本文轉載自公眾號“數世咨詢”(ID：dwconcn)。

2020年，一開年發生了人類現代社會歷史上，第一次全世界大規模流行的疫情，如此黑天鵝事件對未來的世界影響深遠，加上不可逆的中美關系，在今年百年不遇之大變局下， 我們的生活和工作都產生了很大的變化。

2021年，即將來臨，展望新的一年，我們有更多美好愿望和憧憬。繼2020年發布端點安全十大趨勢之后，相比去年，我們更多地結合了國內實際情況和對大量客戶的實地調研，發布了2021年十大端點安全趨勢。

[[374861]]

趨勢一：從BYOD 到 BYOPC

過去的十年是移動互聯網的黃金十年，依托移動互聯網和移動智能設備的發展，移動營銷、移動辦公、移動展業、移動在線學習等業務快速發展，對外為客戶提供更加直觀、及時、人性化的服務體驗，對內充分利用了員工碎片化時間，大幅提升了內部協同的效率。

 

今天，個人移動智能設備作為信息查看、確認及簡單加工的載體，每個人都可能有一個筆記本、平板、手機等作為生產力設備，BYOD更多的時候就是指這部分設備。而傳統的筆記本類管控還是比較嚴格的，面臨即時申請，訪問權限及時收回等情況。

2020年疫情的突發，使得企業大部分員工困于家中，企業被迫臨時大批量放開虛擬專用網遠程訪問的權限，員工通過自己家中的臺式機、筆記本進行居家辦公。但由于部分個人設備的安全性沒有得到保障，很多企業發現病毒木馬可以借助虛擬專用網通道進入內網，同時黑產也利用此次疫情進行針對性的社工病毒投放，進一步加劇了網絡安全問題。而且企業數據存放在個人PC上更加容易導致數據泄密。

[[374862]]

中國的疫情階段性結束后，在意識到疫情復發將會給企業業務帶來影響，以及遠程辦公、移動辦公、居家辦公在激發員工主觀能動性、提高時間利用效率、節省企業運營成本等方面存在的巨大好處，加上員工對于遠程辦公的進一步需求，國外巨頭公司的遠程辦公常態化戰略等因素，都進一步刺激了遠程辦公的增長。

以上因素也催生了對于終端的新一輪安全管控制度，所以Gartner在2020端點安全技術成熟度報告中，正式提出BYOPC Security，隨著該領域方案的成熟，未來十年相信越來越多的企業可以實現隨時隨地的辦公戰略，也將進一步推動數字化轉型道路。

 

趨勢二：零信任網絡訪問從分歧到融合，從少量場景驗證，到全面融入。

如果說今年安全方面最熱的一個詞，恐怕非零信任莫屬。從2010由研究機構Forrester的首席分析師約翰·金德維格(John Kindervag)提出零信任一詞，到目前已經十年過去了，在這十年內國內外企業基于對零信任安全框架的理解，開展了技術探索和布局，從各種不同維度出發的觀點，到目前為止基本融合，尤其是隨著NIST及其下屬單位NCCOE發布的零信任架構正式版和實施方法，行業內對零信任的認知逐漸統一。

圖1 NIST NCCoE 《實現零信任架構》正式版(2020年10月發布)

 

• 零信任定位：零信任架構不是單一的網絡體系架構、產品，它是一整套網絡基礎設施設計和運行的指導原則，用來提升網絡安全整體能力。
• 零信任目標：零信任架構的核心就是重構訪問控制，采用更為靈活的技術手段對動態變化的人、終端、系統建立新的邏輯邊界。
• 零信任現狀：目前各廠商、企業都積極探討在暴露面收斂、遠程辦公、遠程運維、跨網訪問、多云訪問等場景下如何實踐零信任。
• 零信任未來：以零信任架構的核心組件為中心，在不同場景下疊加不同的功能組件，將零信任理念融入企業各個安全場景下，未來零信任是企業未來安全建設主要技術理念之一。

信通院在2020年的網絡安全產業全景圖中，將零信任作為通用技術理念(參見圖 2)。

圖2 數說安全2020年中國網絡安全市場全景圖分類架構示意圖

整體上，零信任范圍很廣，在端點安全、網絡安全方面都可以運用，目前落地比較成熟的場景是端點到資源的訪問控制， 也是企業實踐零信任的第一步，可以預見的是企業在遠程辦公、遠程運維、虛擬專用網替換、多云訪問等場景下對零信任網絡訪問的核心組件進行驗證后，會逐步擴展到其他端點訪問資源的場景，最終會覆蓋所有端點到資源的訪問。

