數據泄漏、加密勒索、惡意刪除，在企業數字化轉型的大趨勢之下，企業的數據安全正面臨著嚴峻挑戰。企業的數據安全應當如何防護？網絡化時代，應用態勢產生了巨大的變化，在這種情況之下安全防御手段又需要發什么樣的改變？為此，至頂網的《數字化轉型方略》以“應用態勢巨變之下的端點安全”為主題，通過一系列走訪，對各大安全廠商在端點安全方面的防護手段進行深入了解，以求尋找到一種“從天而降的掌法”從根本上去解決企業數據安全的困擾。

從天而降的掌法為什么那么厲害，因為那是降維打擊。實際上在信息安全與網絡安全上，也曾經歷過兩次降維打擊一般的技術革新。溫故而知新，下面我們不妨回顧一下這兩次安全降維打擊的效果，并展望一下，現如今又可以采用什么降維打擊的技術手段保障企業的數據安全。

信息安全時代殺毒軟件的降維打擊

作者第一次親身經歷安全防護的降維打擊，應該是2000年的4月26日。對計算機病毒有所了解的同學應該清楚，4月26日是一種叫CIH病毒的發作日期，因為CIH這個病毒不但會破壞硬盤的引導區，還會破壞主板的BIOS文件，因此在每年4月26日，防病毒廠商的技術服務部門都會接到海量被病毒破壞的主機和硬盤，需要防病毒廠商協助進行修復。巧的是作者那時候也正是一個防毒廠商的小小客服。在經歷了99年CIH的摧殘之后，2000年4月26號也是早早就做好了接待客戶的準備工作。但是不出意外的意外發生了，那年的4月26日和平常沒有什么太大的區別，和以往4月26日過節一樣的熱鬧有著天壤之別。其原因就是，這個防病毒廠商在99年推出了一個實時防護功能，可以讓病毒在進入內存后就直接進行查殺，根本不給病毒進入硬盤進行傳播的機會。于是臭名昭著的CIH病毒就這樣被降伏了。

為什么說這是降維打擊？當年CIH病毒爆發之后，不知有多少安全專家，甚至病毒作者本人，都曾想盡了辦法，但依然無法阻止病毒的泛濫，以至于每到4月26日，防病毒廠商就會像過節一樣，應接不暇的去接待那些被病毒破壞數據、破壞主板的用戶。然而，一個病毒廠商新推出的安全功能，卻讓這個縱橫肆虐的病毒就此絕跡。最主要的是，這個功能卻并非專門為這個病毒，有針對性而推出的。充分地體現了什么叫毀滅你，但和你無關。

網絡安全時代下一代防火墻的降維打擊

對病毒的降維打擊有效地制止了病毒的泛濫，但并未能阻止黑客的腳步。于是戰場又轉移到了網絡安全的方向。那個時候黑客使用的手段也十分的簡單粗暴——DDoS。只需要組織足夠多的攻擊流量，就可以將企業的網站門戶撐爆。安全廠商的應對方案也是十分的直接，用防火墻硬抗。然而防火墻的處理能力畢竟有限，黑客總有辦法組織起更大規模的僵尸網絡，使用更大的攻擊流量將這些抵抗給擊毀。這種情況直到一款劃時代的網絡安全產品，下一代防火墻的出現，才慢慢得到改善。

為什么說下一代防火墻是一款劃時代的網絡安全產品，是因為它是在應用層基于應用流量行為分析，而對網絡威脅進行判斷。換句大家都可以明白的話來講，就是下一代防火墻可以“看”到網絡中攻擊威脅的來龍去脈，并有針對性地去進行處理，這就為網絡攻擊的溯源提供了先決的技術條件。當時DDoS攻擊之所以泛濫，是因為黑客掌控著大批僵尸網絡，可以近乎零成本的實現網絡攻擊。而當網絡攻擊有跡可循，每發動一次攻擊，就會損失一批僵尸網絡，甚至連隱藏在幕后的黑客也會因此而被追蹤后，DDoS的攻擊成本就會顯著提升。

想當年作者正在一個網絡媒體做產品評測工作，正好在下一代防火墻產品出現后，就對其進行了深入的功能性分析。在發現了下一代防火墻的與眾不同之處后，開始撰寫技術分析文章，對此進行大力推廣。正好分析文章發出時，趕上了第一屆的網絡安全宣傳周的有利時機。借著這陣東風，攻擊溯源的理念也迅速獲得國內安全企業的廣泛重視。經過多年的不懈努力之后，DDoS這樣的網絡攻擊在我們國內，已經基本絕跡了。

