終端安全：永恒且激烈的安全戰(zhàn)場

在網(wǎng)絡(luò)和信息安全這一命題里，人往往是最為薄弱的環(huán)節(jié)，人使用的終端自然就成了攻防對抗中的“兵家必爭之地”。終端安全是網(wǎng)絡(luò)安全領(lǐng)域最激烈、最持久的戰(zhàn)場之一，處于“人”這個關(guān)鍵因素和“數(shù)據(jù)”這個核心內(nèi)容的交匯點。圍繞這一戰(zhàn)場，安全產(chǎn)品不斷迭代更新，催生了從基礎(chǔ)殺毒到高級EDR/XDR、從漏洞管理到零信任的龐大技術(shù)、產(chǎn)品體系。

終端安全建設(shè)為何如此重要？主要包含以下幾點原因：

攻擊的起點

一旦終端被攻陷，攻擊者就能以此為跳板進行橫向移動（感染內(nèi)網(wǎng)其他設(shè)備）、提權(quán)、竊取數(shù)據(jù)、部署勒索軟件、建立持久化訪問通道。

數(shù)據(jù)的終點

敏感數(shù)據(jù)（文件、憑證、郵件等）最終在終端上被創(chuàng)建、訪問、存儲和處理。

用戶行為的載體

用戶的所有操作都在終端上進行，極易成為執(zhí)行惡意操作（如點擊惡意鏈接、運行惡意附件）或成為社會工程學(xué)攻擊目標的載體。

攻擊面巨大且分散

大多數(shù)組織中的終端數(shù)量龐大，類型多樣（含PC、筆記本、服務(wù)器、手機、平板等），地理位置分散（遠程辦公場景），因而管理難度極高。

安全邊界模糊

云計算、移動辦公等的出現(xiàn)讓傳統(tǒng)的網(wǎng)絡(luò)邊界逐漸消失，終端本身便成為了新的、動態(tài)的安全邊界。

那么，終端又為何總被攻擊者緊盯？

屬于高價值目標，攻擊者可以通過終端直接獲取用戶憑證、敏感文件、訪問權(quán)限等。

成功率高，利用人的弱點和終端軟件的漏洞（如未打補丁的操作系統(tǒng)、應(yīng)用）容易攻擊成功。

具備持久性和隱蔽性，攻擊者在終端上植入惡意軟件可以長期潛伏，竊取信息或等待指令。

是橫向移動的基礎(chǔ)，被攻陷的終端往往是攻擊者深入組織內(nèi)部網(wǎng)絡(luò)的理想跳板。

困頓之局：終端安全的建設(shè)痛點

在終端安全建設(shè)中，很多用戶往往覺得“裝了一堆軟件還是不安心”，綜合用戶的問題和疑慮，并與一位金融行業(yè)用戶的安全負責(zé)人展開了深入交流，我們發(fā)現(xiàn)用戶在做終端安全時，正面臨著四大亟待解決的痛點：

釣魚攻擊手法迭代快，愈發(fā)防不勝防

釣魚攻擊已成為實戰(zhàn)攻防中最常用的手段，其手法愈發(fā)隱蔽、迭代極快。釣魚本質(zhì)上是利用人性弱點的社會工程學(xué)攻擊，攻擊者通過誘導(dǎo)受害者執(zhí)行危險操作來突破防線。

“我們前段時間內(nèi)部組織了一個月的高強度攻防演練，攻擊隊的最終突破口，無一例外都是通過釣魚獲取用戶終端權(quán)限，他們甚至采用了多人配合角色扮演的方式來對我們分支營業(yè)部的員工進行釣魚。”這位金融行業(yè)用戶的安全負責(zé)人坦言。在復(fù)雜的網(wǎng)絡(luò)環(huán)境中，釣魚與社工攻擊難以完全杜絕，一旦終端或身份失陷，后果難以管控。

攻擊者繞過技術(shù)升級，攻防資源差距懸殊

AI技術(shù)加持下，攻擊者繞過技術(shù)不斷升級。但企業(yè)的安全建設(shè)在人員、資金、專注度上，根本無法與技術(shù)成熟、組織嚴密的APT攻擊團伙、黑灰產(chǎn)勢力等抗衡。實戰(zhàn)中，攻擊者會投入大量精力研究如何突破層層防御（如釣魚、定向繞過殺軟），往往防不勝防。

這位安全負責(zé)人深有感受：“經(jīng)常打攻防的人都知道，攻擊隊的木馬一定會拿主流的殺軟、EDR測試一遍才使用，而木馬一旦在內(nèi)網(wǎng)終端獲取權(quán)限，橫向擴散幾乎無法控制，內(nèi)網(wǎng)必然會被打穿。”

