端点安全 2021年十大端点安全趋势

2020年，人类现代社会历史上第一次大规模疫情发生在第一年。这样的黑天鹅事件，对未来世界影响深远。除了不可逆转的中美关系，在今年百年未有之大变局下，我们的生活和工作也发生了很大的变化。

2021年即将到来。展望新的一年，我们有更多美好的祝愿和愿望。在公布了2020年端点安全十大趋势后，与去年相比，我们结合国内实际情况和大量客户的实地调研，公布了2021年端点安全十大趋势。

趋势1:从自带设备到自带电脑

过去十年是移动互联网的黄金十年。随着移动互联网和移动智能设备的发展，移动营销、移动办公、移动展览、移动在线学习等业务发展迅速，为客户提供了更加直观、及时、人性化的服务体验，充分利用了员工内部的碎片化时间，大大提高了内部协同的效率。

如今，个人移动智能设备是信息查看、确认和简单处理的载体。每个人可能都有笔记本、平板、手机等。作为生产力设备，而BYOD更多的是指这些设备。然而，传统的笔记本管理和控制仍然相对严格，面临着立即应用和及时恢复访问权限的问题。

2020年疫情爆发，企业大部分员工被困家中，企业被迫大量临时释放虚拟专网远程访问权限，员工在家通过台式机和笔记本电脑办公。但由于一些个人设备的安全性得不到保障，很多企业发现病毒木马可以借助虚拟专网渠道进入内网，黑产商也利用疫情发动针对性的社工病毒，进一步加剧了网络安全问题。而且，存储在个人PC上的企业数据更容易造成数据泄露。

中国疫情阶段性结束后，意识到疫情的复发会对企业的业务产生影响，远程办公、移动办公、居家办公在激发员工主观能动性、提高时间利用效率、节约企业运营成本方面的巨大效益，加上员工对远程办公的进一步需求、国外巨头公司远程办公的常态化战略等因素，进一步刺激了远程办公的增长。

上述因素也催生了新一轮针对终端的安全管理管控，因此Gartner在《2020端点安全技术成熟度报告》中正式提出了BYOPC安全。随着该领域方案的成熟，相信未来十年将有越来越多的企业可以随时随地实现办公战略，并将进一步推动数字化转型之路。

趋势二:零信任网络接入从发散到收敛，

从少量场景验证到完全集成。

如果说今年的安全是最热门的词，恐怕就是非零信任了。自2010年弗雷斯特研究机构的首席分析师约翰·金德瓦格提出零信任这个术语以来，十年已经过去了。近十年来，国内外企业基于对零信任安全框架的理解进行了技术探索和布局。从不同的角度来看，到目前为止已经基本融合，特别是与NIST及其下属单位NCCOE发布的零信任框架的正式版本和实现方式，以及业内对零信任的认知。

图1 NIST NCCoE“实现零信任架构”正式版

零信任定位:零信任架构不是单一的网络架构或产品，而是一套网络基础设施设计和运营的指导原则，用于提升网络安全的整体能力。

零信任目标:零信任架构的核心是重构访问控制，采用更灵活的技术手段，为动态变化的人、终端、系统建立新的逻辑边界。

零信任现状:目前各厂商、各企业都在积极探讨如何在曝光汇聚、远程办公、远程运维、跨网接入、多云接入等场景下践行零信任。

未来零信任:围绕零信任架构的核心组件，在不同场景下叠加不同的功能组件，将零信任的理念融入企业的各种安全场景，未来零信任是未来企业安全建设的主要技术理念之一。

在2020年网络安全行业全景图中，信通院将零信任作为一个通用的技术概念。

图2展示了2020年中国网络安全市场全景图的分类架构

总的来说，零信任的应用范围很广，可以用于端点安全和网络安全。目前比较成熟的场景是从端点到资源的访问控制，这也是企业践行零信任的第一步。可以预见，在验证了远程办公、远程运维、虚拟专网替代、多云接入等场景下零信任网络接入的核心组件后，企业将逐步向其他端点扩展接入资源，最终覆盖所有端点接入资源。

