随着現代企業數字化轉型的(of)深入發展，雲計算、大(big)數據、物聯網、移動互聯等創新技術的(of)應用(use)加速落地(land)，組織原有的(of)網絡邊界被打破，各種類型的(of)終端設備成爲(for)了(Got it)新的(of)安全邊界。在(exist)此背景下，确保組織高效辦公的(of)靈活性、安全性和(and)隐私性是(yes)指引新一(one)代終端安全建設與發展的(of)三大(big)基石，要(want)讓終端計算設備具有與時(hour)俱進的(of)安全能力，而不(No)是(yes)一(one)味通過管理措施去限制員工對終端設備的(of)使用(use)。

終端是(yes)指連接到(arrive)企業網絡系統中的(of)各種計算設備，主要(want)包括了(Got it)筆記本電腦、台式機、平闆電腦、智能手機以(by)及新型物聯網終端設備等。如果威脅分子成功利用(use)這(this)些終端設備上的(of)安全漏洞，就可以(by)輕松進入企業網絡并非法訪問數據資源，造成難以(by)挽回的(of)危害。因此，增強終端安全對于(At)确保整體組織的(of)數字化應用(use)安全至關重要(want)。

但是(yes)，要(want)實現全面的(of)終端安全防護并不(No)容易，企業安全團隊在(exist)開展終端安全能力建設時(hour)将面臨以(by)下7大(big)挑戰：

在(exist)企業組織中，可能使用(use)多種終端設備，包括移動設備、筆記本、無線設備和(and)桌面設備等。這(this)些終端設備運行在(exist)不(No)同的(of)操作(do)系統上，因此要(want)跟蹤記錄所有聯網終端的(of)操作(do)與使用(use)情況非常困難，這(this)也使得安全團隊對終端設備使用(use)的(of)可見性非常有限。缺乏可見性嚴重影響了(Got it)企業及時(hour)發現易受攻擊的(of)終端和(and)發生(born)在(exist)這(this)些設備上的(of)可疑活動。而大(big)量的(of)惡意軟件正是(yes)利用(use)這(this)一(one)特點，長期潛伏在(exist)已被攻陷的(of)終端設備中，伺機竊取或加密組織的(of)敏感數據。

終端數量激增的(of)趨勢将在(exist)很長時(hour)間内延續下去，準确跟蹤所有終端對于(At)開展新一(one)代終端安全能力建設非常重要(want)，企業應該優先考慮升級部署功能更強大(big)的(of)統一(one)終端監控管理工具。

遠程辦公已經成爲(for)現代企業工作(do)模式的(of)新常态，這(this)讓保護遠程終端安全變得頗具挑戰性。由于(At)遠程辦公時(hour)，員工是(yes)在(exist)企業物理網絡之外工作(do)，往往難以(by)嚴格遵循企業網絡安全管理的(of)最佳實踐要(want)求。此外，企業對遠程辦公終端的(of)安全控制能力也很有限。比如說，員工一(one)旦在(exist)咖啡館等公共場所遺失手機、筆記本等終端設備，就會危及企業整體的(of)數據安全。

爲(for)了(Got it)克服遠程工作(do)帶來(Come)的(of)網絡安全風險，企業應該部署并要(want)求員工使用(use)多因素身份驗證（MFA）、虛拟專用(use)網（VPN）、網絡分段、終端監控等端點安全防護措施，并對遠程辦公人(people)員進行基于(At)行爲(for)的(of)安全意識培訓。

目前，很多企業都會允許并鼓勵員工在(exist)自帶設備（BYOD）上辦公，它有諸多好處，包括提高生(born)産力、降低運營成本以(by)及減輕IT運維團隊的(of)技術支持壓力。但BYOD設備屬于(At)員工個(indivual)人(people)所有，企業如果無法對這(this)些設備進行有效的(of)管理和(and)控制，将是(yes)企業未來(Come)終端安全建設中面臨的(of)一(one)大(big)挑戰。

如何安全地(land)實施BYOD政策以(by)保護數字化業務的(of)安全開展呢？企業應該爲(for)BYOD的(of)使用(use)制定明确的(of)安全策略和(and)指導方針，包括統一(one)的(of)安全要(want)求和(and)告知确認。同時(hour)，企業應确保BYOD設備安裝遠程隐私數據的(of)擦除功能，以(by)便可以(by)快速銷毀丢失或被盜設備中的(of)重要(want)數據。此外，企業應該定期監控和(and)審核BYOD設備，以(by)确保員工遵守安全法規和(and)政策。

影子IT是(yes)指員工在(exist)企業IT部門未知情或未批準的(of)情況下違規使用(use)第三方物聯網設備、工具、軟件和(and)IT服務。比如說，由于(At)員工認爲(for)Google Drive的(of)訪問速度更快，可能擅自使用(use)Google Drive來(Come)保存敏感數據，而不(No)是(yes)使用(use)企業要(want)求的(of)文件共享系統。

影子IT無疑增加了(Got it)企業終端安全建設的(of)難度，因爲(for)其加劇了(Got it)終端資産的(of)可見性缺失。很多看似無害的(of)影子IT使用(use)行爲(for)卻可能帶來(Come)嚴重的(of)安全風險，并導緻數據洩露或惡意軟件侵入。企業安全團隊應該教育指導員工，幫助他(he)們(them)按要(want)求使用(use)正确的(of)工具完成工作(do)，并簡化審查和(and)批準過程，管控影子IT的(of)潛在(exist)使用(use)風險。

