一、概述

　　知名信息技術(shù)咨詢公司Gartner發(fā)布的2020年度的終端安全成熟度曲線(如圖1所示)顯示：終端安全領(lǐng)域的技術(shù)和實(shí)踐正遭受著兩個(gè)趨勢的影響：終端攻擊的持續(xù)增長和遠(yuǎn)程工作的驟然激增。

　　安全領(lǐng)導(dǎo)者不僅需要防范和避免各種終端攻擊和泄露事件，還需要確保遠(yuǎn)程訪問的安全、高效以及用戶體驗(yàn)良好。在此情況下，終端安全領(lǐng)域的相關(guān)技術(shù)也隨之不斷發(fā)展和演化，一些技術(shù)逐漸走向成熟以應(yīng)對新威脅，一些技術(shù)卻銷聲匿跡。

　　終端安全成熟度曲線能夠幫助安全領(lǐng)導(dǎo)者追蹤終端安全領(lǐng)域的創(chuàng)新技術(shù)和實(shí)踐，對于安全領(lǐng)導(dǎo)者應(yīng)對終端安全的問題和挑戰(zhàn)具有重要參考意義。

圖1：2020年終端安全成熟度曲線

　　首先，終端攻擊的持續(xù)增長推動了終端安全技術(shù)的創(chuàng)新。

　　終端安全從業(yè)者不斷改進(jìn)和自動化威脅的狩獵、檢測和修復(fù)，EDR(Endpoint Detection and Response)和XDR(eXtended Detection and Response)成為焦點(diǎn)。

　　具體來說，為了應(yīng)對高級攻擊，需要關(guān)聯(lián)來自終端和其他位置的數(shù)據(jù)進(jìn)行威脅狩獵，XDR因而首次進(jìn)入了成熟度曲線。與此同時(shí)，EDR和 EPP(Endpoint Protection Platform)越來越成熟，并被越來越多的采用。最新概念UES(Unified Endpoint Security)結(jié)合了EDR、EPP和MTD(Mobile Threat Defense)等技術(shù)正式進(jìn)入成熟度曲線。

　　為了專門應(yīng)對網(wǎng)絡(luò)釣魚攻擊，BEC(Business Email Compromise Protection)今年進(jìn)入了成熟度曲線。SWG(Secure Web Gateways)雖然是一種基于網(wǎng)絡(luò)的技術(shù)，但對于防止針對終端(尤其是云終端)的攻擊至關(guān)重要，被越來越多的組織采用。值得注意的是，大多數(shù)處于期望膨脹期(Peak of Inflated Expectations)的創(chuàng)新技術(shù)都涉及多通道或多系統(tǒng)的安全性。例如，UES一個(gè)涉及安全工作站、智能手機(jī)和平板電腦的單一產(chǎn)品;XDR并不局限于終端，而是將多個(gè)來源(如網(wǎng)絡(luò))的信息組合起來以檢測威脅。

　　其次，遠(yuǎn)程工作的驟然激增使得遠(yuǎn)程訪問安全擺在更加優(yōu)先的位置。當(dāng)前遠(yuǎn)程工作的相關(guān)技術(shù)已完全成熟，如VPN、CASB(Cloud Access Security Brokers)、BYOPC(Bring your own PC)、UEM(Unified Endpoint Management)和DaaS(Desktop as a Service)等，這些技術(shù)又重新引起企業(yè)和組織的重視。長期來看，ZTNA(Zero Trust Network Access)及其演化SASE(Secure Access Service Edge)更有前景。且SASE處在今年成熟度曲線高峰期，是終端安全成熟度曲線中的一項(xiàng)變革性創(chuàng)新。SASE允許任何終端以受保護(hù)的方式通過任何網(wǎng)絡(luò)訪問任何應(yīng)用程序。安全領(lǐng)導(dǎo)者應(yīng)該開始實(shí)施一項(xiàng)戰(zhàn)略促使ZTNA、CASB和SD-WAN一起融合，形成SASE的長期成果。

