当前位置: 亚洲城ca88 > ca88 > 正文

至于端点反恶意软件体贴的多少个真相,Gartner公

时间:2020-01-18 02:47来源:ca88
在过去几年间,向下一代端点安全移动的趋势已经进一步加速,究其原因很简单:网络安全专业人员对现有的防病毒软件的功效并不满意。这种市场需求大大推动了诸如CarbonB 近日,G

在过去几年间,向下一代端点安全移动的趋势已经进一步加速,究其原因很简单:网络安全专业人员对现有的防病毒软件的功效并不满意。 这种市场需求大大推动了诸如CarbonB

近日,Gartner发布了2017年的11大顶尖信息安全技术,同时指出了这些技术对信息安全部门的意义。

ca88,在过去几年间,向下一代端点安全移动的趋势已经进一步加速,究其原因很简单:网络安全专业人员对现有的防病毒软件的功效并不满意。

在本文中,专家Ed Tittel解释了端点反恶意软件是如何保护最终用户设备及其连接网络、以抵御恶意代码的。

Gartner副总裁兼院士级分析师NeilMacDonald表示,“2017年,企业IT的威胁级别依然处于非常高的水平,媒体上每天都充斥着各种攻击和泄漏信息。随着攻击者的能力不断提升,企业必须提高其防御攻击的能力,安全和风险领导者必须评估和使用最新的安全技术,防止先进的攻击活动,更好地实现数字业务转型,拥抱新的计算风格,如云、移动以及DevOps。”

这种市场需求大大推动了诸如CarbonBlack、CrowdStrike、Cybereason、Cylance、Morphisec以及SentinelOne等安全供应商的投资和创新浪潮。

端点反恶意软件保护是一种积极地阻止恶意软件感染计算机的应用。在很多这样的产品中,这种安全技术会延伸到虚拟桌面和移动设备,以及工作站和笔记本电脑。

以下为这11项信息安全技术的具体内容:

下一代端点安全技术往往可以分为两大阵营高级防御工具以及深入的检测和响应工具。其中,高级防御工具中添加了可用于检测绕过AV(杀毒软件)签名的恶意软件的新技术。大多数此类工具中还包含反漏洞利用工具,用于检测和阻止常见的内存漏洞以及/或是针对常见应用程序(如浏览器)的攻击。

ca88 1

1. 云工作负载保护平台(Cloud Workload Protection Platform,简称CWPP)

现代数据中心支持运行在物理设备、虚拟机(VM)、容器以及私有云基础架构中的各种工作负载,并且几乎总是涉及一些在一个或多个公有云基础设施即服务(IaaS)提供商中运行的工作负载。

云工作负载保护平台(CWPP)市场定义为基于主机的解决方案,主要满足现代混合数据中心架构中,服务器工作负载的保护要求。它为信息安全领导者提供了一种集成的方式,通过使用单个管理控制台和单一方式表达安全策略来保护这些工作负载,而不用考虑工作负载运行的位置。

另一方面,一些组织也对端点检测和响应(EDR)提出了新的要求,此类工具能够监视端点行为并收集数据,然后将这些数据用于安全分析工作。

影响计算机和各种移动设备的常见恶意软件类型包括病毒、木马、蠕虫、间谍软件、rootkit等。

2. 远程浏览器技术(RemoteBrowser)

几乎所有成功的攻击都源于公共互联网,而基于浏览器的攻击是用户攻击的主要来源。信息安全架构师无法阻止攻击,但是他们可以通过将终端用户互联网浏览会话与企业端点和网络隔离的方式来抑制损害。通过隔离浏览器功能,可以使恶意软件远离终端用户的系统,企业也可以通过将攻击风险转移到服务器会话中来减少攻击面,它可以在每个新的浏览器会话中重置为已知的良好状态,标记为打开的或URL访问的。

过去,大多数企业选择了用于高级防御或是端点检测和响应(EDR)的新工具,而鲜少有企业会同时选择两者。根据数据显示,大约75%到80%的人选择了高级防御工具,其余的人则选择了端点检测和响应(EDR)工具。

“端点”和“反恶意软件”术语通常意味着产品专用于企业内部(而不是一次性或家庭为单位的个人消费者使用),这可能意味着小型企业、分支机构、中型企业、政府机构或企业。

3. 欺骗技术(Deception)

欺骗(Deception)技术,顾名思义,这是一种用来摆脱攻击者的自动化工具,或为对抗攻击争取更多时间的一种欺骗手段。本质就是通过使用欺骗手段阻止或者摆脱攻击者的认知过程,扰乱攻击者的自动化工具,延迟攻击者的行为或者扰乱破坏计划。

