绿盟如何树立数字化安全新边界 原创

以前在研究网络安全问题的时候，发现最大的问题是DDoS攻击，那时候的安全手段是防，有各种“堤”、“盾”甚至是“洞”，目的都是将攻击引开进行防护。但是道高一尺魔高一丈，再强的堤坝与护盾，黑客总可以用更强的攻击流量去冲垮。于是在深入研究之后，提出对待网络攻击要主动的去“查”，从根源上去解决问题。如今溯源已经成为了最有效的网络安全处理手段，DDoS也由此开始销声觅迹。但溯源并不能解决系统及应用的漏洞问题，于是由漏洞引发的数据泄露、APT、勒索病毒、挖矿软件成为目前数字化时代的主要威胁。

端点的问题还是要在端点上进行解决，但在数字化时代，应用再也不是一个个独立程序，而是以网络为渠道与其它应用互联互通所构成的一个整体，这就让应用程序的使用态势发生了巨大变化。以往针对文件进行查杀的杀毒软件，目前已有形同虚设的嫌疑。端点安全的未来将由谁来防护？数字化时代安全的新边界要如何树立？

带着上述问题，至顶网采访了国内资深网络安全厂商绿盟科技集团股份有限公司产品总监王凤周。

绿盟科技集团股份有限公司产品总监王凤周

端点安全产生的危害有哪些？

绿盟科技王凤周和我们一起回顾了在数字化时代，由端点安全问题所引发的危害：

随着黑色产业链的产生和壮大，APT攻击、勒索病毒、挖矿、僵木蠕等攻击手段大行其道，传统防护手段很难对此类攻击有防护效果，一旦受到攻击，对企业造成的危害是直接而巨大的。

APT攻击

高级持续性攻击（Advanced Persistent Threat ）是指在政府及军事内部网中发现的具有高级技术手段的持续性的攻击。APT攻击通常针对国家重要信息基础设施、重点科研院所和大型商业公司。以窃取敏感信息、商业机密或者破坏重要的基础设施为目的。

典型案例：乌克兰电网攻击，海莲花攻击我国政府

勒索病毒

勒索病毒，是一种新型电脑病毒，伴随数字货币兴起，勒索病毒主要以邮件、程序木马、网页挂马、弱口令爆破、软件捆绑、SMB协议漏洞、人工等方式进行传播。勒索病毒文件一旦进入本地，就会自动运行，同时删除勒索软件样本，以躲避查杀和分析。接下来，勒索病毒利用本地的互联网访问权限连接至黑客的C&C服务器，进而上传本机信息并下载加密私钥与公钥，利用私钥和公钥对文件进行加密。加密完成后，还会修改壁纸，在桌面等明显位置生成勒索提示文件，诱导用户去缴纳高昂的赎金。

网络挖矿

比特币的出现，令算力又产生出新的变现途径，但挖矿行为的高消耗也越来越引起广泛关注。如今挖矿行为还跟僵尸网络等黑产有紧密联系，利用漏洞不但会给企业带来勒索、数据泄露等危机，还可以通过向企业服务器端注入挖矿程序消耗企业的网络及计算资源，为黑客挖矿盈利。

端点安全威胁产生的原因

由端点安全产生的危害如此严重，那端点安全威胁产生的原因又是什么？王凤周继续为我们进行了深入分析。

在数字化转型过程中，云计算、大数据、物联网、移动互联等技术的业务应用加速落地，原有的网络边界被打破，导致终端成为新的安全边界。

2020年起，新冠肺炎疫情带来远程办公的旺盛需求，VPN的性能、稳定性、对终端和业务访问的安全性都提出极大挑战，零信任成为新的热点，这对终端环境安全带来了新的挑战。公有云业务、私有云业务、传统网络的混合模式，是国内大多数企事业单位的网络方案，随着的5G的应用，网络边界会变的很离散，业务终端、PC客户端、移动终端的、甚至是物联网终端，会共同组成网络的边界。

