本文来自微信公众“安全牛”。
从移动设备、PC、服务器再到云上的容器,各种类型的端点设备应用日益复杂,同时也成了黑客们重点关注的攻击目标。对于企业的安全团队来说,有效管理并保护端点应用安全是一项充满挑战的工作。为了应对不断变化的端点安全威胁,企业应该重新评估各种端点安全防护技术的先进性和有效性,并积极扩展提升端点安全保护的能力范围。
日前,Quick Heal公司董事总经理Sanjay Katkar博士发表了一篇主题文章,总结了目前新一代端点安全防护方案发展演进的12个关键特性。他认为,如果将这些特性有机融合,企业组织将能够快速构建起应对新型网络攻击威胁的“高级”端点安全防护能力。
01实时的威胁检测与调查
在检测端点安全威胁的过程中,每一秒都很重要。高级端点安全解决方案必须采用实时监测和分析技术,并能够利用机器学习来识别可能逃避传统检测方法的威胁妥协指标。
而当针对端点的网络攻击活动发生时,能够快速开展事件调查和响应也非常关键。高级端点威胁检测和响应(EDR)方案应提供自动化调查工作流程,在事件响应过程中指导安全团队开展调查分析,并提供快速遏制和消除威胁的工具。
02积极融入零信任架构理念
零信任是一种新的安全体系,零信任的安全保护对象不只局限于端点设备,而是对业务访问的全过程进行可信认证和评估,始终保持对各种端点设备和网络会话的分析,筛选符合安全要求的访问行为,通过零信任网关建立终端与业务系统之间的联系。零信任体系中,实现对端点安全的保护是不可或缺的一个重要维度。尽管零信任并不能完全覆盖端点安全保护的所有方面,但是可以对传统端点安全防护措施进行补充和完善。传统端点安全工具已经难以应对新型的网络安全威胁,而零信任理念在加强端点安全设备的信任度和安全性的同时,也扩展了终端安全的应用场景和功能。
03进一步增强机器学习
端点安全的未来在于人工智能。高级端点安全方案应不断增强学习和调查能力,通过分析大量数据以识别新的攻击模式,并在新出现的威胁造成损害之前对其进行风险预测。
04强调对异常行为的监控识别
理解什么是“正常”的活动行为有助于提前识别未知的端点安全风险。高级端点安全解决方案应该为用户和端点系统建立安全行为基线配置文件,并使用人工智能来检测可能表明妥协的行为偏差。
05全面共享第三方威胁信息和情报
传统端点安全的方法在很大程度上依赖于孤立点解决方案的实施。这导致了这些解决方案不容易协同工作,会在安全防御对抗中留下了巨大的漏洞。高级端点安全方案必须与其他安全工具实现无缝集成,共享监控日志与威胁情报,从而实现构建一个整体的安全生态系统,这个生态系统能够将组织的各种安全能力有机整合,并利用上下文进行高级威胁的监控与检测。
06有效管控影子设备及应用
影子IT和BYOD策略的泛滥给现代企业制造了一场安全噩梦。高级端点安全解决方案必须对企业中所有的端点应用程序使用和设备连接提供细粒度的发现和控制能力,这样才可以适应组织数字化发展中的端点风险管理和合规要求。
07基于业务的数据丢失防护
在数字化时代,企业在数字化业务开展中会产生大量的数据并不断变化。因此,高级端点安全方案需要融合先进的DLP功能,基于业务场景提供对数据流动和使用过程的细粒度安全控制,并使用人工智能技术来理解上下文和风险意图,在不影响合法业务流程使用数据的情况下,防止数据的非法泄漏。
08未知风险预防能力
针对零日漏洞等未知安全风险提供安全防护能力,一直是网络安全厂商的圣杯。因此,高级端点安全性必须包含复杂的风险利用预防技术,如内存保护、行为监控和微虚拟化等,以在高级威胁攻击被执行之前,发现、遏制和消除威胁。
09利用新技术指标消除“噪音”
信息过载一直是干扰企业安全运营的严重挑战。高级端点安全方案应该利用快速发展的人工智能技术,提供情境化的、可操作的海量报警优化能力,通过消除噪音突出那些需要安全团队重点关注的真正端点威胁。
10加强对电子邮件威胁的保护
大语言模型技术让网络钓鱼攻击变得越来越复杂,高级端点安全解决方案必须超越简单的邮件附件扫描模式,而是需要使用人工智能驱动的新一代威胁分析技术来检测电子邮件内容、发件人行为和附件特征中的细微异常。这种更积极的邮件威胁防护方法,可以识别和消除传统恶意邮件过滤器可能会漏掉的新型威胁。
11自动化补丁管理
未打补丁的端点应用系统是攻击者最常利用的端点攻击路径之一,也是最容易实现的端点安全防护之一。因此,企业应该采取合适的策略和机制,以自动化方式解决这些缺陷可能造成的安全问题。通过采取正确有效的补丁管理策略,企业不仅可以确保端点设备和底层基础架构没有错误和漏洞,还可以循序渐进地降低严重网络安全事件发生的概率,同时也有助于企业进行后续的回顾管理和安全审核。
12灵活的部署选项
当企业开始启动端点安全管理计划时,薄弱的安全运营能力和匮乏的专业安全人才会成为阻碍计划推进的障碍。在此情况下,高级解决方案应该提供灵活的部署模型,包括基于内部部署、基于云或混合部署,以适应不同的组织需求和基础设施需求。企业还可以通过与托管式威胁检测和响应服务商(MDR)合作,以解决端点安全运营能力不足的难题。
结语
以上特征协同作用,代表了当前高级端点安全防护中的范式转变,体现了一种主动的、以情报为驱动的新理念,不仅能够应对威胁,而且可以提前预测和阻止威胁。
Katkar表示,批评者可能会认为实施这种全面端点安全解决方案会增加企业安全运营的复杂性和成本,他们会辩称,这太过分了,企业需要的是更简单、更便宜的端点安全措施。
但这种想法并不现实。因为在数字化时代,一次简单的网络入侵就可能给企业造成数百万美元的财产损失,并对组织的商誉造成不可挽回的损害。在此背景下,端点安全防护的关键不在于企业是否要负担高成本的安全投入,而在于其是否能够承担端点攻击活动所造成的损失。