端點(diǎn)安全的重要性日益增加
端點(diǎn)安全是現(xiàn)代安全的基石,為更廣泛的架構(gòu)提供控制平面,有助于實(shí)現(xiàn) XDR、SASE 和零信任。
毫無疑問,端點(diǎn)安全一直很重要。在新冠疫情爆發(fā)后向遠(yuǎn)程工作環(huán)境的過渡中,端點(diǎn)安全變得比以往任何時(shí)候都更加緊迫。
遠(yuǎn)程辦公在新冠疫情爆發(fā)之前就已經(jīng)存在,但規(guī)模不同,風(fēng)險(xiǎn)也沒有那么大。似乎在一夜之間,大多數(shù)端點(diǎn)遷移到了公司網(wǎng)絡(luò)邊界之外。端點(diǎn)安全長(zhǎng)期以來一直是 IT 行業(yè)關(guān)注的焦點(diǎn),未來幾年仍將如此,因?yàn)楦鞣N規(guī)模的組織面臨的大多數(shù)威脅都指向端點(diǎn),無論是員工家中的桌面還是數(shù)據(jù)庫(kù)服務(wù)器持有整個(gè)公司的身份驗(yàn)證信息。
一個(gè)簡(jiǎn)單的事實(shí)是,端點(diǎn)在今天并且一直是通往公司關(guān)心的與其知識(shí)產(chǎn)權(quán)相關(guān)的所有事物的門戶。
數(shù)字顯示的端點(diǎn)安全
根據(jù)一份最新研究報(bào)告顯示,組織正在努力解決端點(diǎn)安全問題。報(bào)告發(fā)現(xiàn),超過 40% 的全球組織在過去兩年中發(fā)生了重大安全事件。沒有優(yōu)先考慮將端點(diǎn)安全作為核心元素的集成平臺(tái)的組織遭受重大安全事件的可能性幾乎是其兩倍。
通過對(duì)檢測(cè)到的關(guān)鍵危害嚴(yán)重性指標(biāo) (IoC) 的分析發(fā)現(xiàn),攻擊者通常會(huì)使用四種主要技術(shù)。排在首位的是兩用 PowerShell 工具。雖然這可以包括 PowerShell 框架(例如 PowerShell Empire)和可以利用 PowerShell 的框架(例如 Cobalt Strike 和 Metasploit),但也經(jīng)常會(huì)看到簡(jiǎn)單的 PowerShell 命令行活動(dòng)和自定義 PowerShell 腳本用于保護(hù)訪問或在內(nèi)部橫向移動(dòng)網(wǎng)絡(luò)。PowerShell 受到威脅參與者的歡迎,因?yàn)樗饕J(rèn)安裝在企業(yè)計(jì)算機(jī)中,并且通常不會(huì)密切監(jiān)視其活動(dòng)。
在頂級(jí) IoC 列表中排名第二的是勒索軟件。對(duì)于許多出于經(jīng)濟(jì)動(dòng)機(jī)的威脅行為者而言,向端點(diǎn)提供勒索軟件并成功加密數(shù)據(jù)是他們?cè)诰W(wǎng)絡(luò)上活動(dòng)的主要目標(biāo)。過去幾年,全球范圍內(nèi)的勒索軟件活動(dòng)激增。
第三個(gè)最常觀察到的 IoC 組是無文件惡意軟件。它通過可疑的內(nèi)存進(jìn)程注入和注冊(cè)表活動(dòng)感染端點(diǎn)。威脅行為者使用此技術(shù)來嘗試避免被較舊的端點(diǎn)保護(hù)技術(shù)檢測(cè)到。
排在第四名的是憑證轉(zhuǎn)儲(chǔ)。使用最廣泛的憑證轉(zhuǎn)儲(chǔ)工具是Mimikatz,它從端點(diǎn)系統(tǒng)內(nèi)存中抓取用戶憑證。最終,這些憑據(jù)將用于橫向移動(dòng),目的是破壞企業(yè) Active Directory 服務(wù)器,以允許廣泛分發(fā)勒索軟件或不受限制地訪問其他目標(biāo)數(shù)據(jù)。
很明顯,受到攻擊的端點(diǎn)面臨著各種不同的復(fù)雜技術(shù),因?yàn)閰⑴c者保護(hù)初始訪問、在網(wǎng)絡(luò)中橫向移動(dòng)、提升他們的特權(quán)以及泄露和加密數(shù)據(jù)。第一代端點(diǎn)安全技術(shù)保護(hù)的不僅僅是病毒、蠕蟲和特洛伊木馬。現(xiàn)代威脅形勢(shì)需要一種更復(fù)雜的方法,而不是簡(jiǎn)單地掃描端點(diǎn)以查找惡意軟件。
端點(diǎn)是最后一道防線
盡管現(xiàn)代網(wǎng)絡(luò)安全威脅有多種不同形式,但很明顯,為了防御威脅,組織需要能夠檢測(cè)和阻止端點(diǎn)上的各種行為者操作。
端點(diǎn)安全仍然是現(xiàn)代 IT 安全工作的關(guān)鍵。過去,參與者主要針對(duì)服務(wù)器和數(shù)據(jù)庫(kù),但今天端點(diǎn)既是穿越網(wǎng)絡(luò)的手段,也是最終目標(biāo)。因此,了解端點(diǎn)上的活動(dòng)對(duì)于跟蹤和阻止攻擊者的行為至關(guān)重要。
遵守任何數(shù)量的不同監(jiān)管或網(wǎng)絡(luò)安全政策通常涉及組織能夠證明其已采取控制措施來識(shí)別潛在風(fēng)險(xiǎn)和攻擊。能夠查詢整個(gè)企業(yè)的端點(diǎn)以了解其當(dāng)前的操作狀態(tài)和歷史記錄,為審計(jì)過程提供了強(qiáng)大的安全工具和支持。
采用平臺(tái)方法實(shí)現(xiàn)端點(diǎn)安全
端點(diǎn)安全也是現(xiàn)代網(wǎng)絡(luò)安全平臺(tái)架構(gòu)的核心要素,包括 SASE、零信任和 XDR。SASE 提供了一種在網(wǎng)絡(luò)邊緣實(shí)現(xiàn)安全的整體方法,零信任持續(xù)驗(yàn)證訪問,而 XDR 支持檢測(cè)和響應(yīng)潛在威脅。
端點(diǎn)安全越來越成為遠(yuǎn)程員工及其日常使用的設(shè)備的最后一道關(guān)鍵防線。端點(diǎn)安全現(xiàn)在也是安全行業(yè)的控制平面,也是將不同安全元素聯(lián)系在一起的平臺(tái)方法的核心元素。
