亲历了桌面终端安全管理的十年发展,看着产品及行业的发展感触良多, 需求变化演进的过程同时也代表了产品的发展,特分享如下。
干净快捷的操作系统
十年前,IT管理员或者叫网管胳膊下面夹着一个光盘包,里面有三张CD光盘。心里盘算着,单位的奔腾4 Pentium 4,主频3.0的机器和酷睿搭配512内存机器,那个做Ghost系统更快 。最近单位的电脑经常偶发性的中毒,很多时候全盘扫描费时费力,不如直接ghost恢复一下image省事,30分钟搞定还自动安装很多常用软件。众多操作系统都是裸奔在网络之上,很多瑞星杀毒,江民杀毒的客户还在使用离线升级包,能够定期升级病毒库的客户少之又少,OSD(操作系统分发功能)的需求存在,但是由于光盘Ghost更为简单,这个阶段很多管理员都是网上download下载一些自己认为好用的光盘即可。此时,XP操作系统的正版化要求还未如此严格,用户的需求也比较简单,就是通过浏览器上网,使用office软件处理文字和表格等操作。IT管理员的管理需求也相当简单,很多时候光盘维护包包就足够了。图的就是简单快捷,那就没有管理,没有安全,没有责任,没有义务,无序的IT管理大约就是这样吧。
全面资产生命周期管理
每年的员工关怀月,资产管理员会登记每台计算机的固定资产编号,IP地址和MAC地址用于资产管理。此时,服务器管理的需求开始涌现,业界也出现了很多收购和并购,服务器的资产管理需求,KVM的远程管理,各种服务器的软件资产管理需求开始出现,更多的服务器管理需求,还处于自动化部署,自动化监控,自动化安装软件,自动化补丁阶段,这个时期,终端管理的需求明显少于服务器的管理需求,和当时的配置和价格也有一定关系,服务器已经是IT的重资产,而终端在很多企业客户才刚开始进行管理。安全的需求还没有看到,刚进入准备管理的阶段,由无序到有序的,由混乱到管理的过程中。IT部门期望资产数据,能够自动化的导入到CMDB系统中,实现动态更新软硬件资产数据,配合资产维护和更新记录,序列号的变更,维保信息的自定义添加,甚至合同管理,供应商管理集成到财务系统。信息化建设都在避免孤岛效应,第一次,终端管理,面临有序化的管理需求。
软件分发及软件自动化配置
批量装机OSD online的需求非常旺盛,同时软件的个性化需求也开始呈现,Ghost光盘不够用了,各位网管或者IT管理员开始使用U盘来进行系统安装,Windows共享的方式来安装软件,批量自动化安装软件是当时的终端管理热点功能。随着宣传和企业文化建设,屏保的开发和自动更换图片来进行员工安全教育,党内宣传工作也开始火热话,更换桌面壁纸,统一设置屏保程序,已经不再是热带鱼屏保了,大部分都变成企宣和党内宣传的前沿阵地。终端管理的需求也开始偏向软件分发技术,有目标多址广播技术,P2P软件分发技术开始成为主流。软件生命周期管理的概念逐渐深入人心。SWD(软件分发)成为终端功能热点。当然,域控也蓬勃发展,脚本技术配合用户配置文件,实现软件安装,屏保更新,桌面背景更换,这些功能在各大杂志上,都很热门,销量很高的呢。
终端安全的原始需求是杀毒
