得终端者得天下

这句话应该是移动互联网时代众多厂商角逐下共识的一个真理，如今放到网络安全产业，这句话的威力也逐渐显现。早在07年，那个男人用一款名叫iphone的手机，逐渐带我们看清了移动互联网发展的本质“云-网-端”。而回到今天我们发现，越发敏捷的数字化业务下，是更加云化、SAAS化、多元的IT基础设施；传统边界在更好地连接用户/业务这一使命下早就变得模糊。曾经安全厂商卷盒子的好日子，随着业务云化、无界办公、以及越发复杂的数字化业务转型下，一去不复返了。而甲方也逐渐抽象出“基础网络安全的核心无非就是保护业务的主体和客体（A—>B），以及控制业务的网络连接” ，因此更好地保护离散网络下的终端和工作负载就变得很重要。

而从攻击的角度来看，攻击技术的“服务化”和“平民化” ，导致广泛用户所面临的攻击不再是像以往简单的病毒和web入侵，例如：无恶意软件攻击（Malware free)持续上升 ，身份、钓鱼作为主要攻击入口；勒索攻击开始不使用勒索软件，而是使用合法的加密软件、Windows自带的BitLocker。很多勒索软件甚至也都不存在C2通讯。而这些攻击技术的变化给网络检测带来了较大挑战。防御类产品甚至都看不到攻击的行为/痕迹，更不要说检测和防护 ；流量检测类产品一般对数据片段进行孤立匹配检测，而高级的攻击技术往往就是基于这些孤立的点进行绕过，把自己淹没在正常的业务数据或行为中，导致要么无法检测要么误报很高。在此背景下终端和工作负载的检测权重就变得很高了。

  其实这么多年，一直在端点领域都有新的概念产生，每隔几年就有新的饼。从开始的传统防病毒（AV），到后面端点防护平台（EPP）、工作负载保护平台（CWPP），再到端点检测响应（EDR）。很多客户还在纠结自己买的终端安全是不是所谓EDR时候，近期又看到厂商开始卷统一终端保护平台（all in one）。我不禁想问：啥时候是头， 到底我们需要一个怎么样的端？

来源：Gartner

站在广泛用户的视角来看，用户的需求是纯粹的：“agent足够轻、无侵害，最好别装agent。产品功能侧最好足够多，最好把所有的功能都包含”, 哈哈，听起来是不是五彩斑斓的黑那个感觉又上头了。如果我们把端点产品的需求，分解为两个系统的需求来看，可能会清晰一些。

agent能力

A、首先是轻量、稳定，兼容性好（包括操作系统兼容、软件/中间件，多类型基础设施兼容）。当然这里面有干扰指标，我们看到国内厂商各种吹嘘agent大小和CPU/内存占用，而终端深水区一直是“高检测运行状态下的系统占用，驱动/接口抢占，以及数据传感器上报时的网络占用”，当然自杀机制是一个较好缓解方案（当遇到系统抢占/资源超限时agent自动让步）。

B、其次是强大的数据采集能力，之前有提过数据是安全分析的前提，终端安全的本质也是卷数据采集覆盖面，尤其是业务无侵害和低侵害的情况下尽可能提高数据采集面，包括像驱动、内存、内核监控都是比较废研发的领域。另一个就是之前在分享XDR的时候有讲过“数据采集时尽可能保留数据关系，单点的数据价值一定是远远小于有关系的多点数据价值的，与其采集之后在耗费庞大的算力进行计算关联，保留原始的数据关系对于进一步数据分析意义重大”这也会影响未来端点安全产品在进行分析和调查时的技术路径。

C、轻端重云应该是所有厂商目前已经达成共识的一个认知，但是该模式下就衍生另一个核心技术：端点的数据上报机制。如果一个端点每天要上报上百兆的遥测数据，你受得了。所以我们看到有很多优秀的厂商在数据压缩，关系数据转图上报等领域构建出了较好的技术积累。

D、响应所需的阻断能力集成，包括文件、网络、进程等阻断能力。除此外集成一些远程响应工具也是可以有效应对复杂场景的处置需求，例如远程命令连接到主机，手工进行端点修复，或者下发脚本执行对应动作。

E、保证端点轻量稳定的同时平衡离线检测/分析能力：尤其当agent需要具备一定的病毒、漏洞攻击、数据泄密的拦截和防御能力时，就需要具备基本的离线检测能力，对产品引擎侧设计是比较考验的，否则只能全部数据都丢给服务端。

F、在云基础设施领域，需要具备针对工作负载和容器的运行时安全保护，以及和部署上线和devops集成。

G、在终端领域，除安全诉求外，用户所期望的统一集成认证、鉴权、访问控制（零信任），终端管控，数据泄密管控等多项agent能力，我们先不谈论全集成这套方案的优劣，毕竟世界上没有只有好处的万能方案，后面我们展开论证。

