目錄目錄前言 1關鍵發現 3第一章 一體化端點安全典型場景 5基于安全合規的終端管理 5防病毒與防惡意軟件 5端點漏洞管理 5威脅檢測與響應 5端點數據安全 6第二章 一體化端點安全概念概述 7一體化端點安全定義 ７一體化端點安全能力框架 7一體化端點安全概念說明 8第三章3.1一體化端點安全主要能力 9基于安全的終端管理 93.2防病毒 93.3威脅檢測與響應 103.4終端類型與數量 10目錄目錄3.5 操作易用性 11第四章一體化端點安全代表企業 124.1微軟 124.2144.3360數字安全 16第五章 未來趨勢 19一體化端點安全落地難 19泛終端安全一體化納管 19有效助力信創安全風險管理水平 19Reference 21?前 言數字化轉型帶來的數字辦公，意味著越來越多的工作是在數字化環境中完成。而端點則是數字化環境中，負責進行人機交互，以及信息處理、存儲的重要環節。因此，端點始終是攻擊者的主要目標之一，端點依然是企業必然要防護的對象。端點面臨的風險數量很多，包括資產不清晰、勒索攻擊、漏洞利用、違規遠程接入、敏感文件、數據的泄露和未知威脅攻擊等等。近幾年，在各級別各行業實網攻防演練的帶動下，國內的終端安全需求有兩個新變化：一是終端側大規模魚叉式攻擊、U終端安全多樣化威脅場景，需要的則是一體化終端安全能力，我們稱之為llinOne的能力。AllinOneagent安全產品，如終端管理軟件、防病毒軟件、EDRDLP……每個單點安全agentagent全管理員都苦不堪言。agent，就覆蓋絕大部分終端隨用隨取”。點能力的實現，而在于如何將這些能力有機融合，按需提供。即以llinOne的思路，將多樣化的終端安全需求（如終端管理、防病毒、EDRDLP、身份安全等）融合在單一終端安全產品中，以極簡交付方式，為用戶提供一化的終端安全能力。可以說，一體化的端點安全防護解決方案則會成為未來的主要方向。鑒于上述背景，數世咨詢撰寫本報告。勘誤及交流請聯系本報告主筆分析師劉宸宇：liuchenyu@?關鍵發現了解自身端點的攻擊暴露面。數據的價值在于流動，流動過程中的最重要節點就是端點。“一體化”不僅指將多類型的終端通過一著將端點面臨的各類威脅通過一個平臺進行管理和響應。一一一防病毒一勢，另一方面需要將病毒沙箱等能力點開放輸出。一體化端點安全在端點側應當具備更廣泛的威脅發現能力——以外，端點上的異常行為、惡意軟件、數據泄露等都應覆蓋。在產品操作易用性上重點關注，不能將“使用成本”簡單堆疊后轉嫁給用戶。未來一猶豫。一體化端點安全的端點覆蓋范圍將進一步向泛終端擴展。短時間內快速提升信創操作系統及信創應用的整體風險管理水平，最具性價比的方式就是從一體化端點安全入手，通過一體化管理平臺同時從“終端?第一章 一體化端點安全典型場景1.5?第二章 一體化端點安全概念概述一體化端點安全定義（IntegratedEndpointSecurity）描述如下：以統一管理平臺與單一agentPC（/IoT）提供一體化的安全解決方案。一體化能力應當包括但不限于：終端管理、安全準入、防勒索、AV/EPP數據防泄漏、威脅檢測與響應等。一體化端點安全能力框架圖1 一體化端點安全能力框架一體化端點安全概念說明PCWindows、Linux、macOS及信創操作系統等終端類型。PCHDRPCPC另一方面隨著遠程辦公的興起，移動終端、智能終端的安全需求也不容忽視。PC此外要著重說明的是，報告中的“一體化”不僅指將多類型的終端通過一個平臺進行管理，同時也意味著將端點面臨的各類威脅通過一個平臺進行管理和響應。由于端點安全的產品不斷有新的理念、產品形態出現，因此將一體化端點安全認為是端點安全產品的簡單堆疊是欠妥的，缺乏發展視角的；而最終目的是對終端側的威脅風險進行一體化應對和處置，這與數世咨詢提出的“威脅檢測與響應（TDR）”也是呼應的。