360企業(yè)安全集團(tuán)副總裁 張 聰

終端安全復(fù)興

360企業(yè)安全集團(tuán)副總裁 張 聰

在2016年初的RSA大會(huì)上，我們發(fā)現(xiàn)了一個(gè)有趣的現(xiàn)象，以前頗為冷門的終端安全，今年突然火爆起來(lái)。在RSA大會(huì)的展商列表當(dāng)中搜索Endpoint Security（終端安全）關(guān)鍵詞，列表長(zhǎng)達(dá)數(shù)百家，包括老牌的賽門鐵克、邁克菲（Intel 安全）、趨勢(shì)科技，終端安全新貴Carbon Black（原Bit9），CrowdStrike，CounterTack，以及試圖挑戰(zhàn)傳統(tǒng)老大的新秀 Cylance、SentinalOne，都紛紛站在舞臺(tái)中央，將各種思路的新興終端安全機(jī)制和能力產(chǎn)品化，各種新產(chǎn)品應(yīng)接不暇。

為何終端安全貌似突然火熱起來(lái)？在業(yè)界看來(lái)，這其實(shí)是一種必然的趨勢(shì)，是一種安全技術(shù)的回歸。

1 終端是安全的主戰(zhàn)場(chǎng)

站在防御者的角度上來(lái)說(shuō)，安全防護(hù)永遠(yuǎn)都是投入不足的，因此我們必須識(shí)別出安全的主戰(zhàn)場(chǎng)。在安全規(guī)劃當(dāng)中，表面上看我們都在解決與設(shè)備安全相關(guān)的問(wèn)題，例如服務(wù)器安全、網(wǎng)絡(luò)設(shè)備安全、終端設(shè)備安全以及整個(gè)網(wǎng)絡(luò)的安全等等，然而，安全的實(shí)質(zhì)問(wèn)題并不是設(shè)備，而是人的安全問(wèn)題。盡管很多安全問(wèn)題表現(xiàn)在設(shè)備上，但是人或人為因素才是信息安全問(wèn)題的根源所在。

但是人的力量是不能直接作用于信息系統(tǒng)的，人和信息系統(tǒng)的交互必須通過(guò)一個(gè)載體，這就是人機(jī)界面。毫無(wú)疑問(wèn)，這個(gè)人機(jī)界面就是終端。一個(gè)安全事件，無(wú)論在網(wǎng)絡(luò)中經(jīng)過(guò)多少環(huán)節(jié)，使用了多少高級(jí)技術(shù)，其最終目的都是為了代替人完成某些未經(jīng)授權(quán)的工作，比如竊取數(shù)據(jù)、破壞系統(tǒng)、潛伏下來(lái)以備后續(xù)使用等，而這些動(dòng)作的完成，必須通過(guò)某個(gè)終端才能完成。正因?yàn)榻K端是大多數(shù)安全事件的目標(biāo)和發(fā)生地，終端毋庸置疑成為了安全的主戰(zhàn)場(chǎng)。

但是對(duì)于這個(gè)主戰(zhàn)場(chǎng)我們一直以來(lái)的重視是不足的。長(zhǎng)期以來(lái)，在關(guān)乎國(guó)計(jì)民生的重要政企專網(wǎng)之中，終端上依然運(yùn)行著用十幾年前的技術(shù)打造的殺毒軟件。這些殺毒軟件使用的技術(shù)，仍然是依靠反病毒廠商預(yù)先制作的，單向?qū)氲奶卣鞔a，很難與日趨復(fù)雜和個(gè)性化的新興威脅對(duì)抗。同時(shí)，終端由于數(shù)量多、分布廣、系統(tǒng)環(huán)境復(fù)雜、直接接觸終端用戶，又是最難有效實(shí)施的安全管理環(huán)節(jié)，即使是作為終端安全基礎(chǔ)的反病毒軟件，也經(jīng)常存在安裝率低下、盲區(qū)大的問(wèn)題。這種矛盾在國(guó)內(nèi)的政企專網(wǎng)當(dāng)中長(zhǎng)期存在，將是影響政企和社會(huì)安全的重大隱患。

