端点安全，不仅仅需要杀毒软件 原创

2017年5月12日，一个名为「WannaCry」电脑病毒开始席卷全球，通过恶意加密电脑信息来向机主索要解密赎金，这就是后来名噪一时的勒索病毒。

勒索病毒攻击的不仅仅是个人用户，还包括众多企业用户。有统计数据显示，勒索病毒出现当天，全球就有近百个国家超10万家组织机构被勒索病毒攻击，仅仅美国就有1600多家机构遭受攻击。

随后几年里，勒索病毒又多次卷土重来，网络安全的重要性由此也被提升到了空前高度。

实际上，随着万物互联时代的到来、应用态势的巨变，端点的安全体系也在悄然改变。

网络攻击：从炫技到获利

什么是端点安全？

山石网科规划总工孙默告诉至顶网，由于端点（包括终端和服务端）是应用程序运行的载体，除了极少数的网络攻击以破坏网络为目的，大部分网络攻击是针对端点进行的攻击。端点数量巨大，很多用户也缺乏安全意识，所以控制了端点，既可以破坏或窃取数据，也可以长期利用算力获益，比如早期的DDoS，近年来的挖矿。正因如此，ATT&CK里的攻击技术约80%都需要在端点进行检测。

而从过去几十年“黑客帝国”的崛起来看，对于端点的网络攻击一共经历了三次演变。

最早的网络攻击源自于网络黑客的炫技，诸如早年间出现的冰河木马。

冰河木马，又称木马冰河，这款软件出自国内著名黑客黄鑫（glacier）之手，1999年，还是西安电子科技大学大四学生的黄鑫出于个人爱好开发了一款可以远程控制别人电脑的软件，取名冰河，这款软件当时被上传到网上后迅速在圈内传播开来。

也正是这样一款软件，后来成了中国木马软件的鼻祖。

类似冰河木马这样的软件在早期互联网发展历史中不胜枚举，被称为“世界头号黑客”的米特尼克早年间甚至入侵过大名鼎鼎的美国联邦调查局（FBI），将FBI正在调查自己的几位特工资料改成了罪犯资料。

这个阶段的网络攻击比较“纯粹”，几乎都是黑客编写出一个“病毒”放到网上，黑客并不会因此得到什么好处。

2000年后，随着一些重要行业的信息化建设逐渐成熟，网络攻击开始进入到定向攻击阶段。

这个阶段的网络攻击已经不再是简单的木马植入，而是形成了「植入电脑病毒－探测收集电脑信息－与外部建立连接－向外传送资料－销毁入侵证据－进行定向攻击」一整套复杂流程。

这类专业的网络攻击的目标一般都是一些重要组织，甚至是国与国之间的对抗，例如2009年伊朗遭受的“震网”攻击、2015年乌克兰的电网入侵事件。

2017年勒索病毒的出现，标志着网络攻击进入到了泛网络攻击时代。

与定向攻击不同的是，勒索病毒针对的不是特定的某个组织或个人，而是整个互联网，只要你的电脑有安全漏洞，或者点开了病毒链接或邮件，就有可能遭受攻击，实际上，这已经发展成了一种全网“薅羊毛”。

时至今日，网络攻击早已不再是几个聪明人的一时炫技，大多开始形成了有规模、有组织、以获利为目的利益团体，逐渐形成了一个庞大的灰色产业。

杀毒软件的难题

有「矛」就必然有「盾」，这是社会发展的客观规律。

于是，随着网络攻击的逐渐兴起，也开始有一批又一批有志之士投身于网络世界的安全构建中，与网络上的黑客势力展开生死角逐。

其中影响最为深远的，要数杀毒软件的诞生。

世界上第一款杀毒软件诞生于1989年，距今已有26年的发展历史，在这二十多年里，杀毒软件也从最初的数据匹配到如今逐渐引入人工智能技术。

从技术上来看，传统的杀毒软件一般来说是厂家针对新发现的病毒进行特征提取，或直接拿文件的MD5作为库，当电脑上有新文件出现或者运行杀毒软件时，就会将相应位置的文件与杀毒软件的库作比对，比对结果相符的话，就会发出警告并清除文件。

