殺毒軟體之死-RSA2018終端廠商及產品趨勢解讀

筆者有幸參加了RSA2018年大會，大會最重要的就是各種廠商的展銷會。鑒於之前大家介紹太多的創新沙盒，基於這幾天參會的體驗針對性的跟大家介紹一下參展廠商。舊金山莫斯康會議中心分為南區和北區，南區創新類公司較多，北區大廠較多。筆者三天時間都在南北區穿行瀏覽、學習詢問。

文長6200字，閱讀時間約15~20分鐘

大體上參展廠商分為三類：第一大類網路安全類，即Network Security，包括Palt Alto、Checkpoint、Juniper、Fortinet等；第二大類終端安全類，Endpoint Security，這個後面細說可以再繼續分為三小類；第三大類可以說其它，比較分散了，比如有IAM領域的Okta、Duo等，還有CASB領域的Skyhigh以及DLP類。

NSSlabs最新發布的AEP圖

筆者重點關注了終端類的安全廠商，其它類的關注較少，就關於這個領域來展開一些前方的報道和討論。Endpoint Security 終端安全領域，美國的廠商非常之多。

代表廠商

Crowdstrike跟Nsslabs扯皮的事情在這裡不做表述，這裡面來了80%的廠商進行參展。但是這種方式我覺得比較狹義，Gartner的分類方式我個人比較贊同，將Endpoint的pc領域和服務端領域的Cloud Workload分開，分別叫EDR和CWPP，詳情可見EPP魔力象限、EDR以及CWPP的市場指南。

EPP魔力象限

根據Gartner的分類方式，目前以我的理解大體把終端類的安全廠商分為三小類：第一種是專註於辦公環境的終端領域；第二種專註於伺服器領域在雲計算時代的表現就叫雲工作負載的保護；第三種就是混合的場景，既可以保護辦公環境也可以保護雲工作負載。這種分類也不是那麼絕對，有些廠商的對終端的保護就比較模糊，比如Comodo的Enpoint解決方案，基本不分pc和伺服器環境。做Endpoint比較久的廠商，比如趨勢、邁克菲、賽門鐵克等會把這兩種產品分開。專註於辦公環境或者雲工作負載領域其中之一的大部分都是初創公司，用一種新的方式來解決目前遇到的新問題。老牌大廠大部分會模糊這個界限，或者痛下決心來進行兩種產品的徹底分離。筆者不太傾向於打標籤，比如一般的研究機構按照自己的規則把相關廠商全部按照他自身的遊戲規則套進來。這種分類僅僅是為了描述上的方便和便於讀者的理解，簡單的分了三小類。下面我就從這三類根據現場見聞來解讀。

第一、EDR或者辦公領域的終端安全

這裡面是為數最多的廠商，包括老牌的邁克菲、趨勢、賽門鐵克、Sophos、卡巴斯基，還有一些把終端作為補充業務的公司，比如FireEye、Cisco、Fortinet，也有一些炙手可熱的的創業廠商，包括Crowdstrike、SentinelOne、Endgame、Cylance、Bromium等。說一些有亮點的產品，但賽門鐵克、邁克菲、趨勢沒啥可說的，還是之前的那些產品，可能要說的亮點就是展台做的不錯。

Comoco、Sophos

Sophos：看到Sophos的產品感覺用戶友好性很高，操作的地方就在定義策略的地方，然後就是Dashboard、分析結果、報告以及人員和機器維度的視圖，使用起來非常方便。所有的功能都在策略的地方體現，其他的地方都是展示。不足的地方就是產品功能比較少，跟國內環境下要求的功能數量不可同日而語，主要有威脅控制、周邊控制和應用控制等這幾個方面。

Eset：作為傳統的殺毒軟體公司，他們的終端產品也有很多自己的特色。在網路性能消耗上是遠遠低於其他的終端安全廠商。主要基於三個方面的能力，第一是雲端分析和在線更新一些特定的指紋之類，說的不用升級的意思就是把核心程序和指紋文件分離而已；第二是機器學習，這個是大家都有的了；第三是人工分析。作為傳統的AV廠商，穩定性還是比較高的。