2007年并不是免费杀毒软件的元年,此时杀毒软件还是一个很贵的产品,很多企业版的客户还需要付出高昂的费用。此时的终端大多配置为,DDR400内存1G,有些有安全经验的用户或者管理员会安装杀毒软件,当然经历了熊猫烧香之后,杀毒软件的普及率还是蛮高的。用户开始有了安装软件和定时更新的需求。2008年,杀毒软件开始免费啦!!! 其实杀毒软件免费也带来了安全需求的井喷,2006年的熊猫烧香病毒;2007年的木马代理,全国人民都在杀毒。2008年的机器狗,U盘等外设管理,开始进入安全人员视线;据统计,2009年发生的网络安全事件中,因未修补安全漏洞的占到79%,同比上升了24个百分点;2010年的autorun.inf文件遍地开花,大家都不敢用U盘了。用户此时需要杀毒软件,需要一个免费的杀毒软件。但是企业IT管理员需要一套系统能够统计终端的杀毒软件安装和使用情况和杀毒软件的病毒库状态,另外,如果遇到兼容性问题和售后问题,商用的杀毒软件有统一的售后技术支持,可以很好的服务于企业客户,免费的杀毒软件就只能听天由命了。2008年是奥运之年,北京的大客户IT预算增长明显,终端安全这块也逐步在提升预算和项目资金,如果猜的没错,应该是瑞星的小狮子最辉煌的几年了吧,几乎每天都能听到小狮子打呼噜的声音,在屏保时段,小狮子打呼噜,后台杀毒软件进行全盘扫描是当时的IT管理杰作或者潮流。没想到,随着互联网免费大潮的冲击,企业杀毒软件也免费了(服务费还得有,不然没技术支持)。后续几年,终端上的杀毒软件真是百花齐放百家争鸣,什么品牌的都有。IT管理员长舒一口气,好歹是都安装了杀毒软件了,应该是安全多了。其实,问题更多了,安全风险点更加分散了。IT安全方面的管理,变的更为混乱。
正版化和软件许可管理
正版化热潮在win7发布之后,热热闹闹的喊了很多年,XP时代,激活一个Windows似乎跟白菜一样简单。Win7时代,似乎大家都在关注于正版化,安全圈也趁机宣传,盗版Windows系统不安全。确实不安全吗?不安全在哪里呢?未能及时更新补丁?软件许可管理模块在2010年开始盛行,一方面企业的各种商业化软件使用越来越多,能够精确的统计软件许可使用情况成为最大需求,另一方面,大型企业都遇到了正版化的问题。如何分门别类的统计软件许可成为财务人员和IT管理人员的共同话题,另外在软件许可购买之后,是不是能够实现专人专用,价格昂贵软件的使用频次和效率方面等问题都受到关注,有些软件是基于安装数量计费的,有些软件是基于并发用户数收费的,到后面的SaaS型软件,这些不同计费类型的软件,如何高效使用,合理调拨是软件许可管理模块的重要功能点,打击盗版只是行政和法律手段,一般是项目的出发点,CMDB配置管理库的建设,似乎才是更为有效的管理手段。精准到每一个license的使用及按时回收。终端安全管理第一次上升到企业信息化建设的战略高度,第一次能够给企业带来收益和控制无效成本支出。
终端安全合规性及基线管理
服务器管理的需求也不再是简单的配置管理和变更管理,安全基线管理,统一基线管理成为主流的需求。特别是64位 操作系统逐渐开始大规模推进,在64位操作系统上的软件兼容性,包括IE浏览器的各类定制插件,严重拖累的企业软件更新的进程,很多企业的核心业务系统只能运行在XP操作系统上,只能运行在某一个IE版本下,严重拖累的IT系统的发展。补丁和自定义补丁功能,自动化安装插件,自动化配置生产环境,成为这一时期的终端管理重点功能,PCI 、SOX合规性检查是安全方面显著的需求,JAVA环境配置,Oracle环境配置基线,陆续成为服务器管理的重点功能,这个时期,自动化部署和自动化测试环境的部署成为主流需求。于是,模板管理员成为最忙碌的人。这个时候,IT的终端安全管理开始从混乱到治理,有一个显著的变化就是,企业开始在参考等保或者ISO27001等国际标准,来自己制定标准和安全基线。
终端外设管理
