數(shù)字化時代,企業(yè)終端安全防護該“上新”了!
圖源:攝圖網(wǎng)
作者|科技云報道 來源|科技云報到(ID:ITCloud-BD)
隨著云計算、大數(shù)據(jù)、物聯(lián)網(wǎng)等創(chuàng)新技術(shù)的加速落地,企業(yè)原有的網(wǎng)絡邊界被打破,各種終端設備如:筆記本電腦、臺式機、平板電腦、智能手機、物聯(lián)網(wǎng)終端等成為了新的安全邊界。
在此背景下,想確保企業(yè)高效辦公的靈活性、安全性和隱私性,就必須讓終端設備具有與時俱進的安全能力,而不是一味通過管理措施去限制員工對終端設備的使用。
但是,要實現(xiàn)全面的終端安全防護并不容易,企業(yè)安全團隊在開展終端安全能力建設時面臨多重挑戰(zhàn)。
01
終端安全事件頻發(fā)
政策合規(guī)走向?qū)崙?zhàn)化
近年來,隨著黑色產(chǎn)業(yè)鏈的萌生和壯大,網(wǎng)絡安全環(huán)境愈加復雜,APT攻擊、勒索病毒、挖礦等攻擊手段大行其道,而傳統(tǒng)終端防護手段已很難對此類攻擊有防護效果。
過去十年,全球發(fā)生了多起終端安全事件,例如:
2016年發(fā)生多次針對ATM發(fā)起網(wǎng)絡攻擊導致ATM機自動吐錢的黑客事件,經(jīng)過研究人員分析,黑客實現(xiàn)對銀行內(nèi)部的ATM專用網(wǎng)絡植入了惡意程序,最終實現(xiàn)操控ATM機吐錢。
2017年5月,勒索病毒W(wǎng)annaCry爆發(fā),全球范圍近百個國家遭到大規(guī)模網(wǎng)絡攻擊,惡意病毒利用漏洞在內(nèi)部網(wǎng)絡大范圍傳播和感染,造成嚴重損失。
2020年12月,美國多個重要政企機構(gòu)遭受了國家級APT組織的入侵,攻擊疑似由于網(wǎng)絡安全管理軟件供應商SolarWinds遭遇國家級APT團伙高度復雜的供應鏈攻擊并植入木馬后門導致。
不僅如此,以網(wǎng)絡釣魚為代表的社會工程攻擊也對企業(yè)終端安全構(gòu)成了嚴峻的挑戰(zhàn)由于開展網(wǎng)絡釣魚活動的成本不斷降低,網(wǎng)絡釣魚已經(jīng)成為目前最常用的終端安全攻擊途徑之一。
據(jù)思科公司研究報告顯示,86%的企業(yè)都遇到過至少一次釣魚攻擊。只要有一名內(nèi)部員工淪為網(wǎng)絡釣魚攻擊的受害者,他們就可能無意中將惡意軟件傳播到整個網(wǎng)絡,導致嚴重的后果。
從企業(yè)自身看,由于數(shù)字化轉(zhuǎn)型的加速,企業(yè)對于終端設備的使用方式都發(fā)生了巨大的改變。
一方面,大多數(shù)企業(yè)都采用了多種終端設備,包括移動設備、筆記本、無線設備和桌面設備等。這些終端設備運行在不同的操作系統(tǒng)上,想要跟蹤記錄所有聯(lián)網(wǎng)終端的操作與使用情況非常困難,這也使得安全團隊對終端設備使用的可見性非常有限。
缺乏可見性嚴重影響了企業(yè)及時發(fā)現(xiàn)易受攻擊的終端和發(fā)生在這些設備上的可疑活動。而大量的惡意軟件正是利用這一特點,長期潛伏在已被攻陷的終端設備中,伺機竊取或加密組織的敏感數(shù)據(jù)。
另一方面,后疫情時代,遠程辦公已經(jīng)成為現(xiàn)代企業(yè)工作模式的新常態(tài),這讓保護遠程終端安全變得頗具挑戰(zhàn)性。由于遠程辦公時,員工是在企業(yè)物理網(wǎng)絡之外工作,往往難以嚴格遵循企業(yè)網(wǎng)絡安全管理的最佳實踐要求。
