信息化觀察網(wǎng)

本文來自微信公眾“安全牛”。

從移動(dòng)設(shè)備、PC、服務(wù)器再到云上的容器，各種類型的端點(diǎn)設(shè)備應(yīng)用日益復(fù)雜，同時(shí)也成了黑客們重點(diǎn)關(guān)注的攻擊目標(biāo)。對(duì)于企業(yè)的安全團(tuán)隊(duì)來說，有效管理并保護(hù)端點(diǎn)應(yīng)用安全是一項(xiàng)充滿挑戰(zhàn)的工作。為了應(yīng)對(duì)不斷變化的端點(diǎn)安全威脅，企業(yè)應(yīng)該重新評(píng)估各種端點(diǎn)安全防護(hù)技術(shù)的先進(jìn)性和有效性，并積極擴(kuò)展提升端點(diǎn)安全保護(hù)的能力范圍。

日前，Quick Heal公司董事總經(jīng)理Sanjay Katkar博士發(fā)表了一篇主題文章，總結(jié)了目前新一代端點(diǎn)安全防護(hù)方案發(fā)展演進(jìn)的12個(gè)關(guān)鍵特性。他認(rèn)為，如果將這些特性有機(jī)融合，企業(yè)組織將能夠快速構(gòu)建起應(yīng)對(duì)新型網(wǎng)絡(luò)攻擊威脅的“高級(jí)”端點(diǎn)安全防護(hù)能力。

01實(shí)時(shí)的威脅檢測與調(diào)查

在檢測端點(diǎn)安全威脅的過程中，每一秒都很重要。高級(jí)端點(diǎn)安全解決方案必須采用實(shí)時(shí)監(jiān)測和分析技術(shù)，并能夠利用機(jī)器學(xué)習(xí)來識(shí)別可能逃避傳統(tǒng)檢測方法的威脅妥協(xié)指標(biāo)。

而當(dāng)針對(duì)端點(diǎn)的網(wǎng)絡(luò)攻擊活動(dòng)發(fā)生時(shí)，能夠快速開展事件調(diào)查和響應(yīng)也非常關(guān)鍵。高級(jí)端點(diǎn)威脅檢測和響應(yīng)(EDR)方案應(yīng)提供自動(dòng)化調(diào)查工作流程，在事件響應(yīng)過程中指導(dǎo)安全團(tuán)隊(duì)開展調(diào)查分析，并提供快速遏制和消除威脅的工具。

02積極融入零信任架構(gòu)理念

零信任是一種新的安全體系，零信任的安全保護(hù)對(duì)象不只局限于端點(diǎn)設(shè)備，而是對(duì)業(yè)務(wù)訪問的全過程進(jìn)行可信認(rèn)證和評(píng)估，始終保持對(duì)各種端點(diǎn)設(shè)備和網(wǎng)絡(luò)會(huì)話的分析，篩選符合安全要求的訪問行為，通過零信任網(wǎng)關(guān)建立終端與業(yè)務(wù)系統(tǒng)之間的聯(lián)系。零信任體系中，實(shí)現(xiàn)對(duì)端點(diǎn)安全的保護(hù)是不可或缺的一個(gè)重要維度。盡管零信任并不能完全覆蓋端點(diǎn)安全保護(hù)的所有方面，但是可以對(duì)傳統(tǒng)端點(diǎn)安全防護(hù)措施進(jìn)行補(bǔ)充和完善。傳統(tǒng)端點(diǎn)安全工具已經(jīng)難以應(yīng)對(duì)新型的網(wǎng)絡(luò)安全威脅，而零信任理念在加強(qiáng)端點(diǎn)安全設(shè)備的信任度和安全性的同時(shí)，也擴(kuò)展了終端安全的應(yīng)用場景和功能。

03進(jìn)一步增強(qiáng)機(jī)器學(xué)習(xí)

