RSAC2016下一代终端安全成热点主流新时代

RSAC 2016: 下一代终端安全成热点 主流厂商展示重要新品

在RSAC 2016上，终端安全可谓是一大热门展示：随处可见的未来终端安全标幅、超过 130家终端安全展商，一切无不在显示，终端安全正在经历新郜林挑球调整时禁区线附近的艾哈迈德阿巴斯手球犯规的复兴由原来推崇防病毒软件的防御，转为终威胁检测和安全响应。

从预防转向检测与响应

正如RSA总裁Amit Yoran在大会演讲中所指出的，安全企业需要寻求新的途径来应对安全挑战，那就是更加重视监测和响应。他认为拦截是个失败战略。目前只有10%的安全预算用在安全检测和响应技术上，但据Gartner预计，到2020年，60%的IT安全预算将会用在安全检测和响应上。

频发的数据泄露事件说明现有安全防护手段的瓶颈。终端产品作为真相之源，在针对黑客的大战中仍是争夺的重点。但传统的防病毒技术对高级威胁防范却几乎不会发挥作用。HEAT Software在RSA上发布的数据显示，全球700位安全人士所关注的4大安全问题中，3个都与终端相关。

360企业安全集团总裁吴云坤在RSA上表示，终端依然是吸引络犯罪分子和黑客的目标。对安全厂商来说，终端上则存有关于攻击的重要威胁情报。

在过去一年，名为终端检测和响应 (EDR)的下一代终端产品成为各方争夺的新领域。Cybereason、enSilo、Hexis、SentinelOne、Tanium、Triumfant与 Ziften等新兴的下一代终端公司与老牌安全公司Intel McAfee、 Symantec、趋势科技、Palo Alto Networks以及RSA Security纷纷加入EDR领域的混战。

终端响应和检测(EDR)几乎无所不做：从检测终端上未打补丁的漏洞和可疑事件，到隔离、调查和补救漏洞，再到事件发生后，与络上其他人员共享攻击情报。Gartner 预计，到2018年，80%的终端保护平台将加入EDR相关的用户活动监测和取证功能，而2013年这一数字仅为5%。

主流厂商展示新一代终端新品

RSA大会上的下一代终端安全的厂商已经很多，值得业界关注的新一代终端厂商有下面几家。

Carbon Black

Carbon Black 是Bit9公司收购的EDR工具提供商。Carbon Black服务器可以在本地部署，也可以作为云服务来提供。终端感应器持续记录和发送所有执行的行为、文档与注册表修改、络连接至集中的管理平台进行安全分析。用于未知威胁检测的方法包括行为监测、传统基于声誉的IOC情报(Carbon Black提供)。订制的模式检测也可以帮助应对持续的新攻击。应对和隔离措施包括禁止可执行文件、络隔离、过程终止和软件升级等。

CrowdStrike

CrowdStrike公司的Falcon Host以云管理平台集成终端感应器的方式提供。云端汇集可疑终端安全事件数据，并对可疑行为进行持续分析。检测则基于多种技术，包括IOC、多个反病毒检测引擎、文档特性分析以及攻击指标行为分析。云端集中的大量数据可以进行全球趋势分析，以及快速部署新检测工具。安全措施局限于对感染终端的络隔离。人工调查的实时搜索和攻击可视化能力有限。该公司还提供全球的威胁情报服务。

360

360在RSA期间披露，其天擎终端检测与响应(EDR)系统已经开发完成，即将提供给国内用户。作为融入360威胁情报、大数据安全分析等功能的新一代终端产品，360天擎EDR产品可以实时检测用户终端的异常行为和漏洞，通过与360威胁情报对比，能够及时发现威胁，做出木马隔离和漏洞修补的安全响应。

CounterTack

CounterTack 公司的Sentinel可以持续收集终端的安全事件和苏宁云创经中国证券投资基金业协会备案后日志，汇到本地的管理服务器或者云端管理平台。检测能力包括IOC、行为及内存内二元分析等。CounterTack还提供可选的威胁情报服务，包括IOC情报和情报源。Sentinel具有一键隔离响应功能，包括络、终端和威胁隔离、流程终止和文档删除等。Sentinel不能修复注册表，但客户可以通过Sentinel API进行注册表修复。

安全专家认为，从目前市场发布的下一代终端产品看，都需要威胁情报的支撑。因此拥有丰富威胁情报的安全厂商将会在这场终端安全变革中胜出。

关注ITBear科技资讯公众号（itbear365 ），每天推送你感兴趣的科技内容。

特别提醒：本内容转载自其他媒体，目的在于传递更多信息，并不代表本赞同其观点。其原创性以及文中陈述文字和内容未经本站证实，对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺，并请自行核实相关内容。本站不承担此类作品侵权行为的直接及连带。如若本有任何内容侵犯您的权益，请及时联系我们，本站将会在24小时内处理完毕。