消费电子展五大趋势

虽然Gartner针对UES定义的范畴很广，目前也是处于萌芽阶段，但笔者更愿意认为，在UEM的落地过程中，很多企业除了运维团队期望对端点进行统一管理，安全团队还希望能够提供更多来自端点分析整合的对于身份和访问管理更深入的见解，或更好的安全运营方面的支撑。

尤其是随着零信任架构的落地，使得PC端和移动端在身份验证、环境感知、信任评估、动态授权，以及基于用户的行为分析和安全事件之间的关联性非常强，而且基于UEM统一的设备管控能力、数据采集能力是UES中必不可少的选项，同时利用移动端的强身份属性和较好的安全性，作为PC端的安全属性补充，是一个不错的选择，如通过移动端的扫码认证作为推荐的PC端身份认证的方式，或利用移动端确认的方式作为身份一致性的校验，或当PC端发生风险后，利用移动端的设备优势进行更高强度的基于生物特征的二次身份认证，以判定是否可以继续访问企业资源。

未来UES发展的价值在哪里呢?笔者觉得，如果它只是作为EPP、EDR的扩展和延伸，以及XDR的一个实践，那意义就不大了。未来UEM与UES融合后，将作为ZTNA的重要核心组件，支撑ZTNA的落地，同时成为企业安全运营中心的主要安全数据来源之一，这才是UES的最大价值。

趋势六：EDR在零信任架构下面临新的契机

Gartner从2013年提出ETDR，2015年正式命名EDR，2017年正式发布EDR市场指南，2018年Gartner将EDR从补充性功能变成端点安全的必备功能，并且每年列入端点安全的十大安全项目，其重要性不言而喻，所以Gartner预测，到2020年有80%的大型企业，25%的中型企业，以及10%的小型企业将投资部署EDR。同时CrowdStrike超高的估值也是EDR市场很好的证明。

但是跟国外EDR的快速发展不同，国内PC终端侧的EDR相比国外而言，发展较为缓慢，而且不同客户群体也有不同的表现因素，针对大型企业，主要原因有几点：

• 国内大型客户的终端管理非常复杂，任务繁重，基于员工普遍抵触在终端上做过多事情的前提下，很多都是优先从网络侧做，所以网络侧威胁检测发展较快;
• 国内很多大型客户有多张网络，其中生产、办公网一般不允许上互联网，所以大部分威胁都是从外部攻入，尤其是国内大型的攻防演习，加剧了这一问题，使得CWPP(也被称为服务器/云主机侧的EDR)得以较快发展;
• 国内外的文化差异也不同，针对端点侧单点的威胁，国内可以及时地使用行政手段强干预，进行严格管控，从影响层面来看，优先级一般。

所以基于检测类的EDR，一般都是作为企业整体安全运营协防的一部分，提供更为全面的威胁分析数据、更好的安全可见性以及处置手段。

而对于中小型企业来说，面临的高级威胁大部分情况下是勒索病毒，所以EDR更多的是以下一代杀毒或整合传统杀毒的方式存在。作为防御勒索病毒的主要产品，它跟XDR的思路是一脉相承的，基于明确的、成熟的威胁防御用例，进行开箱即用的功能和持续的安全服务。

但是这种现状有可能被现在的零信任架构改变，一方面零信任架构的实施，使得企业更加敏捷的上云，端点的去PC化，移动设备接入网络环境的多样化，和更多的个人笔记本接入，使得威胁大幅增加，非常需要EDR提供更加强大的威胁检测。另一方面，可信接入代理的大量使用，使得传统的网络访问路径被改变，要么链接加密，要么代理转发后失去源IP地址等，所以在未来基于零信任架构的安全体系中，EDR是环境感知、威胁检测(至少是核心数据源)的核心组件，而传统的网络侧检测产品的适用场景将会减少。

趋势七：从防御到检测，再到扩展检测(XDR)

Gartner在检测响应项目上的新发现指出，对于检测响应不仅仅是指终端，整个检测响应项目还包含：

• 面向日志的检测与响应技术(SIEM)
• 面向端点的检测与响应技术(EDR)
• 面向网络的检测与响应技术(NDR)
• 面向欺骗的检测与响应技术
• 面向运营的检测与响应服务(MDR)

随着这些产品和服务的成熟，从行业动态来看这些产品逐渐走向融合，如我们熟知的Elastic已经收购了著名的EDR厂商Endgame，业内做SOC、SIEM的厂商也都开始推出自己的EDR、NDR产品，通过统一的威胁检测框架(如ATT&CK)，实现在更多维度、更多位置、更加全面的检测，进而实现对威胁的自动响应和统一编排。XDR不是一个新名词，Gartner在今年将XDR列入十大安全项目顺理成章，甚至有点晚，XDR还出现在端点安全(参见图5)和安全运营(参见图6)两个技术趋势曲线，未来相当可期。

（编辑：淮南站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!