很多企业在尝试用零信任方法强化其落后的端点安全,防止网络攻击者使用恶意脚本和PowerShell攻击绕过端点安全控制,因为网络攻击越来越难以检测和防御。根据Tanium最近的一项调查,55%的网络安全和风险管理专业人士估计,超过75%的端点攻击无法被他们当前的网络安全系统阻止。
端点安全缺乏零信任
网络攻击者善于发现端点、混合云配置、基础设施和支持它们的API中的漏洞。Dark Reading的2022年调查“企业如何计划应对大流行后的端点安全威胁”发现,绝大多数企业(67%)改变了端点安全策略以保护虚拟劳动力,而近三分之一(29%)受访企业没有通过补丁管理和代理更新保持端点的更新。
调查还发现,虽然36%的企业拥有一些端点控制,但很少有企业拥有对每个设备和身份的完整端点可见性和控制。因此,正如CyCognito的攻击面保护布道者Jim Wachhaus在一次采访中指出的,IT部门在任何时间都无法识别其位置或状态的端点占比多达40%。
企业也在努力尝试在其网络的所有端点上实施零信任网络访问(ZTNA)。68%的受访企业计划开发新的安全控制或实践来支持零信任,52%的人承认需要改进最终用户的培训。企业IT团队往往被项目压得喘不过气来,因此为零信任制定安全策略和控制措施是一项艰巨的挑战。
补丁管理落后导致端点成为一种负担
根据Ivanti的研究,71%的安全和风险管理专业人员认为打补丁过于复杂和耗时。此外,62%的人承认他们在补丁管理方面存在拖延,从而导致其被其他项目取代。在Ivanti的补丁管理挑战报告中,接受采访的安全和风险管理专业人士表示,支持虚拟团队及其分散的工作空间使补丁管理更具挑战性。例如,网络攻击者可以利用补丁管理中的漏洞在短短72小时内将SAP漏洞武器化。
补丁更新不及时导致勒索软件攻击增加
过时的补丁管理方法(例如基于库存的方法)不足以应对威胁,包括来自勒索软件的威胁。
与2021年底相比,2022年第一季度与勒索软件相关的漏洞数量增加了7.6%。根据Ivanti的2022年第一季度指数更新,与勒索软件相关的漏洞在两年内从57个飙升至310个。CrowdStrike的2022年全球威胁报告发现,勒索软件在短短一年内激增了82%。
此外,破坏端点的脚本攻击持续暴增也是CISO和CIO今年优先考虑端点安全的原因之一。
太多端点代理比没有更糟糕
IT和安全部门经常会使用过多的代理,结果导致端点过载。新上任的CIO或CISO通常拥有他们个人偏爱的端点保护、端点检测和响应平台,并且通常在工作的第一年就实施这些平台。随着时间的推移,端点代理蔓延会引入软件冲突,从而危及IT基础设施和技术堆栈。
Absolute Software的2021年端点风险报告发现,企业端点平均安装了11.7个安全控制,每个都以不同的速度衰减,从而产生多个攻击面。该报告还发现,52%的端点安装了三个或更多端点管理客户端,59%的端点至少安装了一个身份访问管理(IAM)客户端。
端点需要提供什么
端点安全和补丁管理是所有零信任项目成功的前提和基础。选择正确的端点保护平台和支持解决方案可以降低网络攻击者破坏您的基础设施的风险。在评估哪些端点保护平台(EPP)最适合您当前和未来的风险管理需求时,请考虑以下因素。
一、跨企业自有资产和BYOD资产大规模自动化设备配置和部署
使自带设备(BYOD)端点符合企业安全标准对于当今几乎所有IT和安全团队来说都是一项挑战。因此,端点保护平台(EPP)需要简化和自动化配置BYOD端点设备的工作流程,将来自电子邮件、端点、身份和应用程序的威胁数据关联起来。
二、基于云的端点保护平台依赖API进行集成
IT和安全团队需要可以快速部署并支持使用API集成到当前系统中的端点保护平台。开放式集成API正在帮助IT和安全团队应对保护端点的挑战。内置开放API的,基于云的端点保护平台可用于简化跨供应商集成和报告,同时提高端点可见性、控制和管理。
三、Gartner预测,到2023年底,95%的端点保护平台将基于云。
具有开放式API集成的领先云EPP供应商包括Cisco、CrowdStrike、McAfee、Microsoft、SentinelOne、Sophos和Trend Micro等。Gartner最新的端点安全炒作周期图显示,当前的零信任网络访问(ZTNA)应用程序的设计具有更灵活的用户体验和定制化,同时提高了基于角色的适应性,以及“基于云的零信任网络访问产品提高了可扩展性和易于采用”。
需要设计端点检测和响应(EDR)
端点保护平台提供商看到了整合企业网络安全支出的潜力,开始提供识别和阻止高级威胁的增值服务。许多领先的EPP提供商在他们的平台上都整合了EDR,例如BitDefender、CrowdStrike、Cisco、ESET、FireEye、Fortinet、F-Secure、Microsoft、McAfee和Sophos。
包括CrowdStrike在内的市场领导者拥有将EDR和EPP代理整合到统一数据平台上的平台架构。例如,依靠单一平台使CrowdStrike的Falcon X威胁情报和威胁图数据分析能够识别高级威胁,分析设备、数据和用户活动,并跟踪可能导致违规的异常活动。
许多CISO可能会同意网络安全是一个数据密集型流程,EDR提供商必须证明他们可以经济有效地扩展分析、数据存储和机器学习(ML)。
融入平台核心架构中的自我修复端点
IT和安全团队需要将自我修复端点集成到EPP和EDR平台中,以实现端点管理自动化。这既节省了时间又提高了端点安全性。例如,在没有人工干预的情况下使用自适应智能,设计有自我诊断功能的自我修复端点可以识别并立即采取行动来阻止攻击企图。自我修复端点可以自动关闭,验证其操作系统、应用程序和补丁版本,然后将自身重置为优化配置。Absolute Software、Akamai、Blackberry、Cisco、Ivanti、Malwarebytes、McAfee、Microsoft 365、Qualys、SentinelOne、Tanium、Trend Micro、Webroot和许多其他公司都宣称可以提供自我修复端点技术。
Forrester高级分析师Andrew Hewitt指出:“大多数自我修复固件都直接嵌入到OEM硬件本身中。”
Hewitt补充说:“自我修复需要在多个层面上进行:1)应用;2)操作系统;3)固件。其中,嵌入在固件中的自我修复将被证明是最重要的,因为它将确保端点上运行的所有软件,甚至是在操作系统级别进行自我修复的代理,都可以有效地运行而不会中断。”
勒索软件攻击将继续考验端点安全性
网络攻击者希望绕过脆弱或压根不存在的端点安全措施,侵入IAM和PAM系统以控制服务器访问,获得管理员权限并横向移动到高价值系统。
2022年上半年,勒索软件攻击同比增长80%,排名前11的勒索软件家族中有8个使用勒索软件即服务,双重勒索勒索软件增长近120%。此外,Zscaler ThreatLabz报告发现,与2021年相比,针对医疗企业的双重勒索攻击增长了近650%。
强制执行最低特权访问,将机器和人类身份定义为新的安全边界,并且至少启用多因素身份验证(MFA)对于改善端点安全至关重要。
