只有60%的企業(yè)了解其網(wǎng)絡(luò)上不到75%的端點(diǎn)設(shè)備,只有58%的企業(yè)能夠在遭到網(wǎng)攻擊或利用后的24小時(shí)內(nèi)識(shí)別出網(wǎng)絡(luò)上的每一個(gè)受到攻擊或易受攻擊的資產(chǎn)。這是一個(gè)沒(méi)有人愿意談?wù)摰臄?shù)字流行病,因?yàn)槊總€(gè)人都知道企業(yè)和團(tuán)隊(duì)可能因?yàn)椴涣私饷總€(gè)端點(diǎn)而受到傷害。同樣常見(jiàn)的是,很多企業(yè)無(wú)法跟蹤多達(dá)40%的端點(diǎn)。
端點(diǎn)需要提供更大的彈性來(lái)證明它們的價(jià)值
一些首席信息安全官和CIO表示,由于企業(yè)收入低于預(yù)期,網(wǎng)絡(luò)安全預(yù)算受到了越來(lái)越多的審查。行業(yè)媒體采訪了金融服務(wù)、保險(xiǎn)和制造業(yè)的一些首席信息安全官,他們表示,新的銷售周期正在延長(zhǎng),現(xiàn)有客戶正在要求降價(jià)和延長(zhǎng)服務(wù)期限。事實(shí)證明,今年將是尋找新的企業(yè)客戶具有挑戰(zhàn)性的一年。
人工智能網(wǎng)絡(luò)安全服務(wù)商Darktrace公司的CEOMarcusFowler表示:“為了在預(yù)算削減的情況下實(shí)現(xiàn)投資回報(bào)率最大化,首席信息安全官需要展示對(duì)主動(dòng)工具和能力的投資,以不斷提高其網(wǎng)絡(luò)彈性。”
波士頓咨詢集團(tuán)(BCG)在其最近的一篇名為《隨著預(yù)算越來(lái)越緊,網(wǎng)絡(luò)安全必須變得更明智》報(bào)告中寫(xiě)道,“首席信息安全官將被迫探索增加培訓(xùn)、流程改進(jìn)和企業(yè)文化轉(zhuǎn)變,以在不擴(kuò)大預(yù)算的情況下改善他們的安全狀況。”
這份報(bào)告還聲稱,78%的企業(yè)定期衡量其網(wǎng)絡(luò)運(yùn)營(yíng)改進(jìn)的投資回報(bào)率。正如行業(yè)媒體在多次采訪首席信息安全官時(shí)發(fā)現(xiàn)的那樣,整合是重中之重。波士頓咨詢集團(tuán)(BCG)在研究中發(fā)現(xiàn),防火墻、用戶認(rèn)證和訪問(wèn)管理以及端點(diǎn)保護(hù)平臺(tái)是首席信息安全官尋求整合支出的最常見(jiàn)領(lǐng)域。簡(jiǎn)而言之,端點(diǎn)安全平臺(tái)要想在預(yù)算中占有一席之地,就必須提供更強(qiáng)的彈性。
AbsoluteSoftware公司的總裁兼CEOChristyWyatt在接受行業(yè)媒體采訪時(shí)表示,“當(dāng)我們與用戶進(jìn)行溝通時(shí),我們聽(tīng)到的很多是如何繼續(xù)增加彈性,增加保護(hù)自己的方式,即使面對(duì)可能的人員減少或預(yù)算緊張。因此,這使得我們圍繞網(wǎng)絡(luò)彈性所做的工作變得更加重要。我們所做的一件獨(dú)特的事情是幫助人們重新安裝或修復(fù)他們的網(wǎng)絡(luò)安全資產(chǎn)或其他網(wǎng)絡(luò)安全應(yīng)用程序。”
十大端點(diǎn)安全挑戰(zhàn)以及潛在的解決方案
改進(jìn)任何企業(yè)的端點(diǎn)安全態(tài)勢(shì)管理都需要關(guān)注整合。正如波士頓咨詢公司的研究所表明的那樣,首席信息安全官在整合其端點(diǎn)保護(hù)平臺(tái)方面面臨著巨大的壓力。尋找端點(diǎn)保護(hù)平臺(tái)(EPP)、端點(diǎn)檢測(cè)和響應(yīng)(EDR)以及擴(kuò)展檢測(cè)和響應(yīng)服務(wù)(XDR)的行業(yè)領(lǐng)先提供商,以獲取更多互補(bǔ)技術(shù)或內(nèi)部快速開(kāi)發(fā),從而推動(dòng)更多整合驅(qū)動(dòng)的銷售。這些供應(yīng)商包括AbsoluteSoftware、BitDefender、CrowdStrike、Cisco、ESET、FireEye、Fortinet、F-Secure、Ivanti、Microsoft、McAfee、PaloAltoNetworks、Sophos和Zscaler。
企業(yè)并購(gòu)、DevOps和技術(shù)合作戰(zhàn)略面臨的十大挑戰(zhàn)如下:
(1)沒(méi)有足夠的實(shí)時(shí)遙測(cè)數(shù)據(jù)來(lái)延長(zhǎng)端點(diǎn)生命周期并識(shí)別入侵和破壞