端點(diǎn)安全的未來在于人工智能。高級(jí)端點(diǎn)安全方案應(yīng)不斷增強(qiáng)學(xué)習(xí)和調(diào)查能力,通過分析大量數(shù)據(jù)以識(shí)別新的攻擊模式,并在新出現(xiàn)的威脅造成損害之前對(duì)其進(jìn)行風(fēng)險(xiǎn)預(yù)測。

04強(qiáng)調(diào)對(duì)異常行為的監(jiān)控識(shí)別

理解什么是“正常”的活動(dòng)行為有助于提前識(shí)別未知的端點(diǎn)安全風(fēng)險(xiǎn)。高級(jí)端點(diǎn)安全解決方案應(yīng)該為用戶和端點(diǎn)系統(tǒng)建立安全行為基線配置文件，并使用人工智能來檢測可能表明妥協(xié)的行為偏差。

05全面共享第三方威脅信息和情報(bào)

傳統(tǒng)端點(diǎn)安全的方法在很大程度上依賴于孤立點(diǎn)解決方案的實(shí)施。這導(dǎo)致了這些解決方案不容易協(xié)同工作，會(huì)在安全防御對(duì)抗中留下了巨大的漏洞。高級(jí)端點(diǎn)安全方案必須與其他安全工具實(shí)現(xiàn)無縫集成,共享監(jiān)控日志與威脅情報(bào),從而實(shí)現(xiàn)構(gòu)建一個(gè)整體的安全生態(tài)系統(tǒng),這個(gè)生態(tài)系統(tǒng)能夠?qū)⒔M織的各種安全能力有機(jī)整合，并利用上下文進(jìn)行高級(jí)威脅的監(jiān)控與檢測。

06有效管控影子設(shè)備及應(yīng)用

影子IT和BYOD策略的泛濫給現(xiàn)代企業(yè)制造了一場安全噩夢。高級(jí)端點(diǎn)安全解決方案必須對(duì)企業(yè)中所有的端點(diǎn)應(yīng)用程序使用和設(shè)備連接提供細(xì)粒度的發(fā)現(xiàn)和控制能力，這樣才可以適應(yīng)組織數(shù)字化發(fā)展中的端點(diǎn)風(fēng)險(xiǎn)管理和合規(guī)要求。

07基于業(yè)務(wù)的數(shù)據(jù)丟失防護(hù)

在數(shù)字化時(shí)代，企業(yè)在數(shù)字化業(yè)務(wù)開展中會(huì)產(chǎn)生大量的數(shù)據(jù)并不斷變化。因此，高級(jí)端點(diǎn)安全方案需要融合先進(jìn)的DLP功能，基于業(yè)務(wù)場景提供對(duì)數(shù)據(jù)流動(dòng)和使用過程的細(xì)粒度安全控制，并使用人工智能技術(shù)來理解上下文和風(fēng)險(xiǎn)意圖，在不影響合法業(yè)務(wù)流程使用數(shù)據(jù)的情況下，防止數(shù)據(jù)的非法泄漏。

08未知風(fēng)險(xiǎn)預(yù)防能力

針對(duì)零日漏洞等未知安全風(fēng)險(xiǎn)提供安全防護(hù)能力，一直是網(wǎng)絡(luò)安全廠商的圣杯。因此，高級(jí)端點(diǎn)安全性必須包含復(fù)雜的風(fēng)險(xiǎn)利用預(yù)防技術(shù)，如內(nèi)存保護(hù)、行為監(jiān)控和微虛擬化等，以在高級(jí)威脅攻擊被執(zhí)行之前，發(fā)現(xiàn)、遏制和消除威脅。

09利用新技術(shù)指標(biāo)消除“噪音”

