小说中的情节，并非不可能重现；历史上的王朝更替，也可能是对科技产品更新升级的内涵。“新一代终端安全”就演绎了如此复杂的剧情，但谈“新一代终端安全”，还要从“终端安全”说起，更要从“杀毒软件”说起。

黑客技术高，眼光也高

杀毒软件沉寂了15年。

国人对网络安全的认识，多半从杀毒软件开始。尤其是2000年前后，在硬抗下CIH、Melissa等病毒后，中国的杀毒软件市场进入鼎盛期。当时的市场格局正所谓是：“天下网络安全有一石，杀毒软件独占三斗。”

但好日子也就过了七八年。究其原因，无非内因和外因，一方面，村里来了野蛮人，打着免费的旗号收割流量，直接把杀毒软件市场给干没了；另一方面，黑客的眼光高了，也开始讲究性价比。

尤其是后者，现在个人用户所持有的那点数据，真不值当黑客大动干戈。或者说，不是个人用户没有吸引力，只是企业用户更有性价比。黑客不屑于用大炮打蚊子，他们的炮弹要留着打企业的“要塞”，炮轰企业的核心数据。

亚信安全公布的数据，就反映了真实的市场。

仅2023年第3季度，亚信安全就共截获恶意样本34,848,576个，平均每天拦截38万个。同时，从恶意样本检测类型来看，PE（感染型病毒）以26%的比重位居首位，其后依次是EXPL（漏洞利用）、Mal（恶意软件）、TROJ（木马程序）、Adware（广告软件）、Coinminer（挖矿病毒）。

这其中，勒索攻击依然是企业面临的最大威胁，而且唯利是图的黑客组织变得越发阴狠、狡诈，从小偷小摸到打家劫舍，他们无所不用其极。更进一步，当黑客将攻击目标锁定在企业后，他们还学会了团伙作案，工作效率和武力值也因此大幅度提升。

举例说明，Megazord勒索软件就采用了Rust语言编写，还结合了两种不常用的加密算法。而如勒索“新秀”Akira和Knight两大组织，也在以跨平台攻击追求更高的利益，他们侵害的系统覆盖Windows、Linux和VMware ESXi虚拟机。

终端安全不是堂吉诃德

说的再直白一些，黑客的技术高了，眼光高了，获得的收益也高了。但反观此时防守一方的兵力配比。中国的网络安全市场，始终处于高度碎片化之中。有头、有脸、有赛道的安全企业就有四五百家；没脸、没皮、没技术的企业，更不少于千家。

杀毒软件市场也是如此。

虽然此时的杀毒软件，已经进化为终端安全。但面对黑客花样翻新的轮番攻击，终端安全企业仍是沿用着步兵师的“单兵种作战”模式。他们单打独斗，且在没有友军的协同之下，在终端上塞满了各类安全软件。例如，防病毒、外联控制、基线、HFW、进程管理、准入、资产管理、加密、补丁、防泄漏、SDP、EDR、IDS等。

只不过如此一来，终端安全变得越发“臃肿、繁杂、无效”。这种模式就有点像身披重甲的堂吉诃德——兼具了崇高与幻想的二重性。一方面，他脱离现实，对自己的力量缺乏足够的估计，以致屡遭失败；另一方面，他的动机善良纯真，立志铲除世间的恶魔，充满了无私无畏的精神。

何为“新一代终端安全”

也正因如此，此时的“终端安全”槽点多多——终端安全软件种类多，责任无法界定；运营多个终端安全产品，管理难度加大；企业中的终端安全与IT管理难以实现融合；黑产在积极学习和应用AI技术，但终端安全在此方面还不够积极。

那何为“新一代终端安全”？

其实，IDC已提出“现代终端安全”概念，并结合中国本土特点，进一步提出了“中国新一代终端安全”的概念——通过检测和响应（例如阻止、移除、隔离）设备中所存在或正在执行的恶意代码和行为，来保护个人计算设备（例如工作站、PC、笔记本电脑）和移动设备（例如智能手机、平板电脑）免受网络攻击。

具体而言，“中国新一代终端安全”更强调能力集成化，即不仅是杀毒、EDR等能力，还包括零信任等一系列能力；更强调终端暴露面的统一管控，即将防御体系延伸到每一台终端设备；更强调检测智能化，即以人工智能对抗人工智能；更强调检测框架持续优化，例如从EPP到EDR，再到XDR，要有清晰明确的演进路径。

或可如此比喻。宋朝和唐朝是中国历史中，两个公认的大一统王朝，但其间经历了53年的“五代十国”阶段。从“杀毒软件”到“新一代终端安全”之间，也有类似的经历，也可称为“终端安全”的“五代十国”。