外设管理是安全需求的顶峰体现,U盘管理及审批审计需求,自动识别存储与非存储设备,防止非法外联,禁用无线,禁用蓝牙,这些功能都一一出现,其中国产产品(北信源)成功在外设管理占据了很高的市场份额,其中国产产品(联软)的准入解决方案在很多客户落地实施成功。涉密不上网,上网不涉密也成为一个永恒的安全主题,隔离机,双网卡,内网专用机也陆续涌现。国内终端安全管理市场也迎来了最辉煌的一段时光。外设管理以技术手段解决了一切安全问题,实施之后来看,行业特点会把信息安全管理员折腾的体无完肤。谁用谁痛苦,但是在一些安全教育比较完善和管理制度强硬的场景下,实施效果基本满足企业需求。缺点是经常蓝屏和对新型未知设备识别能力弱。
ITIL推动终端管理服务流程化
终端标准化建设,也推动了很多企业的终端硬件升级,软件许可购买(比如office办公套件,Adobe Acrobat Reader)的进程,同时也有桌面服务的项目开始出现,终端管理的服务价值开始体现,有一些客户开始购买服务,以服务的交付方式来体现终端安全管理的价值。这几年同时也是ITIL在中国高速推广发展的几年,把终端管理纳入IT服务流程,远程桌面支持,软件分发支持,甚至操作系统远程安装技术等走到前台。似乎并入IT服务流程后,配合工单系统及CMDB管理,变更管理,知识库的支持;很多IT helpdesk使用终端安全管理工具,极大的扩展了工作内容和服务能力。同工单系统进行对接和系统化是这个时期的一个特点。很多大型企业都提出了自动化运维和自动化集成的需求。一些简单场景的客户也都实现了工单系统的基础集成和联动,对于helpdesk来说,确实实现了部分的自动化。后续产生的安全审计需求此处略过。
终端数据安全及行为主动防御
到2009年,磁盘从IDE到SATA,SATA盘开始占据主流,USB接口开始变的疯狂,从2008年开始DLP市场开始了十年井喷的发展。其实安全管理员都明白疏堵相结合的道理,但是在2009年看来,采取堵的措施视乎更多一些,很多企业都在贴USB接口的封条,包括在主板上拔线等物理操作。这个时候,Windows XP已经被中国的研发人员彻底研究透彻,各种禁止USB的技术层出不穷,在那个年代,似乎大家都认为技术可以解决一切安全问题,起码是信心满满。因此,终端安全的需求终于在安全方面以DLP为出发点开始落地实施,国内的很多大型客户也在2008到2010年完成了,第一轮的信息安全建设,开始大量购买防火墙,IPS、 IDS,终端安全类产品。2015年开始了第二轮的信息安全建设,其中云计算,云安全,移动安全,开发安全,运维安全成为建设重点。从技术角度来说, 如果安全方面想要做到第一时间封堵安全漏洞或者管理外设,处理DLP和主机入侵防护功能的话,一定要hook在CPU进程中,因此蓝屏的机会就会增大很多,很多国产厂商在win7中吃亏不少,尤其在64位操作系统中,各种bug出现,导致产品稳定性直线下降。随着时间推移,技术终究解决了大部分问题。国外的产品在产品经理层面做了一些安全功能的取舍和再次设计,一直在想办法绕开这些坑。而国产软件基本就是需求为王,全部是功能的堆叠,所有做出来的小功能都舍不得丢弃和放弃,产品页面上还能看到,非法外联检测之类的老旧功能列表。同时,传统DLP的应用场景也发生了巨大的变化,数据安全也越来越重要和备受关注。加密, 加密文件,加密重要的资产,全盘加密,加密恒久远,用户体验并不友好。但是对于中小企业来说,加密的实施成本相当于DLP来说更加划算。组织架构管理更为简洁,文档及文件的分级,分秘级管理相对容易很多。
终端虚拟化后还需要终端安全管理吗?
