提到終端安全技術(shù)，很多人第一個想到的就是防病毒產(chǎn)品，而在當今安全威脅不斷的演化的時代，以傳統(tǒng)的簽名庫對比技術(shù)的解決方案已經(jīng)無法應(yīng)對新型威脅。在這樣的背景下，下一代終端安全技術(shù)應(yīng)運而生。IDC將此類的解決方案定義為“Endpoint Specialized Threat Analysis and Protection (STAP)”，即終端特定威脅分析與防護。終端安全技術(shù)正在從傳統(tǒng)的簽名技術(shù)轉(zhuǎn)向具有下一代安全能力轉(zhuǎn)移，業(yè)內(nèi)廠商也紛紛推出了下一代終端安全的解決方案，將特定的檢測技術(shù)集成到現(xiàn)有的平臺，為用戶提供高級的安全防護。

下一代終端安全防護的價值在于它們能夠識別出特定攻擊并在檢測到這類攻擊后提升響應(yīng)能力。通過收集網(wǎng)絡(luò)上往來于終端及其他設(shè)備之間的通信內(nèi)容來獲取信息，同時對那些有可能遭到惡意利用的終端作出主動式預(yù)防。下一代終端安全技術(shù)能夠?qū)崿F(xiàn)遙測功能并作為取證工具使用，從而深入調(diào)查攻擊活動以及關(guān)聯(lián)性、發(fā)現(xiàn)有弱點的終端并預(yù)測未來可能出現(xiàn)安全威脅并實現(xiàn)提前阻斷。

IDC認為下一代終端安全技術(shù)平臺需要具備以下幾個方面。

傳統(tǒng)防御能力

下一代終端安全技術(shù)并不是可以取代傳統(tǒng)的基于簽名機制的防護，針對已知威脅依然需要依賴傳統(tǒng)防御技術(shù)，在惡意程序執(zhí)行前進行阻斷。

動態(tài)檢測能力

下一代終端安全技術(shù)最核心的功能就是應(yīng)對未知威脅以及零日漏洞的檢測。這種動態(tài)的檢測能力需要在操作系統(tǒng)底層對應(yīng)用和進程行為進行分析和實時監(jiān)控，包括內(nèi)存、磁盤、注冊表、網(wǎng)絡(luò)等。

安全響應(yīng)能力

例如當終端面臨高級威脅的時候有校驗、遏制以及修復(fù)能力，幫助安全響應(yīng)團隊監(jiān)控安全狀態(tài)、改進威脅檢測，并且從前瞻性發(fā)現(xiàn)、詳細分析、鑒證調(diào)查、全面報告以及優(yōu)先警報和操作方面，全面擴展事件響應(yīng)能力，在造成損失之前阻斷威脅。

實時威脅情報

能夠整合云端和整網(wǎng)獲得威脅情報，針對不同的情報來源，形成諸如ATP事件報告、可機器讀取的IOC、情報共享信息等，進行有針對性的應(yīng)急響應(yīng)。

安全取證能力

對整個組織中的終端上發(fā)生的惡意行為清晰及時的可見性是快速評估攻擊并采取響應(yīng)的關(guān)鍵，并且能夠?qū)糁械氖录峁崟r的審計追溯，以及搜索所有終端上的入侵證據(jù)。所以提供終端實時取證和可見性就成為了下一代終端安全技術(shù)的具備能力。

基于上述的下一代終端安全技術(shù)的核心能力，IDC認為在此領(lǐng)域未來幾年將呈現(xiàn)出以下幾點趨勢。

威脅情報尤為重要

下一代終端安全解決方案必將依賴強大的威脅情報為核心支柱，實現(xiàn)自動化的修復(fù)能力以應(yīng)對日益增長的安全需求。

檢測防御能力的整合

當前很多大型企業(yè)利用整合的安全平臺來監(jiān)控和防護他們的終端設(shè)備，將下一代終端安全技術(shù)的檢測和防御能力無縫集成到現(xiàn)有的平臺將是必然的發(fā)展趨勢，這種整合將會給事件響應(yīng)人員對終端的安全態(tài)勢及風險緩解有完整的視圖。

安全即服務(wù)的部署模式

IDC認為，安全廠商對現(xiàn)有的客戶將進一步促進 SaaS （Security as a Service）安全即服務(wù)的部署模式。這是一種典型的混合部署模式，在客戶端部署傳感器或安裝代理，在云端進行策略執(zhí)行和管控。從安全廠商營收的角度看，安全及服務(wù)模式的盈利將會高于傳統(tǒng)的本地部署模式。

下一代終端安全技術(shù)正不斷取得令人可喜的進展，相較于單純利用已知惡意軟件簽名作為查殺依據(jù)的傳統(tǒng)反病毒軟件方案，下一代終端安全技術(shù)結(jié)合威脅情報能夠?qū)崟r分析過程、變化與連接，從而檢測出實時活動當中的可疑對象，并以更為出色的效果解決零日漏洞等高級威脅。