔離(Browser Isolation，BI)、一線工作人員的設備終端安全(Device Endpoint Security for Frontline Workers，DESFW)、虛擬移動基礎(chǔ)設施(Virtual Mobile Infrastructure，VMI)、桌面即服務(Desktop as a Service，DaaS)、統(tǒng)一終端管理(Unified Endpoint Management，UEM)、移動威脅防御(Mobile Threat Defense，MTD)、零信任網(wǎng)絡訪問(Zero Trust Network Access，ZTNA)處于該階段。

　　IAP是指在應用程序中實現(xiàn)的保護，用于檢測和防范惡意數(shù)據(jù)過濾、入侵、腳本注入、篡改和逆向工程等攻擊。隨著移動設備和移動應用程序的不斷發(fā)展，網(wǎng)頁也越來越多地與移動設備相連，IAP所采用的加固技術(shù)已經(jīng)成熟，但需要適應這些新的設備以及操作系統(tǒng);日益增長的用戶需求使得供應商將重點放在反篡改保護上，然而防篡改技術(shù)較新，成熟度較低;現(xiàn)代web應用程序保護吸引了更多關(guān)注，使得IAP技術(shù)成熟度最近有所下降。但是，隨著攻擊也越來越突出，以及開發(fā)人員越來越意識到IAP解決方案的可用性，采用率將會越來越高。

　　瀏覽器隔離是將瀏覽過程與最終用戶系統(tǒng)緊密分離，用來保護應用程序、系統(tǒng)、網(wǎng)絡及資源免受瀏覽器攻擊。大多數(shù)組織采用瀏覽器隔離技術(shù)方面進展緩慢，而是使用SWG形式的URL過濾來保護用戶和設備免受互聯(lián)網(wǎng)的危害。此外，瀏覽器隔離采用了會話隔離技術(shù)，但是最近激增的勒索軟件攻擊仍能通過并實施攻擊。

　　DESFW為專門構(gòu)建的設備及其用戶提供保護。當前，許多一線員工采用了完全受控、專門制造、鎖定和加固的移動設備，給設備更新和補丁維護帶來挑戰(zhàn)，使得一些企業(yè)和組織在移動應用程序周圍探索具有保護功能的個人設備。但是，這些設備比完全受控的設備提供控制更少，并可能使組織面臨數(shù)據(jù)泄漏或其他惡意攻擊。此外，一些企業(yè)和組織嘗試讓一線員工能夠訪問云SaaS應用程序，可能會面臨額外的云安全風險。

　　VMI用來提供對企業(yè)移動工作區(qū)的應用程序和數(shù)據(jù)的遠程訪問。VMI提供對企業(yè)信息的安全訪問，用戶可以快速登錄和注銷帳戶，而無需在設備上留下數(shù)據(jù)，將數(shù)據(jù)丟失風險降至最低。但是，VMI的虛擬化技術(shù)在適配iOS和Android等移動操作系統(tǒng)時存在一些局限性：1)提供有限的離線功能，需要可靠的高速連接才能運行;2)不能使用Google Play服務;3)提供了有限的實時使用本地設備傳感器的應用程序的能力，如擴展現(xiàn)實和沉浸式計算應用程序。

　　DaaS為用戶按需提供虛擬的桌面體驗。企業(yè)長期以來都對采用VDI(Virtual Desktop Infrastructure，虛擬桌面基礎(chǔ)設施)感興趣，但技術(shù)復雜性和高投入使VDI的實施變得困難。依靠服務提供商來承擔平臺擴展的風險并提供大規(guī)模計算服務，并在此基礎(chǔ)上交付應用程序，對于企業(yè)和組織才是有吸引力的選擇。另外，新冠疫情加速了DaaS的采用。新冠疫情使得場地工作由于數(shù)據(jù)中心訪問和基礎(chǔ)設施供應鏈的問題而停滯，而DaaS能夠快速實現(xiàn)遠程工作，具有價值和業(yè)務連續(xù)性優(yōu)勢。未來，即使當員工返回辦公室時，DaaS也可能會作為一種交付架構(gòu)繼續(xù)存在。

