本文转载自微信官方账号“数世咨询”(ID:dwconcn)。
2020在人类现代社会历史的第一年,世界上第一次大规模流行疫情。这样的黑天鹅事件对未来的世界有着深远的影响。再加上不可逆转的中美关系,在今年百年的巨大变化下, 我们的生活和工作发生了巨大的变化。
2021年,即将来临,展望新的一年,我们有更多美好的愿望和憧憬。2020年发布端点安全十大趋势后,我们结合国内实际情况和对大量客户的实地调研,发布了2021年十大端点安全趋势。
趋势一:从BYOD 到 BYOPC
过去十年是移动互联网的黄金十年,依托移动互联网和移动智能设备的发展,移动营销、移动办公、移动展览、移动在线学习业务快速发展,为客户提供更直观、及时、人性化的服务体验,充分利用员工碎片化时间,大大提高内部协作效率。
今天,个人移动智能设备作为信息查看、确认和简单处理的载体,每个人都可能有笔记本电脑、平板电脑、手机等作为生产力设备,BYOD更多的时候就是指这部分设备。而传统的笔记本类管控还是比较严格的,面临即时申请,访问权限及时收回等情况。
2020随着年疫情的突发,企业大部分员工被困在家里,企业被迫暂时大量放开虚拟专用网络的远程访问权限,员工通过自己的台式机和笔记本在家工作。但由于部分个人设备的安全性得不到保障,很多企业发现病毒木马可以借助虚拟专用网络通道进入内网,黑产品也利用疫情投放有针对性的社工病毒,进一步加剧了网络安全问题。而且企业数据存储在个人PC更容易导致数据泄密。
中国疫情分阶段结束后,意识到疫情复发会对企业业务产生影响,以及远程办公、移动办公、家庭办公在激发员工主观能动性、提高时间利用效率、节约企业运营成本等方面的巨大优势。此外,员工对远程办公的进一步需求,远程办公的规范化战略等因素进一步刺激了远程办公的增长。
以上因素也催生了新一轮终端安全控制系统,因此Gartner在2020年端点安全技术成熟度报告中,正式提出BYOPC Security,随着该领域计划的成熟,相信越来越多的企业可以在未来十年随时随地实现办公战略,进一步推动数字化转型。
趋势二:零信任网络访问从分歧到融合,从少量场景验证,到全面融入。
如果说今年最热门的安全词,恐怕不是零信任。从2010年开始,研究机构Forrester首席分析师约翰·金德维格(John Kindervag)提出零信任这个词已经十年了。在过去的十年里,国内外企业基于对零信任安全框架的理解,进行了技术探索和布局,从各个维度基本整合,特别是随着NIST及其下属单位NCCOE发布的零信任架构正式版本和实施方法逐渐统一了行业对零信任的认知。
图1 NIST NCCoE 正式版《实现零信任架构》(2020年10月发布)
- 零信任定位:零信任架构不是单一的网络系统架构和产品。它是一套完整的网络基础设施设计和运行指导原则,用于提高网络安全的整体能力。
- 零信任目标:零信任架构的核心是重建访问控制,为动态变化的人、终端和系统建立新的逻辑边界。
- 零信任现状:目前,制造商和企业积极讨论如何在暴露收敛、远程办公、远程操作和维护、跨网络访问、多云访问等场景零信任。
- 零信任未来:以零信任架构的核心组件为中心,在不同场景下叠加不同的功能组件,将零信任理念融入企业的各种安全场景。未来零信任是企业未来安全建设的主要技术理念之一。
在2020年网络安全产业全景图中,信通院以零信任为一般技术理念(见图 2)。
2020年中国网络安全市场全景图分类架构图
总的来说,零信任范围很广,可以用于终端安全和网络安全。目前成熟的场景是终端到资源的访问控制, 也是企业实践零信任的第一步。可以预见,企业在远程办公、远程运维、虚拟专用网络替换、多云访问等场景下验证零信任网络访问的核心组件后,会逐渐扩展到其他终端访问资源的场景。
