本文來(lái)自微信公眾號(hào)“GoUpSec”。
根據(jù)Cybersecurity Insider的端點(diǎn)風(fēng)險(xiǎn)調(diào)查,60%的企業(yè)的端點(diǎn)設(shè)備可視范圍不超過(guò)75%,只有58%的企業(yè)能夠識(shí)別所有脆弱端點(diǎn)設(shè)備。只有24%的企業(yè)可以在攻擊或漏洞利用后的40小時(shí)內(nèi)識(shí)別其網(wǎng)絡(luò)上的受攻擊或易受攻擊資產(chǎn)。
面對(duì)端點(diǎn)安全態(tài)勢(shì)的不斷惡化,經(jīng)濟(jì)低迷時(shí)期的企業(yè)網(wǎng)絡(luò)安全預(yù)算卻不斷消減,這迫使企業(yè)安全主管們將重點(diǎn)轉(zhuǎn)移到如何提高網(wǎng)絡(luò)安全投資的有效性。
波士頓咨詢集團(tuán)(BCG)在最近的文章指出:隨著預(yù)算越來(lái)越緊,網(wǎng)絡(luò)安全必須變得更聰明,CISO們將被迫轉(zhuǎn)向投入產(chǎn)出比更高的安全方案,例如增加安全意識(shí)培訓(xùn),改進(jìn)流程和企業(yè)文化,整合安全工具和方案,而不是盲目不擴(kuò)大預(yù)算。
端點(diǎn)安全整合需求強(qiáng)勁
根據(jù)BCG的2023年全球CISO調(diào)查(下圖),端點(diǎn)安全是CISO整合策略(需求)占比最高的選項(xiàng):
BCG的研究發(fā)現(xiàn),防火墻、用戶身份驗(yàn)證和訪問管理以及端點(diǎn)保護(hù)平臺(tái)是CISO尋求整合支出的最常見領(lǐng)域之一。波士頓咨詢集團(tuán)預(yù)計(jì),傳統(tǒng)的端點(diǎn)保護(hù)平臺(tái)和統(tǒng)一端點(diǎn)管理將成為網(wǎng)絡(luò)安全行業(yè)中最重要的整合領(lǐng)域之一。
BCG的報(bào)告還指出,78%的領(lǐng)先公司會(huì)定期衡量其網(wǎng)絡(luò)安全運(yùn)營(yíng)改進(jìn)的投資回報(bào)率。整合是一個(gè)重中之重。簡(jiǎn)而言之,端點(diǎn)安全平臺(tái)要想保留自己的預(yù)算,就必須提供更大的彈性——即面對(duì)裁員和預(yù)算緊縮也不會(huì)犧牲企業(yè)安全防御能力。
十大端點(diǎn)安全挑戰(zhàn)
整合已經(jīng)成為所有企業(yè)端點(diǎn)安全管理的重中之重。BCG的研究表明,CISO面臨著整合其端點(diǎn)保護(hù)平臺(tái)的巨大壓力,紛紛轉(zhuǎn)向端點(diǎn)保護(hù)平臺(tái)(EPP)、端點(diǎn)檢測(cè)和響應(yīng)(EDR)以及擴(kuò)展檢測(cè)和響應(yīng)(XDR)的領(lǐng)先提供商,以獲得更多互補(bǔ)技術(shù)或快速進(jìn)行內(nèi)部開發(fā)。
在整合的大趨勢(shì)背后,企業(yè)端點(diǎn)安全管理正面臨十大挑戰(zhàn)如下:
1.沒有足夠的實(shí)時(shí)遙測(cè)數(shù)據(jù)識(shí)別入侵和泄露行為
來(lái)自端點(diǎn)的實(shí)時(shí)遙測(cè)數(shù)據(jù)可以識(shí)別正在進(jìn)行的攻擊行為,是端點(diǎn)安全管理成敗的關(guān)鍵所在,對(duì)于識(shí)別每個(gè)端點(diǎn)的硬件和軟件配置以及其他安全信息(文件、進(jìn)程、注冊(cè)表、網(wǎng)絡(luò)連接和設(shè)備數(shù)據(jù))也非常重要。
