您所在的位置: 首頁(yè) >
新聞資訊 >
行業(yè)資訊 >
Gartner:EDR和XDR成為終端安全熱點(diǎn)
一、概述
知名信息技術(shù)咨詢公司Gartner發(fā)布的2020年度的終端安全成熟度曲線(如圖1所示)顯示:終端安全領(lǐng)域的技術(shù)和實(shí)踐正遭受著兩個(gè)趨勢(shì)的影響:終端攻擊的持續(xù)增長(zhǎng)和遠(yuǎn)程工作的驟然激增。
安全領(lǐng)導(dǎo)者不僅需要防范和避免各種終端攻擊和泄露事件,還需要確保遠(yuǎn)程訪問的安全、高效以及用戶體驗(yàn)良好。在此情況下,終端安全領(lǐng)域的相關(guān)技術(shù)也隨之不斷發(fā)展和演化,一些技術(shù)逐漸走向成熟以應(yīng)對(duì)新威脅,一些技術(shù)卻銷聲匿跡。
終端安全成熟度曲線能夠幫助安全領(lǐng)導(dǎo)者追蹤終端安全領(lǐng)域的創(chuàng)新技術(shù)和實(shí)踐,對(duì)于安全領(lǐng)導(dǎo)者應(yīng)對(duì)終端安全的問題和挑戰(zhàn)具有重要參考意義。
圖1:2020年終端安全成熟度曲線
首先,終端攻擊的持續(xù)增長(zhǎng)推動(dòng)了終端安全技術(shù)的創(chuàng)新。
終端安全從業(yè)者不斷改進(jìn)和自動(dòng)化威脅的狩獵、檢測(cè)和修復(fù),EDR(Endpoint Detection and Response)和XDR(eXtended Detection and Response)成為焦點(diǎn)。
具體來(lái)說(shuō),為了應(yīng)對(duì)高級(jí)攻擊,需要關(guān)聯(lián)來(lái)自終端和其他位置的數(shù)據(jù)進(jìn)行威脅狩獵,XDR因而首次進(jìn)入了成熟度曲線。與此同時(shí),EDR和 EPP(Endpoint Protection Platform)越來(lái)越成熟,并被越來(lái)越多的采用。最新概念UES(Unified Endpoint Security)結(jié)合了EDR、EPP和MTD(Mobile Threat Defense)等技術(shù)正式進(jìn)入成熟度曲線。
為了專門應(yīng)對(duì)網(wǎng)絡(luò)釣魚攻擊,BEC(Business Email Compromise Protection)今年進(jìn)入了成熟度曲線。SWG(Secure Web Gateways)雖然是一種基于網(wǎng)絡(luò)的技術(shù),但對(duì)于防止針對(duì)終端(尤其是云終端)的攻擊至關(guān)重要,被越來(lái)越多的組織采用。值得注意的是,大多數(shù)處于期望膨脹期(Peak of Inflated Expectations)的創(chuàng)新技術(shù)都涉及多通道或多系統(tǒng)的安全性。例如,UES一個(gè)涉及安全工作站、智能手機(jī)和平板電腦的單一產(chǎn)品;XDR并不局限于終端,而是將多個(gè)來(lái)源(如網(wǎng)絡(luò))的信息組合起來(lái)以檢測(cè)威脅。
