360企业安全集团副总裁 张 聪

终端安全复兴

360企业安全集团副总裁 张 聪

在2016年初的RSA大会上，我们发现了一个有趣的现象，以前颇为冷门的终端安全，今年突然火爆起来。在RSA大会的展商列表当中搜索Endpoint Security（终端安全）关键词，列表长达数百家，包括老牌的赛门铁克、迈克菲（Intel 安全）、趋势科技，终端安全新贵Carbon Black（原Bit9），CrowdStrike，CounterTack，以及试图挑战传统老大的新秀 Cylance、SentinalOne，都纷纷站在舞台中央，将各种思路的新兴终端安全机制和能力产品化，各种新产品应接不暇。

为何终端安全貌似突然火热起来？在业界看来，这其实是一种必然的趋势，是一种安全技术的回归。

1 终端是安全的主战场

站在防御者的角度上来说，安全防护永远都是投入不足的，因此我们必须识别出安全的主战场。在安全规划当中，表面上看我们都在解决与设备安全相关的问题，例如服务器安全、网络设备安全、终端设备安全以及整个网络的安全等等，然而，安全的实质问题并不是设备，而是人的安全问题。尽管很多安全问题表现在设备上，但是人或人为因素才是信息安全问题的根源所在。

但是人的力量是不能直接作用于信息系统的，人和信息系统的交互必须通过一个载体，这就是人机界面。毫无疑问，这个人机界面就是终端。一个安全事件，无论在网络中经过多少环节，使用了多少高级技术，其最终目的都是为了代替人完成某些未经授权的工作，比如窃取数据、破坏系统、潜伏下来以备后续使用等，而这些动作的完成，必须通过某个终端才能完成。正因为终端是大多数安全事件的目标和发生地，终端毋庸置疑成为了安全的主战场。

但是对于这个主战场我们一直以来的重视是不足的。长期以来，在关乎国计民生的重要政企专网之中，终端上依然运行着用十几年前的技术打造的杀毒软件。这些杀毒软件使用的技术，仍然是依靠反病毒厂商预先制作的，单向导入的特征码，很难与日趋复杂和个性化的新兴威胁对抗。同时，终端由于数量多、分布广、系统环境复杂、直接接触终端用户，又是最难有效实施的安全管理环节，即使是作为终端安全基础的反病毒软件，也经常存在安装率低下、盲区大的问题。这种矛盾在国内的政企专网当中长期存在，将是影响政企和社会安全的重大隐患。

2 终端缘何会重新兴起？

既然终端是安全当中举足轻重的战场，新兴终端安全技术的兴起也就毫不意外了。

首先是从攻击者的角度来看，反病毒、防火墙、IPS老三样的普及，的确提高了攻击门槛。与此同时，在攻防当中存活下来的攻击者，也逐步掌握了更高端的绕过老三样的技术，这包括针对反病毒的免杀技术、针对流量的加密技术、不断变化的C&C控制端等等。与这些技术的对抗当中，原有的安全分析技术需要越来越复杂的分析逻辑，对设备提出了越来越高的性能需求，典型的就是反病毒的资源占用越来越高，但又经常滞后，无法防御新的恶意程序。为了应对这些问题，一些新的终端技术的出现是必然的。

另一方面，网络层面的安全发展了这么多年，各种创新技术层出不穷，但所有的网络层技术总是会碰到一个瓶颈，即旁路还原的运作模式，必然碰到加密流量、P2P等技术带来的盲区，而且只能达成定位到特定IP地址的粒度。而终端层面的技术，很好的避免了这些盲区，并且可以看到终端内部的进程、数据的信息。在触到瓶颈之后，各家安全厂商再次将精力重新放回终端，也就不足为奇了。

另一方面，大数据技术的兴起，对于安全技术的发展已经形成了正向促进的作用。过去由于计算能力、大数据基础框架等能力的限制，安全只能针对有限的数据进行分析，终端上面的数据维度多、关系复杂，在计算和存储能力紧缺的年代，往往成为最先被牺牲掉的部分。而随着大数据技术的发展，计算和存储能力已经不再紧缺，在某些较大的组织内部甚至已经是过剩，这时终端数据的多样性和复杂性反而成为一种优势，因为这些数据可以更深入窥探到细节。由于大数据技术越来越多的应用于安全分析、行为分析领域，终端所能够提供的数据，也越来越成为一个宝贵的资产。

3 第三代终端安全的四个重要特征

新时代的终端安全体系，是相对于传统的终端安全体系来说的，从历史上看，传统的终端安全体系经过了三个发展阶段。

在最早的时期，由于终端的主要威胁来自于恶意代码和病毒，因此通过特征码的病毒查杀工具，以及围绕着病毒查杀 建立的周边基础设施，例如特征码升级、定时扫毒等等，构成了第一代的终端安全体系。随着时间的发展，业界发展出来一些更强的杀毒技术，比如基于启发式的查杀技术，但是这些技术的体系，仍然以静态特征对抗静态代码，依赖人工对样本进行分析和提取特征，并基于更新来进行新威胁对抗。这种机制构成了终端防护的第一个发展阶段。

后来随着攻击方式的变化，样本变种大量、迅速出现，无差别大规模攻击流行，攻击手段简单粗暴，容易造成大规模的安全事件。这个时期最典型的安全事件是冲击波蠕虫的大爆发和熊猫烧香的爆发。为了应对大量的自动化变种，第二代的终端安全体系开始出现。第二代技术开始引入云查杀或机器学习等技术对抗样本变种，引入主机入侵防御系统（HIPS）来进行基础的行为拦截，引入漏洞修补或利用缓解技术来避免通过漏洞传播，甚至在某些受限环境当中使用白名单和“非白即黑”的策略进行防护和查杀。这个阶段的技术呈现出引入机器对抗机器，引入机器学习提高对样本的主动检测能力，并开始出现主动搜集样本进行大规模分析的云查杀系统。由于引入了云端技术，安全对抗也不再依赖系统升级，而转变为实时计算、实时生效的模式。这种大机器对抗、主动搜集、主动防御、实时生效的模式，构成了第二代终端安全体系。

随着攻击方式的进一步发展，攻击者开始逐渐从利用样本转为利用漏洞。漏洞可以承载在文档、PDF或者网页当中，通过鱼叉、水坑等方式针对性攻击少数人群，攻击开始呈现出针对性和隐蔽性。在攻击者获取到内部的控制权之后，往往通过各种手段实现长期驻留，这些驻留的样本成为了来自组织内部的威胁，长期挥之不去。从攻击者角度来说，其集团化运作、组织化运作的趋势也越来越显现，开始出现了产业分工，甚至出现了“攻击即服务”的模式。这种新的攻击环境下，我们就需要第三代的，也就是新时代的终端安全体系来保护组织的安全。

新时代的终端安全体系的主要特征包括：

（1）基于“无法将黑客100%拦截在边界之外”和“组织一定已经被攻陷”的假设，对终端的行为进行持续的监控搜集，并应用大数据的分析方法和模型，主动检测被攻陷的迹象并做出响应。

（2）依赖终端的程序行为，而非样本进行防御。

（3）立足于威胁本身，了解威胁背后的组织、目的和技术手段，并基于这些信息进行拦截。

（4）针对检测出的威胁，进行快速和自动化的响应。

这样一套终端安全体系，必须具有四种能力：针对已知威胁的评估能力、拦截能力以及针对新威胁的检测能力和响应能力。威胁情报贯穿于这四个能力之中，对这四种能力都进行了加强。威胁情报是新一代终端安全体系的核心能力，新时代的终端安全体系必须能够获取和利用威胁情报。