2020年,突发的大规模疫情,风云诡辩的国际形势对我们的生活和工作都产生了深刻的影响,也打乱了企业部分安全建设规划体系的重点内容。
2021年,即将来临,展望新的一年,我们有更多美好愿望和憧憬。继2020年发布端点安全十大趋势之后,相比去年我们更多地结合了国内实际情况和对大量客户的实地调研,发布了2021年十大端点安全新趋势:
趋势一:从BYOD到BYOPC
过去的十年是移动互联网的黄金十年,依托移动互联网和移动智能设备的发展,移动营销、移动办公、移动展业、移动在线学习等业务快速发展,对外为客户提供更加直观、及时、人性化的服务体验,对内充分利用了员工碎片化时间,大幅提升了内部协同的效率。
今天,个人移动智能设备作为信息查看、确认及简单加工的载体,每个人都可能有一个笔记本、平板、手机等作为生产力设备,BYOD更多的时候就是指这部分设备。而传统的笔记本类管控还是比较严格的,面临即时申请,访问权限及时收回等情况。
2020年疫情的突发,使得企业大部分员工困于家中,企业被迫临时大批量放开虚拟专用网远程访问的权限,员工通过自己家中的台式机、笔记本进行居家办公。但由于部分个人设备的安全性没有得到保障,很多企业发现病毒木马可以借助虚拟专用网通道进入内网,同时黑产也利用此次疫情进行针对性的社工病毒投放,进一步加剧了网络安全问题。而且企业数据存放在个人PC上更加容易导致数据泄密。
中国的疫情阶段性结束后,企业为了防止疫情复发,以及发现了远程办公、移动办公、居家办公在激发员工主观能动性、时间利用效率提高、节省企业运营成本等方面存在的巨大好处,加上员工对于远程办公的进一步需求,国外巨头公司的远程办公常态化战略等,都进一步使得企业对远程办公的渴望渐长。
以上因素催生了对于终端的新一轮安全管控制度,所以Gartner在2020端点安全技术成熟度报告中,正式提出BYOPC Security,随着该领域方案的成熟,未来十年相信越来越多的企业可以实现随时随地的办公战略,也将进一步推动数字化转型道路。
趋势二:零信任网络访问从分歧到融合,从少量场景验证,到全面融入
如果说今年安全方面最热的一个词,恐怕非零信任莫属。从2010由研究机构Forrester的首席分析师约翰·金德维格(John Kindervag)提出零信任一词,到目前已经十年过去了,在这十年内国内外企业基于对零信任安全框架的理解,开展了技术探索和布局,从各种不同维度出发的观点,到目前为止基本融合,尤其是随着NIST及其下属单位NCCOE发布的零信任架构正式版和实施方法,行业内对零信任的认知逐渐统一。
图1 NIST NCCoE 《实现零信任架构》正式版(2020年10月发布)
- 零信任定位:零信任架构不是单一的网络体系架构、产品,它是一整套网络基础设施设计和运行的指导原则,用来提升网络安全整体能力。
- 零信任目标:零信任架构的核心就是重构访问控制,采用更为灵活的技术手段对动态变化的人、终端、系统建立新的逻辑边界。
- 零信任现状:目前各厂商、企业都积极探讨在暴露面收敛、远程办公、远程运维、跨网访问、所云访问等场景下如何实践零信任。
- 零信任未来:以零信任架构的核心组件为中心,在不同场景下叠加不同的功能组件,将零信任理念融入企业各个安全场景下,未来零信任是企业未来安全建设主要技术理念之一。
信通院在2020年的网络安全产业全景图中,将零信任作为通用技术理念(参见图2)。
图2 通信院2020年中国网络安全市场全景图分类架构示意图
整体上,零信任范围很广,在端点安全、网络安全方面,目前落地比较成熟的场景是端点到资源的访问控制,也是企业实践零信任的第一步,可以预见的是企业在远程办公、远程运维、虚拟专用网替换、多云访问等场景下对零信任网络访问的核心组件进行验证后,会逐步扩展到其他端点访问资源的场景,最终会覆盖所有端点到资源的访问。
趋势三:虚拟专用网被ZTNA(也被称为SDP)取代的速度加快
虚拟专用网(Virtual Private Network)是一种广泛用于安全远程用户访问控制的普遍技术。这种技术,在与多因子身份认证结合时,对于具有传统边界的企业以及静态用户和服务器资源来说效果很好。但是正如Gartner的调研报告所说:DMZ和传统虚拟专用网是为上世纪90年代的网络设计的,由于缺乏保护数字业务所需的敏捷性,它们已经过时。
