洞見威脅本質!下一代終端安全已來
《終端安全》一書中,作者Mark S.Kadrich認為終端安全是影響資訊系統安全的根源。在終端裝置不斷增加,黑客攻擊愈演愈烈的趨勢下,過去的閘道器防護已經遠遠不夠,終端安全成為了安全建設不可忽視的最後一環節。
安全事件從未停止過。2017年資料洩露、網路攻擊等呈爆發態勢,無論在數量還是影響面上,均超過以往任何年度。2018年,安全事件愈發頻發,單“Globelmposter”家族病毒,不斷讓醫療、法院等行業深受其害。
實際上,很多企業組織已經部署諸多網路安全產品,比如防火牆、訪問控制裝置、IPS、IDS等。那麼,應用了這麼多的安全產品,為什麼發生安全事件的次數還是有增無減?
邊界防禦無法應對內網攻擊
從近幾年的黑客攻擊形勢看,內網終端的攻擊逐漸增多。企業終端、資料等資產價值更高,由終端、伺服器等不同軟硬體所組成辦公區域網,帶來更為複雜的病毒來源、感染、傳播途徑。過去企業組織常常認為堵住、攔住、防住網路上的攻擊就可以確保網路安全,傳統安全建設主要以組織邊界和核心資產為保護物件,面對繞過邊界防護的內網終端攻擊,組織單位往往無能為力。
傳統防毒軟體無法適應當下的攻擊形勢
要進行終端安全防護毋庸置疑。然而,不少企業裝了傳統防毒軟體,還是中招,原因何在?
一方面,基於特徵匹配防毒無法有效抵禦新型病毒 。
實際上,傳統的防毒軟體主要基於特徵值掃描技術,其核心思想是反病毒公司從病毒體程式碼中,人工提取出病毒的特徵值,然後由防毒軟體將被查物件與病毒特徵值進行比對,如果被查物件中含有某個病毒的特徵值就將其報為病毒,並進行查殺。這樣的查毒流程,只能檢測並查殺已知的病毒。即使現在流行的雲查殺方式,也只是將特徵庫放到雲端,只能提升檢測效率,依然檢測不了未知的病毒及變種。而當下網路環境日益複雜,2017年惡意軟體變種的數量增長高達54%,以防禦已知威脅為主的傳統終端反病毒,在高階威脅持續產生的大環境下,呈現被動、後知後覺等檢測特點,對於頻發的未知風險的感知和捕獲都力不從心。
另一方面,傳統防毒處置方式落後,無法適應病毒新的傳播方式與環境。
隨著攻擊技術的不斷髮展,攻擊方式更加多樣化,病毒在內網能夠通過郵件傳播、漏洞傳播、軟體捆綁傳播、殭屍網路傳播、移動儲存介質傳播等方式進行橫向或縱向擴散。而傳統防毒軟體採取基於檔案隔離的處置方式相對落後,比如出現檔案隔離失敗情況,單點威脅將快速輻射到面,難以適應新的病毒與傳播方式。
下一代企業終端安全: EDR
那麼,使用者需要什麼樣的企業終端安全解決方案?
1. 洞見威脅本質,智慧檢測未知威脅
下一代終端安全應提升對未知威脅的檢測能力。通過人工智慧持續學習、自我進化能力實現無特徵檢測,洞見威脅本質,更有效的鑑定未知病毒。與此同時,結合傳統終端安全軟體本身的信譽庫加上行為分析、基因特徵等技術,構建完善的防禦體系,全面預防、有效檢測。
2.迅捷靈動處置,及時響應威脅
應用任何的網路安全產品,都是為了能夠有效應對安全事件,及時止損。下一代終端安全應能夠及時、高效地響應處置安全威脅。一方面,其本身應根據檢測命中的威脅內容進行迅捷處置。區別於傳統終端安全的檔案隔離方式,下一代終端安全應提供基於檔案、機器、群組等全面處置手段。隔離響應手段包括:終端主機隔離、業務組隔離、檔案信任、檔案隔離、檔案刪除、檔案恢復等。
另一方面,安全建設不是孤立的,終端安全作為安全建設的關鍵一環,應能夠與其他安全裝置聯動進行協同響應。通過智慧協同、自動處置,形成立體防護能力,幫助使用者快速封堵威脅,縮短威脅在使用者環境的發現和處置時間。
3.一體化管理,終端資產全面識別
組織單位只有掌握了自身資產狀況,以及自身業務的安全狀況,才能從容不迫的應對風險。下一代終端安全應通過一體化統一管理方式進行應用,實現全網終端資產全面盤點。使得每一臺終端上的資產資訊清晰同時能夠對終端進行統一的管控,如合規審查等。
在深信服2018年創新技術論壇,深信服正式釋出下一代終端安全產品EDR,這是全新輕量級、智慧化、響應快的下一代終端安全平臺,以終端資產為核心,通過預防、防禦、檢測、響應全面賦予終端威脅防禦能力,使其達到洞見威脅本質,迅捷靈動處置效果,幫助使用者快速檢測、處置終端一系列安全問題。EDR產品作為深信服“網端雲”安全架構的重要落地支撐之一,協同網路端下一代防火牆、安全感知平臺等,以及雲端安全雲腦等共同為使用者提供“面向未來,有效保護”的安全。