　　UEM 已經(jīng)超越了對PC和移動設備的管理，通過終端分析、身份和訪問管理以及UES工具深入集成，提供更深入的洞見。除了UEM基本功能外，許多供應商也在擴展產(chǎn)品以實現(xiàn)差異化。盡管一些客戶接受了UEM工具和現(xiàn)代操作系統(tǒng)管理，但大多數(shù)組織仍將UEM視為未來幾年中需要解決的一個路線圖項目，例如，使應用程序堆?，F(xiàn)代化以消除關(guān)鍵應用程序?qū)μ囟ㄆ脚_、特定瀏覽器或運行時環(huán)境的依賴，整合移動和終端管理團隊以消除采用UEM的政治障礙，提高員工技能以了解如何使用UEM技術(shù)解決CMT的關(guān)鍵功能。UEM的成熟度曲線正在下滑，但對UEM的興趣仍然強烈，并且是案例驅(qū)動的，因企業(yè)和組織都發(fā)現(xiàn)了管理現(xiàn)代化所需的重要過程和技術(shù)變化。

　　MTD保護組織免受iOS和Android移動設備上的威脅。大多數(shù)情況下，企業(yè)和組織將MTD與UEM集成來提高安全性。現(xiàn)在越來越多的組織在非托管設備上使用MTD，如BYOD場景中，主要是由移動網(wǎng)絡釣魚、移動終端檢測和響應(EDR)、應用程序?qū)彶楹驮O備漏洞管理等用戶案例驅(qū)動的。MTD已經(jīng)達到一定的成熟，適合廣泛的企業(yè)采用，但是當前采用速度比較慢，業(yè)界一直在等待高度可見或公開的移動漏洞尚未出現(xiàn)。在構(gòu)建UES產(chǎn)品時，通過EPP供應商提供MTD會更容易采用。MTD在經(jīng)歷一段時間激烈創(chuàng)新之后，創(chuàng)新速度有所放緩。除了應對不斷發(fā)展的移動惡意軟件變種之外，還需改善設備上的MTD用戶體驗。

　　ZTNA在應用程序或其集合周圍創(chuàng)建基于身份和上下文的邏輯訪問邊界。ZTNA早期市場產(chǎn)品更多涉及市場準入，需要新的、更完整的產(chǎn)品才能支持更廣泛的應用程序和協(xié)議。隨著越來越多的企業(yè)和組織在轉(zhuǎn)向遠程工作，基于硬件的VPN顯示出了局限性。而ZTNA能夠支持靈活的VPN訪問、支持本地和云中對應用程序進行精確訪問以及對會話進行控制，引起和企業(yè)和組織的廣泛興趣。ZTNA供應商繼續(xù)吸引風險投資資金，促使更多的新創(chuàng)企業(yè)進入日益擁擠的市場，尋求差異化的途徑。并購活動正在ZTNA市場上進行，幾家初創(chuàng)企業(yè)供應商已經(jīng)被更大的網(wǎng)絡、電信和安全供應商收購。

2.4 穩(wěn)步爬升期

　　穩(wěn)步爬升期意味著技術(shù)被越來越多企業(yè)和組織實踐，人們真正了解了技術(shù)的適用性、風險和好處，并且技術(shù)的開發(fā)過程因商業(yè)化的方法和工具而簡化。數(shù)據(jù)清理(Data Sanitization)、安全即時通信(Secure Instant Communication，SIC)、終端檢測和響應(Endpoint Detection and Response，EDR)、安全Web網(wǎng)關(guān)(Secure Web Gateway，SWG)、云訪問安全代理(Cloud Access Security Brokers，CASB)、企業(yè)數(shù)據(jù)通信安全(Secure Enterprise Data Communications，SEDC)處于該階段。