其次,遠(yuǎn)程工作的驟然激增使得遠(yuǎn)程訪問安全擺在更加優(yōu)先的位置。當(dāng)前遠(yuǎn)程工作的相關(guān)技術(shù)已完全成熟,如VPN、CASB(Cloud Access Security Brokers)、BYOPC(Bring your own PC)、UEM(Unified Endpoint Management)和DaaS(Desktop as a Service)等,這些技術(shù)又重新引起企業(yè)和組織的重視。長(zhǎng)期來(lái)看,ZTNA(Zero Trust Network Access)及其演化SASE(Secure Access Service Edge)更有前景。且SASE處在今年成熟度曲線高峰期,是終端安全成熟度曲線中的一項(xiàng)變革性創(chuàng)新。SASE允許任何終端以受保護(hù)的方式通過任何網(wǎng)絡(luò)訪問任何應(yīng)用程序。安全領(lǐng)導(dǎo)者應(yīng)該開始實(shí)施一項(xiàng)戰(zhàn)略促使ZTNA、CASB和SD-WAN一起融合,形成SASE的長(zhǎng)期成果。
此外,新趨勢(shì)也使得一些技術(shù)被取代或演化為更加通用的技術(shù)從而銷聲匿跡。例如,瀏覽器保護(hù)技術(shù)在很大程度上已經(jīng)成為UEM的一個(gè)特性;移動(dòng)設(shè)備的DLP 并沒有按預(yù)期實(shí)現(xiàn),而是被UEM提供的容器所取代或者作為CASB套件中集成的DLP;MDR(Managed Detection and Response)雖然在安全領(lǐng)域仍然非常有用,但已成為EDR解決方案和較新的XDR解決方案的一個(gè)功能;UEBA(User and Entity Behavior Analytics)使用的技術(shù)已經(jīng)嵌入到EDR等其他技術(shù)中;面向網(wǎng)絡(luò)的物聯(lián)網(wǎng)安全技術(shù)是大勢(shì)所趨,但很大程度上受限于遺留物聯(lián)網(wǎng)設(shè)備的糟糕狀況而止步不前;內(nèi)容協(xié)作平臺(tái)(Content collaboration platforms)對(duì)數(shù)據(jù)泄漏保護(hù)很重要,但是創(chuàng)建和維護(hù)一個(gè)協(xié)作環(huán)境,并沒成熟的技術(shù)支撐;隨著遠(yuǎn)程工作的發(fā)展,BYOPC已經(jīng)取代了BYOD(Bring Your Own Device)。
二、技術(shù)成熟度分析
成熟度曲線包括創(chuàng)新啟動(dòng)期(Innovation Trigger)、期望膨脹期(Peak of Inflated Expectations)、幻覺破滅期(Trough of Disillusionment)、穩(wěn)步爬升期(Slope of Enlightenment)和生產(chǎn)高峰期(Plateau of Productivity)等5個(gè)主要周期。
2.1 創(chuàng)新啟動(dòng)期
創(chuàng)新啟動(dòng)期意味著技術(shù)的突破、公開演示、產(chǎn)品發(fā)布或其他活動(dòng)會(huì)引起媒體和行業(yè)的極大興趣。統(tǒng)一終端安全(Unified Endpoint Security,UES)、擴(kuò)展檢測(cè)和響應(yīng)(Extended Detection and Response,XDR)和商業(yè)電子郵件泄露保護(hù)(Business Email Compromise Protection,BEC)處于該階段。
UES集成了EPP、EDR和MTD的主要特性,基于單個(gè)控制臺(tái)跨所有終端設(shè)備進(jìn)行威脅分析,通過跨數(shù)據(jù)分析檢測(cè)以前未發(fā)現(xiàn)的威脅。UES滿足了IT對(duì)所有安全事件采用單一控制臺(tái)進(jìn)行集中控制的需求,新冠疫情加速了這種需求。與之前的UEM市場(chǎng)一樣,UES需要幾年時(shí)間才能成熟并獲得認(rèn)可。未來(lái)的市場(chǎng)屬于那些能夠從安全和運(yùn)營(yíng)的集成中獲得顯著生產(chǎn)力且能夠快速處理大量數(shù)據(jù)以檢測(cè)先前未知威脅的供應(yīng)商。
