侵權投訴
訂閱
糾錯
加入自媒體

數字化時(shí)代,企業(yè)終端安全防護該“上新”了!

隨著(zhù)云計算、大數據、物聯(lián)網(wǎng)等創(chuàng )新技術(shù)的加速落地,企業(yè)原有的網(wǎng)絡(luò )邊界被打破,各種終端設備如:筆記本電腦、臺式機、平板電腦、智能手機、物聯(lián)網(wǎng)終端等成為了新的安全邊界。

在此背景下,想確保企業(yè)高效辦公的靈活性、安全性和隱私性,就必須讓終端設備具有與時(shí)俱進(jìn)的安全能力,而不是一味通過(guò)管理措施去限制員工對終端設備的使用。

但是,要實(shí)現全面的終端安全防護并不容易,企業(yè)安全團隊在開(kāi)展終端安全能力建設時(shí)面臨多重挑戰。

終端安全事件頻發(fā) 政策合規走向實(shí)戰化

近年來(lái),隨著(zhù)黑色產(chǎn)業(yè)鏈的萌生和壯大,網(wǎng)絡(luò )安全環(huán)境愈加復雜,APT攻擊、勒索病毒、挖礦等攻擊手段大行其道,而傳統終端防護手段已很難對此類(lèi)攻擊有防護效果。

過(guò)去十年,全球發(fā)生了多起終端安全事件,例如:

2016年發(fā)生多次針對ATM發(fā)起網(wǎng)絡(luò )攻擊導致ATM機自動(dòng)吐錢(qián)的黑客事件,經(jīng)過(guò)研究人員分析,黑客實(shí)現對銀行內部的ATM專(zhuān)用網(wǎng)絡(luò )植入了惡意程序,最終實(shí)現操控ATM機吐錢(qián)。

2017年5月,勒索病毒W(wǎng)annaCry爆發(fā),全球范圍近百個(gè)國家遭到大規模網(wǎng)絡(luò )攻擊,惡意病毒利用漏洞在內部網(wǎng)絡(luò )大范圍傳播和感染,造成嚴重損失。

2020年12月,美國多個(gè)重要政企機構遭受了國家級APT組織的入侵,攻擊疑似由于網(wǎng)絡(luò )安全管理軟件供應商SolarWinds遭遇國家級APT團伙高度復雜的供應鏈攻擊并植入木馬后門(mén)導致。

不僅如此,以網(wǎng)絡(luò )釣魚(yú)為代表的社會(huì )工程攻擊也對企業(yè)終端安全構成了嚴峻的挑戰由于開(kāi)展網(wǎng)絡(luò )釣魚(yú)活動(dòng)的成本不斷降低,網(wǎng)絡(luò )釣魚(yú)已經(jīng)成為目前最常用的終端安全攻擊途徑之一。

據思科公司研究報告顯示,86%的企業(yè)都遇到過(guò)至少一次釣魚(yú)攻擊。只要有一名內部員工淪為網(wǎng)絡(luò )釣魚(yú)攻擊的受害者,他們就可能無(wú)意中將惡意軟件傳播到整個(gè)網(wǎng)絡(luò ),導致嚴重的后果。

從企業(yè)自身看,由于數字化轉型的加速,企業(yè)對于終端設備的使用方式都發(fā)生了巨大的改變。

一方面,大多數企業(yè)都采用了多種終端設備,包括移動(dòng)設備、筆記本、無(wú)線(xiàn)設備和桌面設備等。這些終端設備運行在不同的操作系統上,想要跟蹤記錄所有聯(lián)網(wǎng)終端的操作與使用情況非常困難,這也使得安全團隊對終端設備使用的可見(jiàn)性非常有限。

缺乏可見(jiàn)性嚴重影響了企業(yè)及時(shí)發(fā)現易受攻擊的終端和發(fā)生在這些設備上的可疑活動(dòng)。而大量的惡意軟件正是利用這一特點(diǎn),長(cháng)期潛伏在已被攻陷的終端設備中,伺機竊取或加密組織的敏感數據。

另一方面,后疫情時(shí)代,遠程辦公已經(jīng)成為現代企業(yè)工作模式的新常態(tài),這讓保護遠程終端安全變得頗具挑戰性。由于遠程辦公時(shí),員工是在企業(yè)物理網(wǎng)絡(luò )之外工作,往往難以嚴格遵循企業(yè)網(wǎng)絡(luò )安全管理的最佳實(shí)踐要求。

此外,企業(yè)對遠程辦公終端的安全控制能力也很有限,比如員工一旦在咖啡館等公共場(chǎng)所遺失手機、筆記本等終端設備,就會(huì )危及企業(yè)整體的數據安全。