　　數(shù)據(jù)清理是有目的、永久的且不可逆轉(zhuǎn)的刪除或銷毀存儲設備上的數(shù)據(jù)，使其不可恢復。隨著存儲介質(zhì)容量不斷擴大以及邊緣計算和物聯(lián)網(wǎng)設備數(shù)量不斷增加，人們對數(shù)據(jù)隱私和安全性、泄漏、合規(guī)性遵從的擔憂，使數(shù)據(jù)清理成為所有IT組織的核心級要求。全面的數(shù)據(jù)清理要求將適用于所有具有存儲功能的設備，如企業(yè)存儲和服務器、PC、移動設備，以及越來越多的邊緣計算和物聯(lián)網(wǎng)設備。如果企業(yè)和組織缺乏這種魯棒的數(shù)據(jù)清理能力，通常是因為將資產(chǎn)生命周期階段作為孤立事件對待，財務、安全、采購和IT之間缺乏協(xié)調(diào)。對于移動設備，遠程數(shù)據(jù)擦除功能通常通過MDM(Mobile Device Manager，移動設備管理器)實現(xiàn)，盡管這種遠程功能不應被視為故障安全機制，但對于大部分丟失或被盜的移動設備，可靠性足夠。

　　SIC為即時通信形式(如即時消息、文本消息、語音和視頻通信)提供保密性和數(shù)據(jù)保留，支持智能手機、平板電腦和個人電腦等多種類型設備。SIC大多作為設備上的應用程序?qū)崿F(xiàn)，能夠在數(shù)據(jù)通道上使用加密。SIC已經(jīng)隨著底層移動操作系統(tǒng)的成熟而成熟，能夠滿足網(wǎng)絡性能、電池消耗以及密鑰管理和加密的要求。為了能夠與主流企業(yè)通信企業(yè)競爭，用戶體驗是接下來需要改進的主要方面。數(shù)據(jù)保留功能因支持法規(guī)遵從性的監(jiān)視和歸檔以及確保安全的即時刪除，變得越來越重要，甚至開始作為集成到第三方即時通信應用程序，如微信和WhatsApp。

　　EDR能夠用來檢測和調(diào)查安全事件、阻斷攻擊。EDR是任何終端安全策略的主要模塊，并不局限于成熟的安全運營組織。EDR的采用越來越多是因為高級威脅越來越多以及EDR產(chǎn)品內(nèi)置自動化、編排和功能管理的能力不斷提升。EDR的相關(guān)特性正在越來越多地集成到更通用EPP中，如通過增加基于行為的檢測和基本威脅狩獵功能。同樣地，EDR也在融合其他產(chǎn)品特性，如在其核心檢測和響應功能中增加了保護功能。在未來兩三年內(nèi)，云交付的終端安全解決方案將取代傳統(tǒng)的本地(主機服務器)架構(gòu)，進入主流市場。一些廠商正在將網(wǎng)絡遙測、電子郵件和Web安全產(chǎn)品結(jié)合起來，進行數(shù)據(jù)富化從而增強檢測能力。XDR實現(xiàn)了與其他安全工具的集成，正利用高級分析來識別未知威脅并揭示戰(zhàn)術(shù)和技術(shù)，提供更高的檢測效率。

　　SWG利用URL過濾、ATD(Advanced Threat Defense，高級威脅防御)和惡意軟件檢測技術(shù)強制執(zhí)行互聯(lián)網(wǎng)策略遵從性并保護企業(yè)和組織的網(wǎng)絡安全。隨著云計算服務的發(fā)展，SWG已經(jīng)發(fā)展到了啟蒙階段，基于云的SWG服務的查詢量超過基于設備的SWG的查詢量四倍多。SWG的市場前景樂觀，企業(yè)和組織繼續(xù)從云安全服務提供商尋求更通用的安全服務。隨著供應商將CASB、ZTNA、RBI(遠程瀏覽器隔離)等服務添加到其可用產(chǎn)品列表中，SWG市場將繼續(xù)發(fā)展。