　　此外，新趨勢也使得一些技術(shù)被取代或演化為更加通用的技術(shù)從而銷聲匿跡。例如，瀏覽器保護(hù)技術(shù)在很大程度上已經(jīng)成為UEM的一個(gè)特性;移動設(shè)備的DLP 并沒有按預(yù)期實(shí)現(xiàn)，而是被UEM提供的容器所取代或者作為CASB套件中集成的DLP;MDR(Managed Detection and Response)雖然在安全領(lǐng)域仍然非常有用，但已成為EDR解決方案和較新的XDR解決方案的一個(gè)功能;UEBA(User and Entity Behavior Analytics)使用的技術(shù)已經(jīng)嵌入到EDR等其他技術(shù)中;面向網(wǎng)絡(luò)的物聯(lián)網(wǎng)安全技術(shù)是大勢所趨，但很大程度上受限于遺留物聯(lián)網(wǎng)設(shè)備的糟糕狀況而止步不前;內(nèi)容協(xié)作平臺(Content collaboration platforms)對數(shù)據(jù)泄漏保護(hù)很重要，但是創(chuàng)建和維護(hù)一個(gè)協(xié)作環(huán)境，并沒成熟的技術(shù)支撐;隨著遠(yuǎn)程工作的發(fā)展，BYOPC已經(jīng)取代了BYOD(Bring Your Own Device)。

　　二、技術(shù)成熟度分析

　　成熟度曲線包括創(chuàng)新啟動期(Innovation Trigger)、期望膨脹期(Peak of Inflated Expectations)、幻覺破滅期(Trough of Disillusionment)、穩(wěn)步爬升期(Slope of Enlightenment)和生產(chǎn)高峰期(Plateau of Productivity)等5個(gè)主要周期。

2.1 創(chuàng)新啟動期

　　創(chuàng)新啟動期意味著技術(shù)的突破、公開演示、產(chǎn)品發(fā)布或其他活動會引起媒體和行業(yè)的極大興趣。統(tǒng)一終端安全(Unified Endpoint Security，UES)、擴(kuò)展檢測和響應(yīng)(Extended Detection and Response，XDR)和商業(yè)電子郵件泄露保護(hù)(Business Email Compromise Protection，BEC)處于該階段。

　　UES集成了EPP、EDR和MTD的主要特性，基于單個(gè)控制臺跨所有終端設(shè)備進(jìn)行威脅分析，通過跨數(shù)據(jù)分析檢測以前未發(fā)現(xiàn)的威脅。UES滿足了IT對所有安全事件采用單一控制臺進(jìn)行集中控制的需求，新冠疫情加速了這種需求。與之前的UEM市場一樣，UES需要幾年時(shí)間才能成熟并獲得認(rèn)可。未來的市場屬于那些能夠從安全和運(yùn)營的集成中獲得顯著生產(chǎn)力且能夠快速處理大量數(shù)據(jù)以檢測先前未知威脅的供應(yīng)商。

　　XDR是一個(gè)供應(yīng)商專門的威脅檢測和事件響應(yīng)工具，將多個(gè)安全產(chǎn)品統(tǒng)一到一個(gè)安全運(yùn)營系統(tǒng)中。XDR在功能上與SIEM以及SOAR工具相似，區(qū)別在于其具備在部署時(shí)集成特定供應(yīng)商產(chǎn)品的能力，更加聚焦威脅檢測和事件響應(yīng)。新興的XDR產(chǎn)品主要由具有基礎(chǔ)設(shè)施保護(hù)系列產(chǎn)品(例如，EDR、CASB、SEG、SWG、防火墻、IDS、身份基礎(chǔ)設(shè)施)提供能力的供應(yīng)商銷售。更高級的XDR產(chǎn)品仍處于開發(fā)階段，試圖建立集成身份、數(shù)據(jù)保護(hù)和應(yīng)用程序訪問的堆棧。這些高級產(chǎn)品充滿風(fēng)險(xiǎn)，對于XDR的過度保證可能會導(dǎo)致對單個(gè)供應(yīng)商的過度依賴，最終只會有一小部分供應(yīng)商能夠真正提供XDR，并且大型供應(yīng)商在應(yīng)對新威脅方面往往比同類最佳的初創(chuàng)公司慢得多。