CrowdStrike、ThreatConnect、Deep Instinct和Orca Security等廠商使用實(shí)時(shí)遙測(cè)數(shù)據(jù)來(lái)計(jì)算攻擊指標(biāo)(IOA)和入侵指標(biāo)(IOC)。IOA專注于檢測(cè)攻擊者的意圖并確定其目標(biāo),而非攻擊中使用何種惡意軟件或如何利用漏洞。入侵指標(biāo)(IOC)是IOA的補(bǔ)充,可用于網(wǎng)絡(luò)攻擊取證。CrowdStrike是首個(gè)推出人工智能驅(qū)動(dòng)的IOA的公司。
2.端點(diǎn)配置過(guò)度、代理過(guò)多
端點(diǎn)安裝多個(gè)端點(diǎn)代理(有時(shí)超過(guò)十幾個(gè))是很常見的。通常,新任CISO上任的第一件事往往就是安裝自己喜歡的端點(diǎn)系統(tǒng)。端點(diǎn)代理過(guò)多往往會(huì)導(dǎo)致內(nèi)存沖突、故障和性能消耗。Absolute的2023年網(wǎng)絡(luò)安全彈性指數(shù)發(fā)現(xiàn),企業(yè)端點(diǎn)設(shè)備平均安裝了超過(guò)11個(gè)安全應(yīng)用程序,平均有2.5個(gè)應(yīng)用程序用于端點(diǎn)管理,其次是防病毒/反惡意軟件(2.1個(gè)應(yīng)用程序)和加密(1.6個(gè)應(yīng)用程序)。
端點(diǎn)過(guò)載已經(jīng)成為常見問題,尤其是在引入新的安全團(tuán)隊(duì)和主管的時(shí)候。
3.傳統(tǒng)補(bǔ)丁管理效率低下
CISO們表示,他們的團(tuán)隊(duì)已經(jīng)捉襟見肘,以確保網(wǎng)絡(luò)、系統(tǒng)和虛擬員工的安全。在需要安裝補(bǔ)丁之前,它們通常會(huì)用完時(shí)間。
調(diào)查顯示,71%的IT和安全人士認(rèn)為補(bǔ)丁管理過(guò)于復(fù)雜和耗時(shí),53%的受訪者表示大部分時(shí)間都用于管理和確定關(guān)鍵漏洞的優(yōu)先級(jí)。
一些網(wǎng)絡(luò)安全供應(yīng)商已經(jīng)開始嘗試采用人工智能(AI)和機(jī)器學(xué)習(xí)(ML)技術(shù)提高補(bǔ)丁管理的效率。
Ivanti的《2023年安全準(zhǔn)備狀況報(bào)告》發(fā)現(xiàn),61%的情況下,只有當(dāng)發(fā)生外部事件、入侵嘗試或數(shù)據(jù)泄露后企業(yè)才會(huì)重新啟動(dòng)補(bǔ)丁管理工作。
4.使BYOD資產(chǎn)配置保持最新且合規(guī)
安全團(tuán)隊(duì)通常無(wú)法訪問BYOD端點(diǎn),因此IT部門對(duì)員工設(shè)備的策略有時(shí)過(guò)于寬松。端點(diǎn)保護(hù)平臺(tái)需要簡(jiǎn)化和自動(dòng)化配置和部署企業(yè)和BYOD端點(diǎn)設(shè)備的工作流程。
目前可以大規(guī)模做到這一點(diǎn)并向企業(yè)提供解決方案的領(lǐng)先端點(diǎn)平臺(tái)包括CrowdStrike Falcon、Ivanti Neurons和Microsoft Defender for Endpoint等,這些平臺(tái)能夠?qū)?lái)自電子郵件、端點(diǎn)、身份和應(yīng)用程序的威脅數(shù)據(jù)關(guān)聯(lián)起來(lái)。
5.實(shí)施有針對(duì)性的UEM策略,以阻止針對(duì)高級(jí)管理人員的移動(dòng)設(shè)備攻擊
