随着現代企業數字化轉型的深入發展，雲計算、大數據、物(wù)聯網、移動互聯等創新(xīn)技(jì )術的應用(yòng)加速落地，組織原有(yǒu)的網絡邊界被打破，各種類型的終端設備成為(wèi)了新(xīn)的安(ān)全邊界。在此背景下，确保組織高效辦(bàn)公(gōng)的靈活性、安(ān)全性和隐私性是指引新(xīn)一代終端安(ān)全建設與發展的三大基石，要讓終端計算設備具(jù)有(yǒu)與時俱進的安(ān)全能(néng)力，而不是一味通過管理(lǐ)措施去限制員工(gōng)對終端設備的使用(yòng)。

終端是指連接到企業網絡系統中(zhōng)的各種計算設備，主要包括了筆(bǐ)記本電(diàn)腦、台式機、平闆電(diàn)腦、智能(néng)手機以及新(xīn)型物(wù)聯網終端設備等。如果威脅分(fēn)子成功利用(yòng)這些終端設備上的安(ān)全漏洞，就可(kě)以輕松進入企業網絡并非法訪問數據資源，造成難以挽回的危害。因此，增強終端安(ān)全對于确保整體(tǐ)組織的數字化應用(yòng)安(ān)全至關重要。

但是，要實現全面的終端安(ān)全防護并不容易，企業安(ān)全團隊在開展終端安(ān)全能(néng)力建設時将面臨以下7大挑戰：

在企業組織中(zhōng)，可(kě)能(néng)使用(yòng)多(duō)種終端設備，包括移動設備、筆(bǐ)記本、無線(xiàn)設備和桌面設備等。這些終端設備運行在不同的操作(zuò)系統上，因此要跟蹤記錄所有(yǒu)聯網終端的操作(zuò)與使用(yòng)情況非常困難，這也使得安(ān)全團隊對終端設備使用(yòng)的可(kě)見性非常有(yǒu)限。缺乏可(kě)見性嚴重影響了企業及時發現易受攻擊的終端和發生在這些設備上的可(kě)疑活動。而大量的惡意軟件正是利用(yòng)這一特點，長(cháng)期潛伏在已被攻陷的終端設備中(zhōng)，伺機竊取或加密組織的敏感數據。

終端數量激增的趨勢将在很(hěn)長(cháng)時間内延續下去，準确跟蹤所有(yǒu)終端對于開展新(xīn)一代終端安(ān)全能(néng)力建設非常重要，企業應該優先考慮升級部署功能(néng)更強大的統一終端監控管理(lǐ)工(gōng)具(jù)。

遠(yuǎn)程辦(bàn)公(gōng)已經成為(wèi)現代企業工(gōng)作(zuò)模式的新(xīn)常态，這讓保護遠(yuǎn)程終端安(ān)全變得頗具(jù)挑戰性。由于遠(yuǎn)程辦(bàn)公(gōng)時，員工(gōng)是在企業物(wù)理(lǐ)網絡之外工(gōng)作(zuò)，往往難以嚴格遵循企業網絡安(ān)全管理(lǐ)的最佳實踐要求。此外，企業對遠(yuǎn)程辦(bàn)公(gōng)終端的安(ān)全控制能(néng)力也很(hěn)有(yǒu)限。比如說，員工(gōng)一旦在咖啡館等公(gōng)共場所遺失手機、筆(bǐ)記本等終端設備，就會危及企業整體(tǐ)的數據安(ān)全。

為(wèi)了克服遠(yuǎn)程工(gōng)作(zuò)帶來的網絡安(ān)全風險，企業應該部署并要求員工(gōng)使用(yòng)多(duō)因素身份驗證（MFA）、虛拟專用(yòng)網（VPN）、網絡分(fēn)段、終端監控等端點安(ān)全防護措施，并對遠(yuǎn)程辦(bàn)公(gōng)人員進行基于行為(wèi)的安(ān)全意識培訓。

