2023年8月10日，第十一届互联网安全大会（ISC 2013）在国家会议中心召开，数世咨询高级分析师刘宸宇在企业级浏览器与终端安全论坛上正式发布《一体化端点安全能力白皮书》。

▲数世咨询合伙人、高级分析师刘宸宇

　　数字化转型带来的数字办公，意味着越来越多的工作是在数字化环境中完成。面对终端安全多样化威胁场景，将多样化的终端安全需求（如终端管理、防病毒、EDR、终端DLP、身份安全等）融合在单一终端安全产品中，以极简交付方式，为用户提供一体化的终端安全能力。可以说，一体化的端点安全防护解决方案则会成为未来的主要方向。

　　本报告中，数世咨询对一体化端点安全（Integrated Endpoint Security）描述如下：

• 以统一管理平台与单一agent为终端PC及其他多种端点类型（如服务器、智能设备/移动设备、IoT终端等）提供一体化的安全解决方案。一体化能力应当包括但不限于：终端管理、安全准入、防勒索、AV/EPP、漏洞管理、终端数据防泄漏、威胁检测与响应等。

•  以All in One的思路，将多样化的终端安全需求（如终端管理、防病毒、EDR、终端DLP、身份安全等）融合在单一终端安全产品中，以极简交付方式，为用户提供一体化的终端安全能力。

  
  

• 主要指覆盖传统PC或者桌面办公场景下的端点安全解决方案。终端类型主要集中在Windows、Linux、macOS以及信创操作系统等终端类型。

• 主机侧的安全解决方案，相比之下数世咨询推荐更有针对性的HDR主机检测与响应。

“一体化”并非是指端点安全产品的堆叠一体化，而是指应对端点风险和威胁的安全能力的一体化。

　　首先对端点上多种类型的攻击事件以及安全风险都能够检出与告警，在此基础上，再将端点侧存在的多种风险在数据层面拉通，从而有效看清端点资产台账，看见潜在风险威胁，最终通过高易用性的统一管理平台，进行统一分析、统一管理，从而实现统一视角下的智能化响应。

　　终端管理以攻击面视角，根据不同的工作负载类型（物理PC、桌面云、物理主机、虚拟主机、容器），对端点资产可能存在的各类风险进行提示和修复，赋予其更有针对性的检测防护能力，如可疑资产接入、弱密码等端点的风险配置、已知漏洞等。相当于基于安全视角为后续各安全能力提前梳理了潜在的攻击暴露面，全盘掌控全局不同端点类型安全管理状况。

　　值得一提的是，针对操作系统老旧版本的终端，例如Window7和IE浏览器环境，终端管理应当重点提供漏洞管理、系统加固等功能。

　　防病毒是最主要的传统安全能力，但传统不代表不重要。作为一体化端点安全能力中最基础的一项能力，防病毒一方面需要迭代演进，满足勒索病毒频发、信创环境普及等新形势，另一方面需要将病毒沙箱等能力点开放输出，与诸如NDR、TIP等流量与情报侧的产品联动，提升针对“黑名单”类威胁的检测与响应能力。

　　根据不同行业用户的不同网络环境，防病毒查杀引擎应当采用本地多引擎部署、或是云端查杀引擎联合部署等不同方式。

　　EDR，一体化端点安全在端点侧应当具备更广泛的威胁发现能力——除防病毒以外，端点上的异常行为、恶意软件、数据泄露等都应覆盖。针对威胁做出的响应，应当以“单点封禁、横向阻断”为原则，对失陷终端与其他终端联动处置。例如结束失陷终端上的恶意进程，隔离进程文件，同时横向对所有潜在受到威胁的终端封禁恶意IP和域名，遏制进一步受影响的范围。

　　为提高响应时效，针对单个端点的部分操作如病毒查杀、单点封禁等动作，可以以自动化方式完成；对于需要安全分析人员参与的部分，可由统一管理平台对相关事件日志、操作日志留存、汇总并可视化呈现，供有条件的团队进一步对威胁事件进行复现与溯源等操作。

　　终端DLP，除了屏幕水印、文档加密、文档外发拦截等传统DLP能力外，可以引入数据访问安全域的理念，以虚拟化隔离域的方式，将敏感数据限制在安全域中访问、处理。

　　端点类安全产品普遍存在着不同程度的操作繁琐、上手成本高等问题，相比满足单点需求的产品或工具，一体化端点安全更具有多样化需求、多场景应用、多维度能力，因此需要在操作易用性上重点关注与投入，提供符合端点安全运营管理者及终端用户心智的人机交互界面，切不可将功能简单堆叠后，把复杂留给用户，这将直接带来高使用门槛和低安全运营效率。

　　首先架构上要以统一平台管理为基础，其次对用户侧的功能操作流程、页面信息结构均要有针对性的提炼，以提升关键信息传递效率及功能易学易用性。例如针对常用典型场景划分功能模块、单模块下的操作要简单且闭环、结果的可视化要优先级呈现首要或结论性数据等等。总之，一体化端点安全在提高安全效率的同时，应当以简化管理为同等标准与目标。

　　一体化端点安全能力在当前来看，技术上的实现并不存在太多难点。但是在落地实践过程中，却存在着用户和厂商之间博弈的矛盾。

　　对于用户而言，固然由同一个供应商提供的一体化端点安全能力能大大提升端点侧安全运维效率及安全管理效果，但是却同样面临着将整个端点侧的安全由单一供应商建立的风险。

　　从商业角度来看，这无疑会削弱企业对自身安全产品采购的管控力。因此，行业用户自身在一体化端点安全的落地上会存在一定的犹豫。

　　未来一段时间内，攻击暴露面的思路变化会促使一体化端点安全的端点覆盖范围进一步向泛终端扩展。

　　从用户角度来说，端点设备一般按照功能或场景来分类使用，如PC个人电脑、主机服务器、打印机等；但从攻击暴露面的角度来说，端点设备在攻击者眼中只有脆弱性强弱之分，诸如摄像头、签到机这样的IoT设备，反而会成为优先攻击的目标。因此泛终端安全基于攻击暴露面的统一纳管逐渐会成为安全管理团队的共识。

　　信创国产化替代很大程度上解决了“后门”的问题，但却带来了更多的潜在的“漏洞”问题。目前信创操作系统及信创应用的升级、加固、漏洞补丁管理从技术到生态都还不够成熟，安全风险有增无减。

　　因此，要想短时间内快速提升信创操作系统及信创应用的整体风险管理水平，最具性价比的方式就是从一体化端点安全入手，通过一体化管理平台同时从“终端管理”与“终端安全”两个主要维度降低信创国产化替代过程中伴随的安全风险。

报告下载地址：http://qr61.cn/o58nAX/q9b0jio