管理视图能力

A、端点安全能力，包含防病毒，入侵终端防御，终端高级威胁检测，包括上文说的通过强大的数据采集实现有效的检测、调查取证，以及高可见性数据下的威胁狩猎。当然背后还包括基于情报提升威胁检测能力，像基础IOC、文件样本情报，威胁行为情报。还有通过沙箱执行监控，主动诱捕检测/防御类手段提升威胁对抗能力。

B、端点资产及脆弱性发现，包括工作负载资产上的资产、应用、漏洞发现与评估，以及终端上的用户、账号发现，从而获得端点IT属性类数据的可见性。

C、终端管控，包括像外设管理，软件/程序管理，主机安全策略，行为审计，桌面管理等运维管理功能。

D、云安全管理，包含云内的资产及风险可视化，合规性监视，云基础设施的配置监控。

E、如果将准入/身份、数据管控能力集成进来，端点管理能力还要包含身份管理，策略管理，基于身份和行为的风险管理，以及对应的数据泄密和策略管理。

从用户的期望来看，一个端覆盖所有安全团队所需的功能，从愿景上讲是很美好的，但是功能集成的越多一定程度上会牺牲agent侧的稳定性和轻量化，单点故障还会引发影响全局功能，以及集成解决方案的更新和升级会很麻烦、再就是单一供应商依赖绑定问题。那在端点安全领域，优秀的安全厂商是怎么做，我们可以展开聊聊。

优秀安全厂商最佳实践

通过平台思路设计端点安全方案，聚焦安全最纯粹的攻防对抗需求，然后通过较好的开放性集成其他端点安全管理模块，满足用户整体终端安全诉求。

来源：crowdstrike

轻量化的终端

1、轻端重云的架构，将大量计算转移到服务端计算。

2、agent本身设计时的轻量化改造工程。

3、agent采用事件驱动的方式来收集数据，只有在检测到潜在威胁或者重要事件发生时，才激活数据收集和分析过程。类如：关联与指定文件访问对应的多个进程动作时，通过关联行为来检测恶意软件；又或者根据可执行文件拉起进程启动的所有线程是否创建可疑行为来判定恶意软件。

4、在加固和预防领域，并非完全依赖本地库实现防御，进而保障agent防御能力又不像传统杀毒那么重。例如：根据字节训练神经网络模型来识别恶意软件，利用数据的前N个字节内容，无需全文检测，在文件完全下载之前提供系统安全保护。

5、通过主动诱饵、加密的主动防御手段来代替全网文件监控，以应对勒索软件类似的恶意软件攻击。

6、本地数据采集后进行智能过滤，通过引入AI/BA算法对原始数据进行处理，将数据加工成threat graph，然后把events上传到云端，进而极大减缓海量数据上传给操作系统和网络带来的压力。

7、一次收集，多次数据使用，尤其多个集成的功能模块需要共用相同的数据内容时，agent尽量采集一次数据，数据上云后由云端进行并行/异步处理。

聚焦解决端点高级威胁检测分析时的能力短板

这部分如果之前看过XDR那一篇分析，其实就比较有感触，无非就是高质量的数据和好的分析引擎框架。

数据采集：

终端安全的本质也是卷数据采集覆盖面，尤其是业务无侵害和低侵害的情况下尽可能提高数据采集面。而终端数据采集也是深水区，想要尽可能提高ATT&CK对应的数据覆盖面还是有很多障碍的，例如：内核无法抓取用户模式数据，内核代理无法收集RPC/LPC接口调用数据，存储器访问数据和处理器单独指令无法钩取等等，都是需要投入大量的技术创新进行因地制宜的更改数据采集方案。

创新的威胁检测引擎应对高级威胁：

通过无监督提高文件泛化能力，通过AI学习数据全文内容提高威胁检测，通过行为图中的所有相关信息进行检测（检索图形数据结构节点和边缘的相关数据行为）-IOA技术。通过跨租户的社区共享机制检测单一实体、关联威胁；或者引入更广泛的云端检测工程（与此同时SAAS化的交付模式也更契合上文提到的更加离散的端点分布）。

扩展多样的检测能力引擎：

当终端上能采集到身份登录，应用访问，数据外发等数据时，身份决策分析引擎、数据安全决策分析引擎也都可以于此数据基础上构建起来。典型的类似：用户异常行为分析，登录频率和违规登录分析，访问频率和访问违规分析，异常文件下载行为分析，大规模数据外发分析，敏感数据外发分析等。

高质量的关系数据支持调查，弥补检测能力：

随着攻击技术的进步，想要整个路径都能检出是比较困难的，比较好的思路是即使当端点有检测能力缺失，可以基于弱信号的告警/情报触发去调查溯源出整个单端的攻击行为，或者跨端的影响面。

