写在开始
为了记录自己了解端点安全的一些内容和想法,方便以后的对比并且能够与大家讨论和继续学习。内容有错误还是有遗漏希望大家能给予提点,涉及COPY的部分我会尽量标识出处,因为有些内容我也记不清要是没标出处还望大家指正。
什么是端点安全
端点安全、端点保护等等叫法的就是保护端点免受恶意活动危害的安全方法。EPP、EDR、CWPP等都是端点安全的一种解决方案,用不同的方式方法、角度、作用提供端点安全能力、功能。
什么被称为端点
端点通常是有权参与预定义活动的计算平台,是各种数据生产、处理、存储、应用的主体,所有的端点都是组织的资产为组织提供价值。目前终端范围已经从传统PC终端扩大到包括移动终端、云主机和物联网IoT(Internet of Thing)终端在内的形式多样的“泛终端”,或者说是新一代终端,传统的哑终端、非智能终端也开始向不同程度的智能终端方向靠拢,基于虚拟化的云主机也出现爆炸增长。
我理解现在的端点除了常见的PC、服务器、移动设备、IoT设备等,其他部署在网络边缘的带操作系统的任何设备被叫做端点都应该是可以的。
端点安全产品
Gartner2021年度的终端安全成熟度曲线显示,端点安全新兴技术主要体现在虚拟桌面基础架构(VDI)、桌面即服务(DaaS)统一终端安全(UES)、扩展检测和响应(XDR)、“基于AI”的端点安全引擎等方面。统一终端安全UES仍处于创新启动期;扩展检测和响应XDR快进入期望膨胀期;端点安全引擎从“基于规则”发展到了“基于AI”;杀毒判定方式从基于代码特征,变成基于用户行为进行恶意判定,从由本地判定,到云和端结合来判定,再结合威胁情报来进行防护;终端安全管理扩展到了移动终端和物联网终端层;主机安全向云端发展。Gartner2021技术成熟度曲线显示,扩展检测和响应(XDR)在膨胀期,终端检测与响应(EDR)、安全信息和事件管理(SIEM)、漏洞评估(VA)等发展多年的技术已经比较成熟稳定。
Gartnet2022安全运营技术成熟度曲线显示,扩展检测和响应(XDR)站上了Peak of Inflated Expectations的顶端,成为安全运营体系中最炙手可热的技术之一。Gartner给出的XDR定义为:XDR是一种基于SaaS的、绑定于特定供应商的安全威胁检测和事件响应工具,它将多个安全产品集成到一个统一了所有许可安全组件的内聚安全运营系统中。理想中的XDR技术,其实是安全信息和事件管理(SIEM)、安全编排自动化和响应(SOAR)、端点检测与响应(EDR)以及网络流量分析(NTA)等产品综合起来的结果。
端点相关产品分类
在产品名称和分类上貌似国内一直赶不上进度的感觉,各厂商为产品能够在祖国市场上销售都是需要花费点心思的,目前销售许可证就那么几个分类,无论是新产品还是老产品都要匹配这些检测标准里明确规定的功能。比如EDR大多数厂商都选择了HIDS主机入侵检测这条道路,但也有个别厂商选择网络防病毒等其他产品分类。单看HIDS分类除了EDR还有PC沙箱、蜜罐产品也在其中,各产品功能、性能、作用都有很大差别但还用一样的检测标准,变成为了拿个证而做一些和产品无关的功能。这些检测标准之间也存在相互重复的功能项,重新定义产品标准又是任重道远的事了。HIDS在EDR推出之前应该没几个申请这个证的产品,看看现在那么多厂商做产品是不是应该有个HIPS什么的来单独划分个分类。
国内端点安全产品
国内端点安全产品按销售许可证产品分类主要分为:防病毒产品、主机安全加固、主机入侵检测、主机安全检查、主机文件监测、主机型防火墙、内网主机监测、主机安全检测、主机资源访问控制、终端接入控制、主机防泄露。
1.主机安全检查
1.1产品描述
《GAT 1142-2014 信息安全技术 主机安全检查产品安全技术要求》:产品由代理和管理控制台组成,根据预先定义的安全策略模板,通过管理控制台对安装了代理的主机进行安全性检查,搭理收集数据,管理控制台分析数据并生成报告,达到发现其安全配置方面存在的问题的目的,此外主机安全检查产品本身及其内部的重要数据也是受保护的资产。