Comodo：名叫one的產品，支持的終端種類之多直接涵蓋了移動端設備，這也是一種趨勢。老牌的終端廠商卡巴斯基、賽門鐵克、邁克菲都會有包括移動端的保護，MDM。缺點是並沒有終端和雲工作負載分開的產品，還是All In One的產品，估計之後會有拆分。

Palt Alt、Cisco AMP、Fireeye、Fortinet

Palt Alto Networks：Traps是終端產品做的最收斂的一個，展示了一些最直觀的信息。國外產品的直觀性和易用性的感覺還是很強烈的。

Cisco AMP：這是我見過用戶體驗做的非常好的產品。用郵箱的inbox來表示威脅的情況，然後用音樂的波浪圖來展示實際出問題的證據鏈，然後可以在波浪圖的警告或者告警節點點擊確認實際出現的問題證據細節。這對於實際出現威脅進行分析以及作相應的應急響應有非常好的作用。同時思科的思路在這個終端產品上看出來還是下了很大的功夫，思路跟新一代的檢測惡意軟體思路一致。

Fortinet：作為補充業務，在其NGFW裡面都有附送漏洞和基線的功能。特定的終端產品功能也絲毫沒有什麼亮點。不過該有的也都有，比如行為類的惡意文件檢測等。

FireEye：火眼的終端產品是為了補全他的Helix整體產品，同時包括網路、終端、郵件和第三方的安全。感覺是要做平台的感覺，終端這塊感覺也沒啥特點。

Crowstrike、SentinelOne

Crowdstrike：融資能力十分強悍。同時基於終端安全，提出NGAV和EDR的產品。最大的劣勢是不支持獨立部署，純粹雲端SaaS的產品，據說是基於splunk進行雲端分析的，同時也支持離線的分析。基本的思想跟之前殺毒軟體基於簽名的不同，主要是在進程創建、網路連接、用戶訪問、機器相互關係等來判斷是否是惡意軟體，可以理解為是基於分析的策略的模式。最大的特點是他自己有獨特的威脅情報，這種威脅情報可以從客戶中來到客戶中去，比如一個客戶有情況，就可以把這個情報共享，用於其它用戶，當然這是客戶自身的選擇，也可以只用於自己。筆者覺得他們不獨立部署，很大的一點就是他們的商業模式之後要走向威脅情報，這樣自己的商業壁壘會更高，同時也在全局可以保證每個客戶的安全，同時成本也較低。問到最大的區別是啥，他說是性能穩定性較高，再追問了一下怎麼做到的，回答就是代碼寫的好。

SentinelOne：這家公司基本是跟Crowdstrike杠上了，貼著Crowdstrike打。在視頻裡面說Crowdstrike不支持獨立部署，他可以支持，Crowdstrike的自動化水平沒有他高等等。其實基本思路都很像，也是基於行為特徵的方式來定位惡意軟體的。同時在勒索軟體和挖礦軟體的檢測和隔離用例非常make sense，將產品的優勢發揮的很好。主要突出了三個特點：static AI、behavioral AI和automated EDR，是個自適應架構的遞進關係，先有靜態分析的阻斷和模型，然後有根據行為分析的檢測模型，最後是自動化的響應機制。還有一點是被選為微軟合作的終端產品包括了windows和linux的產品。

Endgame：突出整合的終端安全保護能力。也是按照自適應架構為綱來展開產品的說明。在防禦方面，突出了無文件攻擊的防禦，以及說明覆蓋MITRE ATT&CK 矩陣的85%的防禦能力。重點的突出還是在EDR領域，有三個獨立的產品，Resolver解決攻擊的可視化，數據來源：文件、註冊表、用戶、進程、網路、netflow以及DNS數據；Artemis用NLP的技術做應急響應，這點上有點像tanium；Arbiter是沙箱和威脅情報的產品。整個產品的完整度較高，在每個領域都有usecase，看來整個市場的適用性還是挺高的。