目前，很(hěn)多(duō)企業都會允許并鼓勵員工(gōng)在自帶設備（BYOD）上辦(bàn)公(gōng)，它有(yǒu)諸多(duō)好處，包括提高生産(chǎn)力、降低運營成本以及減輕IT運維團隊的技(jì )術支持壓力。但BYOD設備屬于員工(gōng)個人所有(yǒu)，企業如果無法對這些設備進行有(yǒu)效的管理(lǐ)和控制，将是企業未來終端安(ān)全建設中(zhōng)面臨的一大挑戰。

如何安(ān)全地實施BYOD政策以保護數字化業務(wù)的安(ān)全開展呢(ne)？企業應該為(wèi)BYOD的使用(yòng)制定明确的安(ān)全策略和指導方針，包括統一的安(ān)全要求和告知确認。同時，企業應确保BYOD設備安(ān)裝(zhuāng)遠(yuǎn)程隐私數據的擦除功能(néng)，以便可(kě)以快速銷毀丢失或被盜設備中(zhōng)的重要數據。此外，企業應該定期監控和審核BYOD設備，以确保員工(gōng)遵守安(ān)全法規和政策。

影子IT是指員工(gōng)在企業IT部門未知情或未批準的情況下違規使用(yòng)第三方物(wù)聯網設備、工(gōng)具(jù)、軟件和IT服務(wù)。比如說，由于員工(gōng)認為(wèi)Google Drive的訪問速度更快，可(kě)能(néng)擅自使用(yòng)Google Drive來保存敏感數據，而不是使用(yòng)企業要求的文(wén)件共享系統。

影子IT無疑增加了企業終端安(ān)全建設的難度，因為(wèi)其加劇了終端資産(chǎn)的可(kě)見性缺失。很(hěn)多(duō)看似無害的影子IT使用(yòng)行為(wèi)卻可(kě)能(néng)帶來嚴重的安(ān)全風險，并導緻數據洩露或惡意軟件侵入。企業安(ān)全團隊應該教育指導員工(gōng)，幫助他(tā)們按要求使用(yòng)正确的工(gōng)具(jù)完成工(gōng)作(zuò)，并簡化審查和批準過程，管控影子IT的潛在使用(yòng)風險。

過時的操作(zuò)系統與軟件應用(yòng)是企業終端安(ān)全防護中(zhōng)面臨的最嚴重威脅之一。研究數據顯示，近七成的網絡攻擊是利用(yòng)過期操作(zuò)系統中(zhōng)的已知漏洞進入企業網絡，從而引發安(ān)全事件。因此，及時更新(xīn)終端系統的版本和補丁程序至關重要。但在當前的數字化發展環境下，由于終端設備數量激增，加大了企業管理(lǐ)終端應用(yòng)系統更新(xīn)和安(ān)全補丁的難度。企業應該開啓自動更新(xīn)機制，并使用(yòng)統一端點管理(lǐ)來集中(zhōng)進行版本和補丁的更新(xīn)，并積極與定期推送更新(xīn)的第三方服務(wù)合作(zuò)。

數據顯示，以網絡釣魚為(wèi)代表的社會工(gōng)程攻擊對企業終端安(ān)全構成了嚴峻的挑戰。即便企業在所有(yǒu)終端系統上部署了完善的安(ān)全防護方案，也無法解決員工(gōng)主動點擊各種惡意鏈接。由于開展網絡釣魚活動的成本不斷降低，網絡釣魚已經成為(wèi)目前最常用(yòng)的終端安(ān)全攻擊途徑之一。據思科(kē)公(gōng)司研究報告顯示，86%的企業都遇到過至少一次釣魚攻擊。隻要有(yǒu)一名(míng)内部員工(gōng)淪為(wèi)網絡釣魚攻擊的受害者，他(tā)們就可(kě)能(néng)無意中(zhōng)将惡意軟件傳播到整個網絡。這麽做可(kě)能(néng)會危及設備的安(ān)全性，導緻嚴重的後果，包括數據被盜、經紗損失或公(gōng)司聲譽受損。由于網絡釣魚攻擊變得日益複雜，因此，企業要采用(yòng)正确的措施來保護所有(yǒu)終端免受網絡釣魚攻擊。