XDR是一個(gè)供應(yīng)商專門的威脅檢測(cè)和事件響應(yīng)工具,將多個(gè)安全產(chǎn)品統(tǒng)一到一個(gè)安全運(yùn)營(yíng)系統(tǒng)中。XDR在功能上與SIEM以及SOAR工具相似,區(qū)別在于其具備在部署時(shí)集成特定供應(yīng)商產(chǎn)品的能力,更加聚焦威脅檢測(cè)和事件響應(yīng)。新興的XDR產(chǎn)品主要由具有基礎(chǔ)設(shè)施保護(hù)系列產(chǎn)品(例如,EDR、CASB、SEG、SWG、防火墻、IDS、身份基礎(chǔ)設(shè)施)提供能力的供應(yīng)商銷售。更高級(jí)的XDR產(chǎn)品仍處于開發(fā)階段,試圖建立集成身份、數(shù)據(jù)保護(hù)和應(yīng)用程序訪問的堆棧。這些高級(jí)產(chǎn)品充滿風(fēng)險(xiǎn),對(duì)于XDR的過度保證可能會(huì)導(dǎo)致對(duì)單個(gè)供應(yīng)商的過度依賴,最終只會(huì)有一小部分供應(yīng)商能夠真正提供XDR,并且大型供應(yīng)商在應(yīng)對(duì)新威脅方面往往比同類最佳的初創(chuàng)公司慢得多。
BEC保護(hù)用來(lái)檢測(cè)和過濾冒充業(yè)務(wù)伙伴進(jìn)行資金或數(shù)據(jù)誘導(dǎo)的惡意電子郵件。BEC檢測(cè)往往采用機(jī)器學(xué)習(xí)和自然語(yǔ)言處理技術(shù),盡管這些技術(shù)很成熟,但在電子郵件安全特別是BEC保護(hù)方面的應(yīng)用才出現(xiàn)幾年,往往局限于預(yù)警用戶,易產(chǎn)生“告警疲勞”問題。目前的采用率很低,隨著技術(shù)的成熟,其將成為電子郵件安全解決方案的一部分,而不是一個(gè)獨(dú)立的補(bǔ)充產(chǎn)品。
2.2 期望膨脹期
期望膨脹期意味著技術(shù)正處于過度熱情和不切實(shí)際的設(shè)想階段,隨著技術(shù)被推向極限,技術(shù)領(lǐng)導(dǎo)者們采取了一系列廣泛宣傳活動(dòng)并帶來(lái)了一些成功,但更多的是失敗。自帶個(gè)人電腦安全(Bring your own PC,BYOPC)、安全訪問服務(wù)邊緣(Secure Access Service Edge ,SASE)處于該階段。
BYOPC允許員工使用個(gè)人自主選擇的客戶端設(shè)備來(lái)訪問企業(yè)應(yīng)用程序、服務(wù)和數(shù)據(jù)。雖然新冠疫情使得BYOPC廣泛采用,但是BYOPC因未管理、未匹配和受感染的用戶設(shè)備而構(gòu)成嚴(yán)重的潛在安全威脅,需要立即采用新的工具來(lái)保護(hù)能夠訪問數(shù)據(jù)和應(yīng)用程序的設(shè)備安全。
SASE用來(lái)支持分支機(jī)構(gòu)和遠(yuǎn)程工作者訪問。SASE是由企業(yè)數(shù)字業(yè)務(wù)轉(zhuǎn)型驅(qū)動(dòng)的,發(fā)展?jié)摿薮?,但尚處于市?chǎng)開發(fā)的早期階段,供應(yīng)商正在積極地進(jìn)行營(yíng)銷和開發(fā)。盡管SASE術(shù)語(yǔ)相對(duì)較新,但架構(gòu)方法已經(jīng)部署了至少兩年。隨著用戶、設(shè)備和服務(wù)離開傳統(tǒng)的企業(yè)邊界,網(wǎng)絡(luò)和網(wǎng)絡(luò)安全的模式逆轉(zhuǎn)將徹底改變網(wǎng)絡(luò)和網(wǎng)絡(luò)安全作為一種服務(wù)的競(jìng)爭(zhēng)格局。真正的SASE服務(wù)是云本地化的,具備動(dòng)態(tài)可伸縮、全球可訪問的特點(diǎn),通?;谖⒎?wù)和多租戶。