　　CASB為SaaS和IaaS中的可見性、數(shù)據(jù)安全、威脅保護和合規(guī)性評估提供云治理控制。，供應商之間應用一致的策略，提供功能豐富的產(chǎn)品，增加了云的可見性，CASB已經(jīng)成為采用云計算技術(shù)的企業(yè)和組織的普遍選擇。但不同供應商之間的產(chǎn)品差異化越來越小，一些供應商努力超越SaaS治理和保護，開始支持IaaS應用程序自定義、CSPM(云安全態(tài)勢管理)以及UEBA(用戶和實體行為分析)功能。領(lǐng)先的供應商仍在進行大量投資，這有助于市場的迅速成熟，而獨立的供應商表現(xiàn)出持續(xù)創(chuàng)新和廣泛的市場影響。

　　安全企業(yè)數(shù)據(jù)通信為網(wǎng)絡和應用程序提供加密和認證的“虛擬”連接。最近遠程工作的激增使得虛擬專用網(wǎng)(VPN)成為IT中最重要的技術(shù)之一。VPN技術(shù)是比較成熟和平穩(wěn)的，但由于帶寬有限和硬件限制，遠程訪問VPN訪問具有挑戰(zhàn)性，迫使相關(guān)基礎(chǔ)設施向云端推進。因而，安全瀏覽器的應用程序和其他使用TLS的應用程序成為事實上的標準。SDP(軟件定義的外圍設備)、SD-WAN(軟件定義的廣域網(wǎng))和云應用提供商正在搭建各自的虛擬隱私連接。CASB正在云中創(chuàng)建相當于企業(yè)網(wǎng)關(guān)的云，能夠進行集中身份管理并對業(yè)務用戶目的地進行受控加密連接。ZTNA也是VPN的潛在替代品，因為用戶遷移到云應用程序上，不再需要傳統(tǒng)的本地訪問。

2.5 生產(chǎn)高峰期

　　生產(chǎn)高峰期意味著技術(shù)的實際好處已被證明和接受，并隨著工具和方法進入第二、三代而越來越穩(wěn)定，越多越多的客戶對實際的使用效果感到滿意，客戶規(guī)模開始快速增長。當技術(shù)進入這一階段時，大約20%的目標客戶已經(jīng)或正在采用該技術(shù)。終端保護平臺(Endpoint Protection Platforms，EPP)處于該階段。

　　EPP針對現(xiàn)有和新出現(xiàn)的威脅和漏洞利用進行保護，包括針對惡意軟件的保護、基于文件和無文件的攻擊、使用行為分析識別和預防威脅、已知應用程序、進程和腳本的白名單，以及對終端配置的調(diào)查和報告。EPP市場已經(jīng)適應了高級威脅和隱蔽的攻擊者。目前，組織將重點放在防止未知和無文件攻擊上，并將機器學習和基于云的查找技術(shù)作為基于本地簽名識別的替代方案。EPP使用方便，資源利用率低，維護工作量少。未來，EPP市場的主要發(fā)展方向是更易于部署和管理的云本地解決方案，以及能夠識別零日威脅的基于行為的檢測和分析技術(shù)。但是，本地操作系統(tǒng)的安全性改進保護了憑證，防止了內(nèi)核攻擊，可以隔離瀏覽器和應用程序，實現(xiàn)了漏洞管理和強化，正在侵蝕EPP供應商的業(yè)務范圍，并將攻擊者的焦點轉(zhuǎn)移到應用程序的安全漏洞和終端用戶的不可靠上。若高級威脅變得更加隱蔽，仍然需要EDR來檢測和響應，否則這些威脅將繞過僅依賴于預防和保護的EPP工具。（虎符智庫）