例如,欺骗功能会制造假的漏洞、系统、分享和缓存,诱骗攻击者对其实施攻击,从而触发攻击告警,因为合法用户是不应该看到或者试图访问这些资源的。

Gartner预测,到2018年有10%的企业将采用欺骗工具和策略,参与到与黑客的对抗战争中。

然而,这种采购和部署行为正在发生变化。根据ESG的研究结果显示,87%的组织已经购买或正在计划购买同时包含高级防御和EDR功能的全面端点安全组件。因此,如果端点安全供应商想要获得竞争优势,就必须将自身发展成为一个一站式的端点安全商店。

目前数十万种恶意软件在网络中肆虐,同时,网络攻击正不断上升,各种规模的企业面临的最关键问题是确保抵御恶意软件的强有力的保护。另外,在格雷姆-里奇-比利雷法和健康保险携带和责任法案(HIPAA)监管下的企业,或需要遵守PCI DSS标准来接受支付卡的企业,必须运行反恶意软件作为其合规要求的一部分。

4. 端点检测和响应(EDR)

该技术早在2014年就已经上榜了,Gartner还将其列入五种检测高级威胁的手段之一。端点检测和响应(EDR)解决方案通过监控端点的异常行为和恶意活动迹象,来增强传统的端点预防性控制措施,例如防病毒。Gartner预测,到2020年,80%的大型企业,25%的中型企业和10%的小型企业将投资EDR能力。

如今,组织都想拥有一套功能全面的端点安全组件,但这究竟意味着什么呢?基于大量的研究,下面总结出端点安全必备的七大功能:

端点反恶意软件套件的价值

5. 网络流量分析(Networktraffic analysis,简称NTA)

网络流量分析(NTA)解决方案是一个有助于网络管理者进行网络规划、网络优化、网络监控、流量趋势分析等工作的工具。它通过监控网络流量、连接和对象,找出恶意的行为迹象。那些正在寻求基于网络的方法,来识别绕过周边安全性的高级攻击的企业应该考虑使用NTA技术来帮助识别、管理和分类这些事件。

1.高效的恶意软件检测/阻止功能

端点保护必须能够阻止恶意软件攻击、保护用户(同时发送电子邮件、浏览网页或者链接设备),以及阻止任何取得成功的攻击的扩散。为了实现这些目标,现在的端点反恶意软件套件提供了分层保护,采用强大的防病毒功能的形式,即反间谍软件、电子邮件收件箱保护、基于主机的防火墙、数据丢失防护、当访问的网站可能带来安全风险时发出警报,并能够抵御新的或未知威胁,又称零日威胁。

6. 管理检测和响应(MDR)

管理检测和响应(MDR)提供商为寻求改进其威胁检测、事件响应和持续监控功能的买家提供服务,这些买家自身通常不具备专业的技能或资源。由于缺乏对威胁检测能力方面的投资,中小企业(SMB)和小型企业的需求特别强烈,因为MDR服务正好触及了这些企业的“sweet spot(甜蜜点)”。

这可以基于分层的端点安全技术即杀毒软件签名、启发法(指在入侵检测中使用AI思想)以及IoC比较等,或是仅仅基于机器学习算法只要它能检测并阻止90%以上的零日文件和无文件的恶意软件,同时保持较低的误诊率即可。

这种反恶意软件套件的价值在于集多种功能于一身,它可以在外部恶意软件和内部系统及数据之间提供全面的保护。这种深度防御采用不同的方法来阻止恶意软件,这样一来,可以攻破单层保护来获取成功的攻击或入侵就不太可能实现。另外,对于IT而言,与管理来自不同供应商的不同应用相比,管理套件更加容易。

7. 微分段(Microsegmentation)

一旦攻击在企业系统中站稳脚跟,他们通常会横向移动(东/西)到其他系统中。微分段是在虚拟数据中心内为实现安全目的进行隔离和分段的过程。就像潜艇中的舱室一样,微分段有助于在威胁发生时限制破坏。之前,微分段技术主要用于描述服务器之间在相同层/区域内的东西/横向通信,但是现在它已经演变为主要用于虚拟数据中心内的通信。

2.反漏洞利用技术

部署了端点反恶意软件的计算机或设备就像是由高墙、护城河、钢闸门和吊桥组成的戒备森严的城堡,同时,里里外外的护卫会不断观察可疑活动,随时准备阻止或者杀死“恶龙”。

8. 软件定义边界(Software-defined perimeters,简称SDP)

Gartner预测,到2017年底,至少10%的企业组织(目前低于1%)将利用软件定义边界SDP技术来隔离敏感的环境,这项技术在安全保障用户的访问同时,也可以改善便利性,而使用一个固定的边界来保护企业内部网站正在逐渐过时。