2.3 幻覺破滅期
幻覺破滅期意味著技術(shù)還達(dá)不到其過度膨脹的預(yù)期,并且很快變得過時(shí),媒體的興趣逐漸減弱。應(yīng)用程序內(nèi)保護(hù)(In-App Protection,IAP)、瀏覽器隔離(Browser Isolation,BI)、一線工作人員的設(shè)備終端安全(Device Endpoint Security for Frontline Workers,DESFW)、虛擬移動(dòng)基礎(chǔ)設(shè)施(Virtual Mobile Infrastructure,VMI)、桌面即服務(wù)(Desktop as a Service,DaaS)、統(tǒng)一終端管理(Unified Endpoint Management,UEM)、移動(dòng)威脅防御(Mobile Threat Defense,MTD)、零信任網(wǎng)絡(luò)訪問(Zero Trust Network Access,ZTNA)處于該階段。
IAP是指在應(yīng)用程序中實(shí)現(xiàn)的保護(hù),用于檢測(cè)和防范惡意數(shù)據(jù)過濾、入侵、腳本注入、篡改和逆向工程等攻擊。隨著移動(dòng)設(shè)備和移動(dòng)應(yīng)用程序的不斷發(fā)展,網(wǎng)頁(yè)也越來(lái)越多地與移動(dòng)設(shè)備相連,IAP所采用的加固技術(shù)已經(jīng)成熟,但需要適應(yīng)這些新的設(shè)備以及操作系統(tǒng);日益增長(zhǎng)的用戶需求使得供應(yīng)商將重點(diǎn)放在反篡改保護(hù)上,然而防篡改技術(shù)較新,成熟度較低;現(xiàn)代web應(yīng)用程序保護(hù)吸引了更多關(guān)注,使得IAP技術(shù)成熟度最近有所下降。但是,隨著攻擊也越來(lái)越突出,以及開發(fā)人員越來(lái)越意識(shí)到IAP解決方案的可用性,采用率將會(huì)越來(lái)越高。
瀏覽器隔離是將瀏覽過程與最終用戶系統(tǒng)緊密分離,用來(lái)保護(hù)應(yīng)用程序、系統(tǒng)、網(wǎng)絡(luò)及資源免受瀏覽器攻擊。大多數(shù)組織采用瀏覽器隔離技術(shù)方面進(jìn)展緩慢,而是使用SWG形式的URL過濾來(lái)保護(hù)用戶和設(shè)備免受互聯(lián)網(wǎng)的危害。此外,瀏覽器隔離采用了會(huì)話隔離技術(shù),但是最近激增的勒索軟件攻擊仍能通過并實(shí)施攻擊。
DESFW為專門構(gòu)建的設(shè)備及其用戶提供保護(hù)。當(dāng)前,許多一線員工采用了完全受控、專門制造、鎖定和加固的移動(dòng)設(shè)備,給設(shè)備更新和補(bǔ)丁維護(hù)帶來(lái)挑戰(zhàn),使得一些企業(yè)和組織在移動(dòng)應(yīng)用程序周圍探索具有保護(hù)功能的個(gè)人設(shè)備。但是,這些設(shè)備比完全受控的設(shè)備提供控制更少,并可能使組織面臨數(shù)據(jù)泄漏或其他惡意攻擊。此外,一些企業(yè)和組織嘗試讓一線員工能夠訪問云SaaS應(yīng)用程序,可能會(huì)面臨額外的云安全風(fēng)險(xiǎn)。
