數(shù)字化時(shí)代,企業(yè)終端安全防護(hù)該“上新”了!
隨著云計(jì)算、大數(shù)據(jù)、物聯(lián)網(wǎng)等創(chuàng)新技術(shù)的加速落地,企業(yè)原有的網(wǎng)絡(luò)邊界被打破,各種終端設(shè)備如:筆記本電腦、臺(tái)式機(jī)、平板電腦、智能手機(jī)、物聯(lián)網(wǎng)終端等成為了新的安全邊界。
在此背景下,想確保企業(yè)高效辦公的靈活性、安全性和隱私性,就必須讓終端設(shè)備具有與時(shí)俱進(jìn)的安全能力,而不是一味通過(guò)管理措施去限制員工對(duì)終端設(shè)備的使用。
但是,要實(shí)現(xiàn)全面的終端安全防護(hù)并不容易,企業(yè)安全團(tuán)隊(duì)在開(kāi)展終端安全能力建設(shè)時(shí)面臨多重挑戰(zhàn)。
終端安全事件頻發(fā) 政策合規(guī)走向?qū)崙?zhàn)化
近年來(lái),隨著黑色產(chǎn)業(yè)鏈的萌生和壯大,網(wǎng)絡(luò)安全環(huán)境愈加復(fù)雜,APT攻擊、勒索病毒、挖礦等攻擊手段大行其道,而傳統(tǒng)終端防護(hù)手段已很難對(duì)此類攻擊有防護(hù)效果。
過(guò)去十年,全球發(fā)生了多起終端安全事件,例如:
2016年發(fā)生多次針對(duì)ATM發(fā)起網(wǎng)絡(luò)攻擊導(dǎo)致ATM機(jī)自動(dòng)吐錢的黑客事件,經(jīng)過(guò)研究人員分析,黑客實(shí)現(xiàn)對(duì)銀行內(nèi)部的ATM專用網(wǎng)絡(luò)植入了惡意程序,最終實(shí)現(xiàn)操控ATM機(jī)吐錢。
2017年5月,勒索病毒W(wǎng)annaCry爆發(fā),全球范圍近百個(gè)國(guó)家遭到大規(guī)模網(wǎng)絡(luò)攻擊,惡意病毒利用漏洞在內(nèi)部網(wǎng)絡(luò)大范圍傳播和感染,造成嚴(yán)重?fù)p失。
2020年12月,美國(guó)多個(gè)重要政企機(jī)構(gòu)遭受了國(guó)家級(jí)APT組織的入侵,攻擊疑似由于網(wǎng)絡(luò)安全管理軟件供應(yīng)商SolarWinds遭遇國(guó)家級(jí)APT團(tuán)伙高度復(fù)雜的供應(yīng)鏈攻擊并植入木馬后門(mén)導(dǎo)致。
不僅如此,以網(wǎng)絡(luò)釣魚(yú)為代表的社會(huì)工程攻擊也對(duì)企業(yè)終端安全構(gòu)成了嚴(yán)峻的挑戰(zhàn)由于開(kāi)展網(wǎng)絡(luò)釣魚(yú)活動(dòng)的成本不斷降低,網(wǎng)絡(luò)釣魚(yú)已經(jīng)成為目前最常用的終端安全攻擊途徑之一。
據(jù)思科公司研究報(bào)告顯示,86%的企業(yè)都遇到過(guò)至少一次釣魚(yú)攻擊。只要有一名內(nèi)部員工淪為網(wǎng)絡(luò)釣魚(yú)攻擊的受害者,他們就可能無(wú)意中將惡意軟件傳播到整個(gè)網(wǎng)絡(luò),導(dǎo)致嚴(yán)重的后果。
從企業(yè)自身看,由于數(shù)字化轉(zhuǎn)型的加速,企業(yè)對(duì)于終端設(shè)備的使用方式都發(fā)生了巨大的改變。
一方面,大多數(shù)企業(yè)都采用了多種終端設(shè)備,包括移動(dòng)設(shè)備、筆記本、無(wú)線設(shè)備和桌面設(shè)備等。這些終端設(shè)備運(yùn)行在不同的操作系統(tǒng)上,想要跟蹤記錄所有聯(lián)網(wǎng)終端的操作與使用情況非常困難,這也使得安全團(tuán)隊(duì)對(duì)終端設(shè)備使用的可見(jiàn)性非常有限。
缺乏可見(jiàn)性嚴(yán)重影響了企業(yè)及時(shí)發(fā)現(xiàn)易受攻擊的終端和發(fā)生在這些設(shè)備上的可疑活動(dòng)。而大量的惡意軟件正是利用這一特點(diǎn),長(zhǎng)期潛伏在已被攻陷的終端設(shè)備中,伺機(jī)竊取或加密組織的敏感數(shù)據(jù)。