此外,企業(yè)對遠程辦公終端的安全控制能力也很有限,比如員工一旦在咖啡館等公共場所遺失手機、筆記本等終端設備,就會危及企業(yè)整體的數(shù)據(jù)安全。
同時,很多企業(yè)都會允許并鼓勵員工在自帶設備(BYOD)上辦公,但BYOD設備屬于員工個人所有,企業(yè)如果無法對這些設備進行有效的管理和控制,將是企業(yè)未來終端安全建設中面臨的一大挑戰(zhàn)。
在政策層面,國家越來越重視網(wǎng)絡安全,企業(yè)安全建設方和監(jiān)管機構(gòu)也從傳統(tǒng)的“產(chǎn)品檢查”轉(zhuǎn)換為當代的“能力檢查”,以往堆砌網(wǎng)絡安全設備的就能應付合規(guī)要求和檢查的方式,轉(zhuǎn)變?yōu)閷崙?zhàn)化的效果驗證。
面對外部網(wǎng)絡安全環(huán)境、政策要求和企業(yè)數(shù)字化需求的變化,企業(yè)應如何開展終端安全建設?
02
企業(yè)需構(gòu)建新一代
終端安全防護能力
研究機構(gòu)Forrester在《終端安全管理的未來》研究報告中指出,對所有終端設備進行有效的安全防護和管理,是保護企業(yè)數(shù)字化轉(zhuǎn)型安全開展的基礎。而組織在開展新一代終端安全防護能力建設時,也需要重點關注以下技術(shù)發(fā)展趨勢:
加大AI技術(shù)應用
將新一代AI技術(shù)用于終端安全建設已經(jīng)越來越普遍,可以在無需人員干預的情況下自動修復端點問題。此外,AI為終端系統(tǒng)自我修復帶來了更大的彈性。
研究人員認為,新一代終端安全防護平臺需要在應用程序、操作系統(tǒng)和固件這三個主要層面提供自我修復,才能起到實際效果。
其中,嵌入在固件中的自我修復將最重要,因為它確保端點上運行的所有軟件。固件層面的自我修復也很有必要,如果在端點上運行的端點安全代理崩潰或損壞,固件層面的自我修復有助于快速修復。
體系化的終端安全能力
統(tǒng)一終端安全防護平臺可以提供終端檢測和響應(EDR)、漏洞管理、反網(wǎng)絡釣魚以及生物特征驗證。
調(diào)查發(fā)現(xiàn),企業(yè)組織需要為整合的終端安全管理和防護平臺提供統(tǒng)一視圖,實時了解所有終端的安全運行情況,體系化解決方案能力也將成為評價終端安全廠商競爭力的重要因素。
增強用戶的應用體驗感
新一代終端安全解決方案需要廣泛收集用戶體驗監(jiān)測數(shù)據(jù),并作為產(chǎn)品優(yōu)化的參考依據(jù)。
增強用戶體驗可以先從縮短設備啟動時間的這一場景開始,隨后范圍會擴大到應用程序、網(wǎng)絡和身份驗證機制等。
增強用戶體驗的目的是提供更安全的終端安全應用,同時讓用戶幾乎感覺不到對數(shù)字化業(yè)務的影響。
以隱私數(shù)據(jù)保護為中心
企業(yè)需要在支持員工自帶設備的同時,加大對核心應用和隱私數(shù)據(jù)的保護。因此,新一代終端安全能力建設需要更關注以數(shù)據(jù)和應用程序為中心的保護,而不是對硬件設備的保護。
目前,獨立的數(shù)據(jù)安全技術(shù)已經(jīng)被大量采用,即便在員工自己購買的終端設備上,也可以使用虛擬化隔離系統(tǒng),來分離公司數(shù)據(jù)和個人數(shù)據(jù),這樣不僅為員工提供了更好的靈活性,也為企業(yè)帶來了更好的安全性。
03
新一代終端安全解決方案
的關鍵性能力
那么,從技術(shù)上看,新一代終端安全解決方案需要具備哪些關鍵性能力?