VMI用來(lái)提供對(duì)企業(yè)移動(dòng)工作區(qū)的應(yīng)用程序和數(shù)據(jù)的遠(yuǎn)程訪問。VMI提供對(duì)企業(yè)信息的安全訪問,用戶可以快速登錄和注銷帳戶,而無(wú)需在設(shè)備上留下數(shù)據(jù),將數(shù)據(jù)丟失風(fēng)險(xiǎn)降至最低。但是,VMI的虛擬化技術(shù)在適配iOS和Android等移動(dòng)操作系統(tǒng)時(shí)存在一些局限性:1)提供有限的離線功能,需要可靠的高速連接才能運(yùn)行;2)不能使用Google Play服務(wù);3)提供了有限的實(shí)時(shí)使用本地設(shè)備傳感器的應(yīng)用程序的能力,如擴(kuò)展現(xiàn)實(shí)和沉浸式計(jì)算應(yīng)用程序。
DaaS為用戶按需提供虛擬的桌面體驗(yàn)。企業(yè)長(zhǎng)期以來(lái)都對(duì)采用VDI(Virtual Desktop Infrastructure,虛擬桌面基礎(chǔ)設(shè)施)感興趣,但技術(shù)復(fù)雜性和高投入使VDI的實(shí)施變得困難。依靠服務(wù)提供商來(lái)承擔(dān)平臺(tái)擴(kuò)展的風(fēng)險(xiǎn)并提供大規(guī)模計(jì)算服務(wù),并在此基礎(chǔ)上交付應(yīng)用程序,對(duì)于企業(yè)和組織才是有吸引力的選擇。另外,新冠疫情加速了DaaS的采用。新冠疫情使得場(chǎng)地工作由于數(shù)據(jù)中心訪問和基礎(chǔ)設(shè)施供應(yīng)鏈的問題而停滯,而DaaS能夠快速實(shí)現(xiàn)遠(yuǎn)程工作,具有價(jià)值和業(yè)務(wù)連續(xù)性優(yōu)勢(shì)。未來(lái),即使當(dāng)員工返回辦公室時(shí),DaaS也可能會(huì)作為一種交付架構(gòu)繼續(xù)存在。
UEM 已經(jīng)超越了對(duì)PC和移動(dòng)設(shè)備的管理,通過終端分析、身份和訪問管理以及UES工具深入集成,提供更深入的洞見。除了UEM基本功能外,許多供應(yīng)商也在擴(kuò)展產(chǎn)品以實(shí)現(xiàn)差異化。盡管一些客戶接受了UEM工具和現(xiàn)代操作系統(tǒng)管理,但大多數(shù)組織仍將UEM視為未來(lái)幾年中需要解決的一個(gè)路線圖項(xiàng)目,例如,使應(yīng)用程序堆棧現(xiàn)代化以消除關(guān)鍵應(yīng)用程序?qū)μ囟ㄆ脚_(tái)、特定瀏覽器或運(yùn)行時(shí)環(huán)境的依賴,整合移動(dòng)和終端管理團(tuán)隊(duì)以消除采用UEM的政治障礙,提高員工技能以了解如何使用UEM技術(shù)解決CMT的關(guān)鍵功能。UEM的成熟度曲線正在下滑,但對(duì)UEM的興趣仍然強(qiáng)烈,并且是案例驅(qū)動(dòng)的,因企業(yè)和組織都發(fā)現(xiàn)了管理現(xiàn)代化所需的重要過程和技術(shù)變化。
MTD保護(hù)組織免受iOS和Android移動(dòng)設(shè)備上的威脅。大多數(shù)情況下,企業(yè)和組織將MTD與UEM集成來(lái)提高安全性?,F(xiàn)在越來(lái)越多的組織在非托管設(shè)備上使用MTD,如BYOD場(chǎng)景中,主要是由移動(dòng)網(wǎng)絡(luò)釣魚、移動(dòng)終端檢測(cè)和響應(yīng)(EDR)、應(yīng)用程序?qū)彶楹驮O(shè)備漏洞管理等用戶案例驅(qū)動(dòng)的。MTD已經(jīng)達(dá)到一定的成熟,適合廣泛的企業(yè)采用,但是當(dāng)前采用速度比較慢,業(yè)界一直在等待高度可見或公開的移動(dòng)漏洞尚未出現(xiàn)。在構(gòu)建UES產(chǎn)品時(shí),通過EPP供應(yīng)商提供MTD會(huì)更容易采用。MTD在經(jīng)歷一段時(shí)間激烈創(chuàng)新之后,創(chuàng)新速度有所放緩。除了應(yīng)對(duì)不斷發(fā)展的移動(dòng)惡意軟件變種之外,還需改善設(shè)備上的MTD用戶體驗(yàn)。