软件定义边界(Software Defined Perimeter,SDP)由云安全联盟(CSA)于2013年提出,用应用所有者可控的逻辑组件取代了物理设备,只有在设备证实和身份认证之后,SDP才提供对于应用基础设施的访问。

SDP使得应用所有者部署的边界可以保持传统模型中对于外部用户的不可见性和不可访问性,该边界可以部署在任意的位置,如网络上、云中、托管中心中、私有企业网络上,或者同时部署在这些位置中。

如上所述,这种技术可以用于检测和阻止常见的内存漏洞以及/或是针对常见应用程序(如浏览器)的攻击和勒索软件攻击等。但是需要注意的是,反漏洞利用技术可能会非常难操作,因此首席信息安全官们(CISO)应该寻找易于配置和操作的产品。

端点反恶意软件保护的特征

9. 云端访问安全代理技术(Cloudaccess security brokers ,简称CASBs)

云端访问的安全代理(CASBs)技术是指在云服务客户与云服务提供商之间建立一个启停“安全访问云资源策略”的开关。

CASB重点针对SaaS模式下的云服务商提升其安全性与合规性,同时也在不断丰富针对IaaS和PaaS的应用场景,填补了单个云服务的很多空白,允许首席信息安全官(CISO)同时跨越来越多的云服务做到这一点,包括基础设施即服务(IaaS)和平台即服务(PaaS)提供商。

因此,CASB解决了CSIO要跨整个企业云服务制定政策、监控行为和管理风险这一关键要求。

3.端点检测和响应(EDR)功能

下面是这类软件套件的典型特征:

10. 面向DevSecOps的OSS安全扫描和软件组成分析技术(OSS security scanning and software composition analysis forDevSecOps)

信息安全架构师必须能够将安全控制自动融入到整个DevSecOps周期中,而不需要进行手动配置,在这过程中要尽可能对DevOps团队是透明的,且不会阻碍DevOps的敏捷性,但是又要履行法律和法规合规性以及管理风险要求。为了实现这一目标,安全控制必须能够在DevOps工具链中实现自动化。软件组合分析(SCA)工具专门分析开发人员用于识别和清点OSS组件的源代码、模块、框架和库,并在应用程序运用到生产环境之前,识别任何已知的安全漏洞或是许可问题。

对于此类功能的产品,首席信息安全官(CISO)们必须谨慎选择,因为端点检测和响应工具中存在许多功能细化的产品。具备高级安全分析和SOC技能的大型组织可能希望收集、处理、分析和保留所有的端点安全数据,但是经验较少的组织可能只需要基于其他安全警报触发器的EDR功能。

• 防病毒:恶意软件编写者竭尽全力来创建恶意软件以逃避检测和防止移除。而现在的反恶意软件产品通常会结合基于签名的扫描与启发式技术及基于云的全球威胁情报,以发现和根除系统中的恶意软件并阻止感染。(启发式技术是基于以往的经验、对恶意软件行为的观察以及典型攻击点来发现恶意软件的做法。)这种防病毒技术组合可以有效阻止零日威胁,零日威胁一直给IT安全团队带来重大挑战。

11. 容器安全(Containersecurity)

容器使用共享的操作系统模式。对主机操作系统的漏洞攻击可能导致所有容器都受到破坏。容器本身并不安全,但是它们就是由开发者以不安全的方式进行部署的,很少或完全没有安全团队参与,也很少有安全架构师进行指导。传统的网络和基于主机的安全解决方案对容器是无视的。容器安全解决方案保护容器的整个生命周期(从创建到生产),大多数容器安全解决方案都提供了预生产扫描和运行时间监控和保护功能。

*关于Gartner公司
Gartner公司创立于1979年,拥有7,900名顾问,包括 1,700多位世界级分析专家,在全球设有90多个分支机构。Gartner首创了魔力象限,首次提出威胁情报的概念,Gartner报告已经成为IT业界了解新技术的一个重要窗口。
*参考来源:helpnetsecurity,转载请注明来自FreeBuf.COM*

ca88 2

此外,对于任务繁重而又人手不足的安全部门而言,EDR工具也格外具有吸引力。EDR功能是端点安全组件不可或缺的一项要求,但是对于如何选择EDR产品组织还需格外谨慎。

• 反间谍软件:恶意间谍软件感染比常见感染更容易实现,并且它是保护敏感或机密数据面临的主要威胁。对此,反恶意软件会不断在后台运行以阻止间谍软件安装,无论其来源如何。

4.单个端点代理

• 数据丢失防护(DLP):DLP中涉及的技术旨在保护那些离开企业内部网络的数据,无论是通过电子邮件、USB驱动器、在笔记本电脑或移动设备,还是上传到云中。

主流产品应该是基于一个单一的、易于部署和操作的代理。如今,一些供应商可能会使用多个代理,并将其企业发展规划描绘成合并为一个单一的代理。对于这一问题,购买者还需谨慎对待。