來(lái)自端點(diǎn)的實(shí)時(shí)遙測(cè)數(shù)據(jù)是成功的端點(diǎn)安全策略的基礎(chǔ),可以識(shí)別正在進(jìn)行的入侵或破壞。它對(duì)于識(shí)別每個(gè)端點(diǎn)的硬件和軟件配置,以及每個(gè)級(jí)別(文件、進(jìn)程、注冊(cè)表、網(wǎng)絡(luò)連接和設(shè)備數(shù)據(jù))也是非常寶貴的。
AbsoluteSoftware、BitDefender、CrowdStrike、Cisco、Ivanti和保護(hù)MicrosoftAzure中端點(diǎn)數(shù)據(jù)的MicrosoftDefenderforEndpoint,以及其他領(lǐng)先供應(yīng)商捕獲實(shí)時(shí)遙測(cè)數(shù)據(jù)并使用它來(lái)進(jìn)行端點(diǎn)分析。
CrowdStrike、ThreatConnect、DeepInstinct和OrcaSecurity使用實(shí)時(shí)遙測(cè)數(shù)據(jù)來(lái)計(jì)算攻擊指標(biāo)(IOA)和折衷指標(biāo)(IOC)。攻擊指標(biāo)(IOA)專注于檢測(cè)網(wǎng)絡(luò)攻擊者的意圖并確定他們的目標(biāo),而不考慮網(wǎng)絡(luò)攻擊中使用的惡意軟件或漏洞。補(bǔ)充攻擊指標(biāo)(IOA)是一種折衷指標(biāo)(IOC),提供取證來(lái)證明網(wǎng)絡(luò)漏洞。
攻擊指標(biāo)(IOA)必須實(shí)現(xiàn)自動(dòng)化,以提供準(zhǔn)確、實(shí)時(shí)的數(shù)據(jù),以便了解網(wǎng)絡(luò)攻擊者的意圖并阻止入侵嘗試。CrowdStrike公司是第一個(gè)推出人工智能攻擊指標(biāo)(IOA)的公司,它利用實(shí)時(shí)遙測(cè)數(shù)據(jù)來(lái)保護(hù)終端。該公司表示,人工智能攻擊指標(biāo)(IOA)與基于傳感器的機(jī)器學(xué)習(xí)和其他傳感器防御層異步工作。
(2)過(guò)度配置和過(guò)載的端點(diǎn)是可能發(fā)生網(wǎng)絡(luò)攻擊的漏洞
一些首席信息安全官表示,企業(yè)通常安裝了幾個(gè)端點(diǎn),有時(shí)超過(guò)十幾個(gè)端點(diǎn)代理。通常情況下,當(dāng)新的首席信息安全官上任時(shí),他們的首要行動(dòng)之一是安裝他們首選的端點(diǎn)系統(tǒng)。內(nèi)存沖突、故障和性能消耗是常見(jiàn)的。AbsoluteSoftware公司的2023彈性指數(shù)報(bào)告發(fā)現(xiàn),企業(yè)的端點(diǎn)設(shè)備平均安裝了11個(gè)安全應(yīng)用程序,平均2.5個(gè)應(yīng)用程序用于端點(diǎn)管理,其次是防病毒/反惡意軟件(平均2.1個(gè))和1.6個(gè)加密應(yīng)用程序。端點(diǎn)過(guò)載是一個(gè)常見(jiàn)的問(wèn)題,通常是在新的安全團(tuán)隊(duì)和管理人員上任時(shí)出現(xiàn)的。
這個(gè)問(wèn)題之所以成為最具挑戰(zhàn)性的問(wèn)題之一,是因?yàn)槊總€(gè)客戶端的必備軟件都過(guò)度構(gòu)建了端點(diǎn)。首席信息安全官主張徹底審計(jì)每個(gè)端點(diǎn)類型或類別的主映像,然后將它們合并為最少的代理。這有助于降低成本,提高效率、可見(jiàn)性和控制能力。
(3)依賴于強(qiáng)制設(shè)備庫(kù)存的傳統(tǒng)補(bǔ)丁程序管理系統(tǒng)
一些首席信息安全官表示,為了確保網(wǎng)絡(luò)、系統(tǒng)和虛擬員工的安全,他們的團(tuán)隊(duì)已經(jīng)捉襟見(jiàn)肘。在需要安裝修補(bǔ)程序之前,它們通常會(huì)耗盡時(shí)間。71%的IT和安全專業(yè)人員認(rèn)為打補(bǔ)丁過(guò)于復(fù)雜和耗時(shí),53%的人把大部分時(shí)間花在優(yōu)先處理關(guān)鍵漏洞上。
采用數(shù)據(jù)驅(qū)動(dòng)的方法會(huì)有所幫助,一些供應(yīng)商用來(lái)解決這個(gè)問(wèn)題的另一個(gè)創(chuàng)新是人工智能和機(jī)器學(xué)習(xí)。