趋势3:虚拟专用网络ZTNA(也被称为SDP)加快替代速度
虚拟专用网(Virtual Private Network)它是一种广泛应用于安全远程用户访问控制的常用技术。该技术结合多因素身份认证,对传统边界企业、静态用户和服务器资源具有良好的效果。Gartner调查报告称:DMZ传统的虚拟专用网络是为90年代的网络设计的,由于缺乏保护数字业务所需的敏捷性,它们已经过时。
首先,虚拟专用网络为分配的网络提供了非常粗粒的访问控制。它们的目标是让远程用户的行为就像在本地网络上一样,这意味着所有用户都可以访问整个虚拟局域网VLAN进行完整的网络访问。尝试配置虚拟专用网络,为不同用户提供不同层次的访问是不现实的。它们不能轻易适应网络或服务器集群的变化。虚拟专用网络根本跟不上当今企业动态发展的需要。其次,即使公司对虚拟专用网络提供的控制水平感到满意,虚拟专用网络也只是控制远程用户的竖井解决方案——它们不会帮助保护本地内网中的用户,这意味着组织需要一组完全不同的技术和策略来控制本地用户的访问。这将使协调和匹配这两个解决方案所需的工作量翻倍。此外,随着企业采用基于云计算的混合计算模型,虚拟专用网络更难有效使用。
最后,在设计之初,虚拟专用网络主要考虑组件虚拟专用网络的访问,但在远程办公场景中缺乏对企业数据的安全保护,容易出现数据泄露问题。
基于此,Gartner在2020年的ZTNA(Zero Trust Network Access )市场指南还指出,到2022年,80%的新数字业务应用程序将通过向生态系统合作伙伴开放ZTNA访问;到2023年,60%的企业将逐步淘汰大部分远程访问虚拟专用网络,转而使用ZTNA。
然而,由于疫情驱动的远程办公需求,虚拟专用网络是国内大型攻防演练的第一天0day目前,大多数用户正在考虑使用漏洞的影响ZTNA替换虚拟专用网络,加快此过程。
趋势四:ZTNA会促进UEM的发展
统一端点管理(Unified Endpoint Management,简称UEM)是Gartner定义的区别在于EPP另一个细分市场的初衷是强调包括异构在内的市场PC、统一管理移动终端。
随着操作系统的演变,原来的PC与移动终端的技术差异正在逐渐缩小,在企业中Windows在过去的十年里,应用程序的数量一直在缓慢下降,取而代之的是基于浏览器或与操作系统无关的程序。以资源保护为核心的零信任安全架构BYOD、BYOPC与整个设备的管理相比,企业的广泛使用IT管理者将越来越重视管理应用程序的访问和数据保护,零信任架构的实施使企业能够统一、精细、动态地授权所有设备访问企业资源。因此,2020年ZTNA市场指南指出,企业在评估如何实施零信任网络访问时,必须考虑UEM的重要性。
图3 Gartner ZTNA在实际调查过程中,市场指南 2020发现,大多数客户通常会在远程办公、互联网暴露收敛等场景中PC考虑到移动智能设备,零信任架构的实施使得UEM需求更迫切。
但国内外对UEM实现路径差异很大。
几年前,苹果开始了Mac OSX中加入MDM API,微软首先在Windows 8.1中引入了EMM API,并在Windows 10中进一步扩大。EMM便可以非常便捷的管理PC和Mac。所以国外的UEM更多的制造商是移动安全制造商,如MobileIron、黑莓等都是从MDM到EMM再到UEM。
图4 UEM目前国内发展的三个阶段UEM很少有制造商。一方面,国内基于PC另一方面,国内企业对移动终端的本地应用程序仍有较大的规模,转型需要时间。PC端的管控要求非常复杂,很多原生的API不足以满足控制要求,大多数客户也希望混合访问IoT统一管理终端,绝大多数EMM厂商不具备PC终端和IoT终端的控制能力导致国内EMM厂商往UEM转型很少。所以国内UEM厂家一般都是少数同时拥有的EPP和EMM产品制造商来落地。