所以传统的杀毒软件实际上是一种针对计算机上文件的防护技术，这种方式也确实能比较好地应对很大一部分网络攻击。

不过，从很多年前，杀毒软件就已经开始面临严峻的挑战。

据瑞星的统计数据显示，2021年 瑞星“云安全”系统共截获病毒样本总量有1.19亿个。孙默告诉至顶网，实际上，全球网络病毒样本每年新增数量早在很多年前就已经达到了亿级，像勒索病毒这类泛网络攻击，黑客可以不断的产生变种让传统杀毒软件防不胜防。杀毒软件由于是一种被动防御，所需要的库会越来越大，实时性也会变得相对较差。

杀毒软件的优势在于相对易于部署使用，结果简单明了，也能够起到明显作用，因而早年间比较流行。随着网络攻击的种类越来越多样，针对现在高价值数字资产的攻击手段越来越高明，仅仅依靠杀毒软件查杀病毒就开始显得比较被动。

孙默介绍，面对当前的攻击态势，端点安全防护需要综合运用多种技术。

比如基于行为的检测与响应，可以弥补杀软基于特征匹配对未知威胁的不足。但每种技术，有优势也会有局限性。基于行为的检测，可以发现未知威胁，然而误报率会相对较高，而且针对发现的未知威胁，如何排查和清除，也需要IT人员具备更高的专业水平。

对企业来说，加强端点操作系统和软件的补丁管理，也是非常有效的预防攻击手段，近年来造成严重危害的几次勒索病毒，都属于利用系统漏洞的蠕虫病毒，打补丁，就相当于提高机体的健康水平。

近年来，企业员工自带设备和远程办公也越来越普遍，针对这种场景的终端，除了要加强安全防护，还需要基于终端的属性、状态和环境等因素，合理的限制其对企业内网资源的访问，防止出现问题时的蔓延扩散。

因此，端点安全防护产品，正在向综合多种安全技术的统一端点安全产品演进。

企业的“云”上安全

对于普通用户，提到端点安全，更多的是想到PC、移动端等终端，而对于企业安全管理者来说，服务器的安全防护会更加被关注。

早期服务器端是以物理机形式呈现，彼时的安全防护与终端安全防护相似，主要是基于操作系统的恶意文件和行为检测与防护。

然而，随着服务器端逐渐走向云化，各种开源组件被广泛使用，企业数字化业务也越来越丰富。尤其在当下企业数字化进程中，一些大的企业既有跑在物理机上的业务应用，也有跑在虚拟机的业务应用，甚至还有一部分新业务用到了容器化部署，服务器端的安全管理就成了一大难题。

孙默提到，服务器端一方面是云化后的资产梳理、风险管理、访问控制变的复杂，另一方面，企业对业务应用运行的稳定性要求很高，这给服务器威胁防护都带来的更高的要求。

全球知名咨询机构Gartner也正是意识到了云端安全防护的重要性，继2013年在EPP基础上提出了EDR（终端检测威胁与响应）后，又在2016年提出了CWPP（云工作负载安全防护平台），与此同时，国内针对云端安全防护的产品也逐渐发展起来，山石网科在2020年就入选了Gartner CWPP全球市场指南，在云端防护可以提供覆盖不同细分场景的多种产品组合选择。

针对云端的安全，孙默也特别指出，数字化简单说是把企业的业务和流程搬到线上并且打通，随着企业数字化程度越来越高，有越来越多业务应用部署在云端，CWPP的发展空间会越来越大。

企业如何选择端点安全

面对如此多样化的端点安全技术，企业用户又该如何选择？

孙默指出，企业的发展阶段不同，规模不同，组网不同，业务应用的重要性不同，在安全防护上，没有标准答案。

比如，当一个企业业务规模相对较小时，部署通用的端点安全，同时通过网关加强内外网以及内部不同区域之间隔离，采用专业安全厂家的托管安全服务，是性价比不错的选项。

而当一个企业规模庞大，并且安全管理成熟度也较高时，这样的企业更需要的是建立一个综合的安全防御体系。在这个安全防御体系中，终端、网络、服务器端的安全防护能力，可以通过部署大数据安全分析运营平台，将安全事件收集起来做进一步关联分析和响应，从而对企业安全态势有全局的可视可控，提高安全运营效率。。

所以，对于企业而言，端点安全是企业安全防护体系的重要一环，应该根据不同发展阶段，建立不同的安全防护体系，在这个体系下，选择适合的端点安全产品和方案。