傳統(tǒng)隔離方案難以平衡成本與體驗

傳統(tǒng)的安全隔離方案大多采用雙終端、雙BYOD/CYOD（雙桌面）等模式，不僅成本高、管控難，更嚴重影響用戶體驗。

“作為安全部門，我們不能忽視員工使用的便利性 —— 比如訪問互聯(lián)網(wǎng)時要頻繁切換終端，體驗太差了。我們追求的是讓不懂安全的員工也能 “順滑” 完成安全辦公操作。”該安全負責(zé)人表示。

如何平衡安全性與使用體驗，是很多用戶在安全建設(shè)中都要考慮的一個共性問題。

產(chǎn)品堆疊導(dǎo)致終端性能消耗巨大

為保證終端安全，很多用戶都會選擇同時開啟多種安全軟件（殺毒、EDR、DLP、桌面管理等）。然而，將這些“重量級”安全工具同時部署在一臺終端上，會導(dǎo)致各自的運作競爭有限的系統(tǒng)資源（CPU、內(nèi)存、磁盤I/O、網(wǎng)絡(luò)帶寬等）。

這種資源消耗的直接表現(xiàn)就是：員工在進行日常辦公操作（如打開文檔、啟動程序、保存文件、網(wǎng)頁瀏覽）時，會明顯感受到系統(tǒng)響應(yīng)變慢、操作卡頓、甚至程序無響應(yīng)，這不僅影響了工作效率，也極大損害了員工對IT環(huán)境的滿意度。

破局之道：以非對抗、原生安全防御理念守住終端安全底線

當安全體系陷入與木馬“貓捉老鼠式”的對抗泥潭，當終端上部署的層層安全防護被APT組織繞過，該如何守住終端安全的“最后一道防線”？

“我們嘗試過很多方案，都沒能徹底解決問題。結(jié)合種種探索研究我意識到，以進程級沙箱隔離為底線機制，將攻擊者逼到必須突破沙箱網(wǎng)絡(luò)隔離的單一場景下，再輔以輕量化、簡單化的EDR、DLP等手段重塑終端安全體系，或許是當前技術(shù)條件下，防御釣魚勒索、保障數(shù)據(jù)安全的終極解決方案。”該安全負責(zé)人表示。

這一思路與深信服零信任上網(wǎng)沙箱方案不謀而合，于是雙方迅速達成合作。

零信任上網(wǎng)沙箱方案以“上網(wǎng)安全”為核心能力，為終端訪問互聯(lián)網(wǎng)構(gòu)建一個安全隔離的環(huán)境 —— 能夠?qū)崿F(xiàn)限制程序隨意運行（如僅允許指定程序訪問互聯(lián)網(wǎng)）、隔離沙箱內(nèi)外的數(shù)據(jù)與網(wǎng)絡(luò)，從根源上阻斷釣魚遠控、病毒入侵與泄密風(fēng)險，同時可與AC產(chǎn)品聯(lián)動，實現(xiàn)用戶認證、上網(wǎng)管控一體化。

深信服零信任上網(wǎng)沙箱方案

這道“沙箱防線”是如何守護用戶終端安全的？

沙箱內(nèi)外網(wǎng)絡(luò)隔離：攻擊者無法觸及本地網(wǎng)絡(luò)

通過在終端創(chuàng)建與本地環(huán)境隔離的“安全上網(wǎng)空間”：本地桌面與上網(wǎng)空間網(wǎng)絡(luò)是邏輯隔離的，上網(wǎng)空間無法訪問本地網(wǎng)絡(luò)。該空間內(nèi)運行的軟件（應(yīng)用）還具備SSL加密通信、落地文件加密、網(wǎng)絡(luò)隔離、剪切板控制、外設(shè)管控、程序管控、文件外發(fā)管控、屏幕水印等全方位數(shù)據(jù)保護功能。

即便對抗類安全產(chǎn)品被繞過，上網(wǎng)沙箱也能切斷攻擊通路，讓攻擊者無法觸及核心網(wǎng)絡(luò)—— 這就是“最后一道防線” 的核心價值。

上網(wǎng)沙箱用戶使用界面

底層邏輯：從根源切斷C2與木馬的致命連接

用戶所有互聯(lián)網(wǎng)訪問操作均被嚴格限制在沙箱內(nèi)，并配合進程白名單（僅允許運行主流合規(guī)軟件）。這從根本上切斷了“連接C2”與“運行木馬”的致命連接：

能連C2，無法運行木馬：沙箱內(nèi)應(yīng)用雖可聯(lián)網(wǎng)（可能連上C2），但受白名單限制，遠控木馬無法在沙箱內(nèi)執(zhí)行。

能運行木馬，無法連C2：個人桌面默認不允許訪問互聯(lián)網(wǎng)，即使惡意程序僥幸在本地桌面運行，也會因網(wǎng)絡(luò)隔離無法連接C2服務(wù)器。

