端點安全是現代安全的基石，為更廣泛的架構提供控制平面，有助于實現 XDR、SASE 和零信任。

[[408174]]

毫無疑問，端點安全一直很重要。在新冠疫情爆發(fā)后向遠程工作環(huán)境的過渡中，端點安全變得比以往任何時候都更加緊迫。

遠程辦公在新冠疫情爆發(fā)之前就已經存在，但規(guī)模不同，風險也沒有那么大。似乎在一夜之間，大多數端點遷移到了公司網絡邊界之外。端點安全長期以來一直是 IT 行業(yè)關注的焦點，未來幾年仍將如此，因為各種規(guī)模的組織面臨的大多數威脅都指向端點，無論是員工家中的桌面還是數據庫服務器持有整個公司的身份驗證信息。

一個簡單的事實是，端點在今天并且一直是通往公司關心的與其知識產權相關的所有事物的門戶。

數字顯示的端點安全

根據一份最新研究報告顯示，組織正在努力解決端點安全問題。報告發(fā)現，超過 40% 的全球組織在過去兩年中發(fā)生了重大安全事件。沒有優(yōu)先考慮將端點安全作為核心元素的集成平臺的組織遭受重大安全事件的可能性幾乎是其兩倍。

通過對檢測到的關鍵危害嚴重性指標 (IoC) 的分析發(fā)現，攻擊者通常會使用四種主要技術。排在首位的是兩用 PowerShell 工具。雖然這可以包括 PowerShell 框架(例如 PowerShell Empire)和可以利用 PowerShell 的框架(例如 Cobalt Strike 和 Metasploit)，但也經常會看到簡單的 PowerShell 命令行活動和自定義 PowerShell 腳本用于保護訪問或在內部橫向移動網絡。PowerShell 受到威脅參與者的歡迎，因為它主要默認安裝在企業(yè)計算機中，并且通常不會密切監(jiān)視其活動。

在頂級 IoC 列表中排名第二的是勒索軟件。對于許多出于經濟動機的威脅行為者而言，向端點提供勒索軟件并成功加密數據是他們在網絡上活動的主要目標。過去幾年，全球范圍內的勒索軟件活動激增。

第三個最常觀察到的 IoC 組是無文件惡意軟件。它通過可疑的內存進程注入和注冊表活動感染端點。威脅行為者使用此技術來嘗試避免被較舊的端點保護技術檢測到。

排在第四名的是憑證轉儲。使用最廣泛的憑證轉儲工具是Mimikatz，它從端點系統(tǒng)內存中抓取用戶憑證。最終，這些憑據將用于橫向移動，目的是破壞企業(yè) Active Directory 服務器，以允許廣泛分發(fā)勒索軟件或不受限制地訪問其他目標數據。

很明顯，受到攻擊的端點面臨著各種不同的復雜技術，因為參與者保護初始訪問、在網絡中橫向移動、提升他們的特權以及泄露和加密數據。第一代端點安全技術保護的不僅僅是病毒、蠕蟲和特洛伊木馬?，F代威脅形勢需要一種更復雜的方法，而不是簡單地掃描端點以查找惡意軟件。

端點是最后一道防線

盡管現代網絡安全威脅有多種不同形式，但很明顯，為了防御威脅，組織需要能夠檢測和阻止端點上的各種行為者操作。

端點安全仍然是現代 IT 安全工作的關鍵。過去，參與者主要針對服務器和數據庫，但今天端點既是穿越網絡的手段，也是最終目標。因此，了解端點上的活動對于跟蹤和阻止攻擊者的行為至關重要。

遵守任何數量的不同監(jiān)管或網絡安全政策通常涉及組織能夠證明其已采取控制措施來識別潛在風險和攻擊。能夠查詢整個企業(yè)的端點以了解其當前的操作狀態(tài)和歷史記錄，為審計過程提供了強大的安全工具和支持。

采用平臺方法實現端點安全

端點安全也是現代網絡安全平臺架構的核心要素，包括 SASE、零信任和 XDR。SASE 提供了一種在網絡邊緣實現安全的整體方法，零信任持續(xù)驗證訪問，而 XDR 支持檢測和響應潛在威脅。

端點安全越來越成為遠程員工及其日常使用的設備的最后一道關鍵防線。端點安全現在也是安全行業(yè)的控制平面，也是將不同安全元素聯系在一起的平臺方法的核心元素。