趋势三:ZTNA对虚拟专网的替代正在加速

虚拟专用网是广泛用于安全远程用户访问控制的通用技术。这项技术与多因素身份验证相结合，可以很好地适用于具有传统边界以及静态用户和服务器资源的企业。然而，正如Gartner的研究报告所言:DMZ和传统的虚拟专用网是上世纪90年代为网络设计的，由于缺乏保护数字服务所需的敏捷性，它们已经过时。

首先，虚拟专用网对分配的网络提供非常粗略的访问控制。他们的目标是让远程用户表现得就像在本地网络上一样，这意味着所有用户都可以完全访问整个VLAN的网络。试图配置虚拟专用网络为不同的用户提供不同的访问级别是不现实的，它们不能很容易地适应网络或服务器集群的变化。虚拟专用网根本跟不上当今企业动态发展的需要。其次，即使公司对虚拟专用网提供的控制水平感到满意，虚拟专用网也只是控制远程用户的筒仓式解决方案——它们不会帮助保护本地内部网中的用户，这意味着组织需要一套完全不同的技术和策略来控制本地用户的访问。这将增加协调和匹配这两个解决方案所需的工作量。此外，随着企业采用混合和基于云的计算模式，虚拟专用网络更难有效使用。

最后，在虚拟专网设计之初，主要考虑组件虚拟专网的接入，但在远程办公场景下，对企业数据缺乏安全保护，容易出现数据泄露。

基于此，Gartner还在2020年的ZTNA市场指南中指出，到2022年，80%向生态系统合作伙伴开放的新数字业务应用将通过ZTNA接入；到2023年，60%的企业将逐步淘汰大多数远程访问虚拟专用网络，转而使用ZTNA。

但由于疫情驱动的远程办公需求，以及国内大规模攻防演练首日虚拟专网的0day漏洞，目前大部分用户都在考虑用ZTNA替代虚拟专网，因此这一进程会加快。

趋势四:ZTNA将促进UEM的发展

统一端点管理是Gartner定义的另一个不同于EPP的细分市场。其初衷是强调异构PC和移动终端的统一管理。

随着操作系统的演进，原有PC与移动终端的技术差异逐渐缩小，近十年来企业中的Windows应用数量一直在缓慢下降，取而代之的是基于浏览器的程序或与操作系统无关的程序。随着以资源保护为核心的零信任安全架构，以及BYOD和BYOPC的广泛使用，企业IT管理者对应用访问和数据保护的管理将会比管理整个设备更加重视，零信任架构的落地让企业能够对所有设备访问企业资源进行统一、精细化的动态授权。因此，2020年《ZTNA市场指南》指出，企业在评估如何实现零信任网络接入时，必须考虑UEM的重要性。

图3 Gartner《2020年ZTNA市场指南》发现，在远程办公、互联网曝光融合等场景下，大多数客户通常会将PC和移动智能设备放在一起考虑，因此零信任架构的实施让UEM的需求更加迫切。

然而，UEM在国内外的实施路径存在较大差异。

苹果在几年前就开始在Mac OSX中加入MDM API，而微软则是在Windows 8.1中首次引入了EMM API，并在Windows 10中进一步扩展。这样，EMM可以非常方便地管理电脑和苹果电脑。因此，国外的UEM厂商更多的是移动安全厂商，比如MobileIron和Blackberry，都是从MDM到EMM再到UEM。

图4 UEM发展的三个阶段目前国内UEM厂商很少。一方面，国内基于PC和移动终端的原生应用仍然有比较大的体量，转型需要时间；另一方面，国内企业对PC终端的管控要求非常复杂，很多原生API不足以满足管控要求。同时，大部分客户也希望统一管理混合接入的物联网终端，大部分EMM厂商不具备PC终端和物联网终端的管控能力，导致国内EMM厂商向UEM转型的很少。因此，国内的UEM厂商一般都是由少数几家同时拥有EPP和EMM产品的厂商落地。