從根源切斷C2與木馬的致命連接

兼顧成本與體驗：低成本、好管理、易操作

與傳統(tǒng)雙終端、雙BYOD/CYOD（雙桌面）方案相比，深信服零信任上網(wǎng)沙箱方案有幾個顯著優(yōu)勢：

低成本，易部署：直接利用用戶終端現(xiàn)有的硬件資源，業(yè)務(wù)數(shù)據(jù)隔離加密存儲于本地，用戶側(cè)部署僅需安裝客戶端軟件，無需額外操作系統(tǒng)，開箱即用。

管理便捷高效：安全團隊可以預(yù)設(shè)不同的網(wǎng)絡(luò)環(huán)境，每個網(wǎng)絡(luò)環(huán)境可以基于應(yīng)用、目標地址、人員組織等靈活設(shè)置網(wǎng)絡(luò)訪問權(quán)限，員工在終端可以一鍵切換網(wǎng)絡(luò)環(huán)境，滿足不同的辦公訴求，提升辦公效率。

用戶體驗感好：在員工使用終端的過程中，可以通過本地空間的進程白名單能力不改變其原有業(yè)務(wù)操作習(xí)慣，或者在訪問互聯(lián)網(wǎng)時，通過鏈接或程序自適應(yīng)提示即可自動拉起上網(wǎng)空間，操作簡單，讓“小白用戶也能輕松使用”。

“通過沙箱預(yù)設(shè)終端網(wǎng)絡(luò)環(huán)境的功能是個很大的亮點，很實用。我們根據(jù)公司實際需求設(shè)置了多種網(wǎng)絡(luò)環(huán)境模式，并根據(jù)使用需求分配給不同的用戶和終端，用戶可以在這些網(wǎng)絡(luò)環(huán)境中隨時靈活切換。目前使用體驗比之前好很多，功能性和便捷性都十分契合我們的需求。” 該安全負責(zé)人表示。

金融行業(yè)用戶之聲：讓紅隊的186個木馬全部失效了

金融行業(yè)歷來是網(wǎng)絡(luò)攻擊者的 “必爭之地”，其安全建設(shè)標準本就嚴苛，基礎(chǔ)防護體系也是各行業(yè)中最為完善的。但隨著協(xié)同辦公軟件的普及，以及關(guān)鍵人員工作中越來越多的互聯(lián)網(wǎng)訪問需求，內(nèi)網(wǎng)終端開放互聯(lián)網(wǎng)權(quán)限已成常態(tài)，這就導(dǎo)致終端面臨的釣魚、遠控、中毒及數(shù)據(jù)泄露陡增。

“對金融行業(yè)來說，用戶終端不僅存儲著海量的敏感數(shù)據(jù)，同樣也連接著金融專網(wǎng)，因此對于安全的要求是‘零容錯’的，沒有失敗的機會——一旦被攻破，企業(yè)的經(jīng)營、財產(chǎn)、信譽都可能遭受毀滅性損失。我們要的不是‘大概率安全’，而是近乎100%無死角的萬全之策。在終端安全方面，目前基于木馬、行為檢測和對抗式的方案都滿足不了這個要求，更別說未來還需要考慮再疊加對數(shù)據(jù)安全的需求。”某金融行業(yè)用戶的安全負責(zé)人直言。

在近期的實戰(zhàn)攻防演練中，該金融行業(yè)用戶正是依靠這一機制，成功遏制多起高級釣魚攻擊—— 攻擊者雖誘導(dǎo)用戶運行了木馬，但全部因被沙箱隔離從而無法實現(xiàn)遠控。

“我們收集了186個紅隊在攻防演練實戰(zhàn)中使用的遠控木馬，直接在終端上運行后，實測均無法突破上網(wǎng)沙箱的這層防線。”該安全負責(zé)人表示。

對于未來的發(fā)展，這位安全負責(zé)人給出了積極的期待，也提出了更多要求：

“實際上，沒有任何一種安全產(chǎn)品和方案可以實現(xiàn)100%的防御，上網(wǎng)沙箱的非對抗、原生安全防御理念也并非完美無缺。在改變當前終端安全攻防方式的同時，對產(chǎn)品自身的安全質(zhì)量也提出了更高的要求。

未來，以上網(wǎng)沙箱為基石，輔以輕量化的EDR、DLP終端安全方案，有望在終端安全的戰(zhàn)場上實現(xiàn)安全和體驗的平衡，打破“被動響應(yīng)、資源消耗、技術(shù)滯后”式的惡性循環(huán)，重塑終端安全體系。”

深信服零信任上網(wǎng)沙箱方案，致力于為對安全有極致要求的用戶，構(gòu)建保護終端安全的“最后一道防線”。通過“本地重辦公+沙箱輕上網(wǎng)”的新思路，實現(xiàn)辦公空間和上網(wǎng)空間網(wǎng)絡(luò)與數(shù)據(jù)的安全隔離，在提供開箱即用便捷體驗的同時，提供極致的安全保護， 讓用戶在復(fù)雜網(wǎng)絡(luò)環(huán)境中，真正實現(xiàn)“安全無死角”。