Bromium、Carbon Black、Cylance、Cybereason

Bromium：這家公司最大的特點就是有Micro-vm的沙箱。產品演示一開始我以為啟了一堆虛擬機，結果是他們自身的沙箱在檢測和隔離應用，整個看起來還是比較炫酷的。問了一下用的也不是Windows Container技術，看了下技術架構是從cpu方面進行的隔離虛擬化。突出了安全產品不能解決的剩下1%的檢測能力。這家公司可能以後會被某個大廠收購，這個沙箱功能是一個十分炫酷的功能，其他的能力都是基於這個沙箱展開的。

Cylance：要說把AI說的最多的就是這家終端安全廠商。無論是防禦還是檢測和響應無不突出其AI能力，demo的演示者給我不斷科普ML，告訴我AI的好處。其實通過上面幾家企業也不難理解Cylance的做法，只不過他的樣本足夠多，演算法訓練的足夠好，所以可以在agent內部集成其訓練好的模型。確定的惡意樣本訓練出來的模型可以集成在防禦的模型中，可疑的樣本訓練出的模型集成在檢測和響應的模型中。

Cybereason：以色列的公司，產品上好像也沒有什麼跟別人家不一樣的地方。

Carbon Black：作為把白名單機制的使用的爐火純青的公司。白名單確實在伺服器環境十分適用，在cloud workload是個單獨的產品。在NGAV+EDR中，沒有什麼新鮮的說明。

第二、專註於伺服器領域，雲計算時代也就是CWPP廠商

CWPP產品功能分層

這類裡面的廠商基本有老牌的殺毒軟體廠商的解決方案。比如、趨勢、賽門鐵克和卡巴斯基好像是商量好的，雲端工作負載的產品都是叫Hybrid Cloud Solution，都是為了解決混合雲的情況。之前也看過雲計算目前使用的場景，國外的諮詢機構調研的結果都是使用混合云為主流。但是邁克菲叫做Datacenter and Cloud Defense。還有一類都是初創廠商，主要解決Cloud Workload的問題。比如Dome9、HyTrust、GuardiCore、Illumio、Amazon、Microsoft。最後兩個沒看錯，Amazon提供了一個叫Inspector的產品，對雲工作負載會做一些簡單的掃描工作，解決合規相關的問題。微軟也有Azure的安全中心，提供了一些安全功能，比如監控雲工作負載，漏洞修復，合規等一些基礎的安全功能。

趨勢、賽門鐵克、邁克菲、卡巴斯基

趨勢又是沒啥新的變化，Deep Security繼續換個花樣來說，虛擬補丁，Vmware平台下的agentless解決方案，都快會背了。

賽門鐵克說自己的這個領域的產品跟邁克菲最大的區別就是處理能力比較強，比如隔離、刪除等一系列操作。

邁克菲支持的整體雲平台還是比較全面的，AWS、Azure、GCP都可以支持，在流量方面居然是通過轉發流量串列的方式來解決，這個還是挺樸素的。

卡巴斯基的對雲的支持也是美國主流的三種，但是他的流量主要是通過VPC flow logs來解決的。但是目前受限於雲平台，只有AWS和Azure支持這種方式。

HyTrust、Illumio

Dome9：這家很早之前就有關注，當時只有一個host-based iptables的管理。現在核心突出了三家主流雲平台的agentless解決方案，就是基於者三家的雲廠商的API進行的二次開發。

HyTrust：重點的特色功能就是跨平台的數據加密能力。同時也包括密鑰管理。重點開始關注GDPR的合規需求。

Illumio：感覺被過度炒作了。微隔離從我角度理解就是一個功能，如果單獨一直說一個產品，略顯單薄。第一步做應用的依賴圖，第二步做漏洞的圖，第三步進行微隔離。

GardiCore：也是一個重點做網路可視化和微隔離的廠商。同時也有蜜罐技術支撐，現在也有支持容器的功能。

Stackrox：類似這種專註於容器的廠商也越來越多了。他跟其他廠商最大的區別就是做到了整個容器安全的生命周期安全，同時也引入了機器學習的機制來解決runtime的安全問題。今年的創新沙盒廠商，很可惜沒有最終獲獎。