2 終端緣何會(huì)重新興起？

既然終端是安全當(dāng)中舉足輕重的戰(zhàn)場(chǎng)，新興終端安全技術(shù)的興起也就毫不意外了。

首先是從攻擊者的角度來(lái)看，反病毒、防火墻、IPS老三樣的普及，的確提高了攻擊門檻。與此同時(shí)，在攻防當(dāng)中存活下來(lái)的攻擊者，也逐步掌握了更高端的繞過(guò)老三樣的技術(shù)，這包括針對(duì)反病毒的免殺技術(shù)、針對(duì)流量的加密技術(shù)、不斷變化的C&C控制端等等。與這些技術(shù)的對(duì)抗當(dāng)中，原有的安全分析技術(shù)需要越來(lái)越復(fù)雜的分析邏輯，對(duì)設(shè)備提出了越來(lái)越高的性能需求，典型的就是反病毒的資源占用越來(lái)越高，但又經(jīng)常滯后，無(wú)法防御新的惡意程序。為了應(yīng)對(duì)這些問(wèn)題，一些新的終端技術(shù)的出現(xiàn)是必然的。

另一方面，網(wǎng)絡(luò)層面的安全發(fā)展了這么多年，各種創(chuàng)新技術(shù)層出不窮，但所有的網(wǎng)絡(luò)層技術(shù)總是會(huì)碰到一個(gè)瓶頸，即旁路還原的運(yùn)作模式，必然碰到加密流量、P2P等技術(shù)帶來(lái)的盲區(qū)，而且只能達(dá)成定位到特定IP地址的粒度。而終端層面的技術(shù)，很好的避免了這些盲區(qū)，并且可以看到終端內(nèi)部的進(jìn)程、數(shù)據(jù)的信息。在觸到瓶頸之后，各家安全廠商再次將精力重新放回終端，也就不足為奇了。

另一方面，大數(shù)據(jù)技術(shù)的興起，對(duì)于安全技術(shù)的發(fā)展已經(jīng)形成了正向促進(jìn)的作用。過(guò)去由于計(jì)算能力、大數(shù)據(jù)基礎(chǔ)框架等能力的限制，安全只能針對(duì)有限的數(shù)據(jù)進(jìn)行分析，終端上面的數(shù)據(jù)維度多、關(guān)系復(fù)雜，在計(jì)算和存儲(chǔ)能力緊缺的年代，往往成為最先被犧牲掉的部分。而隨著大數(shù)據(jù)技術(shù)的發(fā)展，計(jì)算和存儲(chǔ)能力已經(jīng)不再緊缺，在某些較大的組織內(nèi)部甚至已經(jīng)是過(guò)剩，這時(shí)終端數(shù)據(jù)的多樣性和復(fù)雜性反而成為一種優(yōu)勢(shì)，因?yàn)檫@些數(shù)據(jù)可以更深入窺探到細(xì)節(jié)。由于大數(shù)據(jù)技術(shù)越來(lái)越多的應(yīng)用于安全分析、行為分析領(lǐng)域，終端所能夠提供的數(shù)據(jù)，也越來(lái)越成為一個(gè)寶貴的資產(chǎn)。

3 第三代終端安全的四個(gè)重要特征

新時(shí)代的終端安全體系，是相對(duì)于傳統(tǒng)的終端安全體系來(lái)說(shuō)的，從歷史上看，傳統(tǒng)的終端安全體系經(jīng)過(guò)了三個(gè)發(fā)展階段。

在最早的時(shí)期，由于終端的主要威脅來(lái)自于惡意代碼和病毒，因此通過(guò)特征碼的病毒查殺工具，以及圍繞著病毒查殺 建立的周邊基礎(chǔ)設(shè)施，例如特征碼升級(jí)、定時(shí)掃毒等等，構(gòu)成了第一代的終端安全體系。隨著時(shí)間的發(fā)展，業(yè)界發(fā)展出來(lái)一些更強(qiáng)的殺毒技術(shù)，比如基于啟發(fā)式的查殺技術(shù)，但是這些技術(shù)的體系，仍然以靜態(tài)特征對(duì)抗靜態(tài)代碼，依賴人工對(duì)樣本進(jìn)行分析和提取特征，并基于更新來(lái)進(jìn)行新威脅對(duì)抗。這種機(jī)制構(gòu)成了終端防護(hù)的第一個(gè)發(fā)展階段。