ZTNA在應(yīng)用程序或其集合周圍創(chuàng)建基于身份和上下文的邏輯訪問邊界。ZTNA早期市場(chǎng)產(chǎn)品更多涉及市場(chǎng)準(zhǔn)入,需要新的、更完整的產(chǎn)品才能支持更廣泛的應(yīng)用程序和協(xié)議。隨著越來(lái)越多的企業(yè)和組織在轉(zhuǎn)向遠(yuǎn)程工作,基于硬件的VPN顯示出了局限性。而ZTNA能夠支持靈活的VPN訪問、支持本地和云中對(duì)應(yīng)用程序進(jìn)行精確訪問以及對(duì)會(huì)話進(jìn)行控制,引起和企業(yè)和組織的廣泛興趣。ZTNA供應(yīng)商繼續(xù)吸引風(fēng)險(xiǎn)投資資金,促使更多的新創(chuàng)企業(yè)進(jìn)入日益擁擠的市場(chǎng),尋求差異化的途徑。并購(gòu)活動(dòng)正在ZTNA市場(chǎng)上進(jìn)行,幾家初創(chuàng)企業(yè)供應(yīng)商已經(jīng)被更大的網(wǎng)絡(luò)、電信和安全供應(yīng)商收購(gòu)。
2.4 穩(wěn)步爬升期
穩(wěn)步爬升期意味著技術(shù)被越來(lái)越多企業(yè)和組織實(shí)踐,人們真正了解了技術(shù)的適用性、風(fēng)險(xiǎn)和好處,并且技術(shù)的開發(fā)過程因商業(yè)化的方法和工具而簡(jiǎn)化。數(shù)據(jù)清理(Data Sanitization)、安全即時(shí)通信(Secure Instant Communication,SIC)、終端檢測(cè)和響應(yīng)(Endpoint Detection and Response,EDR)、安全Web網(wǎng)關(guān)(Secure Web Gateway,SWG)、云訪問安全代理(Cloud Access Security Brokers,CASB)、企業(yè)數(shù)據(jù)通信安全(Secure Enterprise Data Communications,SEDC)處于該階段。
數(shù)據(jù)清理是有目的、永久的且不可逆轉(zhuǎn)的刪除或銷毀存儲(chǔ)設(shè)備上的數(shù)據(jù),使其不可恢復(fù)。隨著存儲(chǔ)介質(zhì)容量不斷擴(kuò)大以及邊緣計(jì)算和物聯(lián)網(wǎng)設(shè)備數(shù)量不斷增加,人們對(duì)數(shù)據(jù)隱私和安全性、泄漏、合規(guī)性遵從的擔(dān)憂,使數(shù)據(jù)清理成為所有IT組織的核心級(jí)要求。全面的數(shù)據(jù)清理要求將適用于所有具有存儲(chǔ)功能的設(shè)備,如企業(yè)存儲(chǔ)和服務(wù)器、PC、移動(dòng)設(shè)備,以及越來(lái)越多的邊緣計(jì)算和物聯(lián)網(wǎng)設(shè)備。如果企業(yè)和組織缺乏這種魯棒的數(shù)據(jù)清理能力,通常是因?yàn)閷①Y產(chǎn)生命周期階段作為孤立事件對(duì)待,財(cái)務(wù)、安全、采購(gòu)和IT之間缺乏協(xié)調(diào)。對(duì)于移動(dòng)設(shè)備,遠(yuǎn)程數(shù)據(jù)擦除功能通常通過MDM(Mobile Device Manager,移動(dòng)設(shè)備管理器)實(shí)現(xiàn),盡管這種遠(yuǎn)程功能不應(yīng)被視為故障安全機(jī)制,但對(duì)于大部分丟失或被盜的移動(dòng)設(shè)備,可靠性足夠。