趋势五:UEM与UES它将被整合和行动ZTNA的核心组件
通过上面UEM介绍,可知UEM安全属性不多,所以Gartner在今年的《Hype Cycle for Endpoint Security, 2020年提出UES一词。
图5 2020年端点安全技术成熟曲线
虽然Gartner针对UES定义的范围很广,目前还处于萌芽阶段,但作者更愿意认为,在UEM在着陆过程中,除了运维团队希望统一管理端点外,安全团队还希望从端点分析整合中提供更深入的身份和访问管理见解,或更好的安全运营支持。
特别是随着零信任架构的实施,PC终端和移动终端在身份验证、环境感知、信任评估、动态授权、基于用户行为分析和安全事件之间的相关性非常强UEM统一的设备管控能力、数据采集能力是UES使用移动端强身份属性和更好的安全性作为必不可少的选项PC补充端的安全属性是一个不错的选择,比如推荐移动端扫码认证PC端身份认证,或使用移动端确认作为身份一致性验证,或当PC在发生终端风险后,利用移动终端的设备优势进行更高强度的二次身份认证,以确定是否可以继续访问企业资源。
未来UES发展的价值在哪里?作者认为,如果它只被用作EPP、EDR以及XDR实践意义不大。UEM与UES融合后,将作为ZTNA支持重要核心组件ZTNA着陆已成为企业安全运营中心的主要安全数据来源之一UES最大价值。
趋势六:EDR面对零信任架构下的新机遇
Gartner从2013年提出ETDR,2015年正式命名EDR,2017年正式发布EDR2018年市场指南Gartner将EDR从补充功能到端点安全的必要功能,每年纳入端点安全十大安全项目,其重要性不言而喻,因此Gartner预计到2020年,80%的大型企业、25%的中型企业和10%的小型企业将投资部署EDR。同时CrowdStrike超高估值也是如此EDR市场很好的证明。
但是跟国外EDR快速发展在中国是不同的PC终端侧的EDR与国外相比,发展相对缓慢,不同的客户群体也有不同的性能因素。对于大型企业,主要原因如下:
- 国内大型客户的终端管理非常复杂,任务繁重,基于员工普遍抵触在终端上做过多事情的前提下,很多都是优先从网络侧做,所以网络侧威胁检测发展较快;
- 国内很多大客户都有很多网络,其中生产办公网一般不允许上网,所以大部分威胁都是从外部攻击,尤其是国内的大规模攻防演习,加剧了这个问题CWPP(也叫服务器/云主机侧EDR)快速发展;
- 国内外的文化差异也不同。鉴于端点单点的威胁,我国可以及时采用行政手段进行强有力的干预和严格的控制。从影响层面来看,优先级一般。
所以基于检测类EDR,一般作为企业整体安全运行的一部分,提供更全面的威胁分析数据、更好的安全可见性和处置手段。
对于中小企业来说,高级威胁大多是勒索病毒,所以EDR更多的是下一代杀毒或整合传统杀毒的方法。作为防御勒索病毒的主要产品,它与XDR基于明确成熟的威胁防御用例,开箱即用的功能和持续的安全服务是一脉相承的。
然而,这种情况可能会被当前的零信任架构所改变。一方面,零信任架构的实施使企业更加敏捷地登上云端PC移动设备接入网络环境的多样化,以及更多的个人笔记本接入,大大增加了威胁,这是非常必要的EDR提供更强大的威胁检测。另一方面,可信访问代理的广泛使用改变了传统的网络访问路径,要么加密链接,要么在转发后失去源头IP因此,在未来基于零信任架构的安全系统中,EDR它是环境感知、威胁检测(至少是核心数据源)的核心组件,传统网络侧检测产品的应用场景将减少。
趋势7:从防御到检测再到扩展检测(XDR)
Gartner检测响应项目的新发现指出,检测响应不仅指终端,还包括整个检测响应项目:
- 面向日志的检测和响应技术(SIEM)
- 面向端点的检测和响应技术(EDR)
- 面向网络的检测和响应技术(NDR)
- 面向欺骗的检测和响应技术
- 面向运营的测试和响应服务(MDR)
随着这些产品和服务的成熟,从行业动态来看这些产品逐渐走向融合,如我们熟知的Elastic已收购名称EDR厂商Endgame,业内做SOC、SIEM制造商也开始推出自己EDR、NDR通过统一的威胁检测框架(如产品)ATT&CK),实现更多维度、更多位置、更全面的检测,实现威胁的自动响应和统一安排。XDR不是新名词,Gartner在今年将XDR十大安全项目自然成章,甚至有点晚,XDR端点安全(见图5)和安全操作(见图6)也有两条技术趋势曲线,未来可期。
图6
Gartner给XDR的定义是:
从定义的角度来看,作者认为这是如何实施测试响应产品的想法。目前,这类产品最大的问题是高度依赖安全专家。因此,中国真正能够启动这类项目的是安全能力强的龙头企业。同时,这些龙头企业也在根据自己的安全规划进行安全规划XDR只是应用深度的问题。XDR提出可以为大量中小客户提供基于云威胁分析的综合、完整的检测响应产品和安全服务。
但在产品和检测分析维度上的联动是第一步,XDR本质应该是Cross,基于威胁线索,无缝跨越多个检测产品才是真正的目标。目前还没有明确的答案如何实现这个目标,所以目前XDR商业模式和营销应该更多,毕竟技术上没有什么新的。
趋势八:准入控制和ZTNA融合
准入控制作为设备访问企业网络的安全边界,一直是企业的安全基础设施之一,但访问控制以网络为中心,零信任以企业资源为中心,但两者的概念类似于零信任,默认不相信任何设备,必须经过严格验证,才能允许访问。因此,两者都有身份验证、环境感知、信任评估、动态最小授权等环节。严格地说,这些链接有重复的部分。在具体的着陆过程中,我们必须考虑如何统一它们,以给用户最好的体验和最低的性能成本。
从企业网络安全的角度来看,两者解决的问题并非冲突,准入控制主要保证了企业网络基础设施使用的安全,ZTNA主要解决企业资源访问的安全问题Google零信任实践项目BeyondCorp(见图 7)企业网的第一步也是准入控制(802.1x)。
图7 BeyondCorp组件和访问过程
趋势9:个人信息保护将促进整个行业对数据安全的重视
今年11月,一家快递公司披露了内部员工泄露的案件。该公司的五名员工以每天500元的价格租用了他们的员工账户,导致了超过40万条个人信息泄露。这些信息包括发件人和收件人的地址、姓名和电话号码。根据犯罪团伙的供述,这些信息将以每1元的价格包装并出售给全国和东南亚等电信欺诈高发地区。
在今年的《个人信息保护法(草案)》第七章中规定情节严重的违法处理个人信息的行为将会被惩罚金额为五千万元以下或者上一年度营业额5%以下罚款;对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款。
在草案草案公布的同一天,许多银行吃了“侵犯消费者个人信息”罚款总额4188万元,相关责任人罚款1.75信息保护已成为国家和社会关注的焦点。
明年,随着《个人信息保护法》的出台和发布,中国隐私权和个人信息保护的新时代将开启。为了更好地满足合规要求、客户个人权利和企业自身管理的需要,企业需要进一步从全面的角度加强个人信息安全和隐私保护的能力,特别是通过零信任和数据泄露相关技术,防止访问、使用、存储和发送客户个人信息。
趋势十:企业在选择端点安全产品时,应考虑信创终端
在中美关系不可逆转的背景下,信创行业一直呈现出稳定快速的发展趋势,从个别行业试点,扩展到各行业领先客户试点,相信明年扩张速度更快,影响更广泛,终端安全产品部署周期一般超过三年,因此必须考虑信创终端的支持。