Ivanti公司發(fā)布的《2023年安全準(zhǔn)備狀況報(bào)告》發(fā)現(xiàn),在61%的情況下,外部事件、入侵企圖或漏洞會(huì)重新啟動(dòng)補(bǔ)丁管理工作。盡管各行業(yè)組織都在競(jìng)相防御網(wǎng)絡(luò)攻擊,但整個(gè)行業(yè)仍然有一種被動(dòng)的、檢查清單式的心態(tài)。
Ivanti公司的首席產(chǎn)品官SrinivasMukkamala博士在接受行業(yè)媒體采訪中表示:“目前已經(jīng)發(fā)現(xiàn)了16萬(wàn)個(gè)以上漏洞,難怪IT和安全專業(yè)人士絕大多數(shù)都覺(jué)得修補(bǔ)漏洞過(guò)于復(fù)雜和耗時(shí)。這就是企業(yè)必須利用人工智能解決方案的原因,以幫助團(tuán)隊(duì)確定優(yōu)先級(jí)、驗(yàn)證和應(yīng)用補(bǔ)丁。安全的未來(lái)是將適合機(jī)器的平凡和重復(fù)的任務(wù)讓人工智能完成,這樣IT和安全團(tuán)隊(duì)就可以專注于業(yè)務(wù)的戰(zhàn)略計(jì)劃。”
該領(lǐng)域的行業(yè)領(lǐng)導(dǎo)者包括Automax、IvantiNeuronsforPatchIntelligence、Kaseya、ManageEngine和Tanium。
(4)保持BYOD資產(chǎn)配置更新和兼容性
保持企業(yè)擁有的設(shè)備配置的最新和兼容性需要安全團(tuán)隊(duì)投入端點(diǎn)資產(chǎn)管理的大部分時(shí)間。企業(yè)團(tuán)隊(duì)通常沒(méi)有BYOD端點(diǎn),IT部門(mén)對(duì)員工使用自己設(shè)備的政策有時(shí)過(guò)于寬泛,沒(méi)有進(jìn)行監(jiān)管。端點(diǎn)保護(hù)平臺(tái)需要簡(jiǎn)化和自動(dòng)化配置和部署企業(yè)和BYOD端點(diǎn)設(shè)備的工作流程。
目前,行業(yè)領(lǐng)先的端點(diǎn)平臺(tái)可以大規(guī)模地做到這一點(diǎn),并為企業(yè)提供了解決方案,包括CrowdStrikeFalcon、IvantiNeurons和MicrosoftDefenderforendpoint,這些平臺(tái)可以將來(lái)自電子郵件、端點(diǎn)、身份和應(yīng)用程序的威脅數(shù)據(jù)關(guān)聯(lián)起來(lái)。
(5)實(shí)施有針對(duì)性的UEM策略,阻止針對(duì)高級(jí)管理人員移動(dòng)設(shè)備的攻擊
鯨魚(yú)式網(wǎng)絡(luò)釣魚(yú)是網(wǎng)絡(luò)攻擊的最新形式,影響了數(shù)千名企業(yè)高管。Ivanti公司在《2023年安全準(zhǔn)備狀況報(bào)告》中指出,企業(yè)高管成為網(wǎng)絡(luò)釣魚(yú)受害者的概率是員工的四倍。近三分之一的CEO和高級(jí)管理人員成為網(wǎng)絡(luò)釣魚(yú)詐騙的受害者,他們或者點(diǎn)擊這些鏈接,或者支付贖金。
采用統(tǒng)一的端點(diǎn)管理(UEM)平臺(tái)對(duì)于保護(hù)每個(gè)移動(dòng)設(shè)備至關(guān)重要。先進(jìn)的端點(diǎn)管理(UEM)平臺(tái)可以實(shí)現(xiàn)配置管理的自動(dòng)化,并確保企業(yè)的合規(guī)性,從而降低違規(guī)風(fēng)險(xiǎn)。
首席信息安全官希望端點(diǎn)管理(UEM)平臺(tái)提供商能夠整合并以更低的成本提供更多的價(jià)值。Gartner公司最新的統(tǒng)一端點(diǎn)管理工具魔力象限反映了首席信息安全官對(duì)IBM、Ivanti、ManageEngine、Matrix42、微軟、VMWare、黑莓、思杰等公司產(chǎn)品戰(zhàn)略的影響。
(6)太多的IT、安全和承包商團(tuán)隊(duì)成員擁有對(duì)端點(diǎn)、應(yīng)用程序和系統(tǒng)的管理訪問(wèn)權(quán)限
首席信息安全官需要從源頭開(kāi)始審計(jì)訪問(wèn)權(quán)限,并識(shí)別仍然擁有ActiveDirectory、身份和訪問(wèn)管理(IAM)和特權(quán)訪問(wèn)管理(PAM)系統(tǒng)中定義的管理權(quán)限的前員工、承包商和供應(yīng)商。所有與身份相關(guān)的活動(dòng)都應(yīng)該被審計(jì)和跟蹤,以縮小信任差距,減少內(nèi)部攻擊的威脅。必須消除不必要的訪問(wèn)權