下一代終端安全的興起

提到終端安全技術，很多人第一個想到的就是防病毒產品，而在當今安全威脅不斷的演化的時代，以傳統的簽名庫對比技術的解決方案已經無法應對新型威脅。在這樣的背景下，下一代終端安全技術應運而生。IDC將此類的解決方案定義為“Endpoint Specialized Threat Analysis and Protection (STAP)”，即終端特定威脅分析與防護。終端安全技術正在從傳統的簽名技術轉向具有下一代安全能力轉移，業內廠商也紛紛推出了下一代終端安全的解決方案，將特定的檢測技術集成到現有的平臺，為用戶提供高級的安全防護。

下一代終端安全防護的價值在于它們能夠識別出特定攻擊并在檢測到這類攻擊后提升響應能力。通過收集網絡上往來于終端及其他設備之間的通信內容來獲取信息，同時對那些有可能遭到惡意利用的終端作出主動式預防。下一代終端安全技術能夠實現遙測功能并作為取證工具使用，從而深入調查攻擊活動以及關聯性、發現有弱點的終端并預測未來可能出現安全威脅并實現提前阻斷。

IDC認為下一代終端安全技術平臺需要具備以下幾個方面。

傳統防御能力

下一代終端安全技術并不是可以取代傳統的基于簽名機制的防護，針對已知威脅依然需要依賴傳統防御技術，在惡意程序執行前進行阻斷。

動態檢測能力

下一代終端安全技術最核心的功能就是應對未知威脅以及零日漏洞的檢測。這種動態的檢測能力需要在操作系統底層對應用和進程行為進行分析和實時監控，包括內存、磁盤、注冊表、網絡等。

安全響應能力

例如當終端面臨高級威脅的時候有校驗、遏制以及修復能力，幫助安全響應團隊監控安全狀態、改進威脅檢測，并且從前瞻性發現、詳細分析、鑒證調查、全面報告以及優先警報和操作方面，全面擴展事件響應能力，在造成損失之前阻斷威脅。

實時威脅情報

能夠整合云端和整網獲得威脅情報，針對不同的情報來源，形成諸如ATP事件報告、可機器讀取的IOC、情報共享信息等，進行有針對性的應急響應。

安全取證能力

對整個組織中的終端上發生的惡意行為清晰及時的可見性是快速評估攻擊并采取響應的關鍵，并且能夠對攻擊中的事件提供實時的審計追溯，以及搜索所有終端上的入侵證據。所以提供終端實時取證和可見性就成為了下一代終端安全技術的具備能力。

基于上述的下一代終端安全技術的核心能力，IDC認為在此領域未來幾年將呈現出以下幾點趨勢。

威脅情報尤為重要

下一代終端安全解決方案必將依賴強大的威脅情報為核心支柱，實現自動化的修復能力以應對日益增長的安全需求。

檢測防御能力的整合

當前很多大型企業利用整合的安全平臺來監控和防護他們的終端設備，將下一代終端安全技術的檢測和防御能力無縫集成到現有的平臺將是必然的發展趨勢，這種整合將會給事件響應人員對終端的安全態勢及風險緩解有完整的視圖。

安全即服務的部署模式

IDC認為，安全廠商對現有的客戶將進一步促進 SaaS （Security as a Service）安全即服務的部署模式。這是一種典型的混合部署模式，在客戶端部署傳感器或安裝代理，在云端進行策略執行和管控。從安全廠商營收的角度看，安全及服務模式的盈利將會高于傳統的本地部署模式。

下一代終端安全技術正不斷取得令人可喜的進展，相較于單純利用已知惡意軟件簽名作為查殺依據的傳統反病毒軟件方案，下一代終端安全技術結合威脅情報能夠實時分析過程、變化與連接，從而檢測出實時活動當中的可疑對象，并以更為出色的效果解決零日漏洞等高級威脅。