传统三强咖啡 铁壳 趋势统统靠边站，企业端点市场份额最新战报，MDE谁与争锋

驭龙

前两天，微软安全博客发布了一篇名为：Microsoft again ranked number one in modern endpoint security market share=在现代端点安全市场份额中微软再次排名第一


好家伙，上个月搞出大事情的CrowdStrike，没想到都没有MDE市场份额高啊，传统三强加一起都没有CS高，更不用说跟MDE比了，没想到短短几年时间，MDE已经拿下企业端点市场四分之一了，这也太可怕了吧？

还有就是下个月在华盛顿召开的Windows安全峰会上，可能会要求第三方安全厂商减少使用内核模式的功能，而是要求大部分功能转移到用户层，微软的意思是这样可以避免像CrowdStrike这样的问题出现，减少内核级别的代码，可以避免系统崩溃，而且还为第三方厂商开放了很多新的接口，其中包括VBS enclaves，其他内容如下：

What is next?
Windows is a self-protecting operating system that has produced dozens of new security features and architectural changes in recent versions. We plan to work with the anti-malware ecosystem to take advantage of these integrated features to modernize their approach, helping to support and even increase security along with reliability.

This includes helping the ecosystem by:

Providing safe rollout guidance, best practices, and technologies to make it safer to perform updates to security products.
Reducing the need for kernel drivers to access important security data.
Providing enhanced isolation and anti-tampering capabilities with technologies like our recently announced VBS enclaves.
Enabling zero trust approaches like high integrity attestation which provides a method to determine the security state of the machine based on the health of Windows native security features.

虽然微软的意思是收紧内核模式，可以减少蓝屏和不稳定，但这真的让第三方安全厂商的发挥空间受到严重限制，减少内核模式的代码，说人话就是减少驱动，好家伙，第三方没有强大的驱动级监控，还能有多大发挥空间？比如说BD的ATC~ATD，使用了大量的驱动代码，如果微软收紧内核的开放，那BD ATC的效果会不会受到影响？

感觉还是咖啡有先见之明，它的新个人版架构，就一个八十多KB的驱动，其他都是用户层的东西，如果微软真的收紧内核，加强管控，那咖啡无疑是受到影响最小的了。
=================================================
我个人觉得这种做法也确实是可以提高安全门槛，但也不是什么好事情，现在的威胁开发者都是团队和公司运作，利用各种漏洞和方式，不计后果的绕过安全防线，而第三方安全厂商考虑的事情就很多了，必须在保证系统稳定的情况下，发现隐蔽的威胁，又被微软限制调用内核进行监控，这真的不是什么好事情啊。

对于普通用户来说可选择的安全产品越来越少了，也不知道是好还是坏，我个人认为安全环境相比十几年前并没有变好，只是现在的威胁不再是炫技的，大多数是隐蔽性极强的威胁，看看样本区的银狐更新的多么频繁，刚出的第一时间，没多少能识别的，虽然后期都会拉黑，可第一批感染者的设备，就真的不好受了。

也不知道下个月的微软安全峰会的具体情况，希望现在的传言是假的吧，不然的话，第三方安全厂商真的不好混了，但对我们普通用户来说，这不是我们该操心的事情，安安心心吃瓜看戏吧

驭龙

https://bbs.kafan.cn/thread-2272844-1-1.html
这里有MDE简易版MDB的简单试用，感兴趣的饭友可以看一下，虽然跟一个月几万块的MDE有一些差距，但基础的EDR和自动攻击阻断，以及强化的行为分析拦截，都是有的

Picca

前排支持龙大，越来越感觉在内核安全的领域，微软和安全厂商都靠不住，还是得靠人脑和各种“隔离”大法（应用级or系统级）。希望最后不要变成下面这种

00006666

驱动层次防护依然是不可缺少的，R3层次的防护事实上是很脆弱的，比如银狐经常会用syscall、天堂之门等手段绕过杀软在R3的钩子，顶尖的EDR产品也依然在加强驱动开发，参考安天之前的一篇分析报告所述

