零信任时代端点安全五大创新方向

人工智能和零信任时代,随着身份的快速增长,端点需要变得更加智能、更具弹性并具备自我修复能力。今天,即便是最坚固的端点也无法抵御基于身份的攻击,换而言之,对身份的任何信任都意味着潜在攻击。

端点保护平台(EPP)、端点检测和响应(EDR)以及扩展检测和响应(XDR)安全厂商们如何应对这种挑战?近日,VentureBeat调查了多家领先的端点安全供应商,发现业界的下一代端点安全技术已经形成了一套核心设计目标和产品方向,代表着零信任时代端点安全的未来发展趋势,具体如下:

缩小端点与身份安全的差距

一些安全厂商将利用未受保护端点的勒索软件攻击称为“数字新冠”。而且,攻击之后的数字取证显示,攻击者正微调他们的攻击技术以利用薄弱甚至缺失的端点身份保护。

CrowdStrike的2023年全球威胁报告发现,所有攻击中有71%是无恶意软件的,高于2021年的62%。CrowdStrike将此归因于攻击者大量使用有效凭据来获取访问权限并对目标企业执行长期侦察。另一个刺激因素是新漏洞公布的速度以及攻击者实施攻击的速度正不断提高。

CrowdStrike总裁Michael Sentonas指出:端点和身份安全的差距是当今最大的挑战之一。

攻击者的攻击技术和策略正突飞猛进,入侵活动的平均突破时间从2021年的98分钟减少到2022年的84分钟。CrowdStrike指出,有效身份被攻击者利用后,组织可能需要长达250天的时间才能检测到身份泄漏。

领先的EPP、EDR和XDR提供商从客户那里了解到,基于身份的端点泄露事件正在快速增加。55%的网络安全和风险管理专业人士估计,他们当前的系统无法阻止超过75%的端点攻击。

端点安全的五大创新方向

以下为领先端点安全厂商的五大创新方向:

一、识别对端点威胁最大的漏洞

Active Directory (AD)于2019年首次随Windows Server一起推出,至今仍在数百万组织中使用。攻击者通常以AD为目标以获得对身份的控制并在网络中横向移动。攻击者热衷于利用AD中长期存在的漏洞,是因为组织总是优先考虑最紧急的漏洞和补丁。

CrowdStrike发现,25%的利用AD的攻击来自非托管主机,如承包商笔记本电脑、流氓系统、遗留应用程序和协议以及组织缺乏可见性和控制的供应链。

二、整合技术堆栈提供更好的可见性

CrowdStrike的调查发现,越来越多的CISO发现安全预算开始受到更严格的审查,因此整合应用程序、工具和平台的数量是当务之急。大多数(96%)的CISO计划整合他们的安全平台,其中63%的人更青睐XDR、整合技术堆栈、避免遗漏威胁(57%)、找到合格的安全专家(56%)、关联和可视化整个威胁环境中的发现(46%)。

所有主要安全供应商现在都将整合作为一种增长战略,CrowdStrike、Microsoft和Palo Alto Networks都是如此。

CISO们表示,在以上三个安全厂商中,微软面临的挑战最大。微软将Intune作为一个有助于降低成本的平台进行销售,因为它已经包含在现有的企业许可证中。但是,CISO表示他们需要更多的服务器和许可证来部署Intune,这使得部署Intune的成本比预期高很多。CISO还表示,管理所有操作系统具有挑战性,他们需要额外的解决方案来覆盖整个IT基础架构。

其它几个代表性厂商中,CrowdStrike使用XDR作为整合平台;Ivanti快速跟踪基于AI和ML的UEM改进;Palo Alto Networks的平台驱动战略旨在帮助客户整合技术堆栈。在Fal.Con 2022的主题演讲中,CrowdStrike联合创始人兼首席执行官乔治表示,端点和工作负载提供了80%的最有价值的安全数据。

Inductive Automation的CISO Jason Waits透露,Inductive Automation已经将漏洞扫描和端点防火墙管理整合到CrowdStrike代理中,在此过程中精简了两个单独的安全工具,减少了需要安装和维护的代理数量,显著降低IT管理开销,同时增强安全性。

三、基于人工智能的情境智能攻击指标(IOA)是解决端点身份差距的核心

根据定义,攻击指标(IOA)用于确定攻击者的意图和目标(不管使用的是什么恶意软件或漏洞)。危害指标(IOC)则是IOA的补充,能提供取证以证明网络攻击。IOA必须自动化以提供准确、实时的数据,以了解攻击者的意图并阻止入侵企图。

VentureBeat与几家正在开发基于AI的IOA的供应商进行了交谈,了解到CrowdStrike是第一家也是唯一一家基于AI的IOA供应商。该公司表示,人工智能驱动的IOA将与基于传感器的ML和其他传感器防御层异步工作。该公司基于AI的IOA使用云原生ML和人类专业知识,运行在该公司十多年前发明的平台上。AI生成的IOA(行为事件数据)以及本地事件和文件数据可用于确定恶意性。

四、缩小端点和身份之间的差距,从工具到平台

跨各种独立工具生成规范化报告是困难、耗时且昂贵的。SOC团队使用手动关联技术跨端点和身份跟踪威胁。工具之间没有标准的警报、数据结构、报告格式和变量,因此无法在单一管理面板上获取所有活动。

Ivanti Neurons的UEM产品依靠AI机器人来寻找机器身份和端点并自动更新补丁。该公司的自我修复端点方法结合了人工智能、机器学习和机器人技术,可在全球企业客户群中大规模提供统一的端点和补丁管理。

Ivanti的设备生命周期仪表板可实时洞察每个端点的状态和其生命周期中的相对位置,并依靠基于AI的机器人自动发现新的网络设备。

五、自修复端点有助于缩小差距,同时提供弹性

如今,最先进的UEM平台已经开始集成并启用企业范围的微分段、IAM和PAM。当AI和ML嵌入到平台和端点设备固件中时,企业的采用会加速。此外,自我诊断和自适应智能技术使自修复端点成为可能。自修复端点可以自行关闭,重新检查操作系统和应用程序版本控制,并重置为优化的安全配置。这些活动是自主的,不需要人为干预。

对CISO们来说,网络弹性与整合技术堆栈同样重要。端点生成的遥测和交易数据是当今零信任供应商最有价值的创新来源之一。安全厂商和CISO们都期望进一步使用AI和ML来改进端点检测、响应和自我修复能力。

结论

零信任时代的端点安全取决于EPP、EDR和XDR提供商使用通用遥测数据实时弥合单一平台端点安全和身份保护差距的能力。根据VentureBeat对领先端点安全供应商和 CISO的采访,下一代端点安全技术的主要驱动力是:通过生成AI实现零信任收益,自修复端点,以及整合技术堆栈提高可见性。面对瞬息万变的威胁态势,端点安全厂商们必须持续创新,集成AI和ML技术改进端点检测、响应和自我修复。

前一篇大学录取平台泄露24万学生个人敏感信息
后一篇四成企业没有专门的API安全人员或团队