今年8月，賽門鐵克完成對網站安全及云安全領域的領導者廠商Blue Coat的收購。在這之后不到四個月的時間內，賽門鐵克便快速完成了對兩家現有的威脅情報資源以及部分產品的整合，并在11月初發布了其最新的終端安全產品SEP 14。

此次賽門鐵克新推出的SEP 14和Blue Coat有哪些結合點？在終端安全領域賽門鐵克又加入了哪些新的能力？

基于全球最大的民用威脅情報網絡

SEP系列的終端安全產品一直是賽門鐵克的強項。此次收購Blue Coat后，這一安全產品背后的基礎能力，即更大的實時全球威脅情報網絡，以及更多終端和網絡中的數據，也得到了顯著提升。

Blue Coat實驗室下的全球智能中心，基于從全球1.5萬企業用戶中獲取的實時網絡流量數據來進行威脅情報的挖掘，并對每日超過12億的Web請求進行分析以及威脅阻斷。據統計，完成收購后的賽門鐵克，其智能威脅云將覆蓋全球38.5萬企業用戶，1.75億個終端。

除了情報資源的整合，Blue Coat的明星產品安全Web網關ProxySG所偵測到的流量數據中的惡意威脅，以及其內嵌的內容分析、惡意軟件分析以及郵件威脅防御等高級威脅防護能力，也實現了與SEP14的聯動。這使得Web能看到的威脅，終端也能及時做出響應和防護，反之則亦然。這個攻擊面就變得很廣，網關、郵件、云端、終端都可能被同樣的手段發動攻擊，這時這個能力就顯得尤為重要。

同時，基于其云端的威脅發現能力的極大程度的加強，此次新加入的實時云查找功能，也成為了一大亮點。

傳統的終端安全產品是通過下載病毒特征庫進行本地更新后，對可疑文件進行排查。而此次的云查找，則可以看做一個“云端”的病毒庫，在用戶沒有條件進行完整病毒庫更新以前，同樣可以有最全面的安全防護效果。云端的特征碼的用途也不再是更高的檢出率，而是更低的誤報率。同時，本地的病毒庫更新文件，其大小和所占用帶寬也在SEP14中大幅減少，而這在很大程度上得益于其內置的高級機器學習能力。

高級機器學習與漏洞利用行為檢測的加入

基于高級學習的人工智能，也是此次賽門鐵克首次加入到終端安全解決方案中的重要能力。通過龐大的智能威脅情報網絡所訓練出的高級機器學習模型對可疑文件的判斷和過濾的預執行檢測結果更為精準；同時，終端通過機器學習檢測到的可疑內容，也會被送至云端，與賽門鐵克云端的的黑/白名單數據庫做比較，并將結果轉化為威脅情報，服務于其它使用賽門鐵克安全產品的企業。

更為精準的機器學習能力的加入，使得本地可以檢測出更多的入侵威脅，也大大減少了云端云查詢所需要檢測的數據量，這也是實時云查找更為快速的重要原因之一。

即使在諸如工控等較為封閉網絡環境下，無法使用云查找和病毒庫的更新，機器學習能力也可以有效的防止惡意軟件變種的攻擊。但是，因為機器學習的檢測基于文件，感染已經發生這一事實已無法避免，所以只能算是一種事中的檢測手段。但這一點，也可以通過對內存的漏洞利用行為的監控有效予以彌補。這也是目前終端安全廠商對零日攻擊或者工控網絡中的威脅發現等場景下最為行之有效的防御思路。之前在安全牛關于Sophos的Intercept X，以及Palo Alto Networks的Traps的報道中都有這種防御思路的介紹，這里就不做多余贅述。

簡而言之，在無惡意文件簽名可檢測，機器學習模型也無法做出定性判斷的情況下，在操作系統層面，對可數的內存漏洞攻擊行為進行針對性的監控和布防，并最終粉碎攻擊者試圖獲取系統最高權限的意圖，是這種技術的主要思路。

除此以外，此次SEP14還加入了一個名為“仿真”的類沙盒功能，其反逃避技術將用于檢測已知惡意軟件的變種。

更快的響應

賽門鐵克對此次SEP14的定位，除了更出色的多層次保護能力，以及因為機器學習的加入和開發概念的變更而實現的輕量級和高性能外，更方便的集成以及更快的協調響應速度，也是此次SEP14的重要特點。

在響應能力方面，除了對Blue Coat原有網關和云安全產品的強耦合集成支持外，通過SEP 管理器的API接口，SEP 14也可以和SIEM類的安全管理平臺進行集成后的協調響應，并通過將終端捕捉到的威脅數據反饋到此類管理平臺，來實現和更多網絡或安全設備的更高層面的防護聯動。

安全牛評

在終端安全已不再孤立的今天，下一代終端安全產品和終端檢測響應(EDR)方案的出現，要求我們在面對更為復雜的黑客攻擊時，擁有多場景下的更快速有效的防護，以及更多更快的響應能力。在網絡層面被黑客成功突破只是時間和成本的問題，終端已經成為了我們最容易被攻擊的突破點和最后的防線。此次賽門鐵克SEP 14作為單個產品，整合了多項下一代終端防護技術的同時，結合其收購Blue Coat后更為強大的云端安全能力作為支撐，不僅降低了企業總成本和端點復雜性，也讓運維人員從紛繁復雜的安全工具中得到一定程度的“解脫”。而這可能對企業用戶來講這才是其最大的價值所在。