随着(zhe／zhuó／zhāo／zháo)現代企業數字化轉型的深入發(fā／fà)展，雲計算、大數據、物聯網、移動互聯等創新技術的應用(yòng)加速落地，組織原有的網絡邊界被打破，各種類型的終端設備成爲了新的安全邊界。在此背景下(xià)，确保組織高效辦公的靈活性、安全性和隐私性是指引新一代終端安全建設與發(fā／fà)展的三大基石，要(yào / yāo)讓終端計算設備具有與時俱進的安全能(néng)力，而(ér)不是一味通過(guò)管理措施去(qù)限制員工對(duì)終端設備的使用(yòng)。

終端是指連接到企業網絡系統中的各種計算設備，主要(yào / yāo)包括了筆記本電腦、台式機、平闆電腦、智能(néng)手機以及新型物聯網終端設備等。如(rú)果威脅分子成功利用(yòng)這些終端設備上的安全漏洞，就(jiù)可(kě)以輕松進入企業網絡并非法訪問數據資源，造成難以挽回的危害。因此，增強終端安全對(duì)于(yú)确保整體組織的數字化應用(yòng)安全至關重要(yào / yāo)。

但是，要(yào / yāo)實現全面的終端安全防護并不容易，企業安全團隊在開展終端安全能(néng)力建設時将面臨以下(xià)7大挑戰：

在企業組織中，可(kě)能(néng)使用(yòng)多種終端設備，包括移動設備、筆記本、無線設備和桌面設備等。這些終端設備運行(háng / xíng)在不同的操作系統上，因此要(yào / yāo)跟蹤記錄所(suǒ)有聯網終端的操作與使用(yòng)情況非常困難，這也使得(dé / de / děi)安全團隊對(duì)終端設備使用(yòng)的可(kě)見性非常有限。缺乏可(kě)見性嚴重影響了企業及時發(fā／fà)現易受攻擊的終端和發(fā／fà)生(shēng)在這些設備上的可(kě)疑活動。而(ér)大量的惡意軟件正是利用(yòng)這一特點，長期潛伏在已被攻陷的終端設備中，伺機竊取或加密組織的敏感數據。

終端數量激增的趨勢将在很長時間内延續下(xià)去(qù)，準确跟蹤所(suǒ)有終端對(duì)于(yú)開展新一代終端安全能(néng)力建設非常重要(yào / yāo)，企業應該優先考慮升級部署功能(néng)更強大的統一終端監控管理工具。

遠程辦公已經成爲現代企業工作模式的新常态，這讓保護遠程終端安全變得(dé / de / děi)頗具挑戰性。由于(yú)遠程辦公時，員工是在企業物理網絡之外工作，往往難以嚴格遵循企業網絡安全管理的最佳實踐要(yào / yāo)求。此外，企業對(duì)遠程辦公終端的安全控制能(néng)力也很有限。比如(rú)說，員工一旦在咖啡館等公共場所(suǒ)遺失手機、筆記本等終端設備，就(jiù)會(huì)危及企業整體的數據安全。

爲了克服遠程工作帶來的網絡安全風險，企業應該部署并要(yào / yāo)求員工使用(yòng)多因素身份驗證（MFA）、虛拟專用(yòng)網（VPN）、網絡分段、終端監控等端點安全防護措施，并對(duì)遠程辦公人員進行(háng / xíng)基于(yú)行(háng / xíng)爲的安全意識培訓。

目前，很多企業都會(huì)允許并鼓勵員工在自(zì)帶設備（BYOD）上辦公，它有諸多好處，包括提高生(shēng)産力、降低運營成本以及減輕IT運維團隊的技術支持壓力。但BYOD設備屬于(yú)員工個人所(suǒ)有，企業如(rú)果無法對(duì)這些設備進行(háng / xíng)有效的管理和控制，将是企業未來終端安全建設中面臨的一大挑戰。

如(rú)何安全地實施BYOD政策以保護數字化業務的安全開展呢？企業應該爲BYOD的使用(yòng)制定明确的安全策略和指導方針，包括統一的安全要(yào / yāo)求和告知确認。同時，企業應确保BYOD設備安裝遠程隐私數據的擦除功能(néng)，以便可(kě)以快速銷毀丢失或被盜設備中的重要(yào / yāo)數據。此外，企業應該定期監控和審核BYOD設備，以确保員工遵守安全法規和政策。

影子IT是指員工在企業IT部門未知情或未批準的情況下(xià)違規使用(yòng)第三方物聯網設備、工具、軟件和IT服務。比如(rú)說，由于(yú)員工認爲Google Drive的訪問速度更快，可(kě)能(néng)擅自(zì)使用(yòng)Google Drive來保存敏感數據，而(ér)不是使用(yòng)企業要(yào / yāo)求的文件共享系統。

影子IT無疑增加了企業終端安全建設的難度，因爲其(qí)加劇了終端資産的可(kě)見性缺失。很多看似無害的影子IT使用(yòng)行(háng / xíng)爲卻可(kě)能(néng)帶來嚴重的安全風險，并導緻數據洩露或惡意軟件侵入。企業安全團隊應該教育指導員工，幫助他們按要(yào / yāo)求使用(yòng)正确的工具完成工作，并簡化審查和批準過(guò)程，管控影子IT的潛在使用(yòng)風險。

