我这里说的终端安全产品,指的是杀毒软件,防火墙,hips,透明加解密系统,内核加固,影子和还原系统,企业级的终端安全保护软件等。
杀毒软件这几年的变化,主要体现在,在原来单纯基于特征码检测的基础上,加入了主动防御了新措施。主动防御的概念是很好的,在客观上也是有实际需求的。更重要的是,主动防御的出现,的确在很大程度上对Trojan,rootkit,virus等malware 起到了防范和阻止的作用。突破主动防御成为malware开发者们最头疼,也是最优先考虑的问题。但是主动防御也有其负面的影响,最近一两年来几乎所有的杀毒软件都或多或少的出现“误杀”事件。出现误杀,多数情况下是由主动防御模块造成的。因为现在软件发展的趋势是软件越来越庞大,越来越复杂。在安全领域,攻与防的双方往往使用同样或相似的技术,所以在行为上,melware和anti-melware软件很难被精确区分。如果想保证不漏杀和避免误杀,那么主动防御的引擎要足够智能。但是显然在目前这还是一个问题。杀毒软件的另一个变化就是开始提供更多辅助功能。比如瑞星推出了卡卡,金山推出了清理专家。其它杀毒厂商,多数在提供杀毒软件的同时都另外推出了所谓防御malware的工具。这些工具,一般用来管理ie, 打补丁,删除顽固文件,rootkit高级扫描等。基于木桶原理,推出这类工具也是有必要的。但是,不管安全形势和安全技术如何发展变化,基于特征码的精确匹配来识别malware仍然是最可靠的方法。可以预见,即便在将来主动防御成为杀毒软件的主要防御部分之后,特征码扫描依然会是重要的组成部分,而且也会是杀毒软件区别和优胜于单纯的HIPS系统的重要部分。依据平台为王的规则,杀毒软件依然会是终端上最主要的防御手段,而且要想保证完备的防御,杀毒软件是无可取代的。所以,杀毒软件将来还会占据终端安全市场的主要部分。由于杀毒软件技术含量相对较高,开发维护成本也很高,而且现有杀毒软件经过多年积累,在技术和用户群上都基本稳定下来。所以新手要想在杀毒软件领域有所作为很难很难。
防火墙,最早就是单纯的包过滤。但是安全发展到今天,单纯的包过滤已经没有任何价值了。因为单纯从网络封包中分析ip,端口,甚至进程信息已经远远不能判断这是否是恶意的网络行为。所以目前的防火墙都加入了hips的功能。这方面走的最早的是za。za 早就不是一个当初的封包过滤软件了。当前的防火墙,网络过滤只是一个基础性的功能模块,业务的核心已经转换到恶意行为的识别上来。简单的说,单纯的网络过滤防火墙已经完成了他的历史使命,并开始退出历史舞台。当前的防火墙基本可以被看做为hips。所以,防火墙的前景和hips的前景在大方向上是一致的。预计防火墙将会继续向hips靠拢。
HIPS,我的理解就是做的更专业,更完备的主动防御。通过分析大量攻击事件的方式方法。对系统的文件,进程,网络等做全套的监控。从监控到的信息中,分析这是否是一个恶意的行为。专业的hips 因为先入为主的对系统资源进行了监控,所以malware 一般比较难完全无声无息的运行起来。但是hips面临一个难题:如果将任何可能造成系统不安全的行为都报警的话,那用户每天都会看到无数个报警框。如果hips自己试图分析判断是否为恶意行为的话,那么hips就必须解决不漏报和不频繁报的问题。这个问题是很难完美解决的。hips 目前可以作为杀毒软件的一个重要补充,为系统提供更可靠的保护。但是,hips 软件目前做的事情,如果杀毒软件愿意的话杀毒软件完全可以自己来做。比如卡巴斯基,他的主动防御已经足够强大和足够智能了。新出来的卡巴8更号称开始提供全功能的保护。这就是说hips 的生存空间将越来越小。因为
hips的地位只能是杀毒软件的一个补充,需要深入,细心的挖掘杀毒软件尚未解决部分的用户需求,做小做精才是出路。另外一个问题是,该类产品多数为免费软件,而且成品有很多,所以hips没有市场前景。
透明加解密的问题有很多。从解决方案的角度说,透明加解密在文件实际存盘的时候是已经被加密过的。但是当被读取到内存中之后还是明文的。这就是说,即便装有透明加解密系统的机器,一旦被入侵进来,rootkit之类的软件还是可以轻易读取到明文的数据。一些透明加解密系统提供针对进程的有选择的透明,并只提供白名单。但是这样还是存在许多问题。比如需要防止白名单进程被注入代码,防止白名单进程成为傀儡进程等。而且,基于fsd过滤驱动的透明加解密系统目前还存在各种各样技术实现上的问题,让人遗憾。基于虚拟卷过滤驱动的加解密系统,实用性则更有限了。因为一旦虚拟卷被加载起来,那么不管
谁都可以读取明文数据,更没有加密一样。最理想的加密系统,应该只在显示器上是明文的,其余任何地方都是密文。透明加解密,防水墙,防泄密系统之类软件,存在着客观的市场需求。但是产品本身在解决需求上还有不少距离。当然了,防泄密本来就不单是技术问题。因为市场需求的存在,所以此类产品还是有一定前景的。
内核加固,这样的产品其实用户根本就不认可。而且,多数内核加固产品是部署在server上的。不说了。