信息過載一直是干擾企業(yè)安全運(yùn)營的嚴(yán)重挑戰(zhàn)。高級(jí)端點(diǎn)安全方案應(yīng)該利用快速發(fā)展的人工智能技術(shù)，提供情境化的、可操作的海量報(bào)警優(yōu)化能力，通過消除噪音突出那些需要安全團(tuán)隊(duì)重點(diǎn)關(guān)注的真正端點(diǎn)威脅。

10加強(qiáng)對(duì)電子郵件威脅的保護(hù)

大語言模型技術(shù)讓網(wǎng)絡(luò)釣魚攻擊變得越來越復(fù)雜，高級(jí)端點(diǎn)安全解決方案必須超越簡單的郵件附件掃描模式，而是需要使用人工智能驅(qū)動(dòng)的新一代威脅分析技術(shù)來檢測電子郵件內(nèi)容、發(fā)件人行為和附件特征中的細(xì)微異常。這種更積極的郵件威脅防護(hù)方法，可以識(shí)別和消除傳統(tǒng)惡意郵件過濾器可能會(huì)漏掉的新型威脅。

11自動(dòng)化補(bǔ)丁管理

未打補(bǔ)丁的端點(diǎn)應(yīng)用系統(tǒng)是攻擊者最常利用的端點(diǎn)攻擊路徑之一，也是最容易實(shí)現(xiàn)的端點(diǎn)安全防護(hù)之一。因此，企業(yè)應(yīng)該采取合適的策略和機(jī)制，以自動(dòng)化方式解決這些缺陷可能造成的安全問題。通過采取正確有效的補(bǔ)丁管理策略，企業(yè)不僅可以確保端點(diǎn)設(shè)備和底層基礎(chǔ)架構(gòu)沒有錯(cuò)誤和漏洞，還可以循序漸進(jìn)地降低嚴(yán)重網(wǎng)絡(luò)安全事件發(fā)生的概率，同時(shí)也有助于企業(yè)進(jìn)行后續(xù)的回顧管理和安全審核。

12靈活的部署選項(xiàng)

當(dāng)企業(yè)開始啟動(dòng)端點(diǎn)安全管理計(jì)劃時(shí)，薄弱的安全運(yùn)營能力和匱乏的專業(yè)安全人才會(huì)成為阻礙計(jì)劃推進(jìn)的障礙。在此情況下，高級(jí)解決方案應(yīng)該提供靈活的部署模型，包括基于內(nèi)部部署、基于云或混合部署，以適應(yīng)不同的組織需求和基礎(chǔ)設(shè)施需求。企業(yè)還可以通過與托管式威脅檢測和響應(yīng)服務(wù)商（MDR）合作，以解決端點(diǎn)安全運(yùn)營能力不足的難題。

結(jié)語

以上特征協(xié)同作用，代表了當(dāng)前高級(jí)端點(diǎn)安全防護(hù)中的范式轉(zhuǎn)變，體現(xiàn)了一種主動(dòng)的、以情報(bào)為驅(qū)動(dòng)的新理念，不僅能夠應(yīng)對(duì)威脅，而且可以提前預(yù)測和阻止威脅。

Katkar表示，批評(píng)者可能會(huì)認(rèn)為實(shí)施這種全面端點(diǎn)安全解決方案會(huì)增加企業(yè)安全運(yùn)營的復(fù)雜性和成本，他們會(huì)辯稱，這太過分了，企業(yè)需要的是更簡單、更便宜的端點(diǎn)安全措施。

但這種想法并不現(xiàn)實(shí)。因?yàn)樵跀?shù)字化時(shí)代，一次簡單的網(wǎng)絡(luò)入侵就可能給企業(yè)造成數(shù)百萬美元的財(cái)產(chǎn)損失，并對(duì)組織的商譽(yù)造成不可挽回的損害。在此背景下，端點(diǎn)安全防護(hù)的關(guān)鍵不在于企業(yè)是否要負(fù)擔(dān)高成本的安全投入，而在于其是否能夠承擔(dān)端點(diǎn)攻擊活動(dòng)所造成的損失。