但顺应用户需求，终端安全的技术思路终将走向大一统，而且有人已经将此落地实现。C3安全大会期间，亚信安全推出新一代终端安全TrustOne。

不同于简单的功能集成，不同于此前“新一代防火墙”等产的技术思路。TrustOne属于典型的平台型产品，其融合了防病毒、虚拟补丁、EDR、桌面管理、零信任SDP、攻击面管理、网络准入等诸多原子化能力，实现了安全能力一体化、部署一体化、管理一体化、运维一体化的融合性终端防护模式升级。

用户要的不仅是安全

对于这样的产品，用户肯定是高兴的不要不要的。其使终端不再是孤立存在，而是成为整体防御体系中的一环。更重要的是，终端安全与IT管理正在融合，“安全+运维”将形成完整的闭环。

“数据收上来了，但管理没下去。集团公司的几位运维工程师，要管理10万台设备。”此前，IDC对终端安全市场进行调研，虽然被访的金融企业不方便透露姓名，但真实的需求不会有错，用户关注的不仅是安全问题。

相信“新一代终端安全”是看懂了这方面的需求。此方面在TrustOne中体现的尤为明显。例如，TrustOne所持有的桌面管理功能，就属于典型的安全运维范畴；再例如，TrustOne的统一暴露面管控能力，也属于典型安全运营范畴。

同时，在融入资产攻击面安全评估、漏洞修复动态优先算法等先进的技术后，TrustOne已具备关联分析各类检测风险能力。此将帮助运维工程师显性化，并量化风险，帮助运维工程师看清工作的轻重缓急，从而让终端安全运维有序高效。

不仅如此。

没有AI能力的运维管理，就像没有电脑的作战指挥部。安全大模型加持的TrustOne，在此已是能力倍增。一方面，其可提升安全运营效率，当威胁事件被识别后，TrustOne可自动从已有日志和数据中找出上下文对话，并在AI辅助下确定问题和源头；另一方面，安全大模型加持的TrustOne，也可以基于知识图谱，以及亚信安全的自研算法，找到之前很难找到的关联信息，为事件响应提供有力支撑。

“特殊位置”不可取代

但这还不是全部。

终端，始终是网络安全的“最前线”。因为“特殊位置”，市场中仍没有跟终端安全相媲美的产品。这里所指的“特殊位置”，即“新一代终端安全”的典型特征，实现了安全一体化、安全与管理的融合、“安全+运维”的闭环。

只不过，“特殊位置”还有另一层含义——终端安全不仅在站在“最前线”，为企业数字化转型护航，更要站在“最前线”，成为企业数字化转型的抓手——即跳出“风险驱动”、“合规驱动”的旧框框，实现以“价值驱动”。

这就要转换另一视角。

一方面，勒索、钓鱼、APT等网络攻击导致的业务中断、数据泄露，往往给组织带来难以想象的损失。IDC调研报告就显示：2022年，83%的企业因安全事件，导致业务中断一天以上，而上一年度，这一数字只有70%。

另一方面，企业数字化转型过程中，更倾向组织架构的“扁平化”和“集约化”——以“扁平化”降低所需层级，缩短决策路径，以期加快市场响应速度；以“集约化”提升管理效率，降低运营成本，从而为数据驱动的创新提供支持。

举例说明，此前桌面管理是由IT团队负责，终端安全是由安全团队负责，SOC系统是运维团队负责。数字化转型则快速推进了此不同组织间的“集约化”，至少是加强了组织间的协同。

这其中，TrustOne就起到了关键作用。TrustOne可采集日志、数据等关键信息，并转送到SOC系统进行统一分析，实现安全、运维、运营部门的联动。同时，逆行此过程，SOC发现的风险异常，也可实时联动反馈给终端，加速阻断和防护。

但这也只是协同联动的“小循环”。

如今企业中应用系统，可能还如烟囱般林立。但不管是A业务，还是B业务，都可能跑在同一台终端上。终端的特殊位置，使其可以将感知到的信息和状态，甚至业务系统的变化，反馈给企业，推动企业数字化进程。这也才形成企业组织联动的“大循环”，才能让终端成为数字化转型的抓手。

而梳理此变化，此甚至超出了技术范畴，完全取决于企业的视角和视野。或者说，TrustOne的出现并非偶然，其前提是跳出了“站在安全的视角上看数字化转型”。“新一代终端安全”开始“站在数字化转型的视角上看安全”，开始承担安全之外的责任。

这也才是其核心特征。