 

趨勢三：虛擬專用網絡被ZTNA(也被稱為SDP)取代的速度加快

虛擬專用網(Virtual Private Network)是一種廣泛用于安全遠程用戶訪問控制的普遍技術。這種技術，在與多因子身份認證結合時，對于具有傳統邊界的企業以及靜態用戶和服務器資源來說效果很好。但是正如Gartner的調研報告所說：DMZ和傳統虛擬專用網是為上世紀90年代的網絡設計的，由于缺乏保護數字業務所需的敏捷性，它們已經過時。

首先，虛擬專用網對所分配的網絡提供非常粗粒度的訪問控制。它們的目標是讓遠程用戶的行為就像在本地網絡上一樣，這意味著所有用戶都可以對整個虛擬局域網VLAN進行完全的網絡訪問。嘗試配置虛擬專用網為不同用戶提供不同級別的訪問是不現實的，它們也不能很容易地適應網絡或服務器集群的變化，虛擬專用網根本無法跟上當今企業動態發展的需要。其次，即使公司對虛擬專用網所提供的控制級別感到滿意，但虛擬專用網只是一種控制遠程用戶的豎井式解決方案——它們不會幫助保護本地內網中的用戶，這意味著組織需要一組完全不同的技術和策略來控制本地用戶的訪問。這將使協調和匹配這兩個解決方案所需的工作量成倍增加。而且，隨著企業采用混合和基于云計算的計算模型，虛擬專用網就更難被有效地使用。

最后，虛擬專用網在設計之初主要考慮組件虛擬專用網絡的訪問，但在遠程辦公場景下缺少對企業數據的安全防護，容易發生數據泄露問題。

基于此，Gartner在2020年的ZTNA(Zero Trust Network Access )市場指南中也指出：到2022年，向生態系統合作伙伴開放的新數字業務應用中，有80%將通過ZTNA訪問;到2023年，60%的企業將逐步淘汰大部分遠程訪問虛擬專用網，轉而使用ZTNA。

但受到疫情驅動的遠程辦公需求，國內大型攻防演練首日虛擬專用網 0day漏洞的影響，目前大部分用戶都在考慮使用ZTNA來替換虛擬專用網 ，所以這一進程會加快。

 

趨勢四：ZTNA會促進UEM的發展

統一端點管理(Unified Endpoint Management，簡稱UEM)是Gartner定義的區分于EPP的另一個細分市場，初衷強調對包括異構的PC、移動端的統一管理。

隨著操作系統的演進，原有的PC和移動端的技術差異正在逐漸縮小，企業中Windows應用程序的數量在過去十年中一直在緩慢下降，取而代之的是基于瀏覽器或與操作系統無關聯性的程序。隨著以資源保護為核心的零信任安全架構和BYOD、BYOPC的大范圍使用，相較于管理整個設備，企業IT管理人員將越來越重視管理應用程序的訪問和數據保護，而零信任架構的落地使得企業可以對所有設備訪問企業資源的行為進行統一的、精細化動態授權。所以2020年ZTNA市場指南中指出，企業在評估零信任網絡訪問如何落地時，必須考慮UEM的重要性。

 

圖3 Gartner ZTNA市場指南 2020在實際調研過程中發現，大部分客戶在遠程辦公、互聯網暴露面收斂等場景通常都是將PC和移動智能設備一起考慮，因此零信任架構的實施使得UEM需求更加迫切。

不過國內和國外對UEM的實現路徑上差異很大。

蘋果公司幾年前開始在Mac OSX中加入MDM API，微軟首先在Windows 8.1中引入了EMM API，并在Windows 10中做了進一步的擴展。這樣，EMM便可以非常便捷的管理PC和Mac。所以國外的UEM廠商更多的是移動安全廠商，如MobileIron、黑莓等都是從MDM到EMM再到UEM。

 

圖4 UEM發展的三個階段目前來看，國內UEM的廠商非常少。一方面國內基于PC和移動端的原生應用程序還存在比較大的體量，轉型需要時間，另一方面國內企業對PC端的管控要求非常復雜，很多原生的API不足以滿足管控要求，同時大部分客戶還希望對混合接入的IoT終端進行統一管理，絕大多數EMM廠商不具備PC終端和IoT終端的管控能力，導致國內EMM廠商往UEM轉型的非常少。所以國內UEM廠商一般都是由少數同時具有EPP和EMM產品的廠商來落地。