虚拟化技术的涌现,很多人认为,有了快速的虚拟化部署工具,业界不再需要终端管理软件。桌面虚拟化和服务器虚拟化,自动化部署一个新的系统时间成本和工作量都远远优于终端管理运维成本。到2018年来看,确实是这样,但是安全和基线管理,甚至安全审计的需求,始终存在。在这个阶段,很多企业进行了标准化管理,终端的硬件配置和操作系统及软件环境配置管理,成为主要功能需求点。定期更新补丁和软件升级,自动化配置环境变量,包括标准化管理,DLP的安全管理似乎还都需要。并没有解决实际的安全问题,尤其在EDR技术下,廋终端也需要在安全事件响应流程中,配合安全事件调查,安全问题和安全事件其实并没有在虚拟化环境消失。
终端安全补丁生命周期管理
补丁生命周期管理,从2009年开始微软的补丁就成为很多客户的痛点。互联网模式的冲击下,免费的杀毒软件和自动安装补丁功能似乎解决了补丁管理的需求,其实则不然,消费类的产品通常面对的是个人客户和消费者客户。对于企业客户来说,补丁的测试和验证由谁来做,补丁是否更新由谁来决定,更为关键。保障生产系统的稳定运行,需要有一个统一的管理和领导。互联网模式下,所有软件更新和补丁都免费在第一时间给予消费客户,但是对于企业信息安全保障工作来说就是画蛇添足,这个阶段很多企业拒绝员工终端安装这些互联网产品,企业需要在安全和管理方面用自己的一套生命周期流程来保障,需要测试兼容性,稳定性来保障业务的平滑和高效。面对互联网产品的冲击,企业开始感觉到,其实免费的并不好吃。由其在安全管理领域,交给互联网来负责企业的安全管理,成为最大的风险点。
终端标准化及服务交付
2014年4月8日结束技术支持的XP操作系统,终于走到了企业操作系统的支持终点,这个时候SSD固态硬盘,已经开始普及,大量的企业制定了迁移操作系统到win7的计划和规划。在2013年甚至2012年很多企业就开展了升级win7的计划,很开心看到那些早动手的企业越来越多,因为随着IT系统的发展,终端升级到win7并不是一件很容易和简单的事情,需要多个部门的配合,甚至财务和硬件,电力系统,生产系统更新,对新操作系统的支持,对浏览器的兼容(现在企业大部分是B/S架构)。甚至有很多IT服务项目出现,IT对前端的支持服务项目的出现。大大的带动了信息安全产业的发展。IT服务及安全服务越来越受重视,托管服务项目越来越多。企业客户逐渐认可服务价值。这个阶段,可以说IT部门把终端安全管理从无序到有序,从混乱到治理。至此基本全面实现终端安全管理的需求。
终端安全检测及安全事件调查取证
威胁捕获及终端检测技术的发展,EDR技术的大量使用,又把安全需求推动起来,技术的演进路线就是这样,回头一看十年之后,还在打补丁封堵各种软件和系统的漏洞,好伤心地说。终端管理软件被人诟病的影响CPU性能的问题似乎没那么多抱怨的声音了。如何合理的使用外设,外发信息,能够从安全的角度审计到,能预警能阻断成为技术趋势。反而EDR产品能够精确定位,实时拿到数据和文件哈希值更加有效和高效定位安全问题。安全部门希望能第一时间定位安全事件发生的终端,捕获进程,拿到文件hash和日志。那么我们熟悉的工单流已经不能保障安全需求,安全应急事件管理及响应如何去做,安全调查如何取证,安全分析师需要终端管理工具迅速定位安全事件。最终利用AI工具进行实时的大数据分析,通过实时的、 友好的界面,展示来自网络的攻击并根据检测状态进行全维度的可视化显示及展示逻辑关系并利用人工智能给出情报管理关系图,提供初步的处理建议及网络知识库链接,用于辅助安全分析师尽快拿出合理的处理方法。
很多企业把终端安全管理平台或者系统划并到安全部门,信息安全或者网络安全部门,而不再单单在运维部门管理和使用产品,部门的变化和职能的增加,让终端安全更加有保障。同时,频繁的钓鱼邮件,勒索软件,木马及系统漏洞被利用,也不再牵扯运维部门的精力。运营,安全运营部门开始走向前台,终端安全也开始从防御过渡到了检测的阶段。
网络准入及上网行为代理