检查的项目场景的包括几个方面:配置检查,系统资源(CPU、内存、硬盘),杀毒软件、进程、服务,系统共享资源,启动项,外围接口设备,系统账户,软件安装,硬件配置,网络连接,系统漏洞。
主机安全检查产品以C/S方式部署或者单机方式部署,并执行安全功能。其安全检查的目标是安装了引擎的主机。
1.2 主要产品
产品名称 | 送检单位 |
北京神州泰岳软件股份有限公司 | |
北京零平数据处理有限公司 | |
江苏博智软件科技股份有限公司 | |
北京梆梆安全科技有限公司 | |
亿阳安全技术有限公司 | |
上海喜数信息科技有限公司 | |
上海安识网络科技有限公司 | |
北京神州绿盟科技有限公司 | |
北京艾科网信科技有限公司 | |
深信服科技股份有限公司 | |
工信通(北京)信息技术有限公司 | |
北京全路通信信号研究设计院集团有限公司 | |
北京北信源软件股份有限公司 | |
北京天融信网络安全技术有限公司 | |
北京百度网讯科技有限公司 | |
北京神州泰岳软件股份有限公司 |
2数据泄露防护
2.1 产品描述
《GA∕T 912-2018 信息安全技术 数据泄露防护产品安全技术要求》:数据泄露防护产品通过对运行、存储于主机内或者网络中传输的文件、数据进行内容识别,对数据的操作和传输过程进行监视和控制,实现对数据以非授权的形式流出安全域进行防护的功能;同时该类产品还应具有基本的身份鉴别、安全管理、审计和报警功能,该类产品的部署和实现方式可分为主机型、网络型或综合型(包含数据客户端和网络设备)。
2.2 主要产品
产品名称 | 送检单位 |
北京明朝万达科技股份有限公司 | |
浙江华途信息安全技术股份有限公司 | |
北京亿赛通科技发展有限责任公司 | |
深圳市联软科技股份有限公司 | |
迈克菲(上海)软件有限公司 | |
北京北信源软件股份有限公司 | |
北京市中保网盾科技有限公司 | |
北京启明星辰信息安全技术有限公司 | |
北京网御星云信息技术有限公司 | |
北京山石网科信息技术有限公司 | |
阿里云计算有限公司 | |
北京天融信网络安全技术有限公司 | |
赛门铁克软件(北京)有限公司 | |
厦门天锐科技股份有限公司 | |
网神信息技术(北京)股份有限公司 | |
杭州美创科技有限公司 | |
北京神州绿盟科技有限公司 | |
北京神州泰岳软件股份有限公司 | |
润联软件系统(深圳)有限公司 | |
深圳红途创程科技有限公司 | |
上海睿是信息科技有限公司 | |
北京天空卫士网络安全技术有限公司 | |
思睿嘉得(北京)信息技术有限公司 | |
北京前沿信安科技股份有限公司 |
3主机型防火墙
3.1 产品描述
《GA∕T 1177-2014 信息安全技术 第二代防火墙安全技术要求》:主机型防火墙以软件形式安装在最终用户计算机(包括个人计算机和服务器)上,阻止由外到内和由内到外的威胁。主机型防火墙不仅可以监测和控制网络级数据流,而且可以监测和控制应用程序,弥补网关防火墙和防病毒软件等传统防御手段的不足。此外,一般运行于服务器上的主机型防火墙还可以对所有的节点进行统一控制,实施统一的安全策略与响应。
主机型防火墙保护的资产是受安全策略保护的主机服务和文件等。此外,主机型防火墙软件本身及安全策略等重要数据也是受保护的资产。
3.2 主要产品
产品名称 | 送检单位 |
上海远哲电子技术有限公司 | |
福建省酒窝网络科技有限公司 | |
深圳市海清视讯科技有限公司 | |
北京蔷薇灵动科技有限公司 | |
江南信安(北京)科技有限公司 | |
上海远哲电子技术有限公司 |
4主机资源访问控制
4.1 产品描述
《GA∕T 1138-2014 信息安全技术 主机资源访问控制产品安全技术要求》:主机资源访问控制产品针对受控主机,统一分配用户的登录权限和对主机资源的访问权限,从而保证用户根据预先定义的访问控制策略对受控主机的资源(包括系统登录权限、文件和文件夹、外设接口、应用程序、进程等)进行访问,以此来保护主机资源不被未授权访问和使用