　　BEC保護(hù)用來檢測和過濾冒充業(yè)務(wù)伙伴進(jìn)行資金或數(shù)據(jù)誘導(dǎo)的惡意電子郵件。BEC檢測往往采用機(jī)器學(xué)習(xí)和自然語言處理技術(shù)，盡管這些技術(shù)很成熟，但在電子郵件安全特別是BEC保護(hù)方面的應(yīng)用才出現(xiàn)幾年，往往局限于預(yù)警用戶，易產(chǎn)生“告警疲勞”問題。目前的采用率很低，隨著技術(shù)的成熟，其將成為電子郵件安全解決方案的一部分，而不是一個(gè)獨(dú)立的補(bǔ)充產(chǎn)品。

2.2 期望膨脹期

　　期望膨脹期意味著技術(shù)正處于過度熱情和不切實(shí)際的設(shè)想階段，隨著技術(shù)被推向極限，技術(shù)領(lǐng)導(dǎo)者們采取了一系列廣泛宣傳活動并帶來了一些成功，但更多的是失敗。自帶個(gè)人電腦安全(Bring your own PC，BYOPC)、安全訪問服務(wù)邊緣(Secure Access Service Edge ，SASE)處于該階段。

　　BYOPC允許員工使用個(gè)人自主選擇的客戶端設(shè)備來訪問企業(yè)應(yīng)用程序、服務(wù)和數(shù)據(jù)。雖然新冠疫情使得BYOPC廣泛采用，但是BYOPC因未管理、未匹配和受感染的用戶設(shè)備而構(gòu)成嚴(yán)重的潛在安全威脅，需要立即采用新的工具來保護(hù)能夠訪問數(shù)據(jù)和應(yīng)用程序的設(shè)備安全。

　　SASE用來支持分支機(jī)構(gòu)和遠(yuǎn)程工作者訪問。SASE是由企業(yè)數(shù)字業(yè)務(wù)轉(zhuǎn)型驅(qū)動的，發(fā)展?jié)摿薮螅刑幱谑袌鲩_發(fā)的早期階段，供應(yīng)商正在積極地進(jìn)行營銷和開發(fā)。盡管SASE術(shù)語相對較新，但架構(gòu)方法已經(jīng)部署了至少兩年。隨著用戶、設(shè)備和服務(wù)離開傳統(tǒng)的企業(yè)邊界，網(wǎng)絡(luò)和網(wǎng)絡(luò)安全的模式逆轉(zhuǎn)將徹底改變網(wǎng)絡(luò)和網(wǎng)絡(luò)安全作為一種服務(wù)的競爭格局。真正的SASE服務(wù)是云本地化的，具備動態(tài)可伸縮、全球可訪問的特點(diǎn)，通?；谖⒎?wù)和多租戶。

2.3 幻覺破滅期

　　幻覺破滅期意味著技術(shù)還達(dá)不到其過度膨脹的預(yù)期，并且很快變得過時(shí)，媒體的興趣逐漸減弱。應(yīng)用程序內(nèi)保護(hù)(In-App Protection，IAP)、瀏覽器隔離(Browser Isolation，BI)、一線工作人員的設(shè)備終端安全(Device Endpoint Security for Frontline Workers，DESFW)、虛擬移動基礎(chǔ)設(shè)施(Virtual Mobile Infrastructure，VMI)、桌面即服務(wù)(Desktop as a Service，DaaS)、統(tǒng)一終端管理(Unified Endpoint Management，UEM)、移動威脅防御(Mobile Threat Defense，MTD)、零信任網(wǎng)絡(luò)訪問(Zero Trust Network Access，ZTNA)處于該階段。

　　IAP是指在應(yīng)用程序中實(shí)現(xiàn)的保護(hù)，用于檢測和防范惡意數(shù)據(jù)過濾、入侵、腳本注入、篡改和逆向工程等攻擊。隨著移動設(shè)備和移動應(yīng)用程序的不斷發(fā)展，網(wǎng)頁也越來越多地與移動設(shè)備相連，IAP所采用的加固技術(shù)已經(jīng)成熟，但需要適應(yīng)這些新的設(shè)備以及操作系統(tǒng);日益增長的用戶需求使得供應(yīng)商將重點(diǎn)放在反篡改保護(hù)上，然而防篡改技術(shù)較新，成熟度較低;現(xiàn)代web應(yīng)用程序保護(hù)吸引了更多關(guān)注，使得IAP技術(shù)成熟度最近有所下降。但是，隨著攻擊也越來越突出，以及開發(fā)人員越來越意識到IAP解決方案的可用性，采用率將會越來越高。