趨勢五：UEM與UES一定會融合，并作為ZTNA的核心組件

通過上面UEM的介紹，可知UEM的安全屬性不多，所以Gartner在今年的《Hype Cycle for Endpoint Security, 2020》中，提出UES一詞。

圖5 2020年端點安全技術成熟度曲線

雖然Gartner針對UES定義的范疇很廣，目前也是處于萌芽階段，但筆者更愿意認為，在UEM的落地過程中，很多企業除了運維團隊期望對端點進行統一管理，安全團隊還希望能夠提供更多來自端點分析整合的對于身份和訪問管理更深入的見解，或更好的安全運營方面的支撐。

尤其是隨著零信任架構的落地，使得PC端和移動端在身份驗證、環境感知、信任評估、動態授權，以及基于用戶的行為分析和安全事件之間的關聯性非常強，而且基于UEM統一的設備管控能力、數據采集能力是UES中必不可少的選項，同時利用移動端的強身份屬性和較好的安全性，作為PC端的安全屬性補充，是一個不錯的選擇，如通過移動端的掃碼認證作為推薦的PC端身份認證的方式，或利用移動端確認的方式作為身份一致性的校驗，或當PC端發生風險后，利用移動端的設備優勢進行更高強度的基于生物特征的二次身份認證，以判定是否可以繼續訪問企業資源。

未來UES發展的價值在哪里呢?筆者覺得，如果它只是作為EPP、EDR的擴展和延伸，以及XDR的一個實踐，那意義就不大了。未來UEM與UES融合后，將作為ZTNA的重要核心組件，支撐ZTNA的落地，同時成為企業安全運營中心的主要安全數據來源之一，這才是UES的最大價值。

趨勢六：EDR在零信任架構下面臨新的契機

Gartner從2013年提出ETDR，2015年正式命名EDR，2017年正式發布EDR市場指南，2018年Gartner將EDR從補充性功能變成端點安全的必備功能，并且每年列入端點安全的十大安全項目，其重要性不言而喻，所以Gartner預測，到2020年有80%的大型企業，25%的中型企業，以及10%的小型企業將投資部署EDR。同時CrowdStrike超高的估值也是EDR市場很好的證明。

但是跟國外EDR的快速發展不同，國內PC終端側的EDR相比國外而言，發展較為緩慢，而且不同客戶群體也有不同的表現因素，針對大型企業，主要原因有幾點：

• 國內大型客戶的終端管理非常復雜，任務繁重，基于員工普遍抵觸在終端上做過多事情的前提下，很多都是優先從網絡側做，所以網絡側威脅檢測發展較快;
• 國內很多大型客戶有多張網絡，其中生產、辦公網一般不允許上互聯網，所以大部分威脅都是從外部攻入，尤其是國內大型的攻防演習，加劇了這一問題，使得CWPP(也被稱為服務器/云主機側的EDR)得以較快發展;
• 國內外的文化差異也不同，針對端點側單點的威脅，國內可以及時地使用行政手段強干預，進行嚴格管控，從影響層面來看，優先級一般。

所以基于檢測類的EDR，一般都是作為企業整體安全運營協防的一部分，提供更為全面的威脅分析數據、更好的安全可見性以及處置手段。

而對于中小型企業來說，面臨的高級威脅大部分情況下是勒索病毒，所以EDR更多的是以下一代殺毒或整合傳統殺毒的方式存在。作為防御勒索病毒的主要產品，它跟XDR的思路是一脈相承的，基于明確的、成熟的威脅防御用例，進行開箱即用的功能和持續的安全服務。

但是這種現狀有可能被現在的零信任架構改變，一方面零信任架構的實施，使得企業更加敏捷的上云，端點的去PC化，移動設備接入網絡環境的多樣化，和更多的個人筆記本接入，使得威脅大幅增加，非常需要EDR提供更加強大的威脅檢測。另一方面，可信接入代理的大量使用，使得傳統的網絡訪問路徑被改變，要么鏈接加密，要么代理轉發后失去源IP地址等，所以在未來基于零信任架構的安全體系中，EDR是環境感知、威脅檢測(至少是核心數據源)的核心組件，而傳統的網絡側檢測產品的適用場景將會減少。

趨勢七：從防御到檢測，再到擴展檢測(XDR)

Gartner在檢測響應項目上的新發現指出，對于檢測響應不僅僅是指終端，整個檢測響應項目還包含：

• 面向日志的檢測與響應技術(SIEM)
• 面向端點的檢測與響應技術(EDR)
• 面向網絡的檢測與響應技術(NDR)
• 面向欺騙的檢測與響應技術
• 面向運營的檢測與響應服務(MDR)

