從移動設(shè)備、PC、服務(wù)器再到云上的容器，各種類型的端點(diǎn)設(shè)備應(yīng)用日益復(fù)雜，同時也成了黑客們重點(diǎn)關(guān)注的攻擊目標(biāo)。對于企業(yè)的安全團(tuán)隊來說，有效管理并保護(hù)端點(diǎn)應(yīng)用安全是一項充滿挑戰(zhàn)的工作。為了應(yīng)對不斷變化的端點(diǎn)安全威脅，企業(yè)應(yīng)該重新評估各種端點(diǎn)安全防護(hù)技術(shù)的先進(jìn)性和有效性，并積極擴(kuò)展提升端點(diǎn)安全保護(hù)的能力范圍。

日前，Quick Heal 公司董事總經(jīng)理Sanjay Katkar博士發(fā)表了一篇主題文章，總結(jié)了目前新一代端點(diǎn)安全防護(hù)方案發(fā)展演進(jìn)的12個關(guān)鍵特性。他認(rèn)為，如果將這些特性有機(jī)融合，企業(yè)組織將能夠快速構(gòu)建起應(yīng)對新型網(wǎng)絡(luò)攻擊威脅的“高級”端點(diǎn)安全防護(hù)能力。

1、實(shí)時的威脅檢測與調(diào)查 

在檢測端點(diǎn)安全威脅的過程中，每一秒都很重要。高級端點(diǎn)安全解決方案必須采用實(shí)時監(jiān)測和分析技術(shù)，并能夠利用機(jī)器學(xué)習(xí)來識別可能逃避傳統(tǒng)檢測方法的威脅妥協(xié)指標(biāo)。

而當(dāng)針對端點(diǎn)的網(wǎng)絡(luò)攻擊活動發(fā)生時，能夠快速開展事件調(diào)查和響應(yīng)也非常關(guān)鍵。高級端點(diǎn)威脅檢測和響應(yīng)( EDR )方案應(yīng)提供自動化調(diào)查工作流程，在事件響應(yīng)過程中指導(dǎo)安全團(tuán)隊開展調(diào)查分析，并提供快速遏制和消除威脅的工具。

2、積極融入零信任架構(gòu)理念

零信任是一種新的安全體系，零信任的安全保護(hù)對象不只局限于端點(diǎn)設(shè)備，而是對業(yè)務(wù)訪問的全過程進(jìn)行可信認(rèn)證和評估，始終保持對各種端點(diǎn)設(shè)備和網(wǎng)絡(luò)會話的分析，篩選符合安全要求的訪問行為，通過零信任網(wǎng)關(guān)建立終端與業(yè)務(wù)系統(tǒng)之間的聯(lián)系。零信任體系中，實(shí)現(xiàn)對端點(diǎn)安全的保護(hù)是不可或缺的一個重要維度。盡管零信任并不能完全覆蓋端點(diǎn)安全保護(hù)的所有方面，但是可以對傳統(tǒng)端點(diǎn)安全防護(hù)措施進(jìn)行補(bǔ)充和完善。傳統(tǒng)端點(diǎn)安全工具已經(jīng)難以應(yīng)對新型的網(wǎng)絡(luò)安全威脅，而零信任理念在加強(qiáng)端點(diǎn)安全設(shè)備的信任度和安全性的同時，也擴(kuò)展了終端安全的應(yīng)用場景和功能。

3、進(jìn)一步增強(qiáng)機(jī)器學(xué)習(xí)

端點(diǎn)安全的未來在于人工智能。高級端點(diǎn)安全方案應(yīng)不斷增強(qiáng)學(xué)習(xí)和調(diào)查能力,通過分析大量數(shù)據(jù)以識別新的攻擊模式,并在新出現(xiàn)的威脅造成損害之前對其進(jìn)行風(fēng)險預(yù)測。

4、強(qiáng)調(diào)對異常行為的監(jiān)控識別

理解什么是“正常”的活動行為有助于提前識別未知的端點(diǎn)安全風(fēng)險。高級端點(diǎn)安全解決方案應(yīng)該為用戶和端點(diǎn)系統(tǒng)建立安全行為基線配置文件，并使用人工智能來檢測可能表明妥協(xié)的行為偏差。

5、全面共享第三方威脅信息和情報

傳統(tǒng)端點(diǎn)安全的方法在很大程度上依賴于孤立點(diǎn)解決方案的實(shí)施。這導(dǎo)致了這些解決方案不容易協(xié)同工作，會在安全防御對抗中留下了巨大的漏洞。高級端點(diǎn)安全方案必須與其他安全工具實(shí)現(xiàn)無縫集成,共享監(jiān)控日志與威脅情報,從而實(shí)現(xiàn)構(gòu)建一個整體的安全生態(tài)系統(tǒng),這個生態(tài)系統(tǒng)能夠?qū)⒔M織的各種安全能力有機(jī)整合，并利用上下文進(jìn)行高級威脅的監(jiān)控與檢測。

6、有效管控影子設(shè)備及應(yīng)用 

影子IT和BYOD策略的泛濫給現(xiàn)代企業(yè)制造了一場安全噩夢。高級端點(diǎn)安全解決方案必須對企業(yè)中所有的端點(diǎn)應(yīng)用程序使用和設(shè)備連接提供細(xì)粒度的發(fā)現(xiàn)和控制能力，這樣才可以適應(yīng)組織數(shù)字化發(fā)展中的端點(diǎn)風(fēng)險管理和合規(guī)要求。