主机资源访问控制产品一般由服务器、客户端和管理控制台三部分组成,由服务器下发访问控制策略到客户端。其保护的资产是主机资源,此外主机资源访问控制产品本身及其内部的重要数据也是受保护的资产。
4.2 主要产品
产品名称 | 送检单位 |
北京信达环宇安全网络技术有限公司 |
5 防病毒
5.1 产品描述
《GBT 37090—2018信息安全技术 病毒防治产品安全技术要求和测试评价方法》:病毒防治产品是一种以恶意软件防护作为其全部或部分功能的产品,用于检测发现或阻止恶意软件的传播以及对主机操作系统、应用软件和用户文件的篡改、窃取和破坏等。
5.2 主要产品
北京安博士信息安全技术有限公司 | |
北京安天网络安全技术有限公司 | |
北京北信源软件股份有限公司 | |
北京辰信领创信息技术有限公司 | |
北京东方微点信息技术有限责任公司 | |
北京冠群金辰软件有限公司 | |
北京恒安嘉新安全技术有限公司 | |
北京火绒网络科技有限公司 | |
北京江民新科技术有限公司 | |
北京猎鹰安全科技有限公司 | |
北京启明星辰信息安全技术有限公司 | |
北京瑞星网安技术股份有限公司 | |
北京神州绿盟科技有限公司 | |
北京天融信网络安全技术有限公司 | |
北京网思科平科技有限公司 | |
北京网御星云信息技术有限公司 | |
杭州安恒信息技术股份有限公司 | |
恒安嘉新(北京)科技股份公司 | |
卡巴斯基技术开发(北京)有限公司 | |
迈克菲(北京)安全软件有限公司 | |
奇安信科技集团股份有限公司 | |
深信服科技股份有限公司 | |
深圳市比特梵德科技有限公司 | |
深圳市联软科技股份有限公司 | |
深圳市腾讯计算机系统有限公司 | |
沈阳东软系统集成工程有限公司 | |
微软(中国)有限公司 | |
亚信科技(成都)有限公司 |
6内网主机监测
6.1 产品描述
《GA∕T 910-2010 信息安全技术 内网主机监测产品安全技术要求》:采用代理/服务器结构,对受控主机上的各项活动进行监控的产品。
6.2 主要产品
产品名称 | 送检单位 |
北京北信源软件股份有限公司 | |
北京鼎普科技股份有限公司 | |
北京立思辰计算机技术有限公司 | |
北京猎鹰安全科技有限公司 | |
北京普世时代科技有限公司 | |
北京启明星辰信息安全技术有限公司 | |
北京赛搏长城信息科技有限公司 | |
北京圣博润高新技术股份有限公司 | |
北京天融信网络安全技术有限公司 | |
北京万里红科技股份有限公司 | |
北京网御星云信息技术有限公司 | |
北京信达环宇安全网络技术有限公司 | |
杭州立思辰安科科技有限公司 | |
杭州盈高科技有限公司 | |
蓝盾信息安全技术股份有限公司、蓝盾信息安全技术有限公司 | |
奇安信科技集团股份有限公司 | |
上海高重信息科技有限公司 | |
上海信安信息技术发展股份有限公司 | |
深圳市联软科技股份有限公司 | |
腾讯云计算(北京)有限责任公司 | |
西安交大捷普网络科技有限公司 | |
亚信科技(成都)有限公司 |
7 终端接入控制
7.1 产品描述
《GA∕T 1105-2013 信息安全技术 终端接入控制产品安全技术要求》:对采用802.1x等认证方式接入局域网的终端,实现基于用户身份和终端安全状态接入控制的产品。该类产品能够发现终端接入网络的行为,并能根据接入控制策略采取相应措施,保证未被授权或不符合安全策略的终端设备无法接入网络,并设置可补救的隔离区供终端修正自身安全状态已满足安全策略要求。
7.2 主要产品
产品名称 | 送检单位 |
北京艾科网信科技有限公司 | |
北京北信源软件股份有限公司 | |
北京江南天安科技有限公司 | |
北京立思辰计算机技术有限公司 | |
北京启明星辰信息安全技术有限公司 | |
北京圣博润高新技术股份有限公司 | |
北京天地和兴科技有限公司 | |
北京天融信网络安全技术有限公司 | |
北京万里红科技股份有限公司 | |
北京网御星云信息技术有限公司 | |
北京威努特技术有限公司 | |
