以前在研究網(wǎng)絡(luò)安全問題的時(shí)候，發(fā)現(xiàn)最大的問題是DDoS攻擊，那時(shí)候的安全手段是防，有各種“堤”、“盾”甚至是“洞”，目的都是將攻擊引開進(jìn)行防護(hù)。但是道高一尺魔高一丈，再強(qiáng)的堤壩與護(hù)盾，黑客總可以用更強(qiáng)的攻擊流量去沖垮。于是在深入研究之后，提出對(duì)待網(wǎng)絡(luò)攻擊要主動(dòng)的去“查”，從根源上去解決問題。如今溯源已經(jīng)成為了最有效的網(wǎng)絡(luò)安全處理手段，DDoS也由此開始銷聲覓跡。但溯源并不能解決系統(tǒng)及應(yīng)用的漏洞問題，于是由漏洞引發(fā)的數(shù)據(jù)泄露、APT、勒索病毒、挖礦軟件成為目前數(shù)字化時(shí)代的主要威脅。

端點(diǎn)的問題還是要在端點(diǎn)上進(jìn)行解決，但在數(shù)字化時(shí)代，應(yīng)用再也不是一個(gè)個(gè)獨(dú)立程序，而是以網(wǎng)絡(luò)為渠道與其它應(yīng)用互聯(lián)互通所構(gòu)成的一個(gè)整體，這就讓應(yīng)用程序的使用態(tài)勢(shì)發(fā)生了巨大變化。以往針對(duì)文件進(jìn)行查殺的殺毒軟件，目前已有形同虛設(shè)的嫌疑。端點(diǎn)安全的未來將由誰來防護(hù)？數(shù)字化時(shí)代安全的新邊界要如何樹立？

帶著上述問題，至頂網(wǎng)采訪了國內(nèi)資深網(wǎng)絡(luò)安全廠商綠盟科技集團(tuán)股份有限公司產(chǎn)品總監(jiān)王鳳周。

綠盟科技集團(tuán)股份有限公司產(chǎn)品總監(jiān)王鳳周

端點(diǎn)安全產(chǎn)生的危害有哪些？

綠盟科技王鳳周和我們一起回顧了在數(shù)字化時(shí)代，由端點(diǎn)安全問題所引發(fā)的危害：

隨著黑色產(chǎn)業(yè)鏈的產(chǎn)生和壯大，APT攻擊、勒索病毒、挖礦、僵木蠕等攻擊手段大行其道，傳統(tǒng)防護(hù)手段很難對(duì)此類攻擊有防護(hù)效果，一旦受到攻擊，對(duì)企業(yè)造成的危害是直接而巨大的。

APT攻擊

高級(jí)持續(xù)性攻擊（Advanced Persistent Threat ）是指在政府及軍事內(nèi)部網(wǎng)中發(fā)現(xiàn)的具有高級(jí)技術(shù)手段的持續(xù)性的攻擊。APT攻擊通常針對(duì)國家重要信息基礎(chǔ)設(shè)施、重點(diǎn)科研院所和大型商業(yè)公司。以竊取敏感信息、商業(yè)機(jī)密或者破壞重要的基礎(chǔ)設(shè)施為目的。

典型案例：烏克蘭電網(wǎng)攻擊，海蓮花攻擊我國政府

勒索病毒

勒索病毒，是一種新型電腦病毒，伴隨數(shù)字貨幣興起，勒索病毒主要以郵件、程序木馬、網(wǎng)頁掛馬、弱口令爆破、軟件捆綁、SMB協(xié)議漏洞、人工等方式進(jìn)行傳播。勒索病毒文件一旦進(jìn)入本地，就會(huì)自動(dòng)運(yùn)行，同時(shí)刪除勒索軟件樣本，以躲避查殺和分析。接下來，勒索病毒利用本地的互聯(lián)網(wǎng)訪問權(quán)限連接至黑客的C&C服務(wù)器，進(jìn)而上傳本機(jī)信息并下載加密私鑰與公鑰，利用私鑰和公鑰對(duì)文件進(jìn)行加密。加密完成后，還會(huì)修改壁紙，在桌面等明顯位置生成勒索提示文件，誘導(dǎo)用戶去繳納高昂的贖金。