同時(shí),很多企業(yè)都會(huì )允許并鼓勵員工在自帶設備(BYOD)上辦公,但BYOD設備屬于員工個(gè)人所有,企業(yè)如果無(wú)法對這些設備進(jìn)行有效的管理和控制,將是企業(yè)未來(lái)終端安全建設中面臨的一大挑戰。

在政策層面,國家越來(lái)越重視網(wǎng)絡(luò )安全,企業(yè)安全建設方和監管機構也從傳統的“產(chǎn)品檢查”轉換為當代的“能力檢查”,以往堆砌網(wǎng)絡(luò )安全設備的就能應付合規要求和檢查的方式,轉變?yōu)閷?shí)戰化的效果驗證。

面對外部網(wǎng)絡(luò )安全環(huán)境、政策要求和企業(yè)數字化需求的變化,企業(yè)應如何開(kāi)展終端安全建設?

企業(yè)需構建新一代終端安全防護能力

研究機構Forrester在《終端安全管理的未來(lái)》研究報告中指出,對所有終端設備進(jìn)行有效的安全防護和管理,是保護企業(yè)數字化轉型安全開(kāi)展的基礎。而組織在開(kāi)展新一代終端安全防護能力建設時(shí),也需要重點(diǎn)關(guān)注以下技術(shù)發(fā)展趨勢:

 加大AI技術(shù)應用 

將新一代AI技術(shù)用于終端安全建設已經(jīng)越來(lái)越普遍,可以在無(wú)需人員干預的情況下自動(dòng)修復端點(diǎn)問(wèn)題。此外,AI為終端系統自我修復帶來(lái)了更大的彈性。

研究人員認為,新一代終端安全防護平臺需要在應用程序、操作系統和固件這三個(gè)主要層面提供自我修復,才能起到實(shí)際效果。

其中,嵌入在固件中的自我修復將最重要,因為它確保端點(diǎn)上運行的所有軟件。固件層面的自我修復也很有必要,如果在端點(diǎn)上運行的端點(diǎn)安全代理崩潰或損壞,固件層面的自我修復有助于快速修復。

 體系化的終端安全能力 

統一終端安全防護平臺可以提供終端檢測和響應(EDR)、漏洞管理、反網(wǎng)絡(luò )釣魚(yú)以及生物特征驗證。

調查發(fā)現,企業(yè)組織需要為整合的終端安全管理和防護平臺提供統一視圖,實(shí)時(shí)了解所有終端的安全運行情況,體系化解決方案能力也將成為評價(jià)終端安全廠(chǎng)商競爭力的重要因素。

 增強用戶(hù)的應用體驗感 

新一代終端安全解決方案需要廣泛收集用戶(hù)體驗監測數據,并作為產(chǎn)品優(yōu)化的參考依據。

增強用戶(hù)體驗可以先從縮短設備啟動(dòng)時(shí)間的這一場(chǎng)景開(kāi)始,隨后范圍會(huì )擴大到應用程序、網(wǎng)絡(luò )和身份驗證機制等。

增強用戶(hù)體驗的目的是提供更安全的終端安全應用,同時(shí)讓用戶(hù)幾乎感覺(jué)不到對數字化業(yè)務(wù)的影響。

 以隱私數據保護為中心 

企業(yè)需要在支持員工自帶設備的同時(shí),加大對核心應用和隱私數據的保護。因此,新一代終端安全能力建設需要更關(guān)注以數據和應用程序為中心的保護,而不是對硬件設備的保護。

目前,獨立的數據安全技術(shù)已經(jīng)被大量采用,即便在員工自己購買(mǎi)的終端設備上,也可以使用虛擬化隔離系統,來(lái)分離公司數據和個(gè)人數據,這樣不僅為員工提供了更好的靈活性,也為企業(yè)帶來(lái)了更好的安全性。

新一代終端安全解決方案的關(guān)鍵性能力

那么,從技術(shù)上看,新一代終端安全解決方案需要具備哪些關(guān)鍵性能力?

