01
—
飞机+坦克 = 飞机坦克 ?
在第一次世界大战中,人类新发明的作战飞机和坦克被投入战争使用,取得了很大的作战效果。上世纪 30 年代后期,面临新的战争威胁的苏联不得不加紧研制各种新式武器装备。他们开始试着给坦克装上翅膀,想要融合坦克对地和飞机对空的优点,打造出无敌的作战武器。
不要觉得这是天方夜谭,因为他们还真的做出来了第一代飞机坦克,还成功的飞上了天。然而其代价却是牺牲了飞机原本的便捷和稳定性、丢失了坦克厚重的护甲和火力,两个产品合体的结果非但没有强化和发挥两者原本的优势,而是相反地予以一一抛弃,仅仅得到了一个无知大众欢呼雀跃的新高科技。
“飞行坦克”项目在首次试飞后不久被秘密取消。
02
—
终端一体化的前身, EPP
终端安全防护平台,Endpoint Protection Platform (EPP), 是一种集成的安全解决方案,旨在保护计算机端点(例如台式机、笔记本电脑、服务器和移动设备)免受恶意软件、网络攻击和其他安全威胁。EPP 解决方案通常包括这些:防病毒和反恶意软件,防火墙,入侵防护,应用程序控制,终端响应和修复(EDR),数据加密等等。Gartner defines an endpoint protection platform (EPP) as security software designed to protect managed endpoints — including desktop PCs, laptop PCs, mobile devices and, in some cases, server endpoints against known and unknown malicious attacks.
能集成多种终端安全能力 基于云端控制(SaaS 化),可以利用全球化的威胁情报
—
国外的 EPP vs 国内的一体化
杀毒软件、IPS、EDR、加密,类似这类工具在企业员工面前并无存在感,他们的作用属于前者,防入侵。
VPN、桌管软件、DLP、SOC,这类工具需要频繁的和企业员工交互,没有他们甚至都没有办法工作,比如访问不了企业内网系统、下载不了办公软件、用不了第三方软件(网盘、QQ、微信)、程序员发布不了自己有漏洞的代码。他们叫做以安全的名义,在辅助办公。
—
国产终端一体化的先行者
在网安的江湖里放眼望去,如今已是遍地的终端一体化产品。但大家都知道,传统的网络安全厂商几乎从不承担开创者的角色,而只是跟随、复制和内卷。创新,大多出自于科技互联网企业或相应的离职创业团队。终端一体化亦不例外,如果没记错的话第一个成型且对外商业化的终端一体化产品来自于腾讯,大致在 2017 年左右,名字叫做 iOA。同一时期另一个一体化产品,是 BAT 里的阿里巴巴,产品名字叫做 OneAgent,没错这个名字正是作者命名的,我是这个产品的设计者。
所有的终端一体化产品,给自己树立的正义之旗都是“终端安全软件太多了,拖垮了设备,增加了 IT 负担,要减负,融合成一个端”。当时我的出发点也是如此,但我们不得不承认的一个事实是,虽然是从一个安全软件的角度出发,我们却从不承诺,做一体化能提升安全本身,因为它纵然有诸多好处,但真的安全本身的收益微不足道,至多升了安全运营人员的工作幸福感。甚至如作者所见,在大多数急功近利的安全团队努力打造终端一体化的背景下,企业安全反而因此被削弱了。
05
—
终端一体化,简化了 IT
个人要在自己电脑里安装软件,是一件极其简单且自由的事情,但于一个企业来讲,这变成 IT 团队的责任,且并非易事,有时候甚至比登天还难。想象一下一个医院机构的 IT 人员,想要这内部电脑里批量安装电脑软件,得多困难。怎么去跟老中医和护士宣导,怎么解决配置极差的老旧电脑,想想都头疼。
对于企业的 IT 团队来讲,少维护一个企业用软件,就是莫大的福祉,更何况是老容易造成卡顿、蓝屏、以及被员工责骂偷窥隐私的各种安全软件。
几个安全软件变成了一个,就极大减少软件版本维护、安装失败排查、版本碎片化问题、员工要求公布数据采集范围的投诉等等难题。IT 管理获得极大的简化和减负。甚至可以借此机会,把这些安全软件的日常维护都推给安全团队,彻底甩掉包袱,何乐而不为。
IT 管理工作确确实实被简化了,但在员工的视角,终端卡顿这样的切实感受并不会被改善,如果不卡了,只能证明原本安全软件该做的事偷懒了,怎么理解?
DLP、EDR、VPN、桌管,虽然都是运行在终端电脑桌面的软件,虽然都是安全软件,但各自的实现机制、运行机理、运作目标,都不一样。各自要发挥作用,原本该做的事情一个都少不了,并不会因为从一个 exe 变成了另一个综合体 exe 里的子进程(或子线程)就不用采集自己的数据、不用去识别风险和做阻断动作了。因为几个 exe 的合并而带来的某些公共组件的复用(如升级通道、数据上报通道、配置下发通道),本来就不是终端软件真正消耗设备 CPU 的部份。因此,如果一体化的客户端占用的内存和 CPU 显著变少了,基本就是 DLP、EDR 或者杀毒软件的能力全部或部分被弱化了,结果就是,IT 管理简化了,安全弱化了。
06
—
终端一体化,迎合了甲方采购
花最少的预算,买最多的服务,这是每个企业采购部门人员的人生哲理。一分价钱一分货,老祖宗留下的训教只适用于真正掏钱的个人,并不适用于企业和团体。后疫情时代的减本增效共识,更是加剧了这样的理念,而终端一体化的产品,更是让甲方企业采购部门动心不已。
终于可以只花一份钱,换来多个产品了,尤其还是国内乙方的白菜价产品。买一份国产终端一体化产品的开销,还比不上当初买的一份 MAfee 加密软件,或者一个赛门铁克的杀毒软件来得贵,何乐而不为。真正的同时降了本,又增了效。
07
—
没有一家厂商,能同时做好 DLP、EDR、杀毒
国内当前的终端一体化产品,无论是甲方自研,还是乙方供应,大多还是处于应用工程化的整合水平,终端 EXE 进程的合并,当然了我们可以对外把这归于发展的初级阶段。但搞技术的、干安全的,我们还是要如实承认,DLP、EDR、杀毒,甚至是 VPN,对技术、安全经验的要求都完全不一样。没有一个人,一个团队能同时具备这些能力、视野和经验。由同一个厂商,半年到一年打造出来的一体化产品,如何说服自己其达到了安全的标准。
这也是为什么我在上面的 EPP 章节里,特意标注出来“解决方案”这样的字眼。因为老外们也能清晰的认识并承认这一点,一体化的道路和愿景没有错,但实操的方式并不是全凭自己从头做一个,而是想办法打通各个优秀的安全单品,发挥各家的优势,形成一股真正的力量。重点在于整合,而不是闷头重建!
08
—
机会在云端,而不是终端
EPP 的背后有个统一的云端控制台,这背后代表的是基于安全终端软件的数据输入、结合各类情报数据的整合,从而支撑起的云端大数据关联、AI 学习和模型分析。这才是终端一体化最终能带来的真正价值,也是作者自己作为第一代终端一体化建设者真正感受到的收益所在。回头来看,要达到这样的效果,其实并不需要终端安全软件合一,依然分散几个安全软件也无妨。站在纯安全团队的视角,常见的终端一体化项目,往往让安全团队花费了大量的时间在终端合一的工程化开发上,安全反而被丢了。
往期回顾:
如有侵权请联系:admin#unsafe.sh