網(wǎng)絡(luò)挖礦

比特幣的出現(xiàn)，令算力又產(chǎn)生出新的變現(xiàn)途徑，但挖礦行為的高消耗也越來越引起廣泛關(guān)注。如今挖礦行為還跟僵尸網(wǎng)絡(luò)等黑產(chǎn)有緊密聯(lián)系，利用漏洞不但會(huì)給企業(yè)帶來勒索、數(shù)據(jù)泄露等危機(jī)，還可以通過向企業(yè)服務(wù)器端注入挖礦程序消耗企業(yè)的網(wǎng)絡(luò)及計(jì)算資源，為黑客挖礦盈利。

端點(diǎn)安全威脅產(chǎn)生的原因

由端點(diǎn)安全產(chǎn)生的危害如此嚴(yán)重，那端點(diǎn)安全威脅產(chǎn)生的原因又是什么？王鳳周繼續(xù)為我們進(jìn)行了深入分析。

在數(shù)字化轉(zhuǎn)型過程中，云計(jì)算、大數(shù)據(jù)、物聯(lián)網(wǎng)、移動(dòng)互聯(lián)等技術(shù)的業(yè)務(wù)應(yīng)用加速落地，原有的網(wǎng)絡(luò)邊界被打破，導(dǎo)致終端成為新的安全邊界。

2020年起，新冠肺炎疫情帶來遠(yuǎn)程辦公的旺盛需求，VPN的性能、穩(wěn)定性、對(duì)終端和業(yè)務(wù)訪問的安全性都提出極大挑戰(zhàn)，零信任成為新的熱點(diǎn)，這對(duì)終端環(huán)境安全帶來了新的挑戰(zhàn)。公有云業(yè)務(wù)、私有云業(yè)務(wù)、傳統(tǒng)網(wǎng)絡(luò)的混合模式，是國內(nèi)大多數(shù)企事業(yè)單位的網(wǎng)絡(luò)方案，隨著的5G的應(yīng)用，網(wǎng)絡(luò)邊界會(huì)變的很離散，業(yè)務(wù)終端、PC客戶端、移動(dòng)終端的、甚至是物聯(lián)網(wǎng)終端，會(huì)共同組成網(wǎng)絡(luò)的邊界。

然而傳統(tǒng)終端安全關(guān)注已知威脅，如防病毒、終端HIPS、HWAF類，基于已知特征進(jìn)行防護(hù)，然而對(duì)于APT攻擊、勒索、挖礦等高級(jí)攻擊、病毒、木馬的變種等高級(jí)威脅，這些基于規(guī)則的主機(jī)防護(hù)軟件都已經(jīng)失去了作用。

自2013年起，全球發(fā)生多起黑客利用SWIFT系統(tǒng)攻擊銀行的事件，損失數(shù)億美金。種種跡象表明，黑客對(duì)銀行內(nèi)部網(wǎng)絡(luò)植入了惡意程序，并長期潛伏尋找機(jī)會(huì)發(fā)起最終攻擊。

2017年5月12日晚，勒索病毒“WannaCry”感染事件爆發(fā),全球范圍近百個(gè)國家遭到大規(guī)模網(wǎng)絡(luò)攻擊,惡意病毒利用漏洞在內(nèi)部網(wǎng)絡(luò)大范圍傳播和感染，造成嚴(yán)重?fù)p失。

自2022年俄烏沖突爆發(fā)后，“網(wǎng)絡(luò)戰(zhàn)”已經(jīng)成為俄烏沖突的第二戰(zhàn)場(chǎng)。針對(duì)雙方政府、金融機(jī)構(gòu)、企業(yè)等關(guān)鍵信息基礎(chǔ)設(shè)施的攻擊活動(dòng)越演越烈。國際黑客組織“匿名者”官宣正式向俄羅斯政府發(fā)起網(wǎng)絡(luò)戰(zhàn)爭(zhēng)，先后對(duì)俄羅斯重要關(guān)鍵基礎(chǔ)設(shè)施進(jìn)行了網(wǎng)絡(luò)攻擊，其網(wǎng)站相關(guān)服務(wù)一直處于時(shí)斷時(shí)續(xù)的狀態(tài)。通過攻擊者搜集的大量威脅情報(bào)數(shù)據(jù)發(fā)動(dòng)的網(wǎng)絡(luò)攻擊戰(zhàn)，被作為軍事用途推動(dòng)或改變整個(gè)戰(zhàn)爭(zhēng)發(fā)展局勢(shì)。

