写在前面

这次来谈谈端点安全产品和技术的趋势，东拼西凑的内容水平有限部分个人的简单想法。

变化趋势

ATT&CK 现代安全产品基石

自2013年以来，MITRE一直在收集网络威胁和网络安全信息，以便基于现实世界的观察开发全球可访问的对手战术和技术知识库。ATT&CK这是一个有助于收集、解释和共享网络犯罪分子信息的框架，是一个全面的通用的基于真实观察的网络攻击战术、技术、过程（TTP）等数据形式的攻击行为知识库，各个企业和组织可以用统一的标准去衡量展示自身的安全能力。

不用多说这部分了，基本大家都是按这个来的只是各家识别和转换效率不同，在产品体验上差距巨大。当然厂商还可以选择其他框架来搞定这些事。

预防和检测的局限

Gartner估计企业信息安全支出是90%的预防和10%的检测。然而，这种以预防为中心的方法存在一定的局限性，尤其是在多态恶意软件的情况下，许多预防控制措施无法阻止恶意活动。

抑制、响应和修复会变成下一个关注点：防护、检测发现问题后如何响应、处理和修复将是今后用户所重视得问题。无论检测方法技术如何进化演变，抑制、响应和修复问题才是有实际价值的。

APT检测&追踪溯源

在APT攻击中，威胁行动者选择了低调的方式，通过各种攻击向量利用更复杂的入侵方式，延长了被攻破主机的控制时间。APT攻击包括六个阶段:(1)侦察和武器化;(2)投递;(3)初始入侵;(4)命令控制;(5)横向扩散;(6)数据窃取。APT绕过防病毒等防护措施，因此需要更先进的方法来及时检测它们。端点安全产品需要为客户提供更全面的方法，将多个主机上的信息和事件关联起来，让不受关注的端点单个事件通过收集、处理、关联分析出更具价值的信息。

面对威胁、风险，不被动等待与响应，而是通过持续性监测的技术，依靠更多的自动化，更早、更快地检测和发现威胁，并追踪威胁的源头。用攻击者的视角来检测攻击，减少攻击者驻留时间，从而显著地改善组织的安全状况。

• 快速识别风险资产，识别内网中无恶意特征的隐藏威胁如无文件攻击、免杀木马等，尤其是高级攻击中的内部渗透、横向扩展行为。
• 从攻击者视角反向捕捉攻击行为进行建模，实时监测并发现各种恶意入侵行为，包括利用0-day的APT攻击和定向的钓鱼邮件攻击。
• 快速、精准、有效判断攻击成功状态，提升应急处置效率。
• 溯源还原攻击的详细过程，并进行黑客画像。
• 通过统一调度中心实现对整个集团的统一监控、预警、调度、指挥、联动等，实现联动联防。

需要对感知到的威胁、可疑线索和已知安全事件进行追踪、溯源、取证，才能还原事件的发生过程，了解事件严重程度和影响范围，这样安全管理人员才能做出正确的响应，并采取有效的防护措施。

IoA\IoB\IoC

部分内容摘自CROWDSTRIKEIOA与IOC白皮书内容

通过基于IoA的方法，安全团队能够实时、准确地收集和分析网络上正在发生的行为。观察这些行为就相当于，盯着企业环境中的监控探头并随时访问数据记录器。通过记录每一个行为发生的过程，IoA 能够准确地展示攻击者是如何潜入企业环境、访问文件、转储密码、在企业网络中横向移动，以及最终窃取企业数据的。

IoC 是一种被动的方法。恶意软件、特征、漏洞利用代码、漏洞和 IP 地址等信标的存在，是发生攻击的典型证据。与此相反，IoA 是一种主动的方法——防御者主动寻找可能发生攻击的预警信号，例如代码执行、持久驻留、隐蔽、C&C和网络内的横向移动等。IoC和IoA的区别类似于：犯罪发生后到达犯罪现场，根据遗留的证据重现犯罪过程vs警惕更细微的信标，阻止即将发生或正在进行的攻击。

