征文|高勇:“泛”终端安全
☝戳链接了解本期征文详情
“泛”终端安全
文 | 高勇
高勇
十余年信息安全从业经验,在信息安全技术,信息安全管理方面都有所涉猎。目前在金融行业某头部企业从事信息安全类项目的规划和设计工作。
终端安全是信息安全中具有相当长历史的一个概念。从上世纪九十年代左右引入防病毒软件开始,终端安全的概念及相关技术就已经出现并开始发展。但是,伴随着近三十年IT相关技术的迅猛发展,以及每单位计算能力价格的断崖式下降。终端安全中所谓的“终端”无论在硬件还是软件上都发生了巨大的变化,重新审视组织内对于终端范围的认知对于信息安全工作来说具有重要的指导意义。如果认知不一致必然会出现技术或管理上的空白,而空白则代表着不可见,而不可见对于信息安全来说是致命的。
长期从事信息安全行业的同行们可能都有这样的一个印象,人人都在说终端安全,但每个人说的终端安全细究起来,其实都不尽相同。在有的组织中,终端安全仅仅包含了办公用的桌面终端。而在另外的组织中,终端安全有可能还包含了主机终端、移动终端、物联网终端等众多其它内容。这种覆盖范围的不一致,实际上是由于终端安全本身就是一个宽泛的概念,对于什么是终端并未做详细的界定所造成的。
从概念上看,终端(endpoint)这个词出自于计算机网络领域,指的是连接在网路中能够处理网络流量的装置,路由器、集线器等都能称之为终端。但当出现在终端安全中的时候,终端的范围实际上已经悄然发生了变化。举例来讲,并不是所有的网络意义上的终端都属于终端安全的覆盖范围。例如下面的RJ45线缆测试仪,以及普通集线器在计算机网络语境下能够被称之为终端,但显然不应包含在终端安全范围内。
从发展上看,早期的IT环境结构简单,基本上都是由桌面PC联网组成的。所以早期终端安全的覆盖范围是很明确的,指的就是这些办公用的桌面终端,员工通过这些桌面终端访问组织的信息资产。早期的终端安全技术也是聚焦在此场景下的信息安全问题,如防病毒和数据防泄漏。上文提到过有些组织中的终端安全仅覆盖办公终端,就是继承了历史上对于终端安全范围的这种理解。但随着IT技术的发展与互联网的普及,在当下的IT环境中能够称之为终端,或者说具备终端能力的东西越来越多。以打印机为例,历史上对打印机的归类是“外设”而非终端。所谓外设指的是终端的外部设备,是依附于终端才能正常工作的。但是随着打印机计算能力不断的提升以及网络化的影响,现在的打印机已经可以独立工作,演变成了一种新的终端。
终端概念的这种模糊性对其它行业实际上没有特别的影响,因为在其它行业中从未把“终端”作为一个细分领域来看待。但在信息安全行业则不同,首先终端安全是业内公认的一个细分领域,其次在很多组织中都有专门负责终端安全的人员和组织架构。在这种情况下,搞清楚终端的范围就显得很有必要了,抛开可能带来的互相扯皮、推诿不提,模糊的范围有很大可能导致信息安全管理和技术出现覆盖不到位,最终引发问题。
那么,应该如何界定终端安全中的终端范围呢。笔者认为,可以尝试从信息安全的角度来进行分析。让我们重新回到历史上组织中的IT环境仅有桌面终端组成的年代,看看当时终端对信息安全的影响是什么。很明显,在当时的IT环境下,首先这些桌面终端具备访问组织信息资产的能力,那么如果这些终端存在弱点,也就能对组织的信息资产构成威胁。其次这些终端具备一定的交互、计算、存储能力,能够被攻击所利用,也就是说能够成为攻击的落脚点。从这两点特性出发,我们可以尝试提炼出对终端的定义:任何具有主动与组织信息资产进行交互能力的软硬件系统。定义中的“主动”代表了能够被恶意利用,与组织信息资产进行交互代表了能够构成威胁。
沿着这个思路,我们套用几个场景来审视下这个定义。前面提到的打印机,在作为外设的阶段,虽然能够与组织的信息资产进行交互,但却不具备主动的能力,所以不能称之为终端。但在打印机智能化、网络化以后,具备了主动的能力,就可以称为终端。
与打印机的情况类似,一块存储有组织数据的普通移动硬盘是不能称之为终端的。但相对的,一个组织内提供服务的NAS服务器,即便目前没有存储组织的数据,同时也没有主动发起交互的行为,但其具备了发起交互的能力,如果被恶意利用后就可以发起主动交互,那这样的东西就可以称之为终端。
如果将上述定义代入到当前的IT环境下,可以发现包含桌面终端、移动终端、主机终端、IOT终端等都将属于终端安全的范畴。因为从信息安全角度讲,这些软硬件系统带来的威胁或引入的弱点是相似的。特别是随着技术的发展,网络基本上成为了终端与组织信息资产进行交互的唯一渠道,所以上面的定义也可以修改为:任何具有主动与组织网络进行交互能力的软硬件系统。为了有别于之前的终端概念,我们可以把符合上述定义的软硬件系统称之为泛终端。而针对这些泛终端的信息安全,可以称之为泛终端安全。
上述对于泛终端的分析与定义纯粹是笔者个人思考的结果,在这里提出来仅是作为一个思路供同行参考及批评。作为甲方信息安全人员来说,也许不一定要给“终端”一个全面的定义,但我们至少应该不断思考组织内终端安全所包含的“终端”是否充分,是否存在技术或管理未能触达的空白。毕竟对于信息安全来说,任何一个死角都有可能成为击倒巨人的“阿克琉斯之踵”。
三~四月主题:《终端安全》
征文|肖文棣:终端安全的企业实践征文|杨文斌:终端安全之线段理论征文|陈欣炜:终端安全的一点思考——从机场的终端管控说起征文|蔚晨:浅谈终端安全征文|杨博涵:从防御、监测到运营,浅谈终端安全征文|李琪志:终端安全实践
齐心抗疫 与你同在