盡管很(hěn)多(duō)終端安(ān)全方案中(zhōng)都會包括對USB端口的管理(lǐ)，但是這仍然是威脅企業終端安(ān)全的主要因素之一。研究人員發現，攻擊者正在構建更加隐蔽的USB投放攻擊，利用(yòng)新(xīn)一代的社會工(gōng)程伎倆來大量感染端點。如果企業沒有(yǒu)足夠重視管理(lǐ)和保護各種終端上的USB端口，就很(hěn)難防止這種攻擊。企業應該将USB設備列入白名(míng)單，并定期進行安(ān)全審計，這可(kě)以幫助企業防止不安(ān)全的USB端口構成威脅。另外為(wèi)了安(ān)全起見，應該禁用(yòng)未使用(yòng)的USB端口。

研究機構Forrester在其發布的《終端安(ān)全管理(lǐ)的未來》研究報告中(zhōng)指出，終端安(ān)全防護市場将在未來五年保持快速增長(cháng)态勢。對所有(yǒu)終端設備進行有(yǒu)效的安(ān)全防護和管理(lǐ)是保護企業數字化轉型安(ān)全開展的基礎。而組織在開展新(xīn)一代終端安(ān)全防護能(néng)力建設時，也需要重點關注以下技(jì )術發展趨勢：

将新(xīn)一代AI技(jì )術用(yòng)于終端安(ān)全建設已經越來越普遍，可(kě)以在無需人員幹預的情況下自動修複端點問題。此外，AI為(wèi)終端系統自我修複帶來了更大的彈性。研究人員認為(wèi)，新(xīn)一代終端安(ān)全防護平台需要在應用(yòng)程序、操作(zuò)系統和固件這三個主要層面提供自我修複，才能(néng)起到實際效果。其中(zhōng)，嵌入在固件中(zhōng)的自我修複将最重要，因為(wèi)它确保端點上運行的所有(yǒu)軟件。固件層面的自我修複也很(hěn)有(yǒu)必要，如果在端點上運行的端點安(ān)全代理(lǐ)崩潰或損壞，固件層面的自我修複有(yǒu)助于快速修複。

統一終端安(ān)全防護平台可(kě)以提供終端檢測和響應（EDR）、漏洞管理(lǐ)、反網絡釣魚以及生物(wù)特征驗證。調查發現，企業組織需要為(wèi)整合的終端安(ān)全管理(lǐ)和防護平台提供統一視圖，實時了解所有(yǒu)終端的安(ān)全運行情況，體(tǐ)系化解決方案能(néng)力也将成為(wèi)評價終端安(ān)全廠商(shāng)競争力的重要因素。

新(xīn)一代終端安(ān)全解決方案需要廣泛收集用(yòng)戶體(tǐ)驗監測數據，并作(zuò)為(wèi)産(chǎn)品優化的參考依據。增強用(yòng)戶體(tǐ)驗可(kě)以先從縮短設備啓動時間的這一場景開始，随後範圍會擴大到應用(yòng)程序、網絡和身份驗證機制等。增強用(yòng)戶體(tǐ)驗的目的是提供更安(ān)全的終端安(ān)全應用(yòng)，同時讓用(yòng)戶幾乎感覺不到對數字化業務(wù)的影響。

企業需要在支持員工(gōng)自帶設備的同時，加大對核心應用(yòng)和隐私數據的保護，因此，新(xīn)一代終端安(ān)全能(néng)力建設需要更關注以數據和應用(yòng)程序為(wèi)中(zhōng)心的保護，而不是對硬件設備的保護。目前，獨立的數據安(ān)全技(jì )術已經被大量采用(yòng)，即便在員工(gōng)自己購(gòu)買的終端設備上，也可(kě)以使用(yòng)虛拟化隔離系統，來分(fēn)離公(gōng)司數據和個人數據，這樣不僅為(wèi)員工(gōng)提供了更好的靈活性，也為(wèi)企業帶來了更好的安(ān)全性。