然而传统终端安全关注已知威胁，如防病毒、终端HIPS、HWAF类，基于已知特征进行防护，然而对于APT攻击、勒索、挖矿等高级攻击、病毒、木马的变种等高级威胁，这些基于规则的主机防护软件都已经失去了作用。

自2013年起，全球发生多起黑客利用SWIFT系统攻击银行的事件，损失数亿美金。种种迹象表明，黑客对银行内部网络植入了恶意程序，并长期潜伏寻找机会发起最终攻击。

2017年5月12日晚，勒索病毒“WannaCry”感染事件爆发,全球范围近百个国家遭到大规模网络攻击,恶意病毒利用漏洞在内部网络大范围传播和感染，造成严重损失。

自2022年俄乌冲突爆发后，“网络战”已经成为俄乌冲突的第二战场。针对双方政府、金融机构、企业等关键信息基础设施的攻击活动越演越烈。国际黑客组织“匿名者”官宣正式向俄罗斯政府发起网络战争，先后对俄罗斯重要关键基础设施进行了网络攻击，其网站相关服务一直处于时断时续的状态。通过攻击者搜集的大量威胁情报数据发动的网络攻击战，被作为军事用途推动或改变整个战争发展局势。

网络化时代，杀毒软件还有用吗？

网络化时代，杀毒软件对端点安全的防护能力是否减退？是否还有必要存在？

对于这个问题王凤周的回复是：传统杀毒软件防护能力虽然在减退，但是在短期内还需继续存在。不过终端安全产品需要新技术来补充上层的安全能力。攻击最终要落到端点上来，端点防护依然是最有效的手段之一。

电脑终端的安全管控是“云管端”三级安全防护体系中不可缺少的环节，终端安全软件可以实现资产信息及系统日志采集、恶意进程检测、软件管理、外设管控等一列安全管控措施，可以很好地弥补网络层安全检测和防护的先天弊端。

绿盟一体化终端安全管理系统UES可有效检测APT攻击、勒索病毒、挖矿、僵木蠕、0day漏洞等已知和未知威胁，并且提供多维度的及时响应措施，从而可以全面保障企业终端安全。

我们熟知针对终端的网络威胁有很多种，如APT攻击、勒萦病毒、挖矿木马、僵木蠕、0day漏洞利用等。这种攻击行为我们很难预知，但是只要终端遭到入侵后，其系统内部状态或环境肯定会发生变化，这种变化包括文件的创建修改、进程的运行、系统函数及接口的调用、配置的修改、用户及权限、网络连接、系统资源的变化等。为保证检测行为的准确性和可控性，在提供自动化分析处理机制外，系统也提供了便于管理员进行人工辅助干预的接口，可人工定义信任或威胁的文件和行为，从而对自动化判定筛选后的结果进行微调，然后更精确的采取记录、阻断、隔离、清除等响应措施。

端点安全技术未来发展新趋势

技术趋势上，终端安全不再是孤立的解决方案，终端安全是整体网络安全的一部分，终端安全能力要与整体安全框架相适应，系统的解决安全问题。未来终端安全会更纵深的，提供网络、进程、文件、系统、容器等多个层面安全事件发现、跟踪、溯源、处置能力，从而更有效地解决当前的各种终端问题。同时，终端一体化进程正在加速推进。

终端一体化包含两个方面，首先是终端安全能力一体化，当前终端上装好几个终端安全软件，多个控制台，都带来管理上的麻烦，以及客户端的性能和兼容性问题，客户希望将各种安全能力集为一体，比如杀毒、桌管、HWAF、EDR、甚至是DLP；另外也包括终端类型的一体化管理，比如PC、服务器、移动终端，以及很快就会进入生产生活的物联网终端。同时，通过跨终端，多能力的数据分析检测，可以发现以前无法识别的威胁。