　　瀏覽器隔離是將瀏覽過程與最終用戶系統(tǒng)緊密分離，用來保護(hù)應(yīng)用程序、系統(tǒng)、網(wǎng)絡(luò)及資源免受瀏覽器攻擊。大多數(shù)組織采用瀏覽器隔離技術(shù)方面進(jìn)展緩慢，而是使用SWG形式的URL過濾來保護(hù)用戶和設(shè)備免受互聯(lián)網(wǎng)的危害。此外，瀏覽器隔離采用了會話隔離技術(shù)，但是最近激增的勒索軟件攻擊仍能通過并實(shí)施攻擊。

　　DESFW為專門構(gòu)建的設(shè)備及其用戶提供保護(hù)。當(dāng)前，許多一線員工采用了完全受控、專門制造、鎖定和加固的移動設(shè)備，給設(shè)備更新和補(bǔ)丁維護(hù)帶來挑戰(zhàn)，使得一些企業(yè)和組織在移動應(yīng)用程序周圍探索具有保護(hù)功能的個(gè)人設(shè)備。但是，這些設(shè)備比完全受控的設(shè)備提供控制更少，并可能使組織面臨數(shù)據(jù)泄漏或其他惡意攻擊。此外，一些企業(yè)和組織嘗試讓一線員工能夠訪問云SaaS應(yīng)用程序，可能會面臨額外的云安全風(fēng)險(xiǎn)。

　　VMI用來提供對企業(yè)移動工作區(qū)的應(yīng)用程序和數(shù)據(jù)的遠(yuǎn)程訪問。VMI提供對企業(yè)信息的安全訪問，用戶可以快速登錄和注銷帳戶，而無需在設(shè)備上留下數(shù)據(jù)，將數(shù)據(jù)丟失風(fēng)險(xiǎn)降至最低。但是，VMI的虛擬化技術(shù)在適配iOS和Android等移動操作系統(tǒng)時(shí)存在一些局限性：1)提供有限的離線功能，需要可靠的高速連接才能運(yùn)行;2)不能使用Google Play服務(wù);3)提供了有限的實(shí)時(shí)使用本地設(shè)備傳感器的應(yīng)用程序的能力，如擴(kuò)展現(xiàn)實(shí)和沉浸式計(jì)算應(yīng)用程序。

　　DaaS為用戶按需提供虛擬的桌面體驗(yàn)。企業(yè)長期以來都對采用VDI(Virtual Desktop Infrastructure，虛擬桌面基礎(chǔ)設(shè)施)感興趣，但技術(shù)復(fù)雜性和高投入使VDI的實(shí)施變得困難。依靠服務(wù)提供商來承擔(dān)平臺擴(kuò)展的風(fēng)險(xiǎn)并提供大規(guī)模計(jì)算服務(wù)，并在此基礎(chǔ)上交付應(yīng)用程序，對于企業(yè)和組織才是有吸引力的選擇。另外，新冠疫情加速了DaaS的采用。新冠疫情使得場地工作由于數(shù)據(jù)中心訪問和基礎(chǔ)設(shè)施供應(yīng)鏈的問題而停滯，而DaaS能夠快速實(shí)現(xiàn)遠(yuǎn)程工作，具有價(jià)值和業(yè)務(wù)連續(xù)性優(yōu)勢。未來，即使當(dāng)員工返回辦公室時(shí)，DaaS也可能會作為一種交付架構(gòu)繼續(xù)存在。

　　UEM 已經(jīng)超越了對PC和移動設(shè)備的管理，通過終端分析、身份和訪問管理以及UES工具深入集成，提供更深入的洞見。除了UEM基本功能外，許多供應(yīng)商也在擴(kuò)展產(chǎn)品以實(shí)現(xiàn)差異化。盡管一些客戶接受了UEM工具和現(xiàn)代操作系統(tǒng)管理，但大多數(shù)組織仍將UEM視為未來幾年中需要解決的一個(gè)路線圖項(xiàng)目，例如，使應(yīng)用程序堆?，F(xiàn)代化以消除關(guān)鍵應(yīng)用程序?qū)μ囟ㄆ脚_、特定瀏覽器或運(yùn)行時(shí)環(huán)境的依賴，整合移動和終端管理團(tuán)隊(duì)以消除采用UEM的政治障礙，提高員工技能以了解如何使用UEM技術(shù)解決CMT的關(guān)鍵功能。UEM的成熟度曲線正在下滑，但對UEM的興趣仍然強(qiáng)烈，并且是案例驅(qū)動的，因企業(yè)和組織都發(fā)現(xiàn)了管理現(xiàn)代化所需的重要過程和技術(shù)變化。

