【51CTO.com快譯】如今的端點(diǎn)安全解決方案仍然缺少對顯著缺陷、安全漏洞以及由安全事故引發(fā)之恐懼情緒的應(yīng)對能力，端點(diǎn)安全與合規(guī)方案供應(yīng)商Promisec公司指出。

[[159666]]

根據(jù)Promisec公司公布的數(shù)據(jù)，89%的副總裁與高管層IT領(lǐng)導(dǎo)者受訪者表示其對于可能在未來一年內(nèi)出現(xiàn)的安全事故感到恐懼，而只有32%的受訪者表示其已經(jīng)擁有部署到位的高級端點(diǎn)安全方案。

事實上，73%的受訪者認(rèn)為端點(diǎn)已經(jīng)成為目前最易受到攻擊活動影響的薄弱環(huán)節(jié)。需求已經(jīng)如此明顯，而分析師對端點(diǎn)安全方案的市場前景做出的樂觀評價也從側(cè)面證明了這一點(diǎn)。根據(jù)MarketsandMarkets發(fā)布的報告，這部分市場總值將由今年的116.2億美元增長至2020年的173.8億美元。分析企業(yè)TechNavio公司則指出，這部分市場在2014年至2019年之間的年均復(fù)合增長率將達(dá)到10.4%。

通過以上數(shù)字，我們可以看到企業(yè)確實需要在端點(diǎn)保護(hù)與緩解相關(guān)恐懼情緒方面獲取指導(dǎo)意見。而這也將成為CSO們迫在眉睫的重要任務(wù)。

安全漏洞的來源

Promisec公司產(chǎn)品管理負(fù)責(zé)人Steve Lowing指出，端點(diǎn)安全領(lǐng)域的一部分缺陷與漏洞主要源自軟件更新補(bǔ)丁與應(yīng)用屏蔽機(jī)制缺失以及影子IT的持續(xù)存在。

“企業(yè)在某些風(fēng)險程度極高的系統(tǒng)當(dāng)中根本無法獲得能夠解決問題的充足安全補(bǔ)丁，其中包括多種端點(diǎn)系統(tǒng)，”Lowing表示。目前的重要挑戰(zhàn)在于，一系列新型元素與場景開始持續(xù)涌現(xiàn)，特別是BYOD所引發(fā)的個人設(shè)備在企業(yè)環(huán)境內(nèi)的大量介入。這些資產(chǎn)在企業(yè)網(wǎng)絡(luò)環(huán)境中的存在時間還不太長，因此不足以保證IT部門為其提供特定的管理窗口以執(zhí)行理想的安全性保障標(biāo)準(zhǔn)，Lowing解釋稱。

而作為應(yīng)對舉措，企業(yè)可以使用NAC等工具以避免端點(diǎn)對企業(yè)網(wǎng)絡(luò)進(jìn)行訪問——直到殺毒以及反惡意軟件更新等基于設(shè)備的安全應(yīng)用部署到位，從而對設(shè)備進(jìn)行全面掃描及清理。不過必須強(qiáng)調(diào)的是，安全軟件還僅僅是必要保護(hù)體系的其中一層。

“我們發(fā)現(xiàn)即使確保各類殺毒軟件處于最新更新狀態(tài)，其仍然不足以對端點(diǎn)進(jìn)行可靠的安全保護(hù)。”Lowing指出。

“物聯(lián)網(wǎng)設(shè)備的處理能力不足以支持傳統(tǒng)端點(diǎn)安全解決方案。這意味著我們很難在有限的處理能力、存儲容量與內(nèi)存水平之下實現(xiàn)基于主機(jī)的入侵檢測及預(yù)防能力。”Trend Micro公司網(wǎng)絡(luò)安全戰(zhàn)略副總裁Ed Cabrera表示。

應(yīng)用程序屏蔽機(jī)制的普及工作正在推進(jìn)當(dāng)中，但目前此類解決方案的部署方式仍然存在缺陷。影子IT在當(dāng)前這股愈演愈烈的未認(rèn)證BYOx(即自帶一切趨勢，包括BYOA自帶應(yīng)用以及BYOC自帶云)潮流的推動之下已經(jīng)成為安全漏洞的重要根源。具體來講，由于IT部門未提供必要的支持甚至根本沒有意識到需求的存在，企業(yè)員工開始引入或者使用自己喜好的第三方生產(chǎn)力方案。

另外，端點(diǎn)保護(hù)工作中的缺陷與漏洞絕不單純局限于員工設(shè)備范疇。物聯(lián)網(wǎng)已經(jīng)成為端點(diǎn)保護(hù)工作當(dāng)中的最新薄弱環(huán)節(jié)，這主要是因為相關(guān)設(shè)備的資源非常有限。“物聯(lián)網(wǎng)設(shè)備的處理能力不足以支持傳統(tǒng)端點(diǎn)安全解決方案。這意味著我們很難在有限的處理能力、存儲容量與內(nèi)存水平之下實現(xiàn)基于主機(jī)的入侵檢測及預(yù)防能力，”Trend Micro公司網(wǎng)絡(luò)安全戰(zhàn)略副總裁Ed Cabrera指出。而這也將成為縮小物聯(lián)網(wǎng)設(shè)備攻擊面工作當(dāng)中的關(guān)鍵性挑戰(zhàn)。