北京星网锐捷网络技术有限公司 | |
格尔软件股份有限公司、上海格尔安全科技有限公司 | |
广州世安信息技术股份有限公司 | |
国电南瑞科技股份有限公司 | |
杭州盈高科技有限公司 | |
杭州域晓科技有限公司 | |
华为技术有限公司 | |
山东华软金盾软件股份有限公司 | |
山东中网云安智能科技有限公司 | |
深信服科技股份有限公司 | |
深圳市联软科技股份有限公司 | |
唐僧(北京)安全科技有限公司 | |
新华三技术有限公司 | |
英赛克科技(北京)有限公司 | |
中国软件与技术服务股份有限公司 |
8 主机安全检测
8.1 产品描述
《GA∕T 1536-2018 信息安全技术 计算机主机安全检测产品测评准则》:此类产品指标要求中涉及检测病毒能力、身份鉴别、访问控制、安全审计、剩余信息保护、入侵防范、恶意代码防范、资源控制、数据检测。
8.2 主要产品
产品名称 | 送检单位 |
北京安天网络安全技术有限公司 | |
北京天地和兴科技有限公司 |
9 主机型入侵检测
9.1 产品描述
《GAT 403.2-2014 信息安全技术 入侵检测产品安全技术要求 第2部分:主机型产品》:主机型入侵检测产品以系统日志、应用程序日志等作为数据源,或者通过其他手段(如监督系统调用)从所在的目标主机收集信息进行分析,从而发现异常行为的入侵检测系统。
9.2 主要产品
产品名称 | 送检单位 |
北京安天网络安全技术有限公司 | |
北京杰思安全科技有限公司 | |
北京奇虎科技有限公司 | |
北京启明星辰信息安全技术有限公司 | |
北京升鑫网络科技有限公司 | |
北京天融信网络安全技术有限公司 | |
北京网御星云信息技术有限公司 | |
北京小佑科技有限公司 | |
北京元支点信息安全技术有限公司 | |
北京云弈科技有限公司 | |
北京长亭未来科技有限公司 | |
北京智仁智信系统集成有限公司 | |
北京中安网星科技有限责任公司 | |
广州非凡信息安全技术有限公司 | |
国利灏业科技有限公司 | |
杭州安恒信息技术股份有限公司 | |
杭州义盾信息技术有限公司 | |
华为技术有限公司 | |
江苏创宇盾安全技术有限公司 | |
厦门服云信息科技有限公司 | |
上海观安信息技术股份有限公司 | |
深信服科技股份有限公司 | |
深圳市联软科技股份有限公司 | |
腾讯云计算(北京)有限责任公司 | |
网神信息技术(北京)股份有限公司 | |
网宿科技股份有限公司 | |
优刻得科技股份有限公司 |
10 主机文件监测
10.1 产品描述
《GAT 1392-2017 信息安全技术 主机文件监测产品安全技术要求》:主机文件监测产品依据预先定义的安全策略,通过文件完整性检查、文件属性检查、关键字检查等手段对主机文件(包括存放在主机上的重要系统文件、配置文件,以及预定义的其他文件)的状态、修改行为等作出监测并报警,从而保证主机上的文件资源不被未授权访问和操作。
10.2 主要产品
产品名称 | 送检单位 |
安芯网盾(北京)科技有限公司 | |
北京椒图科技有限公司 | |
北京升鑫网络科技有限公司 | |
北京微步在线科技有限公司 | |
北京中盾安全技术开发公司 | |
广东焱杰电子科技有限公司 | |
广州市安鸿网络科技有限公司 | |
杭州安恒信息技术股份有限公司 | |
杭州美创科技有限公司 | |
杭州盈高科技有限公司 | |
恒安嘉新(北京)科技股份公司 | |
慧盾信息安全科技(苏州)股份有限公司 | |
迈克菲(上海)软件有限公司 | |
上海观安信息技术股份有限公司 | |
上海意恒软件有限公司 | |
深圳市深密信安科技有限公司 | |
苏州冠辰计算机信息技术有限公司 | |
腾讯云计算(北京)有限责任公司 | |
网神信息技术(北京)股份有限公司 | |
新华三技术有限公司 |
11 主机安全加固
11.1 产品描述