后來(lái)隨著攻擊方式的變化，樣本變種大量、迅速出現(xiàn)，無(wú)差別大規(guī)模攻擊流行，攻擊手段簡(jiǎn)單粗暴，容易造成大規(guī)模的安全事件。這個(gè)時(shí)期最典型的安全事件是沖擊波蠕蟲(chóng)的大爆發(fā)和熊貓燒香的爆發(fā)。為了應(yīng)對(duì)大量的自動(dòng)化變種，第二代的終端安全體系開(kāi)始出現(xiàn)。第二代技術(shù)開(kāi)始引入云查殺或機(jī)器學(xué)習(xí)等技術(shù)對(duì)抗樣本變種，引入主機(jī)入侵防御系統(tǒng)（HIPS）來(lái)進(jìn)行基礎(chǔ)的行為攔截，引入漏洞修補(bǔ)或利用緩解技術(shù)來(lái)避免通過(guò)漏洞傳播，甚至在某些受限環(huán)境當(dāng)中使用白名單和“非白即黑”的策略進(jìn)行防護(hù)和查殺。這個(gè)階段的技術(shù)呈現(xiàn)出引入機(jī)器對(duì)抗機(jī)器，引入機(jī)器學(xué)習(xí)提高對(duì)樣本的主動(dòng)檢測(cè)能力，并開(kāi)始出現(xiàn)主動(dòng)搜集樣本進(jìn)行大規(guī)模分析的云查殺系統(tǒng)。由于引入了云端技術(shù)，安全對(duì)抗也不再依賴系統(tǒng)升級(jí)，而轉(zhuǎn)變?yōu)閷?shí)時(shí)計(jì)算、實(shí)時(shí)生效的模式。這種大機(jī)器對(duì)抗、主動(dòng)搜集、主動(dòng)防御、實(shí)時(shí)生效的模式，構(gòu)成了第二代終端安全體系。

隨著攻擊方式的進(jìn)一步發(fā)展，攻擊者開(kāi)始逐漸從利用樣本轉(zhuǎn)為利用漏洞。漏洞可以承載在文檔、PDF或者網(wǎng)頁(yè)當(dāng)中，通過(guò)魚(yú)叉、水坑等方式針對(duì)性攻擊少數(shù)人群，攻擊開(kāi)始呈現(xiàn)出針對(duì)性和隱蔽性。在攻擊者獲取到內(nèi)部的控制權(quán)之后，往往通過(guò)各種手段實(shí)現(xiàn)長(zhǎng)期駐留，這些駐留的樣本成為了來(lái)自組織內(nèi)部的威脅，長(zhǎng)期揮之不去。從攻擊者角度來(lái)說(shuō)，其集團(tuán)化運(yùn)作、組織化運(yùn)作的趨勢(shì)也越來(lái)越顯現(xiàn)，開(kāi)始出現(xiàn)了產(chǎn)業(yè)分工，甚至出現(xiàn)了“攻擊即服務(wù)”的模式。這種新的攻擊環(huán)境下，我們就需要第三代的，也就是新時(shí)代的終端安全體系來(lái)保護(hù)組織的安全。

新時(shí)代的終端安全體系的主要特征包括：

（1）基于“無(wú)法將黑客100%攔截在邊界之外”和“組織一定已經(jīng)被攻陷”的假設(shè)，對(duì)終端的行為進(jìn)行持續(xù)的監(jiān)控搜集，并應(yīng)用大數(shù)據(jù)的分析方法和模型，主動(dòng)檢測(cè)被攻陷的跡象并做出響應(yīng)。

（2）依賴終端的程序行為，而非樣本進(jìn)行防御。

（3）立足于威脅本身，了解威脅背后的組織、目的和技術(shù)手段，并基于這些信息進(jìn)行攔截。

（4）針對(duì)檢測(cè)出的威脅，進(jìn)行快速和自動(dòng)化的響應(yīng)。

這樣一套終端安全體系，必須具有四種能力：針對(duì)已知威脅的評(píng)估能力、攔截能力以及針對(duì)新威脅的檢測(cè)能力和響應(yīng)能力。威脅情報(bào)貫穿于這四個(gè)能力之中，對(duì)這四種能力都進(jìn)行了加強(qiáng)。威脅情報(bào)是新一代終端安全體系的核心能力，新時(shí)代的終端安全體系必須能夠獲取和利用威脅情報(bào)。