一周多前，世界知名的黑客技术大赛Pwn2Own 2017落下了帷幕。Pwn2Own大赛以参赛者组队对各大公司的最新产品进行破解的方式进行，本次大赛的破解对象包括微软的Windows操作系统和Edge浏览器、Google的Chrome浏览器、苹果的Safari浏览器、Adobe的Reader和Flash以及VMWare的虚拟机等主流桌面级应用产品，其中较多的产品都是利用各种0day漏洞在非常短的时间内被破解。

Pwn2Own大赛至今已举办多届，每次大赛最热门的都是看黑客高手们如何利用各种未知漏洞秒破各大软件巨头公司的拳头产品，并获得系统控制权限。这种比赛传达出的信息就是我们目前在广泛使用的操作系统、应用软件甚至包括专业的网络安全设施实际上都是非常脆弱的，存在很多人为的漏洞和其他威胁，非常容易被具有一定技术能力的专业人士击破。而当前在终端安全领域，最主要的防御手段仍是基于杀毒软件和防火墙软件并结合传统网络安全设备的解决方案。这种方案存在着较多不足：

基于特征

无论是杀毒软件，还是防火墙，以及其他的企业级信息安全产品，目前仍是以特征值作为主要的检测手段，一旦出现新的攻击手段，上述安全产品需要等待一定的时间才能获得具有相应处理能力的更新，而且一旦特征值发生变化，传统安全方案就无力解决。最典型的就是历届Pwn2Own大赛中所使用的0day漏洞，这些漏洞都被掌握在顶尖黑客和组织手中，只有客户被实际攻击了，才有可能会被安全机构检测到，而此时已经造成了实际损失。

依赖经验

当前几乎所有终端安全产品的安全检测和安全响应功能全部基于策略，而策略的制定都需要管理人员进行手动配置。如果管理人员经验不足，很容易出现漏配和误配，从而造成产品失去实际的检测和防御效果，甚至可能造成过度防御影响业务。

缺乏统筹

目前传统桌面安全相关产品厂商有的主做杀毒，有的主做网络监测和防御，还有的主做桌面管理。但一个客户由于历史原因，往往形成了多个厂商的不同安全产品共同驻留桌面的情况。这些桌面安全产品相互之间没有关联，各自管理自己的领域，接口和数据都不能共享，不利于提升整体检测和防御的有效性和及时性，甚至还可能造成兼容性和稳定性的隐患。

因此，随着黑客技术的发展，尤其是0day漏洞越来越普遍，获取成本也越来越低，终端安全领域的防御体系也需要进行相应的调整才能适配日趋恶化的安全环境。目前终端安全产品主要有以下发展趋势：

机器学习助力安全检测

随着机器学习尤其是深度学习技术在近几年取得较大发展，信息安全行业包括桌面安全行业也逐步将机器学习的研究成果应用到安全领域，采用更加智能化的算法来帮助对未知威胁进行识别检测，有利于发现特征不明显或者尚未采集到特征的攻击事件。

自动响应高于安全防御

传统的安全产品强调防御，即“御敌于国门之外”，但对于未知威胁，如果没有被检测到，则防御完全失效。而自动响应技术则不光是采用特征值对文件和数据进行匹配性检测，更多的是对客户行为进行响应，根据其动作实时采用不同的处理措施，将其影响限制在较小范围并进行深度分析。

威胁情报成为标配

当前的终端安全产品多数也具有可进行网络升级的特征库、病毒库等功能。但是这些库的缺陷是全部依赖签名和特征，无法对攻击者进行画像、定位和意图判断，实用性较低。随着威胁情报技术和产品的成熟，结合了威胁情报的终端安全产品可以更好的关联攻击行为、判断攻击是否成功、溯源攻击发起者以及进行攻击取证。

当前，众谊越泰的辰信易终端安全产品也正在向下一代终端安全演进，在继续提供传统的终端信息检测采集、规则防御和运维管理等功能的同时，将基于对行业客户的深度认知及需求挖掘，重点在异常行为定义检测、综合数据分析和快速反应等方面发力，结合主流威胁情报和态势感知等工具和产品，实现对高级持续威胁（ATP）和未知威胁等的检测和防御。同时利用该产品在行业客户广泛部署的优势，实现对网络和系统违法行为的取证，从而帮助企业构筑完善的检测、拦截和响应防御体系。（来源：众谊越泰 周宇）