• 桌面防火墙:网络应始终受到防火墙保护,而在端点部署第二个防火墙可以为抵御恶意软件提供另一层保护。

5.集中式管理

• 设备控制:恶意软件可以感染没有连接到网络或互联网的计算机。连接USB设备到计算机或者从CD或DVD安装软件总是可能会转移受感染应用到目标机器。而设备控制允许IT通过设置和执行设备访问规则来限制或阻止用户访问。

所有功能都应该汇报到一个集中的管理系统中。对于职责分离需求而言,集中式管理应该支持多因素身份认证、定制视图/仪表板以及基于角色的访问控制等功能。

• 电子邮件保护:反恶意软件套件的这个组件旨在过滤出网络钓鱼电子邮件、垃圾邮件和携带恶意或可疑内容的其他信息。

6.混合部署选项

• 网页浏览保护:也被称为信誉技术,大多数反恶意软件套件会咨询某种类型的评级数据库,来查询网站是否可以安全地浏览。通过这种类型的保护,被视为不安全的网站将不能被打开,同时用户会受到警告消息。

组织应该能够选择端点安全管理平台是部署在本地还是云端,亦或者可以两种形式混合部署。

除了上述功能,有些端点反恶意软件套件还包含入侵检测和防御功能、应用控制和网络访问控制。有些产品还执行补丁评估和管理,其中会对系统威胁进行评估,并修复最关键的补丁,以及漏洞评估,甚至还有全磁盘加密来保护存储的数据。

7.修复能力

部署和管理端点反恶意软件产品

当一个端点受到感染时,安全和IT操作需要具备隔离系统、删除注册表或终止恶意进程的能力。端点安全工具应该将这种修复能力作为一项简单的管理任务。如今,有些系统仍然需要重新映像,但是端点安全工具应该提供充足的修复选项,以帮助大大减少必需的系统重新映像次数。

通常情况下,端点反恶意软件产品需要管理员在服务器安装管理控制台来帮助管理客户端、产品许可证和日志。

补充观点:

这个步骤还会创建包含设置、权限、事件和安全政策的数据库。出于性能的考虑以及复制数据的需要,大型企业或者具有多个站点的企业可能需要安装额外的管理服务器。下个步骤是在客户端计算机和设备安装软件(有时被称为代理),可能是直接或者通过网络安装。

除了上述的必备功能之外,其他一些如资产管理、漏洞管理以及补丁管理、应用程序白名单以及端口控制等,都可归类为应该具备的功能。这些功能对于一些用户来说可能非常重要,但对其他人来说也许并没那么重要,但是这些功能目前正在往端点安全领域迁移,所以对于这个领域还需留心关注。如果需要这些功能,就去找能够提供这些功能的产品供应商。

无论采取何种方法,客户端必须配置为客户端软件更新(自动或从服务器推送)以及病毒定义更新,这是最低要求。

此外,用户可能还有数据防泄露(DLP)和其他类型文件级数据安全方面的需求。DLP不需要成为端点安全组件的一部分,但是一些组织可能会认为单个端点安全/数据丢失防护(DLP)解决方案会更具吸引力。而传统的端点安全控制,例如全磁盘加密和防火墙,已经真正地迁移到了操作系统之中。因此,它们并不真正地需要成为新的端点安全组件的一部分。

总体而言,端点反恶意软件保护是企业安全基础设施中重要的必要元素,但它不是企业部署的唯一元素。在部署前,IT管理人员和安全专家应该评估自己的环境,以确定他们具体需要保护什么,以及应该预测未来三到五年他们的环境将会如何发展。

最后谈谈供应商。供应商可能会使用托管服务来补充端点安全产品,但有些CISO觉得能够拥有属于自己的端点安全功能,并将其外包给他人的方式才更具吸引力。

企业还应该评估一些高评价的端点反恶意软件套件来对比其功能,确定哪个产品最适合其企业的规模和需求,并考虑成本因素,以在其预算内获得最佳产品。

一些供应商会参与第三方测试,而另一些供应商则会选择避开这些测试,并声称他们不再运用新的端点安全技术。虽然第三方测试可以提供客观的指标,但强烈建议用户可以自己进行详细而全面的产品检测。换句话说,不要依赖第三方或让供应商牵头进行产品测试。你需要依赖自己做出最为明智的决定。

【编辑推荐】

最后,端点安全市场良莠不齐,用户应该通过对市场、技术以及供应商进行深入研究来决定任何新的端点安全决策。

责任编辑:金小雪

编辑:ca88 本文来源:至于端点反恶意软件体贴的多少个真相,Gartner公

关键词: 亚洲城ca88