SIC為即時(shí)通信形式(如即時(shí)消息、文本消息、語(yǔ)音和視頻通信)提供保密性和數(shù)據(jù)保留,支持智能手機(jī)、平板電腦和個(gè)人電腦等多種類型設(shè)備。SIC大多作為設(shè)備上的應(yīng)用程序?qū)崿F(xiàn),能夠在數(shù)據(jù)通道上使用加密。SIC已經(jīng)隨著底層移動(dòng)操作系統(tǒng)的成熟而成熟,能夠滿足網(wǎng)絡(luò)性能、電池消耗以及密鑰管理和加密的要求。為了能夠與主流企業(yè)通信企業(yè)競(jìng)爭(zhēng),用戶體驗(yàn)是接下來(lái)需要改進(jìn)的主要方面。數(shù)據(jù)保留功能因支持法規(guī)遵從性的監(jiān)視和歸檔以及確保安全的即時(shí)刪除,變得越來(lái)越重要,甚至開始作為集成到第三方即時(shí)通信應(yīng)用程序,如微信和WhatsApp。
EDR能夠用來(lái)檢測(cè)和調(diào)查安全事件、阻斷攻擊。EDR是任何終端安全策略的主要模塊,并不局限于成熟的安全運(yùn)營(yíng)組織。EDR的采用越來(lái)越多是因?yàn)楦呒?jí)威脅越來(lái)越多以及EDR產(chǎn)品內(nèi)置自動(dòng)化、編排和功能管理的能力不斷提升。EDR的相關(guān)特性正在越來(lái)越多地集成到更通用EPP中,如通過增加基于行為的檢測(cè)和基本威脅狩獵功能。同樣地,EDR也在融合其他產(chǎn)品特性,如在其核心檢測(cè)和響應(yīng)功能中增加了保護(hù)功能。在未來(lái)兩三年內(nèi),云交付的終端安全解決方案將取代傳統(tǒng)的本地(主機(jī)服務(wù)器)架構(gòu),進(jìn)入主流市場(chǎng)。一些廠商正在將網(wǎng)絡(luò)遙測(cè)、電子郵件和Web安全產(chǎn)品結(jié)合起來(lái),進(jìn)行數(shù)據(jù)富化從而增強(qiáng)檢測(cè)能力。XDR實(shí)現(xiàn)了與其他安全工具的集成,正利用高級(jí)分析來(lái)識(shí)別未知威脅并揭示戰(zhàn)術(shù)和技術(shù),提供更高的檢測(cè)效率。
SWG利用URL過濾、ATD(Advanced Threat Defense,高級(jí)威脅防御)和惡意軟件檢測(cè)技術(shù)強(qiáng)制執(zhí)行互聯(lián)網(wǎng)策略遵從性并保護(hù)企業(yè)和組織的網(wǎng)絡(luò)安全。隨著云計(jì)算服務(wù)的發(fā)展,SWG已經(jīng)發(fā)展到了啟蒙階段,基于云的SWG服務(wù)的查詢量超過基于設(shè)備的SWG的查詢量四倍多。SWG的市場(chǎng)前景樂觀,企業(yè)和組織繼續(xù)從云安全服務(wù)提供商尋求更通用的安全服務(wù)。隨著供應(yīng)商將CASB、ZTNA、RBI(遠(yuǎn)程瀏覽器隔離)等服務(wù)添加到其可用產(chǎn)品列表中,SWG市場(chǎng)將繼續(xù)發(fā)展。
CASB為SaaS和IaaS中的可見性、數(shù)據(jù)安全、威脅保護(hù)和合規(guī)性評(píng)估提供云治理控制。,供應(yīng)商之間應(yīng)用一致的策略,提供功能豐富的產(chǎn)品,增加了云的可見性,CASB已經(jīng)成為采用云計(jì)算技術(shù)的企業(yè)和組織的普遍選擇。但不同供應(yīng)商之間的產(chǎn)品差異化越來(lái)越小,一些供應(yīng)商努力超越SaaS治理和保護(hù),開始支持IaaS應(yīng)用程序自定義、CSPM(云安全態(tài)勢(shì)管理)以及UEBA(用戶和實(shí)體行為分析)功能。領(lǐng)先的供應(yīng)商仍在進(jìn)行大量投資,這有助于市場(chǎng)的迅速成熟,而獨(dú)立的供應(yīng)商表現(xiàn)出持續(xù)創(chuàng)新和廣泛的市場(chǎng)影響。
