杀毒软件之死——RSA2018终端厂商及产品趋势解读(EPP&EDR&CWPP)
作者: 日期:2018年04月29日 阅:28,855

笔者有幸参加了RSA2018年大会,大会最重要的就是各种厂商的展销会。鉴于之前大家介绍太多的创新沙盒,基于这几天参会的体验针对性的跟大家介绍一下参展厂商。旧金山莫斯康会议中心分为南区和北区,南区创新类公司较多,北区大厂较多。笔者三天时间都在南北区穿行浏览、学习询问。

大体上参展厂商分为三类:第一大类网络安全类,即Network Security,包括Palt Alto、Checkpoint、Juniper、Fortinet等;第二大类终端安全类,Endpoint Security,这个后面细说可以再继续分为三小类;第三大类可以说其它,比较分散了,比如有IAM领域的Okta、Duo等,还有CASB领域的Skyhigh以及DLP类。

NSSlabs最新发布的AEP图及代表厂商

笔者重点关注了终端类的安全厂商,其它类的关注较少,就关于这个领域来展开一些前方的报道和讨论。Endpoint Security 终端安全领域,美国的厂商非常之多。

Crowdstrike跟Nsslabs扯皮的事情在这里不做表述,这里面来了80%的厂商进行参展。但是这种方式我觉得比较狭义,Gartner的分类方式我个人比较赞同,将Endpoint的pc领域和服务端领域的Cloud Workload分开,分别叫EDR和CWPP,详情可见EPP魔力象限、EDR以及CWPP的市场指南。

EPP魔力象限

根据Gartner的分类方式,目前以我的理解大体把终端类的安全厂商分为三小类:

第一种是专注于办公环境的终端领域;第二种专注于服务器领域在云计算时代的表现就叫云工作负载的保护;第三种就是混合的场景,既可以保护办公环境也可以保护云工作负载。

这种分类也不是那么绝对,有些厂商的对终端的保护就比较模糊,比如Comodo的Enpoint解决方案,基本不分pc和服务器环境。做Endpoint比较久的厂商,比如趋势、迈克菲、赛门铁克等会把这两种产品分开。专注于办公环境或者云工作负载领域其中之一的大部分都是初创公司,用一种新的方式来解决目前遇到的新问题。老牌大厂大部分会模糊这个界限,或者痛下决心来进行两种产品的彻底分离。笔者不太倾向于打标签,比如一般的研究机构按照自己的规则把相关厂商全部按照他自身的游戏规则套进来。这种分类仅仅是为了描述上的方便和便于读者的理解,简单的分了三小类。下面我就从这三类根据现场见闻来解读。

第一、EDR或者办公领域的终端安全

这里面是为数最多的厂商,包括老牌的迈克菲、趋势、赛门铁克、Sophos、卡巴斯基,还有一些把终端作为补充业务的公司,比如FireEye、Cisco、Fortinet,也有一些炙手可热的的创业厂商,包括Crowdstrike、SentinelOne、Endgame、Cylance、Bromium等。说一些有亮点的产品,但赛门铁克、迈克菲、趋势没啥可说的,还是之前的那些产品,可能要说的亮点就是展台做的不错。

Comoco、Sophos

Sophos:看到Sophos的产品感觉用户友好性很高,操作的地方就在定义策略的地方,然后就是Dashboard、分析结果、报告以及人员和机器维度的视图,使用起来非常方便。所有的功能都在策略的地方体现,其他的地方都是展示。不足的地方就是产品功能比较少,跟国内环境下要求的功能数量不可同日而语,主要有威胁控制、周边控制和应用控制等这几个方面。

Eset:作为传统的杀毒软件公司,他们的终端产品也有很多自己的特色。在网络性能消耗上是远远低于其他的终端安全厂商。主要基于三个方面的能力,第一是云端分析和在线更新一些特定的指纹之类,说的不用升级的意思就是把核心程序和指纹文件分离而已;第二是机器学习,这个是大家都有的了;第三是人工分析。作为传统的AV厂商,稳定性还是比较高的。

Comodo:名叫one的产品,支持的终端种类之多直接涵盖了移动端设备,这也是一种趋势。老牌的终端厂商卡巴斯基、赛门铁克、迈克菲都会有包括移动端的保护,MDM。缺点是并没有终端和云工作负载分开的产品,还是All In One的产品,估计之后会有拆分。

Palt Alt、Cisco AMP、Fireeye、Fortinet

Palt Alto Networks:Traps是终端产品做的最收敛的一个,展示了一些最直观的信息。国外产品的直观性和易用性的感觉还是很强烈的。

Cisco AMP:这是我见过用户体验做的非常好的产品。用邮箱的inbox来表示威胁的情况,然后用音乐的波浪图来展示实际出问题的证据链,然后可以在波浪图的警告或者告警节点点击确认实际出现的问题证据细节。这对于实际出现威胁进行分析以及作相应的应急响应有非常好的作用。同时思科的思路在这个终端产品上看出来还是下了很大的功夫,思路跟新一代的检测恶意软件思路一致。