影子和还原系统早就面世了。以前大多安装在网吧的机器上。这两年此类产品又开始活跃起来,而且开始用于一般的终端机器。目前,还原系统宣传自己的卖点是,各种melware成几何级数增长,杀毒软件的响应太滞后。而还原系统则无视任何melware,重启机器后一切清净。但是,一般用户必然希望自己的一部分数据可以有选择的在重启机器后被保留下来。不然,重启机器后melware没了,有用的数据也没了。所以,针对一般终端用户,还原系统开始提供有选择的“被穿透”功能。用户想保存数据就可以保存。此类软件确实可以在一定程度上解决被melware侵害的问题。但是技术实现和被用户认可需要一段时间。形成终端用户市场也需要一段时间,值得期待。
企业级的终端安全保护软件。这是一个平台类的产品。此类产品可做的功能有很多,一般是,提供行政上的IT 管理手段,网络维护功能,终端机器的保护功能。由于企业用户环境的多样性,需求比较杂乱。此类产品一般各有特色,没有统一的标准,因此也很难评论优劣。此类产品的优势在于可以提供企业内部统一的策略和集中的管理。此类产品面临的突出的问题在于,平台类的产品更关注如何整合多种功能模块,但是在单个功能方面可能缺乏竞争力。此类产品有巨大的整合能力,这也是它作为一个平台所具有的优势。但是,因为终端环境的复杂性和安全软件开发难度的增加,不建议此类产品往大而全的方向发展。应该控制规模,选取重点发展方向,有选择性的整合。企业级终端安全存在一定的市场需求,和前面说到的加解密,防泄密产品类似,需要自身发展,更好的满足需求,值得期待。
分享到:
相关推荐
华为物联网终端安全技术规范是华为技术有限公司发布的一份物联网终端安全技术规范文档,该文档旨在为物联网终端设备提供一份安全技术规范指南,帮助设备制造商和开发者更好地理解和实现物联网终端安全技术要求。...
奇安信天擎终端安全管理系统管理员手册 奇安信天擎终端安全管理系统管理员手册是一份详细的管理员手册,旨在帮助管理员快速了解奇安信天擎终端安全管理系统的各个方面,包括产品简介、主要功能、典型部署场景、典型...
《中软统一终端安全管理系统详解》 中软统一终端安全管理系统(UEM)是一款创新性的内网安全管理解决方案,旨在提升企业网络安全水平,强化终端安全,确保内部信息的完整性和保密性。该系统融合了多种安全功能,实现...
《计算机终端安全管理办法》是为保护内网的计算机系统、网络和终端安全,确保各信息系统稳定运行而制定的规范性文件。本办法适用于系统管理员、网络管理员以及所有使用内网资源的人员。以下是对该办法中涉及的主要...
360天擎终端安全管理系统V6.0-R6管理员手册 天擎终端安全管理系统是面向政府、企业、金融、军队、医疗、教育、制造业等大型企事业单位推出的集防病毒与终端安全管控于一体的解决方案。天擎终端安全管理系统,以...
深信服终端安全管理系统 EDR 用户手册 本资源摘要信息将对深信服终端安全管理系统 EDR 用户手册进行详细的知识点总结,涵盖该手册的标题、描述、标签、部分内容等方面。 标题:深信服终端安全管理系统 EDR 用户...
通软终端安全管理系统V6是一款专门针对企业网络环境设计的安全管理软件,旨在提供全面的终端安全防护,包括但不限于病毒查杀、系统加固、补丁管理、应用控制、网络访问监控等功能。这款系统的卸载过程与普通软件有所...
终端安全策略强制系统SPES(Secure Policy Enforcement System)是一个专门设计用于增强计算机终端安全性的解决方案。这个系统的主要目标是确保用户在使用终端时遵循预定义的安全策略,从而降低潜在的安全风险,防止...
智量终端安全是一款功能强大的电脑系统保护软件,软件是基于人工智能开发的所以又可以称为智量人工智能终端安全,软件的支持支持常见的EXE格式,智量还能防御64位病毒,OFFICE宏病毒,PDF恶意文件,RTF漏洞文档等,...
终端安全、终端安全(中文)
奇安信天擎终端安全管理系统V10.2.0.1200作为一款由奇安信集团研发的专业安全解决方案,专为企业级用户设计,提供全面的终端安全管理服务,成为企业网络安全防护的坚强堡垒。 作为一款成熟的产品,奇安信天擎V10.2....
《等级保护2.0第三级终端安全:终端安全管理系统详解》 随着信息技术的快速发展,网络安全问题日益凸显,尤其是在互联网环境中,终端安全成为了保障信息安全的重要环节。等级保护2.0标准提出了针对不同级别系统的...
【华为终端安全管理解决方案】 华为终端安全管理解决方案是针对企业内网终端安全的一项综合策略,旨在保护企业内部网络免受各种安全威胁,确保业务连续性和数据完整性。这个方案融合了华为在网络安全领域的专业技术...
为此,360公司研发了新一代的360终端安全管理系统,作为一款基于360安全大脑的创新企业级安全解决方案,该系统旨在为企业和政府机构提供全方位的终端安全保障。 360终端安全管理系统的核心优势在于其构建了一个智能...
终端安全模块(TESAM)手册知识点概览: 1. TESAM概述 TESAM是Terminal Embedded Secure Access Module的缩写,即终端嵌入式安全控制模块。该模块用于安装在集中器和采集终端等智能数据采集终端设备中,作为设备的...
华为作为全球领先的信息与通信技术(ICT)解决方案提供商,其推出的终端安全管理解决方案,为企业提供了一套立体的内网安全防护体系,旨在保护企业的信息资产不受侵害。 首先,我们必须认识到终端在企业内网安全中...