所以，“一體化”并非是指端點安全產品的堆疊一體化，而是指應對端點風險和威脅的安全能力的一體化。?第三章 一體化端點安全主要能力從而實現統一視角下的智能化響應。基于安全的終端管理相比傳統終端安全管理平臺日志割裂，聯動能力匱乏的問題，基于安全的終端管理可以在端點資產管理、安全配置管理、漏洞管理等多維度統一管控的基礎上，實現后續端點資產的病毒防護、安全接入、威脅檢測與響應以及數據安全防泄漏等能力。（PC物理主機、虛擬主機、容器），對端點資產可能存在的各類風險進行提示和修復，賦予其更有針對性的檢測防護能力，如可疑資產接入、弱密碼等端點的風險配置、已知漏洞等。相當于基于安全視角為后續各安全能力提前梳理了潛在的攻擊暴露面，全盤掌控全局不同端點類型安全管理狀況。值得一提的是，針對操作系統老舊版本的終端，例如Window7IE器環境，終端管理應當重點提供漏洞管理、系統加固等功能。防病毒防病毒是最主要的傳統安全能力，但傳統不代表不重要。作為一體化端點安全能力中最基礎的一項能力，防病毒一方面需要迭代演進，滿足勒索病毒頻發、信創環境普及等新形勢，另一方面需要將病毒沙箱等能力點開放輸出，與諸如NDR、TIP等流量與情報側的產品聯動，提升針對“黑名單”類威脅的檢測與響應能力。根據不同行業用戶的不同網絡環境，防病毒查殺引擎應當采用本地多引擎部署、或是云端查殺引擎聯合部署等不同方式。威脅檢測與響應一體化端點安全在端點側應當具備更廣泛的威脅發現能力——除防病毒以外，端點上的異常行為、惡意軟件、數據泄露等都應覆蓋。針對威脅做出的響例如結束失陷終端上的惡意進程，隔離進程文件，同時橫向對所有潛在受到威IP可以以自動化方式完成；對于需要安全分析人員參與的部分，可由統一管理平臺對相關事件日志、操作日志留存、匯總并可視化呈現，供有條件的團隊進一步對威脅事件進行復現與溯源等操作。終端類型與數量一體化端點安全要覆蓋主流操作系統如PCServerLinux、macOS，以及統信、麒麟等信創操作系統；所支持的終端數量一般單機數萬，并支持級聯擴展；部署方式要同時兼顧互聯網開放環境與具有保密要求的隔離網環境，特別是對于病毒防護場景，要具備離線升級病毒庫的能力。agent?度保障業務安全。操作易用性端點類安全產品普遍存在著不同程度的操作繁瑣、上手成本高等問題，相比滿足單點需求的產品或工具，一體化端點安全更具有多樣化需求、多場景應用、多維度能力，因此需要在操作易用性上重點關注與投入，提供符合端點安全運營管理者及終端用戶心智的人機交互界面，切不可將功能簡單堆疊后，把復雜留給用戶，這將直接帶來高使用門檻和低安全運營效率。首先架構上要以統一平臺管理為基礎，其次對用戶側的功能操作流程、頁例如針對常用典型場景劃分功能模塊、單模塊下的操作要簡單且閉環、結果的可視化要優先呈現重要或結論性數據等等。總之，一體化端點安全在提高安全效率的同時，應當以簡化管理為同等標準與目標。第四章 一體化端點安全代表企業微軟2020100AI身份與訪問管理、端點安全、郵件安全、應用安全、數據防泄露、SIEM安全，真正實現了端到端的安全。結合本報告，微軟的上述安全能力在其Defender產品中均有所體現，我們從微軟官方發布的MicrosoftCybersecurityReferenceArchitecture（MCRA）中可以看到。如上圖所示，在端點與設備側（Endpoint&Devices），其能力在具備?Android、macOS、WindowsEDR、Web內容過濾、威脅與漏洞管理、終端DLP等能力，這些安全WindowsOS（2021Windows10）的原GitHub層面強大的威脅情報能力。