在数字化转型的浪潮中,企业终端正经历着前所未有的变革,除了传统的PC和服务器,还有移动设备、物联网设备、云端设备等新兴终端的加入,以及预计将迅速崛起的AI PC,使得企业IT环境变得更加复杂和多样化。不同设备的操作系统和使用场景各异,给统一的安全管理带来了巨大挑战。与此同时,网络安全形势日益严峻。勒索病毒、APT攻击等高级威胁层出不穷,攻击手段和目标更加复杂多样,传统的终端安全防护手段已难以应对这些新兴威胁和高级攻击,企业终端安全防护面临前所未有的挑战。
为了应对这些挑战,新一代终端安全应运而生。新一代终端安全是指以主动防御、智能化、数据驱动和自动化为核心特征的安全防护体系,基于行为分析的EDR技术、AI驱动的威胁检测技术、XDR技术、零信任安全架构等技术手段,实现对终端的全面防护和安全运营,帮助企业有效提升终端安全防护能力,抵御高级威胁,保障数据安全。
为帮助用户更好地开展新一代终端安全建设,安全牛启动了《新一代终端安全技术应用指南(2024版)》报告(以下简称“报告”)研究工作。报告深入分析了新一代终端安全的理念、能力框架和关键技术,分享了不同行业和场景下的终端安全最佳实践案例,对国内外终端安全市场、技术和应用进行了探索和分析,并推荐了国内具有代表性的终端安全厂商,为企业选择合适的厂商和产品提供参考。
12月31日,《新一代终端安全技术应用指南(2024版)》报告正式发布。
关键发现
1、EDR正成为终端安全重要组成部分
EDR正成为国内终端安全产品的重要组成部分,以应对高级威胁和未知威胁。未来,随着利用AI辅助能力的提升,EDR的使用门槛将将降低,使之得到更广泛的应用。
2、一体化的整合能力不断提升
国内厂商积极整合UEM、EPP和EDR等功能到统一平台,将多样化的终端安全功能整合至单一平台,以简化管理流程并提升工作效率。未来随着企业数字化转型的加速推进,IT 环境将变得更加复杂和多样化,终端安全将持续提升整合能力,提供融合多功能和跨平台的一体化平台。
3、信创适配正在成为新赛道
国内厂商将终端信创安全作为关键发展方向。全面开展信创适配工作,并推出与国产操作系统兼容的产品。未来,国家对网络安全和信息化建设重视程度的不断提高,将持续推动自主创新和生态系统的完善。
4、数据安全能力得到重视
当前,终端的数据安全能力成为国内终端安全产品的关键选项,厂商提供多种技术手段和产品方案来保障终端数据的安全。未来,数据安全技术将更加智能化和自动化,并且场景将扩展到云端、物联网等更复杂的终端环境。
5、人工智能能力正在从日志筛选向分析告警转变
国内厂商正积极探索AI技术在终端安全的应用,尤其是AI结合威胁情报的智能威胁检测分析和告警。未来,随着AI和机器学习技术的提升,AI模型将持续优化,应用场景不断拓展,自学习和自主响应将成为主要发展方向。
6、终端安全解决方案重视与业务的融合
越来越多业内人士意识到,终端安全与业务场景的融合是制定有效的解决方案的关键。未来,终端安全将继续探索与用户业务场景的深度融合,场景将更加丰富,管理将更加精细,提供更贴近业务的终端安全防护。
7、零信任安全理念逐渐被接受
国内厂商不断推出基于零信任的终端安全解决方案,用于远程或移动场景的身份和访问管理。未来,零信任的广泛和深入的应用,将拓展更多的应用场景。
8、勒索防护体系日益完善
国内厂商高度重视勒索防护,提供多种技术手段和产品方案,防护体系完善,技术手段丰富。未来,为了应对不断变化的勒索攻击手段,勒索防护技术将继续发展,以提供更全面有效的安全保障。
9、物联网和移动终端安全将成为终端安全防护的新兴领域
当前物联网终端和移动终端安全产品和方案的市场尚处于早期阶段。随着物联网设备的快速增长和移动应用场景的不断拓展,未来将提供更多针对物联网终端和移动终端的安全管理功能。
能力框架