通過這個事例我們可以了解，要想實施降維打擊，首先需要在更高的層次上對威脅進行了解，然后才可以采用無法抵抗、無所遁形的方式進行打擊。

數據安全時代端點安全如何實現降維打擊

DDoS之類的破壞性網絡攻擊，在我們國內雖然基本絕跡，但是利用系統漏洞，通過技術手段非法獲得利益的黑色產業鏈，并未就此而被斬斷。現在這支黑手現在已經伸向了企業及個人用戶的數據信息，個人用戶的信息被盜竊、被販賣，企業的核心數據被竊取、被加密、被勒索。

說實話，當第一次勒索病毒肆虐的時候，作者本來以為這是一個因未知漏洞所引發的偶然事件。可是沒有想到，隨著時間的推移，加密勒索的方式越來越隱秘，目標針對性也越來越強，勒索的成功率與破壞性也在與日俱增。考慮到當前企業都在實現數字化轉型的大趨勢，如果數據安全得不到很好的保障，勢必會對數字化轉型企業造成重大影響。于是開始更進一步地對企業數據安全應當如何防護進行了解。

仔細一看，問題確實不小，如今無論是在PC端、移動端以及服務器端，應用再也不是一個個獨立程序，而是以網絡為渠道與其他應用互聯互通所構成的一個整體。這就導致應用程序的使用態勢發生了巨大變化。以往針對病毒查殺的殺毒軟件，很難分辨遠程連接是正常網絡接入，還是利用漏洞的惡意行為，而具備應用識別能力的下一代防火墻又離端點太遠，對滲透到內網的網絡威脅難以察覺。

對于系統的漏洞威脅，當前的主流安全對策是深挖，通過安全對抗的方式對系統漏洞進行深入挖掘，從而不讓黑客有可乘之機。雖然成果顯著，但是投入巨大、對專業性要求過高，一般企業難以承受。這與實時監控技術出現之前的進行被動病毒防御的場景非常相似，區別是殺互軟件應對的是不停變換的病毒變種，如今應對的是層出不窮的安全漏洞。

于是作者開始設想，為什么不能在端點上再做點文章，將網絡應用行為分析能力與殺毒軟件的實時防御功能進行一下融合？當年的防御病毒的實時監控之所以成功，是因為病毒在進入內存之前，可以采用加密、變種等多種方式躲避防毒軟件的查殺，但進入內存之后，就要開始其傳播、破壞等病毒行為，其病毒行為無法再次隱藏，否則就會失去了病毒應有的能力。因此在內存進行監控，可以有效的對病毒進行發現，并及時處理。而黑客利用漏洞攻入端點也是同樣的道理，在攻入端點之前，在網絡上看到的只是正常的網絡連接，但黑客在進入端點之后，必然也會進行一系列的黑客行為，而這些行為在端點上，也是可以通過技術手段進行察覺到的。比如，在端點上也同樣實現網絡應用行為實時監控，只要可以對黑客行為進行準確監控，防止惡意攻擊與破壞就是水到渠成的一件事情了。要知道防止自行車丟失的，并不是多么堅固的車鎖，而是城市里無處不在的攝像頭。對于企業數據安全的防護，也應該是同樣的道理。

但是通過增強端點安全進行防護的方式，在技術上是否可行？是否會獲得安全廠商的認可？帶著這些疑問至頂網發起了以“應用態勢巨變之下的端點安全”為主題的技術訪談活動。

安全企業端點安全面面觀

在本次訪談活動中，至頂網從端點安全威脅、面臨技術挑戰、端點安全解決方案這三個方向，與多個國內外的安全廠商進行了探討。

在這次訪談活動中，我們發現無論國內還是國外的受訪安全廠商，均已充分認識到由端點安全而引發的目前一系列安全問題，尤其是云計算技術出現后，對于端點安全帶來的全新技術挑戰，并且也在積極提供相關解決方案。但相對而言，國內安全廠商在端點安全上的步子可能稍小一些，而受訪的國外安全廠商，無論在產品的成熟性還是在解決方案的周全程度上，都具備著很多值得我們去進行學習的優點。現在至頂網也已經將幾個廠商的訪談內容一一整理完畢并進行發布。大家可以從這些文章中，對這些安全廠商的威脅洞察能力、技術解決方案進行直觀的了解。

在此我們也衷心希望，未來可以有一種輕量級、具備云端及多種操作系統適用性的、可基于端點網絡應用行為分析的安全產品出現，從而可以在更高的維度，為端點安全提供更好的防護能力，利用這種降維打擊的方式，對進入用戶端點的惡意行為進行識別，以便于更好地斬斷黑色產業伸向企業數據的罪惡黑手，令企業數字化轉型的目標可以順利實現。