過時(hour)的(of)操作(do)系統與軟件應用(use)是(yes)企業終端安全防護中面臨的(of)最嚴重威脅之一(one)。研究數據顯示，近七成的(of)網絡攻擊是(yes)利用(use)過期操作(do)系統中的(of)已知漏洞進入企業網絡，從而引發安全事件。因此，及時(hour)更新終端系統的(of)版本和(and)補丁程序至關重要(want)。但在(exist)當前的(of)數字化發展環境下，由于(At)終端設備數量激增，加大(big)了(Got it)企業管理終端應用(use)系統更新和(and)安全補丁的(of)難度。企業應該開啓自動更新機制，并使用(use)統一(one)端點管理來(Come)集中進行版本和(and)補丁的(of)更新，并積極與定期推送更新的(of)第三方服務合作(do)。

數據顯示，以(by)網絡釣魚爲(for)代表的(of)社會工程攻擊對企業終端安全構成了(Got it)嚴峻的(of)挑戰。即便企業在(exist)所有終端系統上部署了(Got it)完善的(of)安全防護方案，也無法解決員工主動點擊各種惡意鏈接。由于(At)開展網絡釣魚活動的(of)成本不(No)斷降低，網絡釣魚已經成爲(for)目前最常用(use)的(of)終端安全攻擊途徑之一(one)。據思科公司研究報告顯示，86%的(of)企業都遇到(arrive)過至少一(one)次釣魚攻擊。隻要(want)有一(one)名内部員工淪爲(for)網絡釣魚攻擊的(of)受害者，他(he)們(them)就可能無意中将惡意軟件傳播到(arrive)整個(indivual)網絡。這(this)麽做可能會危及設備的(of)安全性，導緻嚴重的(of)後果，包括數據被盜、經紗損失或公司聲譽受損。由于(At)網絡釣魚攻擊變得日益複雜，因此，企業要(want)采用(use)正确的(of)措施來(Come)保護所有終端免受網絡釣魚攻擊。

盡管很多終端安全方案中都會包括對USB端口的(of)管理，但是(yes)這(this)仍然是(yes)威脅企業終端安全的(of)主要(want)因素之一(one)。研究人(people)員發現，攻擊者正在(exist)構建更加隐蔽的(of)USB投放攻擊，利用(use)新一(one)代的(of)社會工程伎倆來(Come)大(big)量感染端點。如果企業沒有足夠重視管理和(and)保護各種終端上的(of)USB端口，就很難防止這(this)種攻擊。企業應該将USB設備列入白名單，并定期進行安全審計，這(this)可以(by)幫助企業防止不(No)安全的(of)USB端口構成威脅。另外爲(for)了(Got it)安全起見，應該禁用(use)未使用(use)的(of)USB端口。

研究機構Forrester在(exist)其發布的(of)《終端安全管理的(of)未來(Come)》研究報告中指出(out)，終端安全防護市場将在(exist)未來(Come)五年保持快速增長态勢。對所有終端設備進行有效的(of)安全防護和(and)管理是(yes)保護企業數字化轉型安全開展的(of)基礎。而組織在(exist)開展新一(one)代終端安全防護能力建設時(hour)，也需要(want)重點關注以(by)下技術發展趨勢：

将新一(one)代AI技術用(use)于(At)終端安全建設已經越來(Come)越普遍，可以(by)在(exist)無需人(people)員幹預的(of)情況下自動修複端點問題。此外，AI爲(for)終端系統自我(I)修複帶來(Come)了(Got it)更大(big)的(of)彈性。研究人(people)員認爲(for)，新一(one)代終端安全防護平台需要(want)在(exist)應用(use)程序、操作(do)系統和(and)固件這(this)三個(indivual)主要(want)層面提供自我(I)修複，才能起到(arrive)實際效果。其中，嵌入在(exist)固件中的(of)自我(I)修複将最重要(want)，因爲(for)它确保端點上運行的(of)所有軟件。固件層面的(of)自我(I)修複也很有必要(want)，如果在(exist)端點上運行的(of)端點安全代理崩潰或損壞，固件層面的(of)自我(I)修複有助于(At)快速修複。

統一(one)終端安全防護平台可以(by)提供終端檢測和(and)響應（EDR）、漏洞管理、反網絡釣魚以(by)及生(born)物特征驗證。調查發現，企業組織需要(want)爲(for)整合的(of)終端安全管理和(and)防護平台提供統一(one)視圖，實時(hour)了(Got it)解所有終端的(of)安全運行情況，體系化解決方案能力也将成爲(for)評價終端安全廠商競争力的(of)重要(want)因素。

新一(one)代終端安全解決方案需要(want)廣泛收集用(use)戶體驗監測數據，并作(do)爲(for)産品優化的(of)參考依據。增強用(use)戶體驗可以(by)先從縮短設備啓動時(hour)間的(of)這(this)一(one)場景開始，随後範圍會擴大(big)到(arrive)應用(use)程序、網絡和(and)身份驗證機制等。增強用(use)戶體驗的(of)目的(of)是(yes)提供更安全的(of)終端安全應用(use)，同時(hour)讓用(use)戶幾乎感覺不(No)到(arrive)對數字化業務的(of)影響。

企業需要(want)在(exist)支持員工自帶設備的(of)同時(hour)，加大(big)對核心應用(use)和(and)隐私數據的(of)保護，因此，新一(one)代終端安全能力建設需要(want)更關注以(by)數據和(and)應用(use)程序爲(for)中心的(of)保護，而不(No)是(yes)對硬件設備的(of)保護。目前，獨立的(of)數據安全技術已經被大(big)量采用(use)，即便在(exist)員工自己購買的(of)終端設備上，也可以(by)使用(use)虛拟化隔離系統，來(Come)分離公司數據和(and)個(indivual)人(people)數據，這(this)樣不(No)僅爲(for)員工提供了(Got it)更好的(of)靈活性，也爲(for)企業帶來(Come)了(Got it)更好的(of)安全性。