您的位置: 网界网 > 安全 > 正文

下一代端点保护没有那么容易

2015年07月30日 10:49:52 | 作者:邹铮编译 | 来源:网界网

摘要:下一代端点保护平台并不是像传统反病毒软件那样查找已知恶意软件的签名,而是会分析过程、变化和连接以发现异常活动,虽然这种做法可更好地捕捉零日漏洞利用,但问题仍然存在。

标签
安全
数据
下一代端点保护

CNW独家编译下一代端点保护平台并不是像传统反病毒软件那样查找已知恶意软件的签名,而是会分析过程、变化和连接以发现异常活动,虽然这种做法可更好地捕捉零日漏洞利用,但问题仍然存在。

例如,无论有没有客户端软件,都可以收集有关设备在做什么的情报信息。因此,企业面临着两个选择:在没有客户端的情况下,收集不太详细的威胁信息;或者收集丰富的威胁信息,但面临着安装代理的部署、管理和更新问题。

然后企业面对的问题是,如何筛选出攻击证据,而不被收集的海量数据所淹没。在发现攻击后,企业还需要弄清楚如何尽快地阻止攻击。

供应商们都在试图解决这些问题,这包括具有广泛产品线的思科和EMC;知名安全厂商Bit9+Carbon Black FireEye、ForeScout、Guidance Software和趋势科技;以及专注于端点安全的新公司Cylance、Light Cyber、Outlier Security和Tanium等。这个市场很拥挤,这些供应商们都在争相开发出各种方法来处理这些问题。

端点保护平台的价值在于它们可以识别特定的攻击以及在发现攻击后快速响应。它们实现这两个目标是通过收集端点和其他设备之间的通信信息,以及端点本身的变化信息。这些端点遥测数据库随后可作为调查攻击的取证工具,了解攻击如何展开,发现需要修复的设备,也许还可以预测接下来会出现什么威胁。

是否选择代理?

大家对代理软件的主要厌恶是需要部署、管理和更新多个软件。在下一代端点保护中,它们确实提供有关端点的大量数据,但这也可以是一个缺点。

Gartner分析师Lawrence Pingree表示,端点代理收集了太多信息,而可能很难从中筛选出攻击情报,所以重要的是,代理还需要配合分析引擎使用,以处理海量数据。数据量取决于代理和端点类型。

如果没有代理,端点保护平台仍然可以通过充分利用交换机和路由器数据以及监测Windows Network Services和Windows Management Instrumentation来收集有价值的数据。这些信息可以包括谁登陆到及其、用户做了什么、修复水平、是否在运行其他安全代理、是否连接USB设备、正在运行的进程等。

分析可以揭示哪些设备在创建预期之外的连接,这可能表明攻击者在设法感染其他机器和升级权限而进行的横向移动。

代理可能意味着多了一个管理控制台,而这增加了复杂性和成本。NSS实验室研究主管Randy Abrams表示:“这将需要更多人员来处理这些控制台,而这将增加成本。”

另一位NSS实验室研究主管Rob Ayoub表示,这也是兼容性的问题,“你如何保证任意两个代理可以一起运作,如果不行的话,你应该找谁?”

企业还应该审查这些平台的管理安全,以尽量减少对平台本身的内部威胁。企业应该寻找允许对执行不同职责的IT人员分配不同级别访问权限的端点保护平台。这可以让企业对管理员授权有限的访问,同时让事件响应工程师获得更多访问权限。

分析引擎

分析很重要,但也很复杂,以至于它可以作为独立的服务,例如Red Canary提供的分析服务。该服务并不是通过其自己的代理收集端点数据,而是采用Bit9+CarbonBlack提供的传感器。同时,Red Canary还补充了很多其他商业安全公司收集的威胁情报,分析所有情报,并对其在客户网络发现的攻击活动生成警报。

分析引擎会标记潜在问题,而人类分析师会检查标记的事件以验证是否为真正的威胁。这可以帮助企业安全分析师来减少他们需要响应的警报数量。

初创公司Barkly表示他们正在开发端点代理,可本地分析每个端点的活动以及自动阻止恶意活动。其代理还会通知管理员其采取的操作,这些引擎需要集成到更大的威胁情报来源。

修复

端点检测工具会收集海量数据,这些数据可用于阻止攻击,还可以支持取证调查。这可以帮助发现哪些设备需要修复,而有些供应商正在试图自动化这个过程。

例如,Triumfant提供的Resolution Manager可在检测恶意活动后恢复端点到已知良好的状态。其他供应商也提供修复功能或者正在开发中,但现在的趋势是使用相同的平台来修复它们发现的问题。

企业面对的问题是端点仍然容易受到攻击,尽管传统端点安全保护付出了努力,传统端点安全技术已经演变成安全套件:反病毒、反恶意软件、入侵检测、入侵防御等。在传统安全技术逐步取得进展的同时,也导致了另一个问题。

“他们实际上只是增加了更多产品到端点产品组合(+本站微信networkworldweixin),而这增加了复杂性,”Lower Colorado River Authority首席安全官Larry Whiteside表示,“幸运的是,内存和磁盘速度(SSD)保持了端点性能。”

这让他开始考虑来自SentinelOne的下一代端点保护。基于端点的活动的安全性,而不是寻找已知恶意行为的签名,这是对传统端点保护技术的改进。这并不是说签名完全不好,但是签名作为主要或唯一的决策就太可怕。因此,增加基于行为的检测功能将增加价值。

他表示:“事实上,我更关心检测情况,而不是投资回报率,我可以说,在合适的阶段部署下一代端点保护将有益于企业。”

杀毒软件的替代品?

CrowdStrike公司首席执行官George Kurtz表示,到目前为止,下一代端点保护产品供应商并没有宣称其产品可以取代杀毒软件,尽管有令人印象深刻的测试结果。但是这可能会有所转变,在一年之内,这些供应商面临的监管障碍可能会消失。

在一年内,要求使用杀毒软件才能通过合规性测试的要求将会新增下一代端点保护。“这真是我们的目标,”他表示,“从一开始,我们就认为可以做到这一点。”

大家都专注于恶意软件,但恶意软件仅代表40%的攻击。其余的部分为“涉及较少恶意软件的入侵”,例如内部盗窃,攻击者具有登录凭证来窃取信息,而没有使用恶意软件。

在法规更改之前,监管企业需要满足防病毒要求,尽管其他平台可能提供更好的保护。“在某些情况下,这比保护功能更重要,因为你不会免受法律责任。”

与此同时,杀毒软件和下一代端点保护的重叠意味着较大型企业更有可能成为客户,但即使对于较小型企业,下一代端点保护也非常值得投资。

[责任编辑:鹿宁宁 lu_ningning]

我也说几句

热点排行