　　MTD保護(hù)組織免受iOS和Android移動設(shè)備上的威脅。大多數(shù)情況下，企業(yè)和組織將MTD與UEM集成來提高安全性?，F(xiàn)在越來越多的組織在非托管設(shè)備上使用MTD，如BYOD場景中，主要是由移動網(wǎng)絡(luò)釣魚、移動終端檢測和響應(yīng)(EDR)、應(yīng)用程序?qū)彶楹驮O(shè)備漏洞管理等用戶案例驅(qū)動的。MTD已經(jīng)達(dá)到一定的成熟，適合廣泛的企業(yè)采用，但是當(dāng)前采用速度比較慢，業(yè)界一直在等待高度可見或公開的移動漏洞尚未出現(xiàn)。在構(gòu)建UES產(chǎn)品時(shí)，通過EPP供應(yīng)商提供MTD會更容易采用。MTD在經(jīng)歷一段時(shí)間激烈創(chuàng)新之后，創(chuàng)新速度有所放緩。除了應(yīng)對不斷發(fā)展的移動惡意軟件變種之外，還需改善設(shè)備上的MTD用戶體驗(yàn)。

　　ZTNA在應(yīng)用程序或其集合周圍創(chuàng)建基于身份和上下文的邏輯訪問邊界。ZTNA早期市場產(chǎn)品更多涉及市場準(zhǔn)入，需要新的、更完整的產(chǎn)品才能支持更廣泛的應(yīng)用程序和協(xié)議。隨著越來越多的企業(yè)和組織在轉(zhuǎn)向遠(yuǎn)程工作，基于硬件的VPN顯示出了局限性。而ZTNA能夠支持靈活的VPN訪問、支持本地和云中對應(yīng)用程序進(jìn)行精確訪問以及對會話進(jìn)行控制，引起和企業(yè)和組織的廣泛興趣。ZTNA供應(yīng)商繼續(xù)吸引風(fēng)險(xiǎn)投資資金，促使更多的新創(chuàng)企業(yè)進(jìn)入日益擁擠的市場，尋求差異化的途徑。并購活動正在ZTNA市場上進(jìn)行，幾家初創(chuàng)企業(yè)供應(yīng)商已經(jīng)被更大的網(wǎng)絡(luò)、電信和安全供應(yīng)商收購。

2.4 穩(wěn)步爬升期

　　穩(wěn)步爬升期意味著技術(shù)被越來越多企業(yè)和組織實(shí)踐，人們真正了解了技術(shù)的適用性、風(fēng)險(xiǎn)和好處，并且技術(shù)的開發(fā)過程因商業(yè)化的方法和工具而簡化。數(shù)據(jù)清理(Data Sanitization)、安全即時(shí)通信(Secure Instant Communication，SIC)、終端檢測和響應(yīng)(Endpoint Detection and Response，EDR)、安全Web網(wǎng)關(guān)(Secure Web Gateway，SWG)、云訪問安全代理(Cloud Access Security Brokers，CASB)、企業(yè)數(shù)據(jù)通信安全(Secure Enterprise Data Communications，SEDC)處于該階段。