隨著這些產品和服務的成熟，從行業動態來看這些產品逐漸走向融合，如我們熟知的Elastic已經收購了著名的EDR廠商Endgame，業內做SOC、SIEM的廠商也都開始推出自己的EDR、NDR產品，通過統一的威脅檢測框架(如ATT&CK)，實現在更多維度、更多位置、更加全面的檢測，進而實現對威脅的自動響應和統一編排。XDR不是一個新名詞，Gartner在今年將XDR列入十大安全項目順理成章，甚至有點晚，XDR還出現在端點安全(參見圖5)和安全運營(參見圖6)兩個技術趨勢曲線，未來相當可期。

圖6 2020年安全運營技術成熟度曲線

Gartner給XDR的定義是：

XDR is a SaaS-based, vendor-specific, security threat detection and incident response tool that natively integrates multiple security products into a cohesive security operations system that unifies all licensed security components.

從定義來看，筆者更覺得是對檢測響應類產品如何落地的一個思路，這類產品當前最大的問題是高度依賴安全專家。所以國內真正能上馬此類項目的都是安全能力非常強的頭部企業，同時這些頭部企業基于自身對安全的規劃，也都在做XDR方面的事情，只是應用深淺的問題而已。所以XDR的提出，更多的是能夠為大量的中小型客戶提供一種綜合性的、較為完整的、開箱即用的檢測響應類產品以及基于云的威脅分析的安全服務。

不過在產品上、檢測分析維度上的聯動是第一步，XDR的精髓應該是Cross，能夠基于一個威脅線索，無縫跨越多個檢測類產品才是真正的目標，如何實現這個目標，目前還沒有明確的答案，所以當下XDR應該更多的還是在商業模式和市場推廣上，畢竟技術上沒有更多新的東西。

趨勢八：準入控制與ZTNA融合

準入控制作為設備接入企業網絡的安全邊界，一直以來都是企業的安全基礎設施之一，只不過準入控制是以網絡為中心，零信任是以企業資源為中心，但兩者理念與零信任相似，都是默認不相信任何設備，必須進行嚴格校驗后，才允許接入。所以兩者都有身份校驗、環境感知、信任評估、動態最小授權等環節，嚴格上來講這些環節有重復的部分，在具體的落地過程中肯定要考慮如何統一，以便給用戶最好的體驗和最低的性能成本。

從企業網絡安全角度來看，兩者解決的問題并不沖突，準入控制主要保障使用企業網絡基礎設施的安全問題，ZTNA主要解決訪問企業資源的安全問題，所以Google的零信任實踐項目BeyondCorp(參見圖 7)在企業網中的第一步也是準入控制(802.1x)。

圖7 BeyondCorp組件和訪問流程

趨勢九：個人信息保護將推動全行業對數據安全的重視

今年11月份，某快遞公司爆出內部員工泄密案。該公司5名員工以每天500元的價格外租自己的員工賬號，造成40多萬條個人信息泄露。這些信息包含發件人和收件人的地址、姓名及電話號碼等內容，根據犯罪團伙供述，這些信息將被以每條1元的價格打包賣到全國及東南亞等電信詐騙高發區。

在今年的《個人信息保護法(草案)》第七章中規定情節嚴重的違法處理個人信息的行為將會被懲罰金額為五千萬元以下或者上一年度營業額5%以下罰款;對直接負責的主管人員和其他直接責任人員處十萬元以上一百萬元以下罰款。

而在草案征求意見稿公布的同一天，多家銀行吃到了“侵害消費者個人信息”的罰單，處罰金額合計達4188萬元，相關責任人罰款從1.75萬元到3萬元不等，信息保護已成為國家和社會關注的重點。

明年，隨著《個人信息保護法》的出臺和發布，將開啟中國隱私權及個人信息保護的新時代。為了更好的滿足合規要求、客戶個人權利以及企業自身管理需求，企業需要進一步從全面的視角，加強個人信息安全和隱私保護的能力，尤其是通過零信任和數據防泄露相關技術防范在獲取客戶個人信息的訪問、使用、存儲、外發等環節的安全問題。

趨勢十：企業選擇端點安全產品時需考慮信創終端

在中美關系不可逆的大背景下，信創產業一直呈現穩固且快速發展的態勢，已經從個別行業的試點，擴展到各行業頭部客戶的試點，相信明年的擴展速度會更快，影響面會更廣，而端點安全產品的部署周期一般都是三年以上，所以在選擇時必須考慮對信創終端的支持情況。