下一代终端安全的兴起

提到终端安全技术，很多人第一个想到的就是防病毒产品，而在当今安全威胁不断的演化的时代，以传统的签名库对比技术的解决方案已经无法应对新型威胁。在这样的背景下，下一代终端安全技术应运而生。IDC将此类的解决方案定义为“Endpoint Specialized Threat Analysis and Protection (STAP)”，即终端特定威胁分析与防护。终端安全技术正在从传统的签名技术转向具有下一代安全能力转移，业内厂商也纷纷推出了下一代终端安全的解决方案，将特定的检测技术集成到现有的平台，为用户提供高级的安全防护。

下一代终端安全防护的价值在于它们能够识别出特定攻击并在检测到这类攻击后提升响应能力。通过收集网络上往来于终端及其他设备之间的通信内容来获取信息，同时对那些有可能遭到恶意利用的终端作出主动式预防。下一代终端安全技术能够实现遥测功能并作为取证工具使用，从而深入调查攻击活动以及关联性、发现有弱点的终端并预测未来可能出现安全威胁并实现提前阻断。

IDC认为下一代终端安全技术平台需要具备以下几个方面。

传统防御能力

下一代终端安全技术并不是可以取代传统的基于签名机制的防护，针对已知威胁依然需要依赖传统防御技术，在恶意程序执行前进行阻断。

动态检测能力

下一代终端安全技术最核心的功能就是应对未知威胁以及零日漏洞的检测。这种动态的检测能力需要在操作系统底层对应用和进程行为进行分析和实时监控，包括内存、磁盘、注册表、网络等。

安全响应能力

例如当终端面临高级威胁的时候有校验、遏制以及修复能力，帮助安全响应团队监控安全状态、改进威胁检测，并且从前瞻性发现、详细分析、鉴证调查、全面报告以及优先警报和操作方面，全面扩展事件响应能力，在造成损失之前阻断威胁。

实时威胁情报

能够整合云端和整网获得威胁情报，针对不同的情报来源，形成诸如ATP事件报告、可机器读取的IOC、情报共享信息等，进行有针对性的应急响应。

安全取证能力

对整个组织中的终端上发生的恶意行为清晰及时的可见性是快速评估攻击并采取响应的关键，并且能够对攻击中的事件提供实时的审计追溯，以及搜索所有终端上的入侵证据。所以提供终端实时取证和可见性就成为了下一代终端安全技术的具备能力。

基于上述的下一代终端安全技术的核心能力，IDC认为在此领域未来几年将呈现出以下几点趋势。

威胁情报尤为重要

下一代终端安全解决方案必将依赖强大的威胁情报为核心支柱，实现自动化的修复能力以应对日益增长的安全需求。

检测防御能力的整合

当前很多大型企业利用整合的安全平台来监控和防护他们的终端设备，将下一代终端安全技术的检测和防御能力无缝集成到现有的平台将是必然的发展趋势，这种整合将会给事件响应人员对终端的安全态势及风险缓解有完整的视图。

安全即服务的部署模式

IDC认为，安全厂商对现有的客户将进一步促进 SaaS （Security as a Service）安全即服务的部署模式。这是一种典型的混合部署模式，在客户端部署传感器或安装代理，在云端进行策略执行和管控。从安全厂商营收的角度看，安全及服务模式的盈利将会高于传统的本地部署模式。

下一代终端安全技术正不断取得令人可喜的进展，相较于单纯利用已知恶意软件签名作为查杀依据的传统反病毒软件方案，下一代终端安全技术结合威胁情报能够实时分析过程、变化与连接，从而检测出实时活动当中的可疑对象，并以更为出色的效果解决零日漏洞等高级威胁。