首先,虚拟专用网对所分配的网络提供非常粗粒度的访问控制。它们的目标是让远程用户的行为就像在本地网络上一样,这意味着所有用户都可以对整个虚拟局域网VLAN进行完全的网络访问。尝试配置虚拟专用网为不同用户提供不同级别的访问是不现实的,它们也不能很容易地适应网络或服务器集群的变化,虚拟专用网根本无法跟上当今企业动态发展的需要。其次,即使公司对虚拟专用网所提供的控制级别感到满意,但虚拟专用网只是一种控制远程用户的竖井式解决方案——它们不会帮助保护本地内网中的用户,这意味着组织需要一组完全不同的技术和策略来控制本地用户的访问。这将使协调和匹配这两个解决方案所需的工作量成倍增加。而且,随着企业采用混合和基于云计算的计算模型,虚拟专用网就更难被有效地使用。
最后,虚拟专用网在设计之初主要考虑组件虚拟的专用网络的访问,但在远程办公场景下缺少对企业数据的安全防护,容易发生数据泄露问题。
基于此,Gartner在2020年的ZTNA(Zero Trust Network Access)市场指南中,也指出:到2022年,向生态系统合作伙伴开放的新数字业务应用中,有80%将通过ZTNA访问;到2023年,60%的企业将逐步淘汰大部分远程访问虚拟专用网,转而使用ZTNA。
但受到疫情驱动的远程办公需求,国内大型攻防演练首日虚拟专用网 0day漏洞的影响,目前大部分用户都在考虑使用ZTNA来替换虚拟专用网,所以这一进程会加快。
趋势四:ZTNA会促进UEM的发展
统一端点管理(Unified Endpoint Management,简称UEM)是Gartner定义的区分于EPP的另一个细分市场,初衷强调对包括异构的PC、移动端的统一管理。
随着操作系统的演进,原有的PC和移动端的技术差异正在逐渐缩小,企业中Windows应用程序的数量在过去十年中一直在缓慢下降,取而代之的是基于浏览器或与操作系统无关联性的程序。随着以资源保护为核心的零信任安全架构和BYOD、BYOPC的大范围使用,相较于管理整个设备,企业IT管理人员将越来越重视管理应用程序的访问和数据保护,而零信任架构的落地使得企业可以对所有设备访问企业资源的行为进行统一的、精细化动态授权。所以在2020年ZTNA市场指南中指出,企业在评估零信任网络访问如何落地时,必须考虑UEM的重要性。
图3 Gartner ZTNA市场指南 2020
实际调研过程中,大部分客户在远程办公、互联网暴露面收敛等场景通常都是将PC和移动智能设备一起考虑,因此零信任架构的实施使得UEM需求更加迫切。不过国内和国外对UEM的实现路径上差异很大。
苹果公司几年前开始在Mac OSX中加入MDM API,微软首先在Windows 8.1中引入了EMM API,并在Windows 10中做了进一步的扩展。这样,EMM便可以非常便捷的管理PC和Mac。所以国外的UEM厂商更多的是移动安全厂商,如MobileIron、黑莓等都是从MDM到EMM再到UEM。
图4 UEM发展的三个阶段
目前来看,国内UEM的厂商非常少。一方面国内基于PC和移动端的原生应用程序还存在比较大的体量,转型需要时间,另一方面国内企业对PC端的管控要求非常复杂,很多原生的API不足以满足管控要求,同时大部分客户还希望对混合接入的IoT终端进行统一管理,绝大多数EMM厂商不具备PC终端和IoT终端的管控能力,导致国内EMM厂商往UEM转型的非常少。所以国内UEM厂商一般都是由少数同时具有EPP和EMM产品的厂商来落地。
趋势五:UEM与UES一定会融合,并作为ZTNA的核心组件
通过上面UEM的介绍,可知UEM的安全属性不多,所以Gartner在今年的《Hype Cycle for Endpoint Security, 2020》中,提出UES一词。
图5 2020年端点安全技术成熟度曲线
虽然Gartner针对UES定义的范畴很广,目前也是处于萌芽阶段,但笔者更愿意认为,在UEM的落地过程中,很多企业除了运维团队期望对端点进行统一管理,安全团队还希望能够提供更多来自端点分析整合的对于身份和访问管理更深入的见解,或更好的安全运营方面的支撑。尤其是随着零信任架构的落地,使得PC端和移动端在身份验证、环境感知、信任评估、动态授权,以及基于用户的行为分析和安全事件之间的关联性非常强,而且基于UEM统一的设备管控能力、数据采集能力是UES中必不可少的选项,同时利用移动端的强身份属性和较好的安全性,作为PC端的安全属性补充,是一个不错的选择,如通过移动端的扫码认证作为推荐的PC端身份认证的方式,或利用移动端确认的方式作为身份一致性的校验,或当PC端发生风险后,利用移动端的设备优势进行更高强度的基于生物特征的二次身份认证,以判定是否可以继续访问企业资源。
