一体化端点安全 能力白皮书 © 北京数字世界咨询有限公司 2023.8 一体化端点安全 能力白皮书 © 北京数字世界咨询有限公司 2023.8 数字世界 数字安全 以网络连接为基础，以数据流动释放价值，以人工智能塑造未来。 以网络安全为基本手段，以数据安全为核心目的，支撑数字经济的健康发展和 国家社会的和谐稳定。 数字世界，安全共生！ 数世咨询作为国内独立的第三方调研咨询机构，为监管机构、地方政府、投资机构、企业 用户等合作伙伴提供数字安全产业现状调研，细分技术领域调研、投融资对接、技术尽职调查、 市场品牌活动等调研咨询服务。 报告编委 综合分析师 刘宸宇 数世智库 数字安全能力研究院 版权声明 本报告版权属于北京数字世界咨询有限公司（以下简称数世咨询）。 任何转载、摘编或利用其他方式使用本报告文字或者观点，应注明来源。 违反上述声明者，数世咨询将保留依法追究其相关责任的权利。 目 前言 录 ………………………………………………………………………………… 1 关键发现 第一章 …………………………………………………………………………… 3 一体化端点安全典型场景 ……………………………………………… 5 1.1 基于安全合规的终端管理……………………………………………………… 5 1.2 防病毒与防恶意软件 1.3 端点漏洞管理 ……………………………………………………………… 5 1.4 威胁检测与响应 ……………………………………………………………… 5 1.5 端点数据安全 ……………………………………………………………………… 6 第二章 ……………………………………………………… 5 一体化端点安全概念概述 ……………………………………………… 7 2.1 一体化端点安全定义 2.2 一体化端点安全能力框架 ……………………………………………… 7 2.3 一体化端点安全概念说明 ………………………………………………… 8 第三章 ………………………………………………………… ７ 一体化端点安全主要能力 ……………………………………………… 9 3.1 基于安全的终端管理 ………………………………………………………… 9 3.2 防病毒 3.3 威胁检测与响应 ………………………………………………………………… 10 3.4 终端类型与数量 ………………………………………………………………… 10 ……………………………………………………………………………… 9 目 3.5 第四章 操作易用性 录 ……………………………………………………………………… 11 一体化端点安全代表企业 ……………………………………………12 4.1 微软 4.2 Trellix 4.3 360 数字安全 …………………………………………………………………… 16 第五章 …………………………………………………………………………………12 未来趋势 …………………………………………………………………………… 14 ………………………………………………………………19 5.1 一体化端点安全落地难 ……………………………………………………… 19 5.2 泛终端安全一体化纳管 ……………………………………………………… 19 5.3 有效助力信创安全风险管理水平 Reference ………………………………………… 19 ……………………………………………………………………… 21 • 一体化端点安全能力白皮书 • 前 言 数字化转型带来的数字办公，意味着越来越多的工作是在数字化环境中完 成。而端点则是数字化环境中，负责进行人机交互，以及信息处理、存储的重 要环节。因此，端点始终是攻击者的主要目标之一，端点依然是企业必然要防 护的对象。 端点面临的风险数量很多，包括资产不清晰、勒索攻击、漏洞利用、违规 远程接入、敏感文件、数据的泄露和未知威胁攻击等等。近几年，在各级别各 行业实网攻防演练的带动下，国内的终端安全需求有两个新变化：一是终端侧 面对的威胁等级在提高，0day 漏洞、无文件攻击等高级攻击手段开始频繁出现； 二是终端侧面对的攻击手段越来越多样，除勒索病毒、钓鱼邮件外，身份仿冒、 大规模鱼叉式攻击、U 盘诱骗、社工攻击等让一线终端用户防不胜防。 终端安全多样化威胁场景，需要的则是一体化终端安全能力，我们称之为 All in One 的能力。 为什么需要 All in One，我们以终端上的 agent 来举例。传统各类终端 安全产品，如终端管理软件、防病毒软件、EDR、终端 DLP…… 每个单点安全 能力都有各自的 agent 要安装，这对于有经验的安全管理员来说，尚且头疼， 对于不太熟悉电脑操作的用户，还可能“无意中”安装各类终端优化软件，结 果是优化不成，终端反而成为 agent 们互相斗法的战场，尤其是当这些产品来 自于不同供应商的时候，不仅难以协同对端点进行防护，甚至当端点出现安全 事件的时候，各类产品反而容易引发端点系统的崩溃。这让一线普通用户和安 全管理员都苦不堪言。 对于大部分普通用户来说，都希望只要一个 agent，就覆盖绝大部分终端 安全需求。