Fortinet:作为补充业务,在其NGFW里面都有附送漏洞和基线的功能。特定的终端产品功能也丝毫没有什么亮点。不过该有的也都有,比如行为类的恶意文件检测等。

FireEye:火眼的终端产品是为了补全他的Helix整体产品,同时包括网络、终端、邮件和第三方的安全。感觉是要做平台的感觉,终端这块感觉也没啥特点。

Crowstrike、SentinelOne

Crowdstrike:融资能力十分强悍。同时基于终端安全,提出NGAV和EDR的产品。最大的劣势是不支持独立部署,纯粹云端SaaS的产品,据说是基于splunk进行云端分析的,同时也支持离线的分析。基本的思想跟之前杀毒软件基于签名的不同,主要是在进程创建、网络连接、用户访问、机器相互关系等来判断是否是恶意软件,可以理解为是基于分析的策略的模式。最大的特点是他自己有独特的威胁情报,这种威胁情报可以从客户中来到客户中去,比如一个客户有情况,就可以把这个情报共享,用于其它用户,当然这是客户自身的选择,也可以只用于自己。笔者觉得他们不独立部署,很大的一点就是他们的商业模式之后要走向威胁情报,这样自己的商业壁垒会更高,同时也在全局可以保证每个客户的安全,同时成本也较低。问到最大的区别是啥,他说是性能稳定性较高,再追问了一下怎么做到的,回答就是代码写的好。

SentinelOne:这家公司基本是跟Crowdstrike杠上了,贴着Crowdstrike打。在视频里面说Crowdstrike不支持独立部署,他可以支持,Crowdstrike的自动化水平没有他高等等。其实基本思路都很像,也是基于行为特征的方式来定位恶意软件的。同时在勒索软件和挖矿软件的检测和隔离用例非常make sense,将产品的优势发挥的很好。主要突出了三个特点:static AI、behavioral AI和automated EDR,是个自适应架构的递进关系,先有静态分析的阻断和模型,然后有根据行为分析的检测模型,最后是自动化的响应机制。还有一点是被选为微软合作的终端产品包括了windows和linux的产品。

Endgame:突出整合的终端安全保护能力。也是按照自适应架构为纲来展开产品的说明。在防御方面,突出了无文件攻击的防御,以及说明覆盖MITRE ATT&CK 矩阵的85%的防御能力。重点的突出还是在EDR领域,有三个独立的产品,Resolver解决攻击的可视化,数据来源:文件、注册表、用户、进程、网络、netflow以及DNS数据;Artemis用NLP的技术做应急响应,这点上有点像tanium;Arbiter是沙箱和威胁情报的产品。整个产品的完整度较高,在每个领域都有usecase,看来整个市场的适用性还是挺高的。

Bromium、Carbon Black、Cylance、Cybereason

Bromium:这家公司最大的特点就是有Micro-vm的沙箱。产品演示一开始我以为启了一堆虚拟机,结果是他们自身的沙箱在检测和隔离应用,整个看起来还是比较炫酷的。问了一下用的也不是Windows Container技术,看了下技术架构是从cpu方面进行的隔离虚拟化。突出了安全产品不能解决的剩下1%的检测能力。这家公司可能以后会被某个大厂收购,这个沙箱功能是一个十分炫酷的功能,其他的能力都是基于这个沙箱展开的。

Cylance:要说把AI说的最多的就是这家终端安全厂商。无论是防御还是检测和响应无不突出其AI能力,demo的演示者给我不断科普ML,告诉我AI的好处。其实通过上面几家企业也不难理解Cylance的做法,只不过他的样本足够多,算法训练的足够好,所以可以在agent内部集成其训练好的模型。确定的恶意样本训练出来的模型可以集成在防御的模型中,可疑的样本训练出的模型集成在检测和响应的模型中。

Cybereason:以色列的公司,产品上好像也没有什么跟别人家不一样的地方。

Carbon Black:作为把白名单机制的使用的炉火纯青的公司。白名单确实在服务器环境十分适用,在cloud workload是个单独的产品。在NGAV+EDR中,没有什么新鲜的说明。

第二、专注于服务器领域,云计算时代也就是CWPP厂商

CWPP产品功能分层

这类里面的厂商基本有老牌的杀毒软件厂商的解决方案。比如、趋势、赛门铁克和卡巴斯基好像是商量好的,云端工作负载的产品都是叫Hybrid Cloud Solution,都是为了解决混合云的情况。之前也看过云计算目前使用的场景,国外的咨询机构调研的结果都是使用混合云为主流。但是迈克菲叫做Datacenter and Cloud Defense。还有一类都是初创厂商,主要解决Cloud Workload的问题。比如Dome9、HyTrust、GuardiCore、Illumio、Amazon、Microsoft。最后两个没看错,Amazon提供了一个叫Inspector的产品,对云工作负载会做一些简单的扫描工作,解决合规相关的问题。微软也有Azure的安全中心,提供了一些安全功能,比如监控云工作负载,漏洞修复,合规等一些基础的安全功能。