而为了提高查询效率、降低调查门槛，相比一个个单点的数据，有关系的数据关系对于调查的意义是重大，尤其是要支持用户画出整个威胁攻击路径。以调查一个powershell为例：

除了crowdstrike的强大调查狩猎能力外，另一家cybereason“哪里不会点哪里”的调查的体验同样也让人兴奋

当然如果当数据的范围扩展到不只是端，包含端、流量、身份、邮件等多样化高质量数据，那基于全量数据进行调查狩猎的魅力就会被彻底体现出来，而不可否认的是端点数据是目前看到最重要，也是投资收益最大的一项。

通过平台思路满足集成端点安全诉求

在讲集成之前，我们回过头来看用户那个统一终端集成的诉求“ALL in one”。这个诉求其实背后有几个原因:

A、装太多agent后操作系统占用问题。

B、多个终端的管理和运营障碍-最大的还是客户侧反复安装和感知的问题。

C、端点安全威胁及其他管理能力可以整合，有一个能力合集来解决甲方遇到众多安全问题，包含威胁对抗，违规检查，数据泄露检测，以及维护基线安全策略”。

 这么看其实集成的关键问题主要就以下几点：

A、agent侧尽量不重复采集数据/引用端点上的接口，保障用户侧体验/业务侧的轻量侵入和稳定运行。

B、agent部署时可以快速拉起，不因为多个能力部署带来分发、安装、重启等运维压力，并且不产生太多用户/业务强感知的端点软件前端视图。

C、管理端能力侧使用数据时，一次采集多次使用，满足客户威胁分析、身份鉴权决策、异常违规、数据泄露分析时的场景诉求。多个场景功能之间通过较好的数据标准、指令标准对接，尤其不同决策分析能力之间的数据调用。以及需要与agent交互时，涉及到的响应、阻断、身份拦截/下线、策略下发等动作”

而解决上述这些问题，并不一定要追求整合单一端点系统能力，而是通过平台思路来进行集成。而平台思路和传统单品思路最大的区别也是在于，不过分追求整合的单品能力完善性，而通过系统分解的方式获得不同的能力，从而融合一个完整的解决方案覆盖整个端点安全的需求 。

A、分析不同场景能力，agent侧哪些可以解耦，哪些不能解耦：

1）例如威胁分析、违规分分析，响应处置，辅助决策相关场景可以解耦，定义好数据采集侧做哪些，平台引擎侧做哪些，统一响应接口做哪些，然后尽量保证数据采集一次，平台侧引入多引擎进行计算分析。

2）例如杀毒，桌面管理、终端管控，身份准入/认证不能解耦，那尽量应用最纯粹的对应功能的agent（同一厂商品牌/生态可能就是解耦出来不同的进程，按需订阅，就像crowdstrike的single-agent，实现cross-sale），尽量不要在agent侧产生大量的功能交集，最终缝合的很重，拖慢用户体验。典型就是PC端点类产品，每个厂商多少都有点杀毒，各类产品都带一些桌面管理功能，全部能力还不能解耦也无法剔除。但是这一现象在改变，我们看到很多强势的客户对厂商端点有瘦身的要求，也倒逼了这些厂商在聚焦，包括之前应用sysmom的甲方，现在也能找到一些商用更强大的高级威胁采集的agent。

B、分析满足安全场景需要哪些能力，是要增补数据，还是增补引擎。

1）增补数据时可能会存在现有agent的能力就是短期无法补上，那要不就是替换，要不就是能接受装一个新的采集终端，并平衡好两个agent的分工；而对于乙方做产品这个就比较自然，持续提升agent的数据采集能力，本身就是分内的工作。

2）而引擎缺失补齐的手段有多种，如果一整块的能力缺失最好的方法就是买现成的平台快速覆盖，而子项能力的补充可以外挂不同的产品/引擎集合来补充，无非就是编排数据即可；而对于乙方投资也是，我相信在不久的将来不断搬新盒子、买新单品的日子一定会比较难受，能力订阅是大势所趋，持续客户经营并快速能力订阅的路径一定会筛选出优秀的安全公司。

其实我们也看到海外的端点安全解决方案做着做着都变成了一个综合安全大数据平台/XDR，包括国内很多头部的银行，也慢慢通过把agent、管理平台分离，然后构建起了“一端多引擎，能力解耦（agent和引擎/平台能力可以由不同的厂商提供，集成提供整体安全能力）”的端点安全保护能力。而在未来那些抓住端点重要性，并依托端点构建好能力演进路线，持续投资出核心竞争力的甲方/乙方，一定会更加从容。

今天主要就分享这些！

原文始发于微信公众号（随风四千里）：得终端者得天下