事實上,由于傳統(tǒng)終端安全關注已知威脅,如防病毒、終端HIPS、HWAF類,基于已知特征進行防護,對于APT攻擊、勒索、挖礦等高級攻擊、病毒、木馬的變種等高級威脅,這些基于規(guī)則的主機防護軟件都已經(jīng)失去了作用。
因此,新一代終端安全產(chǎn)品需要新技術(shù)來補充上層的安全能力:
主機行為分析
利用終端病毒檢測能力、行為檢測能力等,結(jié)合終端安全服務端上的關聯(lián)分析能力,精準識別主機各類異常文件及異常行為,包括:僵木蠕異常文件分析、密碼嗅探、U盤異常文件操作、邊界文件行為分析、Webshell后門分析、反彈shell分析、挖礦木馬分析等。
威脅情報
基于大數(shù)據(jù)技術(shù)統(tǒng)一匯聚各類終端日志,結(jié)合綠盟實時威脅情報數(shù)據(jù)(IP、域名、樣本hash),通過威脅分析建模引擎、異常行為分析引擎等進行深度危險關聯(lián)分析以及威脅判定實現(xiàn)對APT攻擊等的有效檢測。
機器學習
依賴于對攻擊數(shù)據(jù)的訓練及學習,不斷增強威脅檢測模型及檢測能力,從而更加準確、智能化的應對威脅及其變種。
威脅狩獵
利用終端誘捕系統(tǒng)中的蜜罐檢測技術(shù)、模擬IP技術(shù)、模擬漏洞技術(shù)、模擬服務技術(shù)、誘餌技術(shù)等,誘使攻擊方對它們實施攻擊,從而可以對攻擊行為進行捕獲和分析,了解攻擊方所使用的工具與方法,推測攻擊意圖和動機,能夠讓防御方清晰地了解他們所面對的安全威脅。
內(nèi)存馬檢測
針對主機的內(nèi)存保護技術(shù),可有效應對一些新型攻擊手段、病毒變種等威脅,特別是內(nèi)存Webshell,從而保障業(yè)務系統(tǒng)的安全。
微隔離技術(shù)
基于零信任的設計理念,提供對終端精細化的點對點自適應訪問控制能力,以保證終端安全風險的精細化即時響應。切實做到既能保證威脅的有效隔離,又能保證業(yè)務影響最小化。
自動化響應
基于安全分析產(chǎn)生的運維事件,進行運維模型的構(gòu)建,進一步確定當前威脅運維模型的防護模型,并基于當前的事件智能提取防護參數(shù),從而形成一系列的安全防護策略。同時,系統(tǒng)還可以根據(jù)客戶化訴求,確定自動化執(zhí)行防護策略或者人工審核執(zhí)行。
溯源分析
提供全景式展示攻擊者的攻擊時序過程、攻擊所處攻擊階段及對應的ATT&CK攻擊圖譜、可視化攻擊進程父子關系等,幫助運維人員溯源攻擊者的行為及最終意圖。
需要特別指出的是,以上安全能力建設都不是獨立的,而是需要與整體的安全防護框架及體系緊密融合。它不僅要保證終端自身的安全,也要保證其他層面的安全。
而整體的安全防護包括網(wǎng)絡安全、應用安全、數(shù)據(jù)安全等多個方面。在整體防護的基礎上,通過對終端設備的加強防護,可以有效防范終端設備被攻擊的風險,保障企業(yè)的信息安全。
編者按:本文轉(zhuǎn)載自微信公眾號:科技云報到(ID:ITCloud-BD),作者:科技云報道
前瞻經(jīng)濟學人
專注于中國各行業(yè)市場分析、未來發(fā)展趨勢等。掃一掃立即關注。