事實(shí)上,由于傳統終端安全關(guān)注已知威脅,如防病毒、終端HIPS、HWAF類(lèi),基于已知特征進(jìn)行防護,對于A(yíng)PT攻擊、勒索、挖礦等高級攻擊、病毒、木馬的變種等高級威脅,這些基于規則的主機防護軟件都已經(jīng)失去了作用。

因此,新一代終端安全產(chǎn)品需要新技術(shù)來(lái)補充上層的安全能力:

 主機行為分析 

利用終端病毒檢測能力、行為檢測能力等,結合終端安全服務(wù)端上的關(guān)聯(lián)分析能力,精準識別主機各類(lèi)異常文件及異常行為,包括:僵木蠕異常文件分析、密碼嗅探、U盤(pán)異常文件操作、邊界文件行為分析、Webshell后門(mén)分析、反彈shell分析、挖礦木馬分析等。

 威脅情報 

基于大數據技術(shù)統一匯聚各類(lèi)終端日志,結合綠盟實(shí)時(shí)威脅情報數據(IP、域名、樣本hash),通過(guò)威脅分析建模引擎、異常行為分析引擎等進(jìn)行深度危險關(guān)聯(lián)分析以及威脅判定實(shí)現對APT攻擊等的有效檢測。

 機器學(xué)習 

依賴(lài)于對攻擊數據的訓練及學(xué)習,不斷增強威脅檢測模型及檢測能力,從而更加準確、智能化的應對威脅及其變種。

 威脅狩獵 

利用終端誘捕系統中的蜜罐檢測技術(shù)、模擬IP技術(shù)、模擬漏洞技術(shù)、模擬服務(wù)技術(shù)、誘餌技術(shù)等,誘使攻擊方對它們實(shí)施攻擊,從而可以對攻擊行為進(jìn)行捕獲和分析,了解攻擊方所使用的工具與方法,推測攻擊意圖和動(dòng)機,能夠讓防御方清晰地了解他們所面對的安全威脅。

 內存馬檢測 

針對主機的內存保護技術(shù),可有效應對一些新型攻擊手段、病毒變種等威脅,特別是內存Webshell,從而保障業(yè)務(wù)系統的安全。

 微隔離技術(shù) 

基于零信任的設計理念,提供對終端精細化的點(diǎn)對點(diǎn)自適應訪(fǎng)問(wèn)控制能力,以保證終端安全風(fēng)險的精細化即時(shí)響應。切實(shí)做到既能保證威脅的有效隔離,又能保證業(yè)務(wù)影響最小化。

 自動(dòng)化響應 

基于安全分析產(chǎn)生的運維事件,進(jìn)行運維模型的構建,進(jìn)一步確定當前威脅運維模型的防護模型,并基于當前的事件智能提取防護參數,從而形成一系列的安全防護策略。同時(shí),系統還可以根據客戶(hù)化訴求,確定自動(dòng)化執行防護策略或者人工審核執行。

 溯源分析 

提供全景式展示攻擊者的攻擊時(shí)序過(guò)程、攻擊所處攻擊階段及對應的ATT&CK攻擊圖譜、可視化攻擊進(jìn)程父子關(guān)系等,幫助運維人員溯源攻擊者的行為及最終意圖。

需要特別指出的是,以上安全能力建設都不是獨立的,而是需要與整體的安全防護框架及體系緊密融合。它不僅要保證終端自身的安全,也要保證其他層面的安全。

而整體的安全防護包括網(wǎng)絡(luò )安全、應用安全、數據安全等多個(gè)方面。在整體防護的基礎上,通過(guò)對終端設備的加強防護,可以有效防范終端設備被攻擊的風(fēng)險,保障企業(yè)的信息安全。

 相關(guān)閱讀

2023年安全運營(yíng)之風(fēng)將吹向何方?

穿行數字經(jīng)濟時(shí)代,數據如何找到“安全感”?

遠程接入時(shí)代,零信任如何“拯救”企業(yè)內網(wǎng)安全?

數智化轉型時(shí)代,網(wǎng)絡(luò )安全成為“內需”與“剛需”

用戶(hù)信息泄露事件頻現,數據安全建設該如何升級?

【科技云報道原創(chuàng )】

轉載請注明“科技云報道”并附本文鏈接

       原文標題 : 數字化時(shí)代,企業(yè)終端安全防護該“上新”了!

聲明: 本文由入駐維科號的作者撰寫(xiě),觀(guān)點(diǎn)僅代表作者本人,不代表OFweek立場(chǎng)。如有侵權或其他問(wèn)題,請聯(lián)系舉報。

發(fā)表評論

0條評論,0人參與

請輸入評論內容...

請輸入評論/評論長(cháng)度6~500個(gè)字

您提交的評論過(guò)于頻繁,請輸入驗證碼繼續

暫無(wú)評論

暫無(wú)評論

安防 獵頭職位 更多
文章糾錯
x
*文字標題:
*糾錯內容:
聯(lián)系郵箱:
*驗 證 碼:

粵公網(wǎng)安備 44030502002758號