IoC很适合进行回溯性分析，但这些指标的寿命很短，分析人员希望依靠的不仅仅是之前的攻击证据，因为这些攻击在检测到后不久就会失效。而且，即使进行了回溯，高级威胁依然存在。这就是为什么需要基于行为的检测来发现不太明显的入侵迹象，或者说基于UEBA(用户和实体行为分析)的威胁追踪可明显增强对潜在风险的发现能力。

IoB基于行为的检测不仅收集，还在特定的上下文中进行分析，判断一个或一组行为的意图，通过行为和意图来确定是否为恶意事件。管理员可以在长期跟踪行为的数据中筛选出是否发生了可疑的行为变化，通过这个变化内容来判断系统是否被攻击。

产品技术

端点安全产品的技术发展也会向着统一化、自动化、可视化的方向发展，产品需要通过自我维持、运营的技术自动完成需要重复执行的普通任务，让端点运维人员不必了解那么高深的技术知识就能完成一定水平的工作。

类似技术可能包括：

网络资产攻击面管理（CAASM）使安全团队能够专注于解决持续的资产可见性和漏洞挑战。它使组织能够通过与现有工具的API集成查看所有资产（内部和外部），查询合并的数据，识别安全控制中的漏洞范围和差距，并修复问题。

扩展威胁检测和响应（XDR）是终端检测和响应（EDR）的演变，EDR是XDR的基石。提供跨越安全和业务工具的优化威胁检测和响应服务。

综合风险管理（IRM）结合了技术、流程和数据，以实现整个组织内各种风险领域的简化、自动化和集成。

安全编排和自动化响应SOAR是一种将事件/案例管理、工作流、编排和自动化、响应和威胁情报管理结合在一个平台中的技术方法。

托管检测和响应（MDR）服务利用主机、网络以及越来越多的云层的技术组合，以及高级分析、威胁情报和人类专业知识来提供24/7威胁监控、检测和响应。

漏洞评估（VA）解决方案和服务在本地、云或虚拟环境中运行。其可发现、识别和报告IT、云、物联网和/或OT设备、操作系统和软件漏洞；建立关联资产和漏洞的基线；识别和报告IT资产的安全配置；支持合规报告和控制框架、风险评估和补救优先级以及补救活动。

欺骗平台Deception Platforms是用于组织创建、分发和管理整个欺骗环境的集中管理系统。这些诱饵工作站、服务器、设备、应用程序、服务、协议、数据元素或用户通常被模拟，与真实资产和身份基本无法区分，并被用作引诱、参与和检测攻击者的诱饵。

威胁情报（TI）服务通过记录战术、技术、程序和识别威胁和威胁参与者的详细信息来提供有关网络威胁环境的知识。

漏洞优先级技术（VPT）通过集中精力识别对组织构成最大风险的漏洞并确定其优先级，简化了漏洞分析和补救/缓解过程。

文件分析（FA）软件跨多个文件和数据库源进行分析、索引、搜索、跟踪和报告。

端点安全运营

减少、降低端点安全风险解决端点上产生的各种安全问题和事件的这件事情从杀毒软件、终端管理等安全软件到“全家桶”式的端点安全解决方案，管理员在不停的尝试各种技术、管理手段去解决大量分散的端点安全问题。通过相对独立的各种技术和服务手段目前很难为企业带来立竿见影的效果，各种产品和技术能力都在消耗很多资源，管理员要不停的让各个组成部分在不断变化的环境中持续发挥作用。

安全能力产品化、产品平台化、平台运营化应该是端点安全的发展路标。企业希望投资的端点安全能力能够定期的调整其运行、应用和更新，以满足IT环境和威胁的变化。端点安全技术的延伸和整合会使端点安全解决方案中产品集成度提高，采用新的技术会提高集成度和提高收益，但更复杂的部署和配置过程会影响它的采用。先预定安全和风险管理结果，还是先确定使用哪些产品、技术手段进行，管理员可能面临的是前期容易后期难，还是前期困难后期没那么慌张。如何选择，选择的结果是否满足最终要求或者在不断变化中产生新的问题原有计划无法解决。