https://www.freebuf.com/articles/network/406610.html

1. 驱动级主防是必须的，但需要更加可靠健壮安全：从物理主机到虚拟化的防护来看，尽管出现了这样重大的安全事件，我们依然坚信驱动级主防是必须的。基于驱动和内核模块进行安全防护虽然确实有更大的导致系统可靠性的风险，但内核级防护的安全稳定性，应通过更自动和全面的测试等来保障，而非因噎废食。如果没有内核级的主防，仅靠Ring3层面的HOOK和采集点，不但几乎很难拦截和阻断威胁，甚至无法实现有效的威胁感知，并可能很容易被攻击者删除或卸载。这种防护虽然一定程度上降低了系统出现底层故障的风险，但却将客户场景带入到随时可能被攻击者击穿的状态中。系统安全产品的Agent应实现更好的积木化，可以根据用户的防御能力和资源利用情况，让用户在底层防护、或轻量监测中可以选择，而不是借此放大用户对驱动级主防的恐惧感，而将用户引入弱防御的风险境地。当然我们也同样认为驱动级主防的设计、实现和规则运营，必须高度谨慎，要将尽可能多的威胁拦截在运行之前，而尽量避免进入到内存对决状态，这也是我们执行体治理理念的重要导向。

复制代码

1. 我们不应因高水平驱动和内核模块防御有极高稳定性、可靠性要求而退缩，转而炒作轻量级Agent等概念；不应因强化自身防御环境和全生命周期的代码安全需要巨大投入而躲避必须的建设成本。

复制代码

驭龙

Picca 发表于 2024-8-24 19:55
前排支持龙大，越来越感觉在内核安全的领域，微软和安全厂商都靠不住，还是得靠人脑和各种“隔离”大法（应 ...

你截图中说的系统，我并不了解，但我认为我现在用的设备，应该是当今最安全的PC了，iMac的MAC OS都要靠边站，我的设备不单单开了MD全部高级功能，还是安全核心PC，更是有vPRO硬件功能，以及HP内置的ESC端点安全芯片，固件也有备份和回滚，这方面我可以安安心心的吃瓜看戏了，如果我这设备都中招，那我也只能自认倒霉

驭龙

00006666 发表于 2024-8-24 20:03
驱动层次防护依然是不可缺少的，R3层次的防护事实上是很脆弱的，比如银狐经常会用syscall、天堂之门等手段 ...

对啊，我也认为驱动级别的防护不可或缺，十几年前我就开始选择驱动强悍的安全软件了，驱动强度一直是我选择安全软件的重要标志之一，之前的Avira和FS等，我就不怎么用的。

所以我觉得微软收紧内核的开放，对安全环境来说，真的不见得是好事情

Picca

驭龙 发表于 2024-8-24 20:06
你截图中说的系统，我并不了解，但我认为我现在用的设备，应该是当今最安全的PC了，iMac的MAC OS都要靠边 ...

其实我也不懂，不过我相信斯诺登不会为了我电脑里那点学习资料，放弃NSA privac级别的系统管理员工作和大好前途去russia


以下发言纯小白猜想，纯当看个乐子。。。
其实最高级别的安全，无非就是对于0day的安全抵抗力（每年报到出的能影响qubesos dome0 级别的0day屈指可数 。。。具体参考https://www.qubes-os.org/news/categories/#security），以及在安全实现上面的实用性易用性措施（具体在下面图片里面）。在这一点上qubesos应该是做得最极致且比较平衡的了

呼啸山庄

那MD/MDE还能不能用驱动和内核调用？
话说如果微软自己能用驱动和调用内核的方法设计制造安全软件，而又禁止其他安全厂商这么干，这是不是一种垄断。。。

QubesOS 这玩意纯靠自己根据不同场景和安全需要自己开虚拟机，USB和网络都是隔离在不同的虚拟机的（如果我没记错的话）。
注：QubesOS依赖Xen，Xen这玩意貌似到现在对用UEFI启动还不太友好（如果没记错）。。。

swizzer

BD ATC其实也蛮依赖R3 Hook的

驭龙

swizzer 发表于 2024-8-24 20:48
BD ATC其实也蛮依赖R3 Hook的

Bd Atc是双管齐下的，这哥们一个驱动就6MB以上，是真的够大了

Picca

呼啸山庄 发表于 2024-8-24 20:48
那MD/MDE还能不能用驱动和内核调用？
话说如果微软自己能用驱动和调用内核的方法设计制造安全软件， ...

是的，qubesosde 硬件兼容性确实有待提高，不过一般人也不会把它当作完全主力的系统。虚拟机开的多也对硬件性能有一定要求，但架不住它这样隔离安全呀。据我了解，很多黑客都喜欢“环境隔离”，qubesos也算顺应需求了