基于新一代终端安全的防护理念、终端合规安全框架和终端安全技术应用成熟度,安全牛构建了新一代终端安全的能力框架。该框架旨在帮助企业实现全面防护、一体化管理、高效检测与响应、数据安全保障支持等核心目标,构建一个全面、灵活且高效的终端安全防护能力体系。该能力框架涵盖管理能力、技术能力和人员能力三个维度,并围绕终端安全管理的各个环节进行构建,以实现对终端的全面防护和安全运营。
新一代终端安全主要从管理视角、技术视角和服务视角来构建。
管理视角
- 管理中心:包括集中管理攻击面、威胁情报、协同联动、评估验证、零信任架构等方面。
技术视角
- 泛终端管理:涵盖泛终端设备管理(UEM),其中融入了移动终端威胁管理(MTD)。
- 纵深防护(EPP):包含防恶意代码 / 漏洞管理、应用保护、网络保护、数据安全、勒索软件防护等内容,与泛终端管理相融合。
- 检测与响应(EDR):包括监控与记录、行为分析、自动响应、攻击溯源、威胁狩猎等,与纵深防护相融合,并可扩展到扩展检测与响应(XDR)。
- 扩展检测与响应(XDR):具有跨层数据整合、综合关联分析、跨平台自动响应、全路径可视化、全网补救修复等功能。
- 创新能力:涉及信创终端、AI PC 终端、固件安全、供应链安全、AI 应用安全等方面。
服务视角
- 服务支持:提供威胁情报服务、终端托管服务、终端安全即服务、支持与应急服务等。
此外,还涉及终端安全场景、敏感数据保护、等保合规场景、实战攻防场景、应急响应场景等多个场景,全面保障终端安全。
新一代终端安全的能力框架
新一代终端安全技术原理的核心是主动防御和智能化响应,通过部署在终端上的代理(Agent)和终端检测与响应(EDR)系统,结合威胁情报和自动化响应机制,实现有效应对未知威胁和高级攻击,对终端的全方位防护。关键工作流程包括全面数据采集与监控、高级威胁行为分析、多源威胁情报驱动、人工智能(AI)辅助分析、专家分析与研判、自动化联动响应等。
新一代终端一体化运营主要包括以下几个方面:
一、Agent 部分
- 监控采集:负责日志数据的收集。
- 即时响应:能够快速做出反应。
- 策略同步:实现策略的更新同步。
- IOC 规则库:提供相关规则支持。
二、新一代终端一体化运营主体部分
- 全网泛终端设备资产:涵盖所有网络中的终端设备资产信息。
- 终端脆弱性管理:对终端的脆弱性进行管理和评估。
- 整体风险管理:从整体层面把控风险。
- 风险全路径:追踪风险的整个路径。
- 安全事件管理:对安全事件进行有效管理。
三、EDR(终端检测与响应)相关流程
- 数据管理:对收集到的数据进行管理。
- 行为分析:分析终端的行为。
- 风险评价:基于分析结果进行风险评估。
- 调查追溯:对风险事件进行调查和追溯。
- 新策略:制定新的应对策略。同时,与 IOA 规则库、行为基线相互作用。
四、其他相关部分
- 威胁情报:包括云、邮件等应用信息,威胁诱捕、蜜罐、第三方情报等内容,为整个系统提供情报数据支持,并且与 EDR 存在情报数据的移交利用关系。
- 人工智能:具备智能告警、智能研判、智能建议等功能,辅助系统运行。
- 联动响应:通过 XDR 实现全网联动,与 SOC、防火墙、云平台、邮件策略等进行联动响应,增强整体的安全防护和应急处理能力。
这张图展示了一个较为全面的新一代终端一体化运营架构,各部分相互协作,共同保障终端的安全与稳定运行。
国内终端安全管理技术现状
国内终端安全技术的功能已较为全面,涵盖了病毒查杀、漏洞修复、终端管理、数据防泄密、EDR、零信任等多个方面,并广泛应用于等保合规、远程办公、数据防泄漏、勒索软件防护、移动终端安全等场景。技术总体呈现一体化、智能化、场景化的发展趋势。国内厂商积极投入研发,并推出了涵盖多种安全功能的一体化终端安全管理平台,同时积极引入AI、大数据等新技术来提升产品的智能化水平。
当前终端安全领域呈现出多个重要趋势和特点:
一、零信任概念被接受
零信任模型逐渐被认识和接受,这意味着在终端安全方面,不再默认信任任何内部或外部的访问请求,而是需要对每一个访问进行严格的验证和授权,以提升安全性。