《GAT 1393-2017 信息安全技术 主机安全加固系统安全技术要求》:主机安全加固系统是在通用操作系统的基础上,通过对操作系统主客体进行安全标记、增加强制访问控制、完整性保护等技术手段,对操作系统进行安全功能增强,弥补通用操作系统安全性不高的缺陷,提高了操作系统的安全保护能力。
11.2 主要产品
产品名称 | 产品类型 | 送检单位 |
安通恩创信息技术(北京)有限公司 | ||
北京北信源软件股份有限公司,北京中软华泰信息技术有限责任公司 | ||
北京创安恒宇科技有限公司 | ||
北京国基华电科技有限公司 | ||
北京三实众智信息科技有限公司 | ||
北京天地和兴科技有限公司 | ||
北京西南交大盛阳科技股份有限公司 | ||
北京优炫软件股份有限公司 | ||
北京中能科越电力技术有限公司 | ||
杭州听风云科技有限公司 | ||
懋晟智慧(北京)科技有限公司 | ||
南京南瑞信息通信科技有限公司 | ||
深圳可信计算技术有限公司 | ||
深圳融安网络科技有限公司 | ||
网神信息技术(北京)股份有限公司 | ||
亚信科技(成都)有限公司 | ||
英赛克科技(北京)有限公司 |
12 主机安全审计
12.1. 产品描述
《GBT 20945—2013信息安全技术 信息系统安全审计产品技术要求和测试评价方法》:对主机系统的事件进行记录和分析,并针对特定事件采取相应比较动作。
12.2. 主要产品
产品名称 | 送检单位 |
北京古盘创世科技发展有限公司 | |
北京坤源恒泰科技发展有限公司 | |
北京天地和兴科技有限公司 | |
北京英孚泰克信息技术股份有限公司 | |
北京中科富星信息技术有限公司 | |
广州锦行网络科技有限公司 | |
蓝盾信息安全技术有限公司 | |
山东金煜电子科技有限公司 | |
上海汉邦京泰数码技术有限公司 | |
上海华安达信息技术发展有限公司 |
端点安全国际分类
分类 | 说明性定义 |
EDR | Endpoint Detection and Response:端点检测与响应;端点检测和响应是一种主动式端点安全解决方案,通过记录终端与网络事件,并将这些信息本地存储在端点或集中数据库。结合已知的攻击指示器(Indicators of Compromise,IoCs)、行为分析的数据库来连续搜索数据和机器学习技术来监测任何可能的安全威胁,并对这些安全威胁做出快速响应。还有助于快速调查攻击范围,并提供响应能力。 |
EPP | Endpoint protection platforms:终端防护平台;是一个集成解决方案,具有反恶意软件、个人防火墙、端口和设备控制等功能。EPP解决方案通常还包括:漏洞评估、应用程序控制和应用程序沙箱化、企业移动性管理(EMM)(通常在并行非集成产品中)、内存保护、应用程序代码的行为监控、端点检测和修复技术全磁盘和文件加密,也称为移动数据保护;端点数据丢失预防(DLP) |
CWPP | Cloud Workload Protection Platforms:云工作保护平台;面向多云/混合云环境,大规模分布式部署,安全防护能力对云工作负载(虚机和容器)始终跟随的产品形态。为信息安全负责人提供了一种集成方式,通过统一管理平台保护这些工作负载,并提供了一种无论工作负载运行在哪些基础设施上,都能表达安全策略的方法。 |
UES | Unified Endpoint Security:统一端点安全;由IT组织内部需求将所有安全事件在同一个安全管控中心呈现。 |
UEM | Unified Endpoint Management:统一端点管理;超越管理pc和移动设备,提供更深入的端点分析和身份和访问管理集成 |
XDR | Extended Detection and Response:扩展威胁检测;为特定供应商的威胁检测和事件响应工具,它将多个安全产品统一为一个安全操作系统 |
MDR | Managed Detection and Response:运营检测与响应;为那些希望改善威胁检测、事件响应和持续监控功能,但自身缺乏专业知识或资源的购买者提供服务 |
端点相关标准
列了一些标准不知道全不全