另一方面,后疫情時(shí)代,遠(yuǎn)程辦公已經(jīng)成為現(xiàn)代企業(yè)工作模式的新常態(tài),這讓保護(hù)遠(yuǎn)程終端安全變得頗具挑戰(zhàn)性。由于遠(yuǎn)程辦公時(shí),員工是在企業(yè)物理網(wǎng)絡(luò)之外工作,往往難以嚴(yán)格遵循企業(yè)網(wǎng)絡(luò)安全管理的最佳實(shí)踐要求。
此外,企業(yè)對(duì)遠(yuǎn)程辦公終端的安全控制能力也很有限,比如員工一旦在咖啡館等公共場(chǎng)所遺失手機(jī)、筆記本等終端設(shè)備,就會(huì)危及企業(yè)整體的數(shù)據(jù)安全。
同時(shí),很多企業(yè)都會(huì)允許并鼓勵(lì)員工在自帶設(shè)備(BYOD)上辦公,但BYOD設(shè)備屬于員工個(gè)人所有,企業(yè)如果無(wú)法對(duì)這些設(shè)備進(jìn)行有效的管理和控制,將是企業(yè)未來(lái)終端安全建設(shè)中面臨的一大挑戰(zhàn)。
在政策層面,國(guó)家越來(lái)越重視網(wǎng)絡(luò)安全,企業(yè)安全建設(shè)方和監(jiān)管機(jī)構(gòu)也從傳統(tǒng)的“產(chǎn)品檢查”轉(zhuǎn)換為當(dāng)代的“能力檢查”,以往堆砌網(wǎng)絡(luò)安全設(shè)備的就能應(yīng)付合規(guī)要求和檢查的方式,轉(zhuǎn)變?yōu)閷?shí)戰(zhàn)化的效果驗(yàn)證。
面對(duì)外部網(wǎng)絡(luò)安全環(huán)境、政策要求和企業(yè)數(shù)字化需求的變化,企業(yè)應(yīng)如何開(kāi)展終端安全建設(shè)?
企業(yè)需構(gòu)建新一代終端安全防護(hù)能力
研究機(jī)構(gòu)Forrester在《終端安全管理的未來(lái)》研究報(bào)告中指出,對(duì)所有終端設(shè)備進(jìn)行有效的安全防護(hù)和管理,是保護(hù)企業(yè)數(shù)字化轉(zhuǎn)型安全開(kāi)展的基礎(chǔ)。而組織在開(kāi)展新一代終端安全防護(hù)能力建設(shè)時(shí),也需要重點(diǎn)關(guān)注以下技術(shù)發(fā)展趨勢(shì):
加大AI技術(shù)應(yīng)用
將新一代AI技術(shù)用于終端安全建設(shè)已經(jīng)越來(lái)越普遍,可以在無(wú)需人員干預(yù)的情況下自動(dòng)修復(fù)端點(diǎn)問(wèn)題。此外,AI為終端系統(tǒng)自我修復(fù)帶來(lái)了更大的彈性。
研究人員認(rèn)為,新一代終端安全防護(hù)平臺(tái)需要在應(yīng)用程序、操作系統(tǒng)和固件這三個(gè)主要層面提供自我修復(fù),才能起到實(shí)際效果。
其中,嵌入在固件中的自我修復(fù)將最重要,因?yàn)樗_保端點(diǎn)上運(yùn)行的所有軟件。固件層面的自我修復(fù)也很有必要,如果在端點(diǎn)上運(yùn)行的端點(diǎn)安全代理崩潰或損壞,固件層面的自我修復(fù)有助于快速修復(fù)。
體系化的終端安全能力
統(tǒng)一終端安全防護(hù)平臺(tái)可以提供終端檢測(cè)和響應(yīng)(EDR)、漏洞管理、反網(wǎng)絡(luò)釣魚(yú)以及生物特征驗(yàn)證。
調(diào)查發(fā)現(xiàn),企業(yè)組織需要為整合的終端安全管理和防護(hù)平臺(tái)提供統(tǒng)一視圖,實(shí)時(shí)了解所有終端的安全運(yùn)行情況,體系化解決方案能力也將成為評(píng)價(jià)終端安全廠商競(jìng)爭(zhēng)力的重要因素。
增強(qiáng)用戶的應(yīng)用體驗(yàn)感
新一代終端安全解決方案需要廣泛收集用戶體驗(yàn)監(jiān)測(cè)數(shù)據(jù),并作為產(chǎn)品優(yōu)化的參考依據(jù)。