二、一体化集成
正在将各种安全功能和工具整合至单一平台,实现一体化集成,这样可以提高安全管理的效率和协同性,避免多个分散系统带来的管理复杂性和潜在的安全漏洞。
三、EDR 的兴起
EDR(终端检测与响应)成为对抗复杂威胁的关键工具。它能够实时监测终端的行为,及时发现异常并做出响应,对于应对日益复杂多变的网络安全威胁具有重要作用。
四、信创新赛道
随着信息技术的发展,需要适应国产操作系统以确保信创要求,即在信息技术应用创新方面,终端安全也要跟上国产化的步伐,保障国产操作系统环境下的安全。
五、勒索软件防护技术丰富
由于勒索软件攻击日益猖獗,相应的防护技术也在不断发展和丰富,通过发展复杂的防护措施来抵御勒索软件的攻击,保护终端数据和系统的安全。
六、数据安全被重视
强调终端数据保护和新兴风险管理,数据作为重要资产,其安全性越来越受到关注,不仅要保护数据不被泄露、篡改,还要应对新兴的数据安全风险和挑战。
七、人工智能进步
人工智能在终端安全领域取得进步,从日志降噪到智能警报的智能升级,利用人工智能技术可以更高效地处理大量的安全日志,过滤掉无效信息,同时能够更智能地发出警报,提高安全事件的预警能力和准确性。
这些方面共同构成了当前终端安全领域的主要发展态势和重点关注内容,推动着终端安全技术和管理的不断进步和完善。用一句话总结上述内容展开叙述新一代终端安全的管理视角展开叙述新一代终端安全的技术视角
1、一体化整合管理正在快速兴起,但是不同类别终端整合难度较大
近年来,终端安全一体化管理作为一种新兴的终端安全解决方案迅速崛起,UES的核心目标是将多样化的终端安全功能整合至单一平台,以简化管理流程并提升工作效率。目前国内正在将UTM、EPP和EDR等进行整合,但是针对不同终端类型,如云终端和移动终端,因为厂商的产品线相对独立,导致整合难度较大,目前还是由不同平台分开提供。
2、终端检测与响应(EDR)正在成为终端安全的重要组成部分
当前日益复杂的高级威胁和未知威胁的环境下,传统的安全防御手段显得力不从心,而EDR则通过及时发现异常行为和潜在威胁实现主动防御。未来,随着利用AI辅助能力的提升,将降低EDR的使用门槛,从而得到更广泛的应用。
3、信创作为新赛道正全面进行适配
随着国家对网络安全和信息化建设重视程度的不断提高,国内终端安全产品正在逐步强化自主可控和国产化特性,信创终端安全成为了一个关键的发展方向。国产终端安全厂商积极进行信创适配工作,并推出与国产操作系统兼容的产品,确保了产品的自主性和安全性。
4、勒索防护体系完善、技术丰富
国内终端安全厂商高度重视勒索防护能力,目前产品成熟度相对较高,防护体系完善,技术手段丰富,产品功能多样,并且能够适应信创环境和不断变化的勒索软件攻击趋势。未来,勒索防护技术将继续发展,为用户提供更全面、有效的安全保障。
5、数据安全正逐渐成为终端安全的核心组成部分
多个国内终端安全厂商都在积极发展和提供终端数据安全能力,并采用多种技术手段和产品方案,包括DLP、数据加密、水印技术等,以满足用户终端数据安全防护需求;不仅关注于传统的安全威胁,也注重应对新兴的安全挑战,如移动办公、云环境和AI应用带来的新风险。
6、人工智能依托威胁情报能力正在从日志降噪向智能告警升级
国内安全厂商普遍重视AI结合威胁情报的收集、分析和应用,建立了较为完善的威胁情报体系,在终端安全领域的应用日益成熟,AI应用正在从之前的日志降噪正在向结合威胁情报进行智能告警升级。
7、零信任安全理念正被逐步接受
零信任安全模型在国内正逐渐获得认可,依据安全牛2024年的调查数据,国内有54%的组织支持零信任模型,视其为提升终端安全性的关键因素。零信任价值正在被更多组织所认识和接受,多家厂商均推出了基于零信任模型的终端安全解决方案。
预测与展望
