以前在研究網(wǎng)絡安全問題的時候，發(fā)現(xiàn)最大的問題是DDoS攻擊，那時候的安全手段是防，有各種“堤”、“盾”甚至是“洞”，目的都是將攻擊引開進行防護。但是道高一尺魔高一丈，再強的堤壩與護盾，黑客總可以用更強的攻擊流量去沖垮。于是在深入研究之后，提出對待網(wǎng)絡攻擊要主動的去“查”，從根源上去解決問題。如今溯源已經(jīng)成為了最有效的網(wǎng)絡安全處理手段，DDoS也由此開始銷聲覓跡。但溯源并不能解決系統(tǒng)及應用的漏洞問題，于是由漏洞引發(fā)的數(shù)據(jù)泄露、APT、勒索病毒、挖礦軟件成為目前數(shù)字化時代的主要威脅。

端點的問題還是要在端點上進行解決，但在數(shù)字化時代，應用再也不是一個個獨立程序，而是以網(wǎng)絡為渠道與其它應用互聯(lián)互通所構(gòu)成的一個整體，這就讓應用程序的使用態(tài)勢發(fā)生了巨大變化。以往針對文件進行查殺的殺毒軟件，目前已有形同虛設的嫌疑。端點安全的未來將由誰來防護？數(shù)字化時代安全的新邊界要如何樹立？

帶著上述問題，至頂網(wǎng)采訪了國內(nèi)資深網(wǎng)絡安全廠商綠盟科技集團股份有限公司產(chǎn)品總監(jiān)王鳳周。

綠盟科技集團股份有限公司產(chǎn)品總監(jiān)王鳳周

端點安全產(chǎn)生的危害有哪些？

綠盟科技王鳳周和我們一起回顧了在數(shù)字化時代，由端點安全問題所引發(fā)的危害：

隨著黑色產(chǎn)業(yè)鏈的產(chǎn)生和壯大，APT攻擊、勒索病毒、挖礦、僵木蠕等攻擊手段大行其道，傳統(tǒng)防護手段很難對此類攻擊有防護效果，一旦受到攻擊，對企業(yè)造成的危害是直接而巨大的。

APT攻擊

高級持續(xù)性攻擊（Advanced Persistent Threat ）是指在政府及軍事內(nèi)部網(wǎng)中發(fā)現(xiàn)的具有高級技術手段的持續(xù)性的攻擊。APT攻擊通常針對國家重要信息基礎設施、重點科研院所和大型商業(yè)公司。以竊取敏感信息、商業(yè)機密或者破壞重要的基礎設施為目的。

典型案例：烏克蘭電網(wǎng)攻擊，海蓮花攻擊我國政府

勒索病毒

勒索病毒，是一種新型電腦病毒，伴隨數(shù)字貨幣興起，勒索病毒主要以郵件、程序木馬、網(wǎng)頁掛馬、弱口令爆破、軟件捆綁、SMB協(xié)議漏洞、人工等方式進行傳播。勒索病毒文件一旦進入本地，就會自動運行，同時刪除勒索軟件樣本，以躲避查殺和分析。接下來，勒索病毒利用本地的互聯(lián)網(wǎng)訪問權(quán)限連接至黑客的C&C服務器，進而上傳本機信息并下載加密私鑰與公鑰，利用私鑰和公鑰對文件進行加密。加密完成后，還會修改壁紙，在桌面等明顯位置生成勒索提示文件，誘導用戶去繳納高昂的贖金。

網(wǎng)絡挖礦

比特幣的出現(xiàn)，令算力又產(chǎn)生出新的變現(xiàn)途徑，但挖礦行為的高消耗也越來越引起廣泛關注。如今挖礦行為還跟僵尸網(wǎng)絡等黑產(chǎn)有緊密聯(lián)系，利用漏洞不但會給企業(yè)帶來勒索、數(shù)據(jù)泄露等危機，還可以通過向企業(yè)服務器端注入挖礦程序消耗企業(yè)的網(wǎng)絡及計算資源，為黑客挖礦盈利。

端點安全威脅產(chǎn)生的原因

由端點安全產(chǎn)生的危害如此嚴重，那端點安全威脅產(chǎn)生的原因又是什么？王鳳周繼續(xù)為我們進行了深入分析。

在數(shù)字化轉(zhuǎn)型過程中，云計算、大數(shù)據(jù)、物聯(lián)網(wǎng)、移動互聯(lián)等技術的業(yè)務應用加速落地，原有的網(wǎng)絡邊界被打破，導致終端成為新的安全邊界。

2020年起，新冠肺炎疫情帶來遠程辦公的旺盛需求，VPN的性能、穩(wěn)定性、對終端和業(yè)務訪問的安全性都提出極大挑戰(zhàn)，零信任成為新的熱點，這對終端環(huán)境安全帶來了新的挑戰(zhàn)。公有云業(yè)務、私有云業(yè)務、傳統(tǒng)網(wǎng)絡的混合模式，是國內(nèi)大多數(shù)企事業(yè)單位的網(wǎng)絡方案，隨著的5G的應用，網(wǎng)絡邊界會變的很離散，業(yè)務終端、PC客戶端、移動終端的、甚至是物聯(lián)網(wǎng)終端，會共同組成網(wǎng)絡的邊界。