保護(hù)端點(diǎn)，緩解恐懼

企業(yè)應(yīng)當(dāng)采取最佳實踐以推動補(bǔ)丁更新，而這就要求我們對任意系統(tǒng)提供測試環(huán)境并將其納入補(bǔ)丁管理工作當(dāng)中。企業(yè)應(yīng)該利用管理政策實現(xiàn)面向設(shè)備的自動化已測試補(bǔ)丁發(fā)布，而且最終發(fā)布時間最好控制在測試完成后的一周之內(nèi)。

另外，上述補(bǔ)丁測試與向生產(chǎn)環(huán)境普及的執(zhí)行工作應(yīng)該盡可能覆蓋更多系統(tǒng)，至少要包含各類主流瀏覽器、應(yīng)用程序以及操作系統(tǒng)。目前提供端點(diǎn)補(bǔ)丁管理解決方案的廠商包括Lumension、IBM以及賽門鐵克。“Ninite等簡便工具能夠幫助用戶根據(jù)應(yīng)用程序的實際需求進(jìn)行端點(diǎn)更新，”Lowing指出。他的觀點(diǎn)應(yīng)該比較可靠，因為Ninite并非Promisec公司的產(chǎn)品。

實現(xiàn)對應(yīng)用程序的更好控制。對于任何一款安全工具，我們都很難指望這類應(yīng)用控制產(chǎn)品能夠切實契合現(xiàn)有端點(diǎn)環(huán)境的真實需要。管理員必須要學(xué)習(xí)并配置此類軟件并調(diào)整相關(guān)設(shè)置，從而保證其能夠與每個端點(diǎn)相對接。單純采購產(chǎn)品并將其接入網(wǎng)絡(luò)根本無法起到理想的效果。

為了對設(shè)備資產(chǎn)中的應(yīng)用控制機(jī)制加以調(diào)整，我們需要利用黑名單/白名單工具以逐步了解每個端點(diǎn)的獨(dú)特需求并決定在默認(rèn)情況下拒絕哪些應(yīng)用的接入請求。企業(yè)應(yīng)當(dāng)主動驗證環(huán)境中的一切變化因素(包括文件、注冊表以及驅(qū)動程序)以加強(qiáng)應(yīng)用控制能力，并根據(jù)最新威脅情報服務(wù)制定必要的轉(zhuǎn)變方針，Lowing解釋稱。

通過維護(hù)一套原始備份鏡像，包括設(shè)備操作系統(tǒng)、應(yīng)用程序、設(shè)備管理策略以及所需控制機(jī)制，企業(yè)能夠擁有用于識別變更情況的基準(zhǔn)點(diǎn)。應(yīng)用程序控制與屏蔽機(jī)制足以抵御任何檢測到的、未經(jīng)授權(quán)的變化情況，而其基礎(chǔ)就是將現(xiàn)場端點(diǎn)情況與鏡像內(nèi)容加以對比。企業(yè)應(yīng)該更為積極地更新這一鏡像基準(zhǔn)方案，從而利用新補(bǔ)丁實現(xiàn)最優(yōu)控制并縮小攻擊面。另外，應(yīng)用屏蔽機(jī)制有助于解決影子IT問題，包括各類BYOx狀況。

如果物聯(lián)網(wǎng)設(shè)備未來具備了足夠的處理能力及其它資源以支持基礎(chǔ)性端點(diǎn)安全保護(hù)技術(shù)，特別是IDS/IPS，那么我們應(yīng)當(dāng)確保將其安裝在每一臺物聯(lián)網(wǎng)設(shè)備當(dāng)中。網(wǎng)絡(luò)IDS/IPS配合成熟的威脅情報解決方案將能夠及時揪出攻擊者對受控物聯(lián)網(wǎng)設(shè)備的入侵嘗試。舉例來說，一套高級威脅情報解決方案能夠利用沙箱機(jī)制檢查網(wǎng)絡(luò)流量，并通過檢測引擎發(fā)現(xiàn)病毒、惡意軟件、指揮與控制服務(wù)器及傳輸手段，外加任何其它威脅跡象，Cabrera表示。

未來展望

盡管端點(diǎn)屬于一類新興攻擊面，但其中潛藏的可觀利潤與收益——包括物聯(lián)網(wǎng)與移動技術(shù)的便利性與生產(chǎn)力提升效果——將使其進(jìn)一步普及，并因此帶來更為巨大的安全風(fēng)險。企業(yè)必須拓展自身能力以確保對現(xiàn)有安全措施加以充分利用，同時保證具體利用方式能夠切實帶來理想效果。另外，企業(yè)還需要進(jìn)一步敦促產(chǎn)品供應(yīng)商打造更加先進(jìn)的特定端點(diǎn)安全選項，從而在未來的發(fā)展過程中擁有更為可靠的保護(hù)工具。

原文標(biāo)題：Endpoint security still inadequate despite growing threats

【51CTO譯稿，合作站點(diǎn)轉(zhuǎn)載請注明原文譯者和出處為51CTO.com】