網(wǎng)絡(luò)化時(shí)代，殺毒軟件還有用嗎？

網(wǎng)絡(luò)化時(shí)代，殺毒軟件對(duì)端點(diǎn)安全的防護(hù)能力是否減退？是否還有必要存在？

對(duì)于這個(gè)問題王鳳周的回復(fù)是：傳統(tǒng)殺毒軟件防護(hù)能力雖然在減退，但是在短期內(nèi)還需繼續(xù)存在。不過終端安全產(chǎn)品需要新技術(shù)來補(bǔ)充上層的安全能力。攻擊最終要落到端點(diǎn)上來，端點(diǎn)防護(hù)依然是最有效的手段之一。

電腦終端的安全管控是“云管端”三級(jí)安全防護(hù)體系中不可缺少的環(huán)節(jié)，終端安全軟件可以實(shí)現(xiàn)資產(chǎn)信息及系統(tǒng)日志采集、惡意進(jìn)程檢測(cè)、軟件管理、外設(shè)管控等一列安全管控措施，可以很好地彌補(bǔ)網(wǎng)絡(luò)層安全檢測(cè)和防護(hù)的先天弊端。

綠盟一體化終端安全管理系統(tǒng)UES可有效檢測(cè)APT攻擊、勒索病毒、挖礦、僵木蠕、0day漏洞等已知和未知威脅，并且提供多維度的及時(shí)響應(yīng)措施，從而可以全面保障企業(yè)終端安全。

我們熟知針對(duì)終端的網(wǎng)絡(luò)威脅有很多種，如APT攻擊、勒縈病毒、挖礦木馬、僵木蠕、0day漏洞利用等。這種攻擊行為我們很難預(yù)知，但是只要終端遭到入侵后，其系統(tǒng)內(nèi)部狀態(tài)或環(huán)境肯定會(huì)發(fā)生變化，這種變化包括文件的創(chuàng)建修改、進(jìn)程的運(yùn)行、系統(tǒng)函數(shù)及接口的調(diào)用、配置的修改、用戶及權(quán)限、網(wǎng)絡(luò)連接、系統(tǒng)資源的變化等。為保證檢測(cè)行為的準(zhǔn)確性和可控性，在提供自動(dòng)化分析處理機(jī)制外，系統(tǒng)也提供了便于管理員進(jìn)行人工輔助干預(yù)的接口，可人工定義信任或威脅的文件和行為，從而對(duì)自動(dòng)化判定篩選后的結(jié)果進(jìn)行微調(diào)，然后更精確的采取記錄、阻斷、隔離、清除等響應(yīng)措施。

端點(diǎn)安全技術(shù)未來發(fā)展新趨勢(shì)

技術(shù)趨勢(shì)上，終端安全不再是孤立的解決方案，終端安全是整體網(wǎng)絡(luò)安全的一部分，終端安全能力要與整體安全框架相適應(yīng)，系統(tǒng)的解決安全問題。未來終端安全會(huì)更縱深的，提供網(wǎng)絡(luò)、進(jìn)程、文件、系統(tǒng)、容器等多個(gè)層面安全事件發(fā)現(xiàn)、跟蹤、溯源、處置能力，從而更有效地解決當(dāng)前的各種終端問題。同時(shí)，終端一體化進(jìn)程正在加速推進(jìn)。

終端一體化包含兩個(gè)方面，首先是終端安全能力一體化，當(dāng)前終端上裝好幾個(gè)終端安全軟件，多個(gè)控制臺(tái)，都帶來管理上的麻煩，以及客戶端的性能和兼容性問題，客戶希望將各種安全能力集為一體，比如殺毒、桌管、HWAF、EDR、甚至是DLP；另外也包括終端類型的一體化管理，比如PC、服務(wù)器、移動(dòng)終端，以及很快就會(huì)進(jìn)入生產(chǎn)生活的物聯(lián)網(wǎng)終端。同時(shí)，通過跨終端，多能力的數(shù)據(jù)分析檢測(cè)，可以發(fā)現(xiàn)以前無法識(shí)別的威脅。