趋势、赛门铁克、迈克菲、卡巴斯基

趋势又是没啥新的变化,Deep Security继续换个花样来说,虚拟补丁,Vmware平台下的agentless解决方案,都快会背了。

赛门铁克说自己的这个领域的产品跟迈克菲最大的区别就是处理能力比较强,比如隔离、删除等一系列操作。

迈克菲支持的整体云平台还是比较全面的,AWS、Azure、GCP都可以支持,在流量方面居然是通过转发流量串行的方式来解决,这个还是挺朴素的。

卡巴斯基的对云的支持也是美国主流的三种,但是他的流量主要是通过VPC flow logs来解决的。但是目前受限于云平台,只有AWS和Azure支持这种方式。

HyTrust、Illumio

Dome9:这家很早之前就有关注,当时只有一个host-based iptables的管理。现在核心突出了三家主流云平台的agentless解决方案,就是基于者三家的云厂商的API进行的二次开发。

HyTrust:重点的特色功能就是跨平台的数据加密能力。同时也包括密钥管理。重点开始关注GDPR的合规需求。

Illumio:感觉被过度炒作了。微隔离从我角度理解就是一个功能,如果单独一直说一个产品,略显单薄。第一步做应用的依赖图,第二步做漏洞的图,第三步进行微隔离。

GardiCore:也是一个重点做网络可视化和微隔离的厂商。同时也有蜜罐技术支撑,现在也有支持容器的功能。

Stackrox:类似这种专注于容器的厂商也越来越多了。他跟其他厂商最大的区别就是做到了整个容器安全的生命周期安全,同时也引入了机器学习的机制来解决runtime的安全问题。今年的创新沙盒厂商,很可惜没有最终获奖。

混合类的就不展开说了,上述也说过类似Comodo和Crowdstrike基本就是混合的场景。但是这种模式我觉得不会长久,办公环境和生产环境的实际场景区别还是挺大的,除了在恶意软件这个角度有相通的地方之外,管理功能跟实际安全问题还是有很大的区别。

终端安全产品的市场及趋势

企业安全角度来分类安全产品重要有4大类:IAM、架构安全类、网络安全类和安全服务。终端安全是属于架构安全里面最大的一部分,全球在每年的年复合增长率为10%左右,到2019年,全球的在这块的安全产品的费用预计在35亿美元,其中CWPP的产品在2017年预计是6亿美元,而且这块在终端产品领域增长最快,基本也是2位数的增长速度。综上所述,趋势如下:

一、 使用机器学习的厂商越来越多。这个说法并不是市场上的语言,实际上和效果上都是可以通过产品验证的,这个产品的思路也可以得到充分的理解。以前根据签名的形式已经不在适用,更多的是根据进程、网络、文件等的一些行为收集和分析。

二、 对容器的支持已经在路上。不是已经支持了就是基本都在产品的roadmap上。可见大家对容器本身的支持的反应是比较积极的。

三、 对威胁情报强调。终端安全产品基本都在支持威胁情报,无论是从外部导入的威胁情报,还是自身产生的威胁情报,都是在应急响应的功能里面都在使用。

四、 用例的场景提到最多的就是勒索软件和挖矿木马。这种场景对于杀毒软件来说是基本无解的,因为很多都是变形和唯一,签名的情况无法解决。对于勒索软件和挖矿木马的行为模式基本是确定的,所以必须通过行为策略和机器学习来解决这类恶意软件。恶意脚本和内存类病毒都是提到的一种新形态的检测类型。

五、 产品讲故事能力在增强。整个产品在入侵事件上的时间序列表达,让人觉得故事性很强,一看就能看出来整个入侵事件的来龙去脉。让安全产品更好体现价值,让安全分析和应急响应很容易上手。

六、 终端领域变得越来约“泛”终端。终端的适用性越来越宽泛,有windows、linux、macOS的,甚至都有移动端的产品支持。

七、 按照自适应架构来构造产品。讲解功能模块,大部分都是在侧重在保护以及检测和响应这三个领域,尤其在检测和响应这块,证明大部分厂商的方法论基本一致。

自适应安全架构

八、 CWPP、EDR是常见的提出的产品形态。合久必分,分就必合,目前的状态是大厂都会有完全的区分,比如麦克菲、赛门铁克、趋势、卡巴斯基等既有EDR的产品也有专门的CWPP产品。初创公司大部分是以一种形态往另外一种形态靠,比如EDR厂商会往CWPP靠,也适用于CWPP的分类,但是CWPP往EDR方面靠的比较少。

九、 EDR&CWPP产品基本属于安全的标配产品,在RSA展会参展商中占很大一部分。这些终端安全产品做的都是使用性很简单,用户体验都还不错。基本的一个思路都是设置各种策略,然后就是各种dashboard和报表的展示。

十、NGAV是各家终端厂商提出的下一代杀毒的名词。“99%以上的恶意软件都是有变形的能力,而且97%的恶意文件对于每个终端都是不一样的。杀毒软件自身不能保护组织的基础架构以及公司的数字资产。” 来自2016 verizon数据泄露调查报告。根据目前恶意软件的形态,基本宣告了传统杀毒软件的死亡。

作者:程度 青藤云安全

 

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章