增強(qiáng)用戶體驗(yàn)可以先從縮短設(shè)備啟動(dòng)時(shí)間的這一場(chǎng)景開(kāi)始,隨后范圍會(huì)擴(kuò)大到應(yīng)用程序、網(wǎng)絡(luò)和身份驗(yàn)證機(jī)制等。
增強(qiáng)用戶體驗(yàn)的目的是提供更安全的終端安全應(yīng)用,同時(shí)讓用戶幾乎感覺(jué)不到對(duì)數(shù)字化業(yè)務(wù)的影響。
以隱私數(shù)據(jù)保護(hù)為中心
企業(yè)需要在支持員工自帶設(shè)備的同時(shí),加大對(duì)核心應(yīng)用和隱私數(shù)據(jù)的保護(hù)。因此,新一代終端安全能力建設(shè)需要更關(guān)注以數(shù)據(jù)和應(yīng)用程序?yàn)橹行牡谋Wo(hù),而不是對(duì)硬件設(shè)備的保護(hù)。
目前,獨(dú)立的數(shù)據(jù)安全技術(shù)已經(jīng)被大量采用,即便在員工自己購(gòu)買的終端設(shè)備上,也可以使用虛擬化隔離系統(tǒng),來(lái)分離公司數(shù)據(jù)和個(gè)人數(shù)據(jù),這樣不僅為員工提供了更好的靈活性,也為企業(yè)帶來(lái)了更好的安全性。
新一代終端安全解決方案的關(guān)鍵性能力
那么,從技術(shù)上看,新一代終端安全解決方案需要具備哪些關(guān)鍵性能力?
事實(shí)上,由于傳統(tǒng)終端安全關(guān)注已知威脅,如防病毒、終端HIPS、HWAF類,基于已知特征進(jìn)行防護(hù),對(duì)于APT攻擊、勒索、挖礦等高級(jí)攻擊、病毒、木馬的變種等高級(jí)威脅,這些基于規(guī)則的主機(jī)防護(hù)軟件都已經(jīng)失去了作用。
因此,新一代終端安全產(chǎn)品需要新技術(shù)來(lái)補(bǔ)充上層的安全能力:
主機(jī)行為分析
利用終端病毒檢測(cè)能力、行為檢測(cè)能力等,結(jié)合終端安全服務(wù)端上的關(guān)聯(lián)分析能力,精準(zhǔn)識(shí)別主機(jī)各類異常文件及異常行為,包括:僵木蠕異常文件分析、密碼嗅探、U盤(pán)異常文件操作、邊界文件行為分析、Webshell后門(mén)分析、反彈shell分析、挖礦木馬分析等。
威脅情報(bào)
基于大數(shù)據(jù)技術(shù)統(tǒng)一匯聚各類終端日志,結(jié)合綠盟實(shí)時(shí)威脅情報(bào)數(shù)據(jù)(IP、域名、樣本hash),通過(guò)威脅分析建模引擎、異常行為分析引擎等進(jìn)行深度危險(xiǎn)關(guān)聯(lián)分析以及威脅判定實(shí)現(xiàn)對(duì)APT攻擊等的有效檢測(cè)。
機(jī)器學(xué)習(xí)
依賴于對(duì)攻擊數(shù)據(jù)的訓(xùn)練及學(xué)習(xí),不斷增強(qiáng)威脅檢測(cè)模型及檢測(cè)能力,從而更加準(zhǔn)確、智能化的應(yīng)對(duì)威脅及其變種。
威脅狩獵
利用終端誘捕系統(tǒng)中的蜜罐檢測(cè)技術(shù)、模擬IP技術(shù)、模擬漏洞技術(shù)、模擬服務(wù)技術(shù)、誘餌技術(shù)等,誘使攻擊方對(duì)它們實(shí)施攻擊,從而可以對(duì)攻擊行為進(jìn)行捕獲和分析,了解攻擊方所使用的工具與方法,推測(cè)攻擊意圖和動(dòng)機(jī),能夠讓防御方清晰地了解他們所面對(duì)的安全威脅。
內(nèi)存馬檢測(cè)
針對(duì)主機(jī)的內(nèi)存保護(hù)技術(shù),可有效應(yīng)對(duì)一些新型攻擊手段、病毒變種等威脅,特別是內(nèi)存Webshell,從而保障業(yè)務(wù)系統(tǒng)的安全。
微隔離技術(shù)