且多种安全能力只在用户需要的时候才下发使用，做到“按需使用， 1 随用随取” 。 用户需求是明确的，但实现起来并不容易。“少就是多”的难度不在于单 点能力的实现，而在于如何将这些能力有机融合，按需提供。即以 All in One 的思路，将多样化的终端安全需求（如终端管理、防病毒、EDR、终端 DLP、 身份安全等）融合在单一终端安全产品中，以极简交付方式，为用户提供一体 化的终端安全能力。可以说，一体化的端点安全防护解决方案则会成为未来的 主要方向。 鉴于上述背景，数世咨询撰写本报告。 * 勘误及交流请联系本报告主笔分析师刘宸宇：liuchenyu@dwcon.cn 2 • 一体化端点安全能力白皮书 • 关键发现 ● 企业需要及时掌握各环境场景中各类端点的漏洞情况，才能更为全面地 了解自身端点的攻击暴露面。 ● 数据的价值在于流动，流动过程中的最重要节点就是端点。 ● “一体化”不仅指将多类型的终端通过一个平台进行管理，同时也意味 着将端点面临的各类威胁通过一个平台进行管理和响应。 ● 一体化端点安全将端点侧存在的多种风险在数据层面拉通，才能更高效 看见风险，有效进行统一分析、统一管理，从而实现统一视角下的智能化响应。 ● 防病毒一方面需要迭代演进，满足勒索病毒频发、信创环境普及等新形 势，另一方面需要将病毒沙箱等能力点开放输出。 ● 一体化端点安全在端点侧应当具备更广泛的威胁发现能力——除防病毒 以外，端点上的异常行为、恶意软件、数据泄露等都应覆盖。 ● 一体化端点安全具有多样化需求、多场景应用、多维度能力，因此需要 在产品操作易用性上重点关注，不能将“使用成本”简单堆叠后转嫁给用户。 ● 未来一段时间，行业用户自身在一体化端点安全的落地上会存在一定的 犹豫。 ● 一体化端点安全的端点覆盖范围将进一步向泛终端扩展。 ● 短时间内快速提升信创操作系统及信创应用的整体风险管理水平，最具 3 性价比的方式就是从一体化端点安全入手，通过一体化管理平台同时从“终端 管理”与“终端安全”两个主要维度降低信创国产化替代过程中伴随的安全风险。 4 • 一体化端点安全能力白皮书 • 第一章 一体化端点安全典型场景 1.1 基于安全合规的终端管理 端点侧的合规是大部分企业用户的第一需求。近年来，网络安全法律法规相继 完善，行业区域监管愈加严格，企业用户愈发重视机构内大量端点的安全合规，尤 其是对包括安全管理、终端准入等在内的端点安全合规一体化管理。因此用户需要 一个一体化平台，对环境内大量端点的相关安全配置进行监控与管理，确保端点的 安全基线，避免因不合规带来的安全风险。 1.2 防病毒与防恶意软件 病毒与恶意软件是端点面临的最直接风险。尽管产业已发展多年，防病毒与防 恶意软件能力依然是一体化端点安全扎实必备的基础能力。加之国内许多企业机构 因为各种原因，仍存在纯封闭的内网环境，因此从全球范围来看，结合云端情报能 力的反病毒分析是大势所趋，但以病毒库特征匹配为基本模式的病毒查杀能力与防 恶意软件能力始终必不可少。 1.3 端点漏洞管理 端点上的漏洞对企业而言是另一个巨大隐患。口罩三年加速了远程办公的普及， 端点类型多样化的趋势突显，企业需要及时掌握各环境场景中各类端点的漏洞情况， 才能更为全面地了解自身端点的攻击暴露面。针对这些端点漏洞风险，企业需要结 合业务、区域等相关优先级，对端点漏洞采取响应措施，包括对端点系统实施升级 策略以及使用虚拟补丁等。这是一体化端点安全应对漏洞时的典型场景。 1.4 威胁检测与响应 5 端点远离安全团队的覆盖触角，天然具有被优先突破的脆弱性，因此在实网攻 防演练等场景中，蓝队攻击者大多将端点作为首选攻击入口——比如大量的钓鱼邮 件攻击，在野 0.5day/1day 漏洞攻击等。防守团队就需要第一时间在端点侧发现威胁， 横向阻断，同时将该威胁情报迅速同步至所有终端，这即是典型的 EDR 终端威胁检 测与响应场景，也是一体化端点安全能力当中不可或缺的能力之一。 1.5 端点数据安全 数据的价值在于流动，流动过程中的最重要节点就是端点。居家办公、远程办 公普及后，企业机构的各类数据——特别是大量的非结构化数据——都会在终端由 用户读取、修改、写入。因此，在数据的远程访问与终端处理过程中，如何从端点 侧应对数据泄露的风险，这是一体化端点安全要面对的另一个主要场景。 6 • 一体化端点安全能力白皮书 • 第二章 一体化端点安全概念概述 2.1 一体化端点安全定义 本 报 告 中， 数 世 咨 询 对 一 体 化 端 点 安 全（Integrated Endpoint Security）描述如下： 以统一管理平台与单一 agent 为终端 PC 及其他多种端点类型（如服务器、 智能设备 / 移动设备、IoT 终端等）提供一体化的安全解决方案。一体化能力 应当包括但不限于：终端管理、安全准入、防勒索、AV/EPP、漏洞管理、终端 数据防泄漏、威胁检测与响应等。 2.2 一体化端点安全能力框架 图 1 一体化端点安全能力框架 7 2.3 一体化端点安全概念说明 首先，本报告中的“一体化端点安全”主要指覆盖传统 PC 或者桌面办公 场景下的端点安全解决方案。终端类型主要集中在 Windows、Linux、ma