网络架构及准入,CASB产品应对影子系统,其实都是云计算对终端管理的冲击,2016年准入产品似乎又回到大家的视线中,可惜又是昙花一现,被CASB产品盖过风头,Broker产品更适合B/S系统和云上的影子系统。因此,国产的上网行为代理产品又看到了市场和空间。但是不可否认,准入产品只要能解决用户体验的问题,补丁和基线设计合理,隔离Vlan的安全性能够保证,在全WiFi工作环境下,还是很棒的,当然,纯内网办公的客户,准入和非法外联检测需求,长期存在,不存在合理不合理的争论, 边界防护永远不过时,不落后。在互联网企业也能看到,BeyondCorp零信任架构,所有员工终端都通过加密链路接入数据中心。终端管理和SSO单点登录的结合及平板和移动设备的认证授权。看起来很好,实际实施落地困难,三分技术,七分管理放在这里最合适,80%的人都能接受的方案才具备可行性。网络安全的价值和意义再次在新形势的安全环境下,凸显供需矛盾。
终端移动化带来新的场景和模式
进入Win 10的时代,似乎从win10从一开始就降低了对硬件的需求,但是从企业终端管理的角度来看,终端类型的丰富带来了兼容性的挑战。移动化带来的挑战,让我们的IT部门从一个企业应用商店开始变成门户,OA系统和ERP系统不再是门户。统一用户管理配合统一终端管理成为业界主流,IT成为门户,在流量为王的时代,让安全部门的压力陡增,终端管理十多年来成为舞台上最璀璨的明星。勒索软件,勒索邮件,系统漏洞,软件漏洞,提权漏洞,跨站攻击,SQL注入,这些原先非常技术的词汇,都变成了茶余饭后的常识性知识,用户体验成为了唯一检验标准。随着手机和平板参与到企业的办公环境,管理和安全就成为IT的痛点,管理需要纳入管理体系,安全需要考虑更多的技术和数据分级能力,从网络安全,认证授权到数据安全,移动设备全新的场景要求企业的更全面的安全建设和能力。
新技术发展带来新的推动力
AI成为了大家关注的热点,利用人工智能来针对终端管理的产品陆续推出,到今天为止,随着人工智能的引导,一线helpdesk陆续被机器人接管,二线安全分析师的工作大大减轻,三线高级管理员的日常非结构化数据及知识库管理自动化之后,终端管理繁重的工作量正在逐步减轻。您还在打补丁吗?对呀,还在打补丁,为啥不能自动化补丁管理,谁来保障软件和补丁的兼容性测试及安全验证。软件应用商店有多少款应用提供?软件下载很慢,CDN加速商的服务费又那么贵,终端管理的数据安全部分谁来保障?EDR技术会不会代替APT高防?蜜罐技术是不是也应该在我的企业部署?沙箱和虚拟化那个更安全?DLP搞了十年,我们如何继续下去?
终端管理的需求还会出现,毕竟终端的形态和功能都还在变化,而终端安全面临的问题也会越来越多,很多厂商都提出了新的思路和新产品的方向,有的开始以人为核心,一个帐号。这个帐户在所有支持的终端上,获取相同的权限和内容,利用云计算配合来实现无缝办公,实现数据不落地,用户任意漫游的办公场景。有的厂商开始针对在终端上发生的流量和网络数据进行行为分析,利用终端自身的性能实现安全审计和安全防护。有的厂商根据数据生命周期管理的思路,实现数据全程监管可控。在安全响应和检测技术上加大投入,应对未知的安全事件,实现安全审计和溯源,第一时间定位安全事件的发生,利用AI和大数据实现攻击的回放和关联性分析。
下一个十年,终端管理何去何从,安全事件是否还层出不穷?终端安全还将面临哪些挑战? 自动化管理实现了吗?什么时候能实现自动化安全呢?用户需求和办公场景的变化之下,那些新技术会被推出,那些厂商会在市场占据较大份额,我将拭目以待。所有的变革都将来自于对企业业务持续性的保障和功能需求,我们需要更关心企业的业务持续性,安全终究是要保障业务的持续性,服务于业务持续性。
作者:zhenglei,长期扎根在销售一线,熟悉安全体系建设,对网络和信息安全各领域产品都有深入理解和认知。拥有外企厂商及国内大型系统集成公司工作经验,较强的客户面对面沟通交流能力,拥有对用户需求和解决方案的把握能力及市场产品变化的敏感度,新兴技术产品及解决方案的嗅觉能力。接触和掌握不同公司产品技术特点。
声明:本文来自Sec-UN,版权归作者所有。文章内容仅代表作者独立观点,不代表士冗科技立场,转载目的在于传递更多信息。如有侵权,请联系 service@expshell.com。