未来UES发展的价值在哪里呢?笔者觉得,如果它只是作为EPP、EDR的扩展和延伸,以及XDR的一个实践,那意义就不大了。未来UEM与UES融合后,将作为ZTNA的重要核心组件,支撑ZTNA的落地,同时成为企业安全运营中心的主要安全数据来源之一,这才是UES的最大价值。
趋势六:EDR在零信任架构下面临新的契机
Gartner从2013年提出ETDR,2015年正式命名EDR,2017年正式发布EDR市场指南,2018年Gartner将EDR从补充性功能变成端点安全的必备功能,并且每年列入端点安全的十大安全项目,其重要性不言而喻,所以Gartner预测,到2020年有80%的大型企业,25%的中型企业,以及10%的小型企业将投资部署EDR。同时CrowdStrike超高的估值也是EDR市场很好的证明。
但是跟国外EDR的快速发展不同,国内PC终端侧的EDR相比国外而言,发展较为缓慢,而且不同客户群体也有不同的表现因素,针对大型企业,主要原因有几点:
- 国内大型客户的终端管理非常复杂,任务繁重,基于员工普遍抵触在终端上做过多事情的前提下,很多都是优先从网络侧做,所以网络侧威胁检测发展较快;
- 国内很多大型客户有多张网络,其中生产、办公网一般不允许上互联网,所以大部分威胁都是从外部攻入,尤其是国内大型的攻防演习,加剧了这一问题,使得CWPP(也被称为服务器/云主机侧的EDR)得以较快发展;
- 国内外的文化差异也不同,针对端点侧单点的威胁,国内可以及时地使用行政手段强干预,进行严格管控,所以从影响层面,优先级一般。
- 所以基于检测类的EDR,一般都是作为企业整体安全运营协防的一部分,提供更为全面的威胁分析数据、更好的安全可见性以及处置手段。
而对于中小型企业来说,面临的高级威胁大部分情况下是勒索病毒,所以EDR更多的是以下一代杀毒或整合传统杀毒的方式存在。作为防御勒索病毒的主要产品,它跟XDR的思路是一脉相承的,基于明确的、成熟的威胁防御用例,进行开箱即用的功能和持续的安全服务。
但是这种现状有可能被现在的零信任架构改变,一方面零信任架构的实施,使得企业更加敏捷的上云,端点的去PC化,移动设备接入网络环境的多样化,和更多的个人笔记本接入,使得威胁大幅增加,非常需要EDR提供更加强大的威胁检测。另一方面,可信接入代理的大量使用,使得传统的网络访问路径被改变,要么链接加密,要么代理转发后失去源IP地址等,所以在未来基于零信任架构的安全体系中,EDR是环境感知、威胁检测(至少是核心数据源)的核心组件,而传统的网络侧检测产品的适用场景将会减少。
趋势七:从防御到检测,再到扩展检测(XDR)
Gartner在检测响应项目上的新发现指出,对于检测响应不仅仅是指终端,整个检测响应项目还包含:
- 面向日志的检测与响应技术(SIEM)
- 面向端点的检测与响应技术(EDR)
- 面向网络的检测与响应技术(NDR)
- 面向欺骗的检测与响应技术
- 面向运营的检测与响应服务(MDR)
随着这些产品和服务的成熟,从行业动态来看这些产品逐渐走向融合,如我们熟知的Elastic已经收购了著名的EDR厂商Endgame,业内做SOC、SIEM的厂商也都开始推出自己的EDR、NDR产品,通过统一的威胁检测框架(如ATT&CK),实现在更多维度、更多位置、更加全面的检测,进而实现对威胁的自动响应和统一编排。XDR不是一个新名词,Gartner在今年将XDR列入十大安全项目,顺理成章,甚至有点晚,XDR还出现在端点安全(参见图5)和安全运营(参见图6)两个技术趋势曲线,未来相当可期。
图6 2020年安全运营技术成熟度曲线
Gartner给XDR的定义是:XDR is a SaaS-based, vendor-specific, security threat detection andincident response tool that natively integrates multiple security products intoa cohesive security operations system that unifies all licensed securitycomponents.