同時微軟也會從身份安全（SecuringPrivilegedAccess（MicrosoftSecureMicrosoft365Defender，微軟提供了漏洞管理、攻擊面收斂、下一代安全防護、EDR、自動化調查與整改、威脅API統一配置與統一管理的。對于用戶來說，上述能力已經能夠覆蓋大部分端點側的安全需求，且對于微軟來說，上述安全能力可以通過操作系統為用戶原生交付，大大提升了交付效率、使用效果與用戶體驗。當然，在目前的國際大背景下，這對于國內用戶來說恰恰成為一個現實問Windows7（WindowsXP）操作系統，不具備原生交付安全能力的條件，甚至連最基本的漏洞補丁升級服務也難以得到保障。即便如此，從全球范圍來看，微軟在終端側的一體化端點安全能力，在數世咨詢看來，依然是值得重點考慮的廠商之一。2021，McAfeeFireEye，2022TrellixEDR可視化管理能力。具體來說，Trellixagent在錯誤；另一方面將進一步需要人工參與調查的威脅詳細信息自動提交給事件響應團隊，并通過StoryGraph安全團隊深入了解和調查惡意行為者的來源。5ATT&CK能力。?XDRMDRAPI與生態合作伙伴的應用進行對接。如下圖所示：總體而言，Trellix的一體化端點安全解決方案更傾向于高級威脅的全面端點防護，通過使用統一平臺簡化管理，用戶能夠在攻擊發生之前，以攻擊者視角進行更加高效的風險管理。同微軟一樣，TrellixMcAfeeTrellix成為了一個新問題。但不可否認的是，McAfeeFireEye體化端點安全能力在業內仍然處于領先地位，這一點是毋庸置疑的。在2022TrellixTrellix360作為國內最早同時涉足操作系統優化與終端防病毒防護的廠商之一的360，經過多年的持續投入與積累，目前其一體化端點安全能力以強大的終端管理能力與防病毒能力為基礎，同時具備了包括資產管理、威脅對抗、合規管控、安全自助管理、安全接入、以及終端DLP等在內的多項終端安全能力。雖然是以終端管理與防病毒為基礎，但威脅對抗能力遠不局限于特征匹配這一傳統模式。憑借多年積累的海量安全威脅數據，360保證了其在威脅檢測與響應方面的準確率與時效。此外，在核心能力之外，與微軟、Trellix相比，360一體化端點安全解決方案最大的特點是符合國內用戶的使用場景需求。首先，應用場景覆蓋勒索防護、APT防護、挖礦防護、攻防演練、重大事件保障、等保合規、數據安全等多個國內典型場景需求，例如，在操作易用性方面，360將實網攻防演練、重大事件保障等典型專項場景所需的功能菜單專?不僅降低用戶操作流程易中斷的問題，同時在專項場景的安全運營上給出有效360Windows、LinuxmacOSUOS、麒麟等信創終端操作系統并提供了與之匹配的信創專殺引擎。值Windows7，360的一體化端點安全產品還其端點安全解決方案還支持國內典型的隔離內網環境部署方式。如此一來，有效補足了國外產品在上述方面的不足。此外，在可視化方面，管理平臺將隱蔽的、抽象的、復雜的、未關聯的、不直觀的關鍵安全數據通過突出量化的方式直接傳遞給用戶，讓信息更高效傳達至安全運營人員。如實網攻防演練前的終端資產暴露面巡檢環節，總覽頁面會以分值形式直觀顯示“全網終端”體檢的未通過率，以及存在各維度風險的終端數量。360防病毒、威脅檢測與響應、多類型終端支持、操作易用性等方面的描述。?第五章 未來趨勢一體化端點安全落地難一體化端點安全能力在當前來看，技術上的實現并不存在太多難點。但是在落地實踐過程中，卻存在著用戶和廠商之間博弈的矛盾。對于用戶而言，固然由同一個供應商提供的一體化端點安全能力能大大提升端點側安全運維效率及安全管理效果，但是卻同樣面臨著將整個端點側的安全由單一供應商建立的風險。從商業角度來看，這無疑會削弱企業對自身安全產品采購的管控力。因此，行業用戶自身在一體化端點安全的落地上會存在一定的猶豫。泛終端安全一體化納管未來一段時間內，攻擊暴露