然而傳統(tǒng)終端安全關注已知威脅，如防病毒、終端HIPS、HWAF類，基于已知特征進行防護，然而對于APT攻擊、勒索、挖礦等高級攻擊、病毒、木馬的變種等高級威脅，這些基于規(guī)則的主機防護軟件都已經(jīng)失去了作用。

自2013年起，全球發(fā)生多起黑客利用SWIFT系統(tǒng)攻擊銀行的事件，損失數(shù)億美金。種種跡象表明，黑客對銀行內(nèi)部網(wǎng)絡植入了惡意程序，并長期潛伏尋找機會發(fā)起最終攻擊。

2017年5月12日晚，勒索病毒“WannaCry”感染事件爆發(fā),全球范圍近百個國家遭到大規(guī)模網(wǎng)絡攻擊,惡意病毒利用漏洞在內(nèi)部網(wǎng)絡大范圍傳播和感染，造成嚴重損失。

自2022年俄烏沖突爆發(fā)后，“網(wǎng)絡戰(zhàn)”已經(jīng)成為俄烏沖突的第二戰(zhàn)場。針對雙方政府、金融機構(gòu)、企業(yè)等關鍵信息基礎設施的攻擊活動越演越烈。國際黑客組織“匿名者”官宣正式向俄羅斯政府發(fā)起網(wǎng)絡戰(zhàn)爭，先后對俄羅斯重要關鍵基礎設施進行了網(wǎng)絡攻擊，其網(wǎng)站相關服務一直處于時斷時續(xù)的狀態(tài)。通過攻擊者搜集的大量威脅情報數(shù)據(jù)發(fā)動的網(wǎng)絡攻擊戰(zhàn)，被作為軍事用途推動或改變整個戰(zhàn)爭發(fā)展局勢。

網(wǎng)絡化時代，殺毒軟件還有用嗎？

網(wǎng)絡化時代，殺毒軟件對端點安全的防護能力是否減退？是否還有必要存在？

對于這個問題王鳳周的回復是：傳統(tǒng)殺毒軟件防護能力雖然在減退，但是在短期內(nèi)還需繼續(xù)存在。不過終端安全產(chǎn)品需要新技術來補充上層的安全能力。攻擊最終要落到端點上來，端點防護依然是最有效的手段之一。

電腦終端的安全管控是“云管端”三級安全防護體系中不可缺少的環(huán)節(jié)，終端安全軟件可以實現(xiàn)資產(chǎn)信息及系統(tǒng)日志采集、惡意進程檢測、軟件管理、外設管控等一列安全管控措施，可以很好地彌補網(wǎng)絡層安全檢測和防護的先天弊端。

綠盟一體化終端安全管理系統(tǒng)UES可有效檢測APT攻擊、勒索病毒、挖礦、僵木蠕、0day漏洞等已知和未知威脅，并且提供多維度的及時響應措施，從而可以全面保障企業(yè)終端安全。

我們熟知針對終端的網(wǎng)絡威脅有很多種，如APT攻擊、勒縈病毒、挖礦木馬、僵木蠕、0day漏洞利用等。這種攻擊行為我們很難預知，但是只要終端遭到入侵后，其系統(tǒng)內(nèi)部狀態(tài)或環(huán)境肯定會發(fā)生變化，這種變化包括文件的創(chuàng)建修改、進程的運行、系統(tǒng)函數(shù)及接口的調(diào)用、配置的修改、用戶及權(quán)限、網(wǎng)絡連接、系統(tǒng)資源的變化等。為保證檢測行為的準確性和可控性，在提供自動化分析處理機制外，系統(tǒng)也提供了便于管理員進行人工輔助干預的接口，可人工定義信任或威脅的文件和行為，從而對自動化判定篩選后的結(jié)果進行微調(diào)，然后更精確的采取記錄、阻斷、隔離、清除等響應措施。

端點安全技術未來發(fā)展新趨勢

技術趨勢上，終端安全不再是孤立的解決方案，終端安全是整體網(wǎng)絡安全的一部分，終端安全能力要與整體安全框架相適應，系統(tǒng)的解決安全問題。未來終端安全會更縱深的，提供網(wǎng)絡、進程、文件、系統(tǒng)、容器等多個層面安全事件發(fā)現(xiàn)、跟蹤、溯源、處置能力，從而更有效地解決當前的各種終端問題。同時，終端一體化進程正在加速推進。

終端一體化包含兩個方面，首先是終端安全能力一體化，當前終端上裝好幾個終端安全軟件，多個控制臺，都帶來管理上的麻煩，以及客戶端的性能和兼容性問題，客戶希望將各種安全能力集為一體，比如殺毒、桌管、HWAF、EDR、甚至是DLP；另外也包括終端類型的一體化管理，比如PC、服務器、移動終端，以及很快就會進入生產(chǎn)生活的物聯(lián)網(wǎng)終端。同時，通過跨終端，多能力的數(shù)據(jù)分析檢測，可以發(fā)現(xiàn)以前無法識別的威脅。