安全企業(yè)數(shù)據(jù)通信為網(wǎng)絡(luò)和應(yīng)用程序提供加密和認(rèn)證的“虛擬”連接。最近遠(yuǎn)程工作的激增使得虛擬專用網(wǎng)(VPN)成為IT中最重要的技術(shù)之一。VPN技術(shù)是比較成熟和平穩(wěn)的,但由于帶寬有限和硬件限制,遠(yuǎn)程訪問VPN訪問具有挑戰(zhàn)性,迫使相關(guān)基礎(chǔ)設(shè)施向云端推進(jìn)。因而,安全瀏覽器的應(yīng)用程序和其他使用TLS的應(yīng)用程序成為事實(shí)上的標(biāo)準(zhǔn)。SDP(軟件定義的外圍設(shè)備)、SD-WAN(軟件定義的廣域網(wǎng))和云應(yīng)用提供商正在搭建各自的虛擬隱私連接。CASB正在云中創(chuàng)建相當(dāng)于企業(yè)網(wǎng)關(guān)的云,能夠進(jìn)行集中身份管理并對(duì)業(yè)務(wù)用戶目的地進(jìn)行受控加密連接。ZTNA也是VPN的潛在替代品,因?yàn)橛脩暨w移到云應(yīng)用程序上,不再需要傳統(tǒng)的本地訪問。
2.5 生產(chǎn)高峰期
生產(chǎn)高峰期意味著技術(shù)的實(shí)際好處已被證明和接受,并隨著工具和方法進(jìn)入第二、三代而越來(lái)越穩(wěn)定,越多越多的客戶對(duì)實(shí)際的使用效果感到滿意,客戶規(guī)模開始快速增長(zhǎng)。當(dāng)技術(shù)進(jìn)入這一階段時(shí),大約20%的目標(biāo)客戶已經(jīng)或正在采用該技術(shù)。終端保護(hù)平臺(tái)(Endpoint Protection Platforms,EPP)處于該階段。
EPP針對(duì)現(xiàn)有和新出現(xiàn)的威脅和漏洞利用進(jìn)行保護(hù),包括針對(duì)惡意軟件的保護(hù)、基于文件和無(wú)文件的攻擊、使用行為分析識(shí)別和預(yù)防威脅、已知應(yīng)用程序、進(jìn)程和腳本的白名單,以及對(duì)終端配置的調(diào)查和報(bào)告。EPP市場(chǎng)已經(jīng)適應(yīng)了高級(jí)威脅和隱蔽的攻擊者。目前,組織將重點(diǎn)放在防止未知和無(wú)文件攻擊上,并將機(jī)器學(xué)習(xí)和基于云的查找技術(shù)作為基于本地簽名識(shí)別的替代方案。EPP使用方便,資源利用率低,維護(hù)工作量少。未來(lái),EPP市場(chǎng)的主要發(fā)展方向是更易于部署和管理的云本地解決方案,以及能夠識(shí)別零日威脅的基于行為的檢測(cè)和分析技術(shù)。但是,本地操作系統(tǒng)的安全性改進(jìn)保護(hù)了憑證,防止了內(nèi)核攻擊,可以隔離瀏覽器和應(yīng)用程序,實(shí)現(xiàn)了漏洞管理和強(qiáng)化,正在侵蝕EPP供應(yīng)商的業(yè)務(wù)范圍,并將攻擊者的焦點(diǎn)轉(zhuǎn)移到應(yīng)用程序的安全漏洞和終端用戶的不可靠上。若高級(jí)威脅變得更加隱蔽,仍然需要EDR來(lái)檢測(cè)和響應(yīng),否則這些威脅將繞過僅依賴于預(yù)防和保護(hù)的EPP工具。(虎符智庫(kù))