7、基于業(yè)務(wù)的數(shù)據(jù)丟失防護(hù)

在數(shù)字化時代，企業(yè)在數(shù)字化業(yè)務(wù)開展中會產(chǎn)生大量的數(shù)據(jù)并不斷變化。因此，高級端點(diǎn)安全方案需要融合先進(jìn)的DLP功能，基于業(yè)務(wù)場景提供對數(shù)據(jù)流動和使用過程的細(xì)粒度安全控制，并使用人工智能技術(shù)來理解上下文和風(fēng)險意圖，在不影響合法業(yè)務(wù)流程使用數(shù)據(jù)的情況下，防止數(shù)據(jù)的非法泄漏。

8、未知風(fēng)險預(yù)防能力

針對零日漏洞等未知安全風(fēng)險提供安全防護(hù)能力，一直是網(wǎng)絡(luò)安全廠商的圣杯。因此，高級端點(diǎn)安全性必須包含復(fù)雜的風(fēng)險利用預(yù)防技術(shù)，如內(nèi)存保護(hù)、行為監(jiān)控和微虛擬化等，以在高級威脅攻擊被執(zhí)行之前，發(fā)現(xiàn)、遏制和消除威脅。

9、利用新技術(shù)指標(biāo)消除“噪音”

信息過載一直是干擾企業(yè)安全運(yùn)營的嚴(yán)重挑戰(zhàn)。高級端點(diǎn)安全方案應(yīng)該利用快速發(fā)展的人工智能技術(shù)，提供情境化的、可操作的海量報警優(yōu)化能力，通過消除噪音突出那些需要安全團(tuán)隊重點(diǎn)關(guān)注的真正端點(diǎn)威脅。

10、加強(qiáng)對電子郵件威脅的保護(hù)

大語言模型技術(shù)讓網(wǎng)絡(luò)釣魚攻擊變得越來越復(fù)雜，高級端點(diǎn)安全解決方案必須超越簡單的郵件附件掃描模式，而是需要使用人工智能驅(qū)動的新一代威脅分析技術(shù)來檢測電子郵件內(nèi)容、發(fā)件人行為和附件特征中的細(xì)微異常。這種更積極的郵件威脅防護(hù)方法，可以識別和消除傳統(tǒng)惡意郵件過濾器可能會漏掉的新型威脅。

11、自動化補(bǔ)丁管理

未打補(bǔ)丁的端點(diǎn)應(yīng)用系統(tǒng)是攻擊者最常利用的端點(diǎn)攻擊路徑之一，也是最容易實(shí)現(xiàn)的端點(diǎn)安全防護(hù)之一。因此，企業(yè)應(yīng)該采取合適的策略和機(jī)制，以自動化方式解決這些缺陷可能造成的安全問題。通過采取正確有效的補(bǔ)丁管理策略，企業(yè)不僅可以確保端點(diǎn)設(shè)備和底層基礎(chǔ)架構(gòu)沒有錯誤和漏洞，還可以循序漸進(jìn)地降低嚴(yán)重網(wǎng)絡(luò)安全事件發(fā)生的概率，同時也有助于企業(yè)進(jìn)行后續(xù)的回顧管理和安全審核。

12、靈活的部署選項

當(dāng)企業(yè)開始啟動端點(diǎn)安全管理計劃時，薄弱的安全運(yùn)營能力和匱乏的專業(yè)安全人才會成為阻礙計劃推進(jìn)的障礙。在此情況下，高級解決方案應(yīng)該提供靈活的部署模型，包括基于內(nèi)部部署、基于云或混合部署，以適應(yīng)不同的組織需求和基礎(chǔ)設(shè)施需求。企業(yè)還可以通過與托管式威脅檢測和響應(yīng)服務(wù)商（MDR）合作，以解決端點(diǎn)安全運(yùn)營能力不足的難題。

結(jié)語

以上特征協(xié)同作用，代表了當(dāng)前高級端點(diǎn)安全防護(hù)中的范式轉(zhuǎn)變，體現(xiàn)了一種主動的、以情報為驅(qū)動的新理念，不僅能夠應(yīng)對威脅，而且可以提前預(yù)測和阻止威脅。

Katkar表示，批評者可能會認(rèn)為實(shí)施這種全面端點(diǎn)安全解決方案會增加企業(yè)安全運(yùn)營的復(fù)雜性和成本，他們會辯稱，這太過分了，企業(yè)需要的是更簡單、更便宜的端點(diǎn)安全措施。

但這種想法并不現(xiàn)實(shí)。因?yàn)樵跀?shù)字化時代，一次簡單的網(wǎng)絡(luò)入侵就可能給企業(yè)造成數(shù)百萬美元的財產(chǎn)損失，并對組織的商譽(yù)造成不可挽回的損害。在此背景下，端點(diǎn)安全防護(hù)的關(guān)鍵不在于企業(yè)是否要負(fù)擔(dān)高成本的安全投入，而在于其是否能夠承擔(dān)端點(diǎn)攻擊活動所造成的損失。

參考鏈接：