趋势五:UEM和UES肯定会合并。

作为ZTNA的核心组成部分

通过上面对UEM的介绍，我们可以看到UEM的安全属性很少，所以Gartner在今年的《端点安全炒作周期，2020》中提出了UES这个词。

图5 2020年端点安全技术成熟度曲线

虽然Gartner对UES的定义范围很广，目前还处于起步阶段，但我更倾向于认为，在登陆UEM的过程中，很多企业都期望对端点进行统一管理，安全团队也希望从端点分析和集成方面提供更多关于身份和访问管理的见解，或者更好地支持安全运营。

特别是随着零信任架构的落地，PC与移动终端在身份认证、环境感知、信任评估、动态授权、基于用户的行为分析、安全事件等方面的关联性非常强，基于UEM的统一设备管控能力和数据采集能力是UES不可或缺的选择。同时，利用移动终端强大的身份属性和较好的安全性，作为PC安全属性的补充，是一个不错的选择。例如，在移动终端的扫码认证是在PC终端推荐的身份认证方式，或者在移动终端的确认作为身份一致性的检查，或者在PC终端发生风险后，利用移动终端的设备优势进行基于生物特征的更高强度的二次身份认证，以确定企业资源是否可以持续访问。

UES未来的发展有什么价值？我认为，如果只是资源增值、EDR的延伸和XDR的实践，意义不大。未来UEM与UES融合后，将作为ZTNA的重要核心组成部分，支撑ZTNA的落地，成为企业安全运营中心的主要安全数据源之一，是UES最大的价值所在。

趋势6: EDR在零信任架构下面临新的机遇

Gartner于2013年提出ETDR，2015年正式命名EDR，2017年正式发布EDR市场指南。2018年，Gartner将EDR从端点安全的补充功能转变为必不可少的功能，并将其列入每年端点安全十大安全项目。它的重要性不言而喻，因此Gartner预测，到2020年，将有80%的大型企业、25%的中型企业和10%的小型企业同时，CrowdStrike的高估值也很好地证明了EDR市场。

但与国外EDR的快速发展不同，国内EDR在PC终端端的发展慢于国外，不同的客户群体有不同的表现因素。对于大型企业，主要有几个原因:

国内大客户终端管理非常复杂，任务繁重。基于员工普遍抵制在终端做太多事情的前提下，很多都优先考虑网络端，因此网络端威胁检测发展迅速；

国内很多大型客户都有多个网络，其中生产和办公网络一般不允许接入互联网，所以大部分威胁来自外部，尤其是国内的大规模攻防演练，加剧了这个问题，使得CWPP发展迅速；

国内外的文化差异也不同。针对端侧单点威胁，中国可以利用行政手段及时介入，进行严格管控。从影响来看，优先级一般。

因此，基于检测的EDR通常被用作企业整体安全运营的一部分，提供更全面的威胁分析数据、更好的安全可见性和处置手段。

对于中小企业来说，他们面临的高级威胁大多是勒索软件，所以EDR存在于下一代杀毒或集成传统杀毒方法中。作为防御ransomware的主要产品，符合XDR的思路。基于清晰成熟的威胁防御案例，提供开箱即用的功能和持续的安全服务。

然而，目前的零信任架构可能会改变这种情况。一方面，零信任架构的实施让企业更敏捷地走向云端，端点以PC为主，移动设备接入网络环境多样化，更多个人笔记本接入，使得威胁大大增加。EDR非常有必要提供更强大的威胁检测。另一方面，由于可信接入代理的广泛使用，改变了传统的网络接入路径，如链路加密或代理转发后丢失源IP地址等。因此，在未来基于零信任架构的安全体系中，EDR是环境感知和威胁检测的核心组件，而传统网络侧检测产品的应用场景将会减少。

趋势7:从防御到检测再到扩展检测

Gartner在测试响应项目中的新发现指出，测试响应不仅指终端，还包括:

面向日志的检测与响应技术面向端点的检测与响应技术面向网络的检测与响应技术面向欺骗的检测与响应技术面向运营的检测与响应服务

随着这些产品和服务的成熟，从行业趋势来看，这些产品正在逐渐趋同。比如我们熟悉的Elastic收购了著名的EDR厂商Endgame，行业内的SOC、SIEM厂商也开始推出自己的EDR、NDR产品，通过统一的威胁检测框架，实现更多维度、更多地点、更全面的检测，进而实现对威胁的自动响应和统一布置。XDR不是一个新名词。Gartner将XDR纳入今年的十大安全项目是符合逻辑的，甚至有点晚了。XDR还出现在两个技术趋势曲线:端点安全和安全运营，未来相当有希望。

图6 2020年安全运营技术成熟度曲线

Gartner将XDR定义为:

XDR是一个基于SaaS的、特定于供应商的安全威胁检测和事件响应工具，它将多个安全产品本机集成到一个统一所有许可安全组件的内聚安全操作系统中。

从定义来看，笔者认为是一个如何落地测试响应产品的思路。这类产品目前最大的问题是对安全专家的高度依赖。所以国内真正能推出此类项目的企业都是安全能力强的头部企业。同时，这些头部企业也在基于自身的安全规划做XDR，这只是应用深度的问题。因此，XDR的提出可以为大量中小客户提供全面、完整、开箱即用的检测响应产品和基于云的威胁分析安全服务。

然而，产品与检验和分析维度之间的联系是第一步。XDR的本质应该是Cross。真正的目标是基于一个威胁线索无缝跨越多个检测产品。如何实现这个目标，目前还没有明确的答案。因此，目前XDR应该更加专注于商业模式和营销。毕竟技术上没有什么新东西。

趋势8:访问控制和ZTNA的集成

访问控制作为设备接入企业网络的安全边界，一直是企业安全基础设施之一，只是访问控制以网络为中心，零信任以企业资源为中心。但是，这两个概念都类似于零信任，这意味着它们默认不信任任何设备，必须经过严格验证后才能被允许访问。因此两者都有身份验证、环境感知、信任评估、动态最小授权等环节。严格来说，这些环节都有重叠的部分，所以在具体落地过程中一定要考虑如何统一，才能给用户最好的体验和最低的性能成本。

从企业网络安全的角度来看，两者解决的问题并不冲突。访问控制主要保证使用企业网络基础设施的安全性，而ZTNA主要解决访问企业资源的安全性。因此，BeyondCorp在企业网络中的第一步也是访问控制，这是谷歌的零信任实践项目。

图7 BeyondCorp组件和访问流程

趋势9:个人信息保护将推动全行业对数据安全的重视

今年11月，某快递公司爆出内部员工泄密案。该公司5名员工以每天500元的价格出租员工账户，导致40多万条个人信息泄露。这些信息包括发件人和收件人的地址、姓名和电话号码等。根据犯罪团伙供述，这些信息将被打包，以每条1元的价格出售给全国、东南亚等电信诈骗高发地区。

今年《个人信息保护法》第七章规定，违法处理个人信息情节严重的，处以5000万元以下或者上一年度营业额5%以下的罚款；对直接负责的主管人员和其他直接责任人员处以十万元以上一百万元以下的罚款。

征求意见稿公布当天，多家银行因“侵犯消费者个人信息”被罚，处罚总金额达4188万元，相关责任人罚款金额在1.75万元至3万元不等。信息保护已经成为国家和社会关注的焦点。

明年，随着《个人信息保护法》的颁布和发布，我国隐私和个人信息保护的新时代将开启。为了更好地满足合规要求、客户个人权利和自身管理需求，企业需要从综合角度进一步加强个人信息安全和隐私保护能力，特别是通过零信任和数据防泄露相关技术，防范客户个人信息在访问、使用、存储和发送等方面的安全问题。

趋势10:企业在选择端点安全产品时应考虑信创终端

在中美关系不可逆转的大背景下，信创产业稳步快速发展，从单个行业的试点拓展到各行业的头部客户试点。相信明年扩展速度更快，影响更广，端点安全产品的部署周期一般在三年以上，所以在选择时一定要考虑对新创终端的支持。

点击 蓝色字体 关注

扫描下面的二维码或点击“阅读原文”查看更多详情