　　數(shù)據(jù)清理是有目的、永久的且不可逆轉(zhuǎn)的刪除或銷毀存儲設(shè)備上的數(shù)據(jù)，使其不可恢復(fù)。隨著存儲介質(zhì)容量不斷擴(kuò)大以及邊緣計(jì)算和物聯(lián)網(wǎng)設(shè)備數(shù)量不斷增加，人們對數(shù)據(jù)隱私和安全性、泄漏、合規(guī)性遵從的擔(dān)憂，使數(shù)據(jù)清理成為所有IT組織的核心級要求。全面的數(shù)據(jù)清理要求將適用于所有具有存儲功能的設(shè)備，如企業(yè)存儲和服務(wù)器、PC、移動設(shè)備，以及越來越多的邊緣計(jì)算和物聯(lián)網(wǎng)設(shè)備。如果企業(yè)和組織缺乏這種魯棒的數(shù)據(jù)清理能力，通常是因?yàn)閷①Y產(chǎn)生命周期階段作為孤立事件對待，財(cái)務(wù)、安全、采購和IT之間缺乏協(xié)調(diào)。對于移動設(shè)備，遠(yuǎn)程數(shù)據(jù)擦除功能通常通過MDM(Mobile Device Manager，移動設(shè)備管理器)實(shí)現(xiàn)，盡管這種遠(yuǎn)程功能不應(yīng)被視為故障安全機(jī)制，但對于大部分丟失或被盜的移動設(shè)備，可靠性足夠。

　　SIC為即時(shí)通信形式(如即時(shí)消息、文本消息、語音和視頻通信)提供保密性和數(shù)據(jù)保留，支持智能手機(jī)、平板電腦和個(gè)人電腦等多種類型設(shè)備。SIC大多作為設(shè)備上的應(yīng)用程序?qū)崿F(xiàn)，能夠在數(shù)據(jù)通道上使用加密。SIC已經(jīng)隨著底層移動操作系統(tǒng)的成熟而成熟，能夠滿足網(wǎng)絡(luò)性能、電池消耗以及密鑰管理和加密的要求。為了能夠與主流企業(yè)通信企業(yè)競爭，用戶體驗(yàn)是接下來需要改進(jìn)的主要方面。數(shù)據(jù)保留功能因支持法規(guī)遵從性的監(jiān)視和歸檔以及確保安全的即時(shí)刪除，變得越來越重要，甚至開始作為集成到第三方即時(shí)通信應(yīng)用程序，如微信和WhatsApp。

　　EDR能夠用來檢測和調(diào)查安全事件、阻斷攻擊。EDR是任何終端安全策略的主要模塊，并不局限于成熟的安全運(yùn)營組織。EDR的采用越來越多是因?yàn)楦呒壨{越來越多以及EDR產(chǎn)品內(nèi)置自動化、編排和功能管理的能力不斷提升。EDR的相關(guān)特性正在越來越多地集成到更通用EPP中，如通過增加基于行為的檢測和基本威脅狩獵功能。同樣地，EDR也在融合其他產(chǎn)品特性，如在其核心檢測和響應(yīng)功能中增加了保護(hù)功能。在未來兩三年內(nèi)，云交付的終端安全解決方案將取代傳統(tǒng)的本地(主機(jī)服務(wù)器)架構(gòu)，進(jìn)入主流市場。一些廠商正在將網(wǎng)絡(luò)遙測、電子郵件和Web安全產(chǎn)品結(jié)合起來，進(jìn)行數(shù)據(jù)富化從而增強(qiáng)檢測能力。XDR實(shí)現(xiàn)了與其他安全工具的集成，正利用高級分析來識別未知威脅并揭示戰(zhàn)術(shù)和技術(shù)，提供更高的檢測效率。

　　SWG利用URL過濾、ATD(Advanced Threat Defense，高級威脅防御)和惡意軟件檢測技術(shù)強(qiáng)制執(zhí)行互聯(lián)網(wǎng)策略遵從性并保護(hù)企業(yè)和組織的網(wǎng)絡(luò)安全。隨著云計(jì)算服務(wù)的發(fā)展，SWG已經(jīng)發(fā)展到了啟蒙階段，基于云的SWG服務(wù)的查詢量超過基于設(shè)備的SWG的查詢量四倍多。SWG的市場前景樂觀，企業(yè)和組織繼續(xù)從云安全服務(wù)提供商尋求更通用的安全服務(wù)。隨著供應(yīng)商將CASB、ZTNA、RBI(遠(yuǎn)程瀏覽器隔離)等服務(wù)添加到其可用產(chǎn)品列表中，SWG市場將繼續(xù)發(fā)展。