釣鯨攻擊是網(wǎng)絡(luò)攻擊的最新形式,已經(jīng)有數(shù)千名企業(yè)高管中招。Ivanti的《2023年安全防御狀態(tài)報(bào)告》發(fā)現(xiàn),高管成為網(wǎng)絡(luò)釣魚受害者的可能性是員工的四倍。近三分之一的首席執(zhí)行官和高級(jí)管理層通過(guò)點(diǎn)擊鏈接或匯款成為網(wǎng)絡(luò)釣魚詐騙的受害者。
采用統(tǒng)一端點(diǎn)管理(UEM)平臺(tái)對(duì)于保護(hù)每臺(tái)移動(dòng)設(shè)備至關(guān)重要。高級(jí)UEM平臺(tái)可以自動(dòng)執(zhí)行配置管理并確保企業(yè)合規(guī)性,從而降低違規(guī)風(fēng)險(xiǎn)。
6.擁有管理員訪問權(quán)限的人員太多
對(duì)于管理員權(quán)限的泛濫,CISO需要從源頭開始審核,識(shí)別擁有Active Directory,身份和訪問管理(IAM)和特權(quán)訪問管理(PAM)系統(tǒng)中定義的管理員權(quán)限的前員工,承包商和供應(yīng)商。應(yīng)審核和跟蹤所有與身份相關(guān)的活動(dòng),以縮小信任差距并減少內(nèi)部攻擊威脅。此外還必須消除不必要的訪問權(quán)限,例如過(guò)期帳戶的訪問權(quán)限。
7.多身份端點(diǎn)需要更有效的密鑰和數(shù)字證書管理
由于端點(diǎn)承載的身份越來(lái)越多,同時(shí)保護(hù)每個(gè)身份和端點(diǎn)成為一項(xiàng)挑戰(zhàn)。
因此,企業(yè)需要更加關(guān)注密鑰和數(shù)字證書管理。數(shù)字身份通過(guò)SSL、SSH密鑰、代碼簽名證書、TLS或身份驗(yàn)證令牌分配。網(wǎng)絡(luò)攻擊者經(jīng)常以SSH密鑰為目標(biāo),繞過(guò)代碼簽名證書或破壞SSL和TLS證書。
8.端點(diǎn)系統(tǒng)脆弱,發(fā)送太多誤報(bào),需要數(shù)小時(shí)才能修復(fù)
CISO們指出,這是最具挑戰(zhàn)性的問題——端點(diǎn)在重新配置后無(wú)法自行重置,或者更糟糕的是,需要手動(dòng)解決,這意味著需要大量資源來(lái)管理。
將舊端點(diǎn)系統(tǒng)替換為自我修復(fù)端點(diǎn)有助于減少軟件代理蔓延。自我修復(fù)端點(diǎn)能夠自行關(guān)閉并驗(yàn)證其核心組件,還能執(zhí)行修補(bǔ)程序版本控制,重置為優(yōu)化配置,無(wú)需人工干預(yù)。
9.端點(diǎn)工具相互獨(dú)立,難以獲取360度的威脅視圖
跨獨(dú)立工具的規(guī)范化報(bào)告非常困難,耗時(shí)且成本高昂。SOC團(tuán)隊(duì)需要跨端點(diǎn)和標(biāo)識(shí)手動(dòng)關(guān)聯(lián)威脅,且無(wú)法在一個(gè)屏幕上查看所有活動(dòng),因?yàn)椴煌它c(diǎn)工具使用不同的警報(bào)、數(shù)據(jù)結(jié)構(gòu)、報(bào)告格式和變量。
10.利用多因素驗(yàn)證(MFA)和無(wú)密碼技術(shù)縮小端點(diǎn)安全差距
為了讓大多數(shù)公司員工支持MFA,CISO和安全團(tuán)隊(duì)?wèi)?yīng)首先將MFA設(shè)計(jì)到工作流中,并盡量減少其對(duì)用戶體驗(yàn)的影響。團(tuán)隊(duì)還需要了解最新的無(wú)密碼技術(shù),后者能減少對(duì)MFA的需求,提供簡(jiǎn)化的用戶體驗(yàn)。