混合類的就不展開說了，上述也說過類似Comodo和Crowdstrike基本就是混合的場景。但是這種模式我覺得不會長久，辦公環境和生產環境的實際場景區別還是挺大的，除了在惡意軟體這個角度有相通的地方之外，管理功能跟實際安全問題還是有很大的區別。

終端安全產品的市場及趨勢

企業安全形度來分類安全產品重要有4大類：IAM、架構安全類、網路安全類和安全服務。終端安全是屬於架構安全裡面最大的一部分，全球在每年的年複合增長率為10%左右，到2019年，全球的在這塊的安全產品的費用預計在35億美元，其中CWPP的產品在2017年預計是6億美元，而且這塊在終端產品領域增長最快，基本也是2位數的增長速度。綜上所述，趨勢如下：

一、使用機器學習的廠商越來越多。這個說法並不是市場上的語言，實際上和效果上都是可以通過產品驗證的，這個產品的思路也可以得到充分的理解。以前根據簽名的形式已經不在適用，更多的是根據進程、網路、文件等的一些行為收集和分析。

二、對容器的支持已經在路上。不是已經支持了就是基本都在產品的roadmap上。可見大家對容器本身的支持的反應是比較積極的。

三、對威脅情報強調。終端安全產品基本都在支持威脅情報，無論是從外部導入的威脅情報，還是自身產生的威脅情報，都是在應急響應的功能裡面都在使用。

四、用例的場景提到最多的就是勒索軟體和挖礦木馬。這種場景對於殺毒軟體來說是基本無解的，因為很多都是變形和唯一，簽名的情況無法解決。對於勒索軟體和挖礦木馬的行為模式基本是確定的，所以必須通過行為策略和機器學習來解決這類惡意軟體。惡意腳本和內存類病毒都是提到的一種新形態的檢測類型。

五、產品講故事能力在增強。整個產品在入侵事件上的時間序列表達，讓人覺得故事性很強，一看就能看出來整個入侵事件的來龍去脈。讓安全產品更好體現價值，讓安全分析和應急響應很容易上手。

六、終端領域變得越來約「泛」終端。終端的適用性越來越寬泛，有windows、linux、macOS的，甚至都有移動端的產品支持。

七、按照自適應架構來構造產品。講解功能模塊，大部分都是在側重在保護以及檢測和響應這三個領域，尤其在檢測和響應這塊，證明大部分廠商的方法論基本一致。

自適應安全架構

八、CWPP、EDR是常見的提出的產品形態。合久必分，分就必合，目前的狀態是大廠都會有完全的區分，比如麥克菲、賽門鐵克、趨勢、卡巴斯基等既有EDR的產品也有專門的CWPP產品。初創公司大部分是以一種形態往另外一種形態靠，比如EDR廠商會往CWPP靠，也適用於CWPP的分類，但是CWPP往EDR方面靠的比較少。

九、EDR&CWPP產品基本屬於安全的標配產品，在RSA展會參展商中占很大一部分。這些終端安全產品做的都是使用性很簡單，用戶體驗都還不錯。基本的一個思路都是設置各種策略，然後就是各種dashboard和報表的展示。

十、NGAV是各家終端廠商提出的下一代殺毒的名詞。「99%以上的惡意軟體都是有變形的能力，而且97%的惡意文件對於每個終端都是不一樣的。殺毒軟體自身不能保護組織的基礎架構以及公司的數字資產。」 來自2016 verizon數據泄露調查報告。根據目前惡意軟體的形態，基本宣告了傳統殺毒軟體的死亡。

以上文章由於內容很長不能每家國外公司都做很詳盡的分析，如有感興趣的國外安全企業，Q粉們請在留言區留言，會整理大家的問題再做詳盡的分解。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！