在过去的几年里,终端安全经历了巨大的变革。从传统的单机杀毒软件到 EDR、XDR 等高级解决方案,终端安全技术不断演进,以应对日益复杂和高级的网络攻击。随着人工智能、云计算、物联网等新技术的兴起,终端安全领域也迎来了新的机遇和挑战。展望未来,终端安全技术将朝着更加智能化、一体化、自动化和场景化的方向发展。
1、一体化集成功能将成为未来终端安全发展的重要趋势
随着企业数字化转型的加速,IT环境的日益复杂,高级威胁的层出不穷,企业安全管理难度的不断加大,未来终端安全将向集成扩展功能发展,融合EDR、XDR、零信任、数据安全等功能,并支持跨领域平台和云原生架构,利用AI技术提升智能化水平,实现自动化安全运营和威胁检测。
2、AI 技术将更加深入和广泛地应用于终端安全领域
为了应对海量安全数据、高级威胁的复杂性和安全人员等挑战,AI技术将在终端安全领域得到更深入和广泛的应用,例如AI模型的优化、AI应用场景的拓展以及AI模型本身的安全问题等。
3、移动安全将成为终端安全防护的重点
移动设备的普及、移动办公和BYOD的兴起,以及移动威胁的增加等趋势,使得移动安全将成为终端安全防护的重点,未来移动威胁防御、移动应用安全、移动设备管理和零信任安全等技术将成为发展重心。
4、信创环境下的终端安全防护将成为新的挑战和机遇
国家政策支持、安全自主可控和技术兼容性等因素,促使信创环境下的安全防护始终成为新的挑战和机遇,未来将加强国产化改装、安全功能完善和安全标准制定等方面的工作。
5、数据安全技术将进一步发展
数据安全的重要性日益凸显,数据安全法规持续完善,数据安全威胁不断增加,未来数据安全技术将进一步向自动化方向发展,如数据自动化识别和分类、自动化数据安全防护、云数据安全安全,以及数据恢复和回滚等技术。
6、XDR 跨领域整合能力将优化其跨领域数据整合能力
为了应对复杂的安全威胁、消除安全孤岛、提升安全运营效率,XDR将优化其跨领域数据整合能力,整合来自更多安全领域的数据,例如终端、网络、云、身份、邮件等,并集成人工智能和自动化检测机制,提升威胁检测和响应的效率。
7、物联网终端安全将成为终端安全防护的新兴领域
物联网设备的增长、物联网安全的薄弱性,以及物联网攻击的复杂性等因素,将推动设备管理、安全防护、漏洞修复和安全监控等技术的发展。
国内终端安全管理代表性厂商
在选择终端安全平台时,安全牛建议用户针对企业应用场景,明确不同建设阶段的目标和需求,选择适合自身特点的解决方案。安全牛认为,企业选购新一代终端安全平台时,应从品牌影响力、市场应用、产品技术、产品管理、服务与创新等维度进行考量评估。本次报告以安全牛年度《中国网络安全企业100强》和《中国网络安全行业全景图》研究成果为基础,对10家代表性厂商进行了收录和推荐(排名不分先后,按公司简称首字母序展现)
终端安全代表性厂家(排名不分先后,按公司简称首字母序展现)
爱加密 | 专注于移动应用安全领域较全面的移动应用安全体系移动应用资产储备 优势监管合规支持威胁感知和监控能力 |
安恒信息 | 网络攻防技术专注于服务器和办公网安全勒索软件防护零信任安全解决方案积极利用AI技术 |
安天 | 自主研发的威胁检测引擎基于执行体治理的精细控制自主可控勒索软件防护威胁情报服务能力 |
江民科技 | 品牌信誉度杀毒引擎技术生态合作体系自主可控和国产化适配轻量化代理 |
联软科技 | 拓展海外市场零信任安全Windows系统防护能力提供定制化开发服务勒索防护能力 |
绿盟科技 | 威胁检测与响应威胁情报能力一体化安全解决方案终端安全SaaS化服务和信创支持立体化防护体系 |
奇安信 | 产品线丰富市场占有率高终端运营态势感知高级威胁应对能力精细场景化安全 |
瑞星 | 悠久的历史和技术积累自主研发的杀毒引擎积极布局信创市场事件溯源和取证能力本地化机器学习模型 |
亚信安全 | 深厚的技术积累和行业经验较高的市场占有率威胁情报能力一体化管理和立体化防御“以人为本”的安全理念 |
指掌易 | 安全空间理念轻量级的移动安全沙箱技术零信任安全架构统一的策略管理合规性保障 |
扫码下载报告全文、扫码进行AI报告问答互动