　　CASB為SaaS和IaaS中的可見性、數(shù)據(jù)安全、威脅保護(hù)和合規(guī)性評估提供云治理控制。，供應(yīng)商之間應(yīng)用一致的策略，提供功能豐富的產(chǎn)品，增加了云的可見性，CASB已經(jīng)成為采用云計(jì)算技術(shù)的企業(yè)和組織的普遍選擇。但不同供應(yīng)商之間的產(chǎn)品差異化越來越小，一些供應(yīng)商努力超越SaaS治理和保護(hù)，開始支持IaaS應(yīng)用程序自定義、CSPM(云安全態(tài)勢管理)以及UEBA(用戶和實(shí)體行為分析)功能。領(lǐng)先的供應(yīng)商仍在進(jìn)行大量投資，這有助于市場的迅速成熟，而獨(dú)立的供應(yīng)商表現(xiàn)出持續(xù)創(chuàng)新和廣泛的市場影響。

　　安全企業(yè)數(shù)據(jù)通信為網(wǎng)絡(luò)和應(yīng)用程序提供加密和認(rèn)證的“虛擬”連接。最近遠(yuǎn)程工作的激增使得虛擬專用網(wǎng)(VPN)成為IT中最重要的技術(shù)之一。VPN技術(shù)是比較成熟和平穩(wěn)的，但由于帶寬有限和硬件限制，遠(yuǎn)程訪問VPN訪問具有挑戰(zhàn)性，迫使相關(guān)基礎(chǔ)設(shè)施向云端推進(jìn)。因而，安全瀏覽器的應(yīng)用程序和其他使用TLS的應(yīng)用程序成為事實(shí)上的標(biāo)準(zhǔn)。SDP(軟件定義的外圍設(shè)備)、SD-WAN(軟件定義的廣域網(wǎng))和云應(yīng)用提供商正在搭建各自的虛擬隱私連接。CASB正在云中創(chuàng)建相當(dāng)于企業(yè)網(wǎng)關(guān)的云，能夠進(jìn)行集中身份管理并對業(yè)務(wù)用戶目的地進(jìn)行受控加密連接。ZTNA也是VPN的潛在替代品，因?yàn)橛脩暨w移到云應(yīng)用程序上，不再需要傳統(tǒng)的本地訪問。

2.5 生產(chǎn)高峰期

　　生產(chǎn)高峰期意味著技術(shù)的實(shí)際好處已被證明和接受，并隨著工具和方法進(jìn)入第二、三代而越來越穩(wěn)定，越多越多的客戶對實(shí)際的使用效果感到滿意，客戶規(guī)模開始快速增長。當(dāng)技術(shù)進(jìn)入這一階段時(shí)，大約20%的目標(biāo)客戶已經(jīng)或正在采用該技術(shù)。終端保護(hù)平臺(Endpoint Protection Platforms，EPP)處于該階段。

　　EPP針對現(xiàn)有和新出現(xiàn)的威脅和漏洞利用進(jìn)行保護(hù)，包括針對惡意軟件的保護(hù)、基于文件和無文件的攻擊、使用行為分析識別和預(yù)防威脅、已知應(yīng)用程序、進(jìn)程和腳本的白名單，以及對終端配置的調(diào)查和報(bào)告。EPP市場已經(jīng)適應(yīng)了高級威脅和隱蔽的攻擊者。目前，組織將重點(diǎn)放在防止未知和無文件攻擊上，并將機(jī)器學(xué)習(xí)和基于云的查找技術(shù)作為基于本地簽名識別的替代方案。EPP使用方便，資源利用率低，維護(hù)工作量少。未來，EPP市場的主要發(fā)展方向是更易于部署和管理的云本地解決方案，以及能夠識別零日威脅的基于行為的檢測和分析技術(shù)。但是，本地操作系統(tǒng)的安全性改進(jìn)保護(hù)了憑證，防止了內(nèi)核攻擊，可以隔離瀏覽器和應(yīng)用程序，實(shí)現(xiàn)了漏洞管理和強(qiáng)化，正在侵蝕EPP供應(yīng)商的業(yè)務(wù)范圍，并將攻擊者的焦點(diǎn)轉(zhuǎn)移到應(yīng)用程序的安全漏洞和終端用戶的不可靠上。若高級威脅變得更加隱蔽，仍然需要EDR來檢測和響應(yīng)，否則這些威脅將繞過僅依賴于預(yù)防和保護(hù)的EPP工具。（虎符智庫）