基于零信任的設(shè)計(jì)理念,提供對(duì)終端精細(xì)化的點(diǎn)對(duì)點(diǎn)自適應(yīng)訪問(wèn)控制能力,以保證終端安全風(fēng)險(xiǎn)的精細(xì)化即時(shí)響應(yīng)。切實(shí)做到既能保證威脅的有效隔離,又能保證業(yè)務(wù)影響最小化。
自動(dòng)化響應(yīng)
基于安全分析產(chǎn)生的運(yùn)維事件,進(jìn)行運(yùn)維模型的構(gòu)建,進(jìn)一步確定當(dāng)前威脅運(yùn)維模型的防護(hù)模型,并基于當(dāng)前的事件智能提取防護(hù)參數(shù),從而形成一系列的安全防護(hù)策略。同時(shí),系統(tǒng)還可以根據(jù)客戶化訴求,確定自動(dòng)化執(zhí)行防護(hù)策略或者人工審核執(zhí)行。
溯源分析
提供全景式展示攻擊者的攻擊時(shí)序過(guò)程、攻擊所處攻擊階段及對(duì)應(yīng)的ATT&CK攻擊圖譜、可視化攻擊進(jìn)程父子關(guān)系等,幫助運(yùn)維人員溯源攻擊者的行為及最終意圖。
需要特別指出的是,以上安全能力建設(shè)都不是獨(dú)立的,而是需要與整體的安全防護(hù)框架及體系緊密融合。它不僅要保證終端自身的安全,也要保證其他層面的安全。
而整體的安全防護(hù)包括網(wǎng)絡(luò)安全、應(yīng)用安全、數(shù)據(jù)安全等多個(gè)方面。在整體防護(hù)的基礎(chǔ)上,通過(guò)對(duì)終端設(shè)備的加強(qiáng)防護(hù),可以有效防范終端設(shè)備被攻擊的風(fēng)險(xiǎn),保障企業(yè)的信息安全。
相關(guān)閱讀
2023年安全運(yùn)營(yíng)之風(fēng)將吹向何方?
穿行數(shù)字經(jīng)濟(jì)時(shí)代,數(shù)據(jù)如何找到“安全感”?
遠(yuǎn)程接入時(shí)代,零信任如何“拯救”企業(yè)內(nèi)網(wǎng)安全?
數(shù)智化轉(zhuǎn)型時(shí)代,網(wǎng)絡(luò)安全成為“內(nèi)需”與“剛需”
用戶信息泄露事件頻現(xiàn),數(shù)據(jù)安全建設(shè)該如何升級(jí)?
【科技云報(bào)道原創(chuàng)】
轉(zhuǎn)載請(qǐng)注明“科技云報(bào)道”并附本文鏈接
原文標(biāo)題 : 數(shù)字化時(shí)代,企業(yè)終端安全防護(hù)該“上新”了!
發(fā)表評(píng)論
請(qǐng)輸入評(píng)論內(nèi)容...
請(qǐng)輸入評(píng)論/評(píng)論長(zhǎng)度6~500個(gè)字
圖片新聞
最新活動(dòng)更多
-
12月19日立即報(bào)名>> 【線下會(huì)議】OFweek 2024(第九屆)物聯(lián)網(wǎng)產(chǎn)業(yè)大會(huì)
-
精彩回顧立即查看>> 2024中國(guó)國(guó)際工業(yè)博覽會(huì)維科網(wǎng)·激光VIP企業(yè)展臺(tái)直播
-
精彩回顧立即查看>> 【產(chǎn)品試用】RSE30/60在線紅外熱像儀免費(fèi)試用
-
精彩回顧立即查看>> 2024(第五屆)全球數(shù)字經(jīng)濟(jì)產(chǎn)業(yè)大會(huì)暨展覽會(huì)
-
精彩回顧立即查看>> 【線下會(huì)議】全數(shù)會(huì)2024電子元器件展覽會(huì)
-
精彩回顧立即查看>> 三菱電機(jī)紅外傳感器的特性以及相關(guān)應(yīng)用領(lǐng)域
編輯推薦
- 高級(jí)軟件工程師 廣東省/深圳市
- 自動(dòng)化高級(jí)工程師 廣東省/深圳市
- 光器件研發(fā)工程師 福建省/福州市
- 銷售總監(jiān)(光器件) 北京市/海淀區(qū)
- 激光器高級(jí)銷售經(jīng)理 上海市/虹口區(qū)
- 光器件物理工程師 北京市/海淀區(qū)
- 激光研發(fā)工程師 北京市/昌平區(qū)
- 技術(shù)專家 廣東省/江門(mén)市
- 封裝工程師 北京市/海淀區(qū)
- 結(jié)構(gòu)工程師 廣東省/深圳市