从定义来看,笔者更觉得是对检测响应类产品如何落地的一个思路,这类产品当前最大的问题是高度依赖安全专家。所以国内真正能上马此类项目的都是安全能力非常强的头部客户,同时这些头部企业基于自身对安全的规划,也都在做XDR方面的事情,只是应用深浅的问题而已。所以XDR的提出,更多的是能够为大量的中小型客户提供一种综合性的、较为完整的、开箱即用的检测响应类产品以及基于云的威胁分析的安全服务。
不过在产品上、检测分析维度上的联动是第一步,XDR的精髓应该是Cross,能够基于一个威胁线索,无缝跨越多个检测类产品才是真正的目标,如何实现这个目标,目前还没有明确的答案,所以当下XDR应该更多的还是在商业模式和市场推广上,毕竟技术上没有更多新的东西。
趋势八:准入控制与ZTNA融合
准入控制作为设备接入企业网络的安全边界,一直以来都是企业的安全基础设施之一,只不过准入控制是以网络为中心,零信任是以企业资源为中心,但两者理念与零信任相似,都是默认不相信任何设备,必须进行严格校验后,才允许接入。所以两者都有身份校验、环境感知、信任评估、动态最小授权等环节,严格上来讲这些环节有重复的部分,在具体的落地过程中肯定要考虑如何统一,以便给用户最好的体验和最低的性能成本。
从企业网络安全角度来看,两者解决的问题并不冲突,准入控制主要保障使用企业网络基础设施的安全问题,ZTNA主要解决访问企业资源的安全问题,所以Google的零信任实践项目BeyondCrop(参见图7)在企业网中的第一步也是准入控制(802.1x)。
图7 BeyondCorp组件和访问流程
趋势九:个人信息保护将推动全行业对数据安全的重视
今年11月份,圆通公司爆出内部员工泄密案。该公司5名员工以每天500元的价格外租自己的员工账号,造成40多万条个人信息泄露。这些信息包含发件人和收件人的地址、姓名及电话号码等内容,根据犯罪团伙供述,这些信息将被以每条1元的价格打包卖到全国及东南亚等电信诈骗高发区。
在今年的《个人信息保护法(草案)》第七章规定惩罚金额为五千万元以下或者上一年度营业额5%以下罚款;对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款。
而在草案征求意见稿公布的同一天,多家银行吃到了“侵害消费者个人信息”的罚单,处罚金额合计达4188万元,相关责任人罚款从1.75万元到3万元不等,信息保护已成为国家和社会关注的重点。
明年,《个人信息保护法》的出台和发布,将开启中国隐私权及个人信息保护的新时代。为了更好的满足合规要求、客户个人权利以及企业自身管理需求,企业需要进一步从全面的视角,加强个人信息安全和隐私保护的能力,尤其是通过零信任和数据防泄露相关技术防范在获取客户个人信息的访问、使用、存储、外发等环节的安全问题。
趋势十:企业选择端点安全产品时须考虑信创终端
在中美关系不可逆的大背景下,信创产业一直呈现稳固且快速发展的态势,已经从个别行业的试点,扩展到各行业头部客户的试点,相信明年的扩展速度会更快,影响面会更广,而端点安全产品的部署周期一般都是三年以上,所以在选择时必须考虑对信创终端的支持情况。
结束语
今年零信任的火热更多的是在部分客户的少量实践应用场景,端点作为其中非常重要的核心组件势必不可或缺。本文主要列举了一些影响面非常大的方向,但端点侧更高的网络访问可见性、微隔离、数据安全等也会影响零信任的落地。传统端点安全从强管控,到高效运营,再到未来新架构下的融入,也都是企业非常关心的,篇幅受限不再赘述,希望明年能够跟更多的有识之士一起再做探讨,未来期望能够基于中国国情和企业安全建设实际情况,对端点安全的趋势进行预测,每年都能为国内企业的端点安全规划提供一些启发和帮助。
【本文是51CTO专栏作者“安全牛”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】