我刊已长期开通【漫话安全】栏目，

以图文漫画的形式为大家讲讲“网安圈”的一些趣事、要闻，

欢迎各位大大给我们的专栏投稿哦☺☺

本期我们联合了青藤云安全的青小宝，

讲讲网安圈子里的一条鄙视链。。。别着急，继续往下看。

网安圈“主机安全”领域的“反鄙视”指南

金庸说：有人的地方就有江湖

其实，除了江湖

有人的地方还有“鄙视链”

尤其是在技术日新月异的安全圈

又刚出炉一条热乎乎的主机安全领域的鄙视链

CWPP → EDR → EPP → 杀毒软件

我们一个一个来看它们

是怎么被别人鄙视

或鄙视别人的

01  杀毒软件

作为安全界的“老大哥”

杀毒软件在保护终端不受病毒入侵上劳苦功高

无奈它只能根据病毒特征码来识别已知病毒

对没有输入病毒库的病毒没法识别和查杀

这样不仅查杀滞后

而且随着病毒种类越来越多

病毒库也越来越庞大臃肿

无法满足企业轻、快、好、省的需求

在后浪此起彼伏的拍打下

杀毒软件只能黯然退居二线

02  第二代杀毒软件

从被动的特征码比对

进化成不需要即时更新的新病毒识别

比如行为检测

根据其行为判断是否是恶意程序

这种不依赖于传统特征码扫描的主动防御软件

被称为第二代杀毒软件

不过它只是传统被动防御技术的补充

并不能包治百病

最要命的是它只能在PC端防毒

跟不上黑客攻击路径多变的步伐

03  EPP

要想全方位保护好终端

光从PC端的杀毒软件入手可远远不够

因为黑客不仅能从终端以外的其他路径入侵

还能用病毒感染以外的其他手段入侵

这种情况下就产生了EPP的概念

EPP也被称为第三代杀毒软件

（Endpoint Protection Platform，端点保护平台）

与单个杀毒软件不同

EPP是一组软件工具和技术团队作战

它结合了多种端点保护解决方案

可以保护各种类型的端点设备

(PC 、智能手机、平板电脑）

还能通过数据丢失防护和数据加密服务

来保护端点设备上的静态数据

04  EDR

但EPP产品再厉害

也应付不了复杂和有针对性的攻击

攻击者通过定制化的恶意软件可以成功绕过防御

利用多种技术手段和工具组合的攻击

更加难以被识别

即使部分发出告警

各个防御工具的告警也是相互独立的

彼此间没什么关联

安全人员很难利用这些警报看出攻击的全貌

另外，EPP缺乏对终端的持续监控

安全人员很难定位威胁的来源以及威胁造成的影响

为了解决这些问题

EDR 技术应运而生

EDR是将下一代防病毒元素

（Endpoint Detection and Response，端点检测与响应平台）

与其他工具相结合的安全系统

能对端点上的文件活动进行持续监视

主动检测新的或未知的威胁

可以在攻击发生时快速察觉和定位问题

并在攻击发生后追踪溯源

避免攻击再次发生

05  CWPP

但EDR还没嘚瑟几天

就跟其他终端安全产品一样被鄙视了

因为EDR虽然在端点防护上很给力

但在主机安全领域只能算个菜鸟

云时代，服务器形态从物理机向虚拟机、容器

甚至无服务器架构转变

这些服务器自身的计算特征

和面临的安全威胁各不一样

传统的终端产品瞬间就玩不转了

为此Gartner专门定义了一个位于

鄙视链顶端的产品——CWPP

（Cloud Workload Protection Platforms，云工作负载安全防护平台）

它是用来保护云上工作负载的安全全家桶

对云上的工作负载，提供多个维度、

全方位的保护能力

Gartner把这种能力由基础到次要分成了8大类别

CWPP涵盖了工作负载整个生命周期的安全需求

可以保护服务器工作负载免受攻击

无论工作负载的位置或粒度如何

CWPP提供了对所有服务器工作

负载一致的可见性和可控性

CWPP的功能虽然足以让它独霸武林

但实际的落地效果90%都非常拉胯

主要原因包括以下3点

一、挂羊头卖狗肉，不是CWPP原生产品

CWPP概念一经发布

立刻引起了众多安全厂商的关注

但很多厂商要么还在死磕EDR

要么根本没能力开发真正基于CWPP理念的产品

于是就想了个投机取巧的办法

把其他安全产品修修补补、拼拼凑凑

愣是改成了一款对外宣称CWPP的产品

但实际效果你懂的。。。

二、狂刷存在感，重Agent影响业务

安全的本质是为了业务更好地运行

有的安全产品就违背了这条基本原则

在主机上装的Agent不仅体量大

还要修改内核

对服务器侵入性极大，兼容性隐患极大

一不小心就会影响业务

三、安全界愣头青，功能少而浅

部分厂商推出的CWPP产品

虽说不是其他产品改装来的

但败在它太年轻，刚出世一两年

不仅功能模块缺失很多

已有的功能深度也不够

实际用起来效果可想而知

那么该如何选择CWPP类的产品呢？

要说不拉胯的CWPP产品

青小宝认为应该得有Agent、Engine、Console这三个小弟

这三个小弟就基本能全方位防御各路威胁

三个小弟个个身手不凡

Agent轻量、稳定，对业务0影响

Engine引擎灵活可扩展，对入侵行为实时告警

Console控制中心实时可见，用户一键操作管理

仨人各司其职、相互协作

完成了主机信息采集、分析、呈现的一条龙防护

基于自适应安全理念

细粒度、多角度、持续化的

对威胁进行实时动态分析

自动适应不断变化的网络和威胁环境

持续优化自身的安全防御机制

让各种威胁无机可乘

现在您明白这条鄙视链了吧，哈哈~~