過(guò)時的操作系統與軟件應用(yòng)是企業終端安全防護中面臨的最嚴重威脅之一。研究數據顯示，近七成的網絡攻擊是利用(yòng)過(guò)期操作系統中的已知漏洞進入企業網絡，從而(ér)引發(fā／fà)安全事(shì)件。因此，及時更新終端系統的版本和補丁程序至關重要(yào / yāo)。但在當前的數字化發(fā／fà)展環境下(xià)，由于(yú)終端設備數量激增，加大了企業管理終端應用(yòng)系統更新和安全補丁的難度。企業應該開啓自(zì)動更新機制，并使用(yòng)統一端點管理來集中進行(háng / xíng)版本和補丁的更新，并積極與定期推送更新的第三方服務合作。

數據顯示，以網絡釣魚爲代表的社會(huì)工程攻擊對(duì)企業終端安全構成了嚴峻的挑戰。即便企業在所(suǒ)有終端系統上部署了完善的安全防護方案，也無法解決員工主動點擊各種惡意鏈接。由于(yú)開展網絡釣魚活動的成本不斷降低，網絡釣魚已經成爲目前最常用(yòng)的終端安全攻擊途徑之一。據思科公司研究報告顯示，86%的企業都遇到過(guò)至少一次釣魚攻擊。隻要(yào / yāo)有一名内部員工淪爲網絡釣魚攻擊的受害者，他們就(jiù)可(kě)能(néng)無意中将惡意軟件傳播到整個網絡。這麽做可(kě)能(néng)會(huì)危及設備的安全性，導緻嚴重的後(hòu)果，包括數據被盜、經紗損失或公司聲譽受損。由于(yú)網絡釣魚攻擊變得(dé / de / děi)日益複雜，因此，企業要(yào / yāo)采用(yòng)正确的措施來保護所(suǒ)有終端免受網絡釣魚攻擊。

盡管很多終端安全方案中都會(huì)包括對(duì)USB端口的管理，但是這仍然是威脅企業終端安全的主要(yào / yāo)因素之一。研究人員發(fā／fà)現，攻擊者正在構建更加隐蔽的USB投放攻擊，利用(yòng)新一代的社會(huì)工程伎倆來大量感染端點。如(rú)果企業沒有足夠重視管理和保護各種終端上的USB端口，就(jiù)很難防止這種攻擊。企業應該将USB設備列入白名單，并定期進行(háng / xíng)安全審計，這可(kě)以幫助企業防止不安全的USB端口構成威脅。另外爲了安全起見，應該禁用(yòng)未使用(yòng)的USB端口。

研究機構Forrester在其(qí)發(fā／fà)布的《終端安全管理的未來》研究報告中指出，終端安全防護市場将在未來五年(nián)保持快速增長态勢。對(duì)所(suǒ)有終端設備進行(háng / xíng)有效的安全防護和管理是保護企業數字化轉型安全開展的基礎。而(ér)組織在開展新一代終端安全防護能(néng)力建設時，也需要(yào / yāo)重點關注以下(xià)技術發(fā／fà)展趨勢：

将新一代AI技術用(yòng)于(yú)終端安全建設已經越來越普遍，可(kě)以在無需人員幹預的情況下(xià)自(zì)動修複端點問題。此外，AI爲終端系統自(zì)我修複帶來了更大的彈性。研究人員認爲，新一代終端安全防護平台需要(yào / yāo)在應用(yòng)程序、操作系統和固件這三個主要(yào / yāo)層面提供自(zì)我修複，才能(néng)起到實際效果。其(qí)中，嵌入在固件中的自(zì)我修複将最重要(yào / yāo)，因爲它确保端點上運行(háng / xíng)的所(suǒ)有軟件。固件層面的自(zì)我修複也很有必要(yào / yāo)，如(rú)果在端點上運行(háng / xíng)的端點安全代理崩潰或損壞，固件層面的自(zì)我修複有助于(yú)快速修複。

統一終端安全防護平台可(kě)以提供終端檢測和響應（EDR）、漏洞管理、反網絡釣魚以及生(shēng)物特征驗證。調查發(fā／fà)現，企業組織需要(yào / yāo)爲整合的終端安全管理和防護平台提供統一視圖，實時了解所(suǒ)有終端的安全運行(háng / xíng)情況，體系化解決方案能(néng)力也将成爲評價終端安全廠商競争力的重要(yào / yāo)因素。

新一代終端安全解決方案需要(yào / yāo)廣泛收集用(yòng)戶體驗監測數據，并作爲産品優化的參考依據。增強用(yòng)戶體驗可(kě)以先從縮短設備啓動時間的這一場景開始，随後(hòu)範圍會(huì)擴大到應用(yòng)程序、網絡和身份驗證機制等。增強用(yòng)戶體驗的目的是提供更安全的終端安全應用(yòng)，同時讓用(yòng)戶幾乎感覺不到對(duì)數字化業務的影響。

企業需要(yào / yāo)在支持員工自(zì)帶設備的同時，加大對(duì)核心應用(yòng)和隐私數據的保護，因此，新一代終端安全能(néng)力建設需要(yào / yāo)更關注以數據和應用(yòng)程序爲中心的保護，而(ér)不是對(duì)硬件設備的保護。目前，獨立的數據安全技術已經被大量采用(yòng)，即便在員工自(zì)己購買的終端設備上，也可(kě)以使用(yòng)虛拟化隔離系統，來分離公司數據和個人數據，這樣不僅爲員工提供了更好的靈活性，也爲企業帶來了更好的安全性。