RSA 2018：喧嚣过后，终端安全回归本源-安全客

编者按：最近几年的RSAC上终端都是热点，参与厂商多、新概念多、技术创新快，这也反应了终端安全在整个安全领域的地位，而在RSAC2018上，终端安全领域开始呈现明显的“沉淀”趋势。作为终端安全领域的一位老兵， 360企业安全集团副总裁张聪分享了他对终端安全领域趋势、方向的思考和判断。

笔者在最近的几年RSAC当中，亲眼看到了终端安全从一片死寂到喧嚣异常，整个展厅里面充斥着终端的新概念，谁都要往终端安全上靠一靠。今年的参展厂商，与往年状态明显不同，一些深耕终端的新贵，有的已经站上了业界领袖的位置；而原本在终端上有深厚积累的杀毒软件厂商，也纷纷重新迎头赶上，在喧嚣过后再次占领了一席之地。

产业：新贵的逆袭

首先是展览位置的变化。原来只在南馆有小展台的 Carbon Black 和 Cylance，今年逆袭到了代表大厂的北馆，而且展台巨大。这两家代表两个不同的终端安全演进方向的厂商，在相隔数米的地方持续秀着肌肉。虽然两家解决终端安全问题的思路不同，但大家解决的都是同一个问题：“杀毒软件装了之后为什么没用”。在短短的几年内，通过机器学习等更多高级技术进行事先的防御加强，和通过EDR进行事中的快速响应，两个思路都各自得到了客户的认同，迅速占领了市场，两个厂商也成了终端安全这个古老而崭新领域当中逆袭的新贵。

除了这两家之外，以 CrowdStrike、Cybereason、SentinelOne、Endgame 为代表的终端新势力也表现抢眼，除了各自的拥趸之外，今年也带来了各自的新技术，这些我们在后面的技术部分当中解读。

产业：经典再度传承

除了这些新贵之外，具有深厚终端安全传统的杀毒软件厂商，在经历了几年的沉寂之后，也纷纷推出了各自卧薪尝胆之后的新解决方案，纷纷将机器学习、EDR加入到了传统的杀毒方案当中。毕竟终端安全还是一个需要较多积累的领域，客户对于部署实施也是希望尽量减少影响，因此杀毒厂商扩展到 EDR和通过机器学习来加强防护能力也是自然而然的事情。去年的RSAC上我们就发现了这样一个趋势，即终端安全产品会持续走向融合，防护、检测、响应、预测会逐步在一个产品上实现闭环。今年厂商们继续在整合的道路上越走越远，可以预见在未来的某一天，新的终端安全将不再区分产品是杀毒产品还是EDR产品，而是形成新的终端安全产品。

技术：解决勒索软件问题最受关注

说完产品方向的变化，说说技术的变化。由于WannaCry的全球性影响，针对勒索软件的防护手段创新自然而然地变成了热点。剥开各家对于技术的不同包装（EDR起家的说是EDR，防护起家的说防护），大家在底层的技术上其实非常一致：通过机器学习或规则驱动的预先防护、通过诱饵机制主动暴露勒索软件行为、以及通过行为分析来对未知的勒索软件进行响应。各个厂商的差别在于侧重点不同，分析和溯源界面各有所长。

抛开各家对于技术的包装，有效性仍然是客户最关注的点。对于有效性各方都有自己的一套话术来试图说服客户。笔者对于客户的建议是不用纠结于具体的技术手段和营销话术，还是从厂商能力的角度分析。真正有效的勒索软件防护的背后一定是一个专业的分析和应急响应团队，紧跟最新的威胁发展，同时产品能够与专业团队之间建立实时的连接，这种实时的架构才是解决新型高级威胁的根本之道。

技术：云端交付的自动化防护和响应成为大趋势

除了勒索软件，另一个最常出现的词汇是“Automation（自动化）”。这个词汇出现在自动化防护和自动化响应两个场景当中。当被问及产品的自动化如何实现的时候，大家的思路惊人的一致：实时连接到云，借助云的能力进行自动化。再往深里问，大家都承认，最后拼的还是云端的人的能力，这也整个行业对于“人是安全的尺度”的认同吧。

将安全防护和安全响应能力上云，通过云端的自动化辅助人工的方式在国内也不是新的概念，360使用云查杀已经接近10年。在国际上，政企市场已经普遍接受了这种思路，但在国内政企客户仍然存在诸多实际的限制，这个方面本土的厂商通过私有云或行业云的解决方案，而非一刀切的公有云方案，貌似是更接地气的做法。

技术：终端技术融入到了更多的方案当中

除了专业的终端安全公司，前几年的RSA上还出现了很多做SIEM和网络安全的公司也在试图涉足终端数据采集领域。今年这种风向发生了大变化，越来越多的厂商开始谋求与专业终端安全厂商的合作来获取终端的能力。最典型的便是Carbon Black与IBM QRadar的联合，通过终端产品向SIEM提供数据和接受指令完成整体的闭环。

考虑到终端领域的深度和专业性，出现这种情况并不意外。终端安全产品的兼容性、实施复杂度和产品技术本身的专业性，导致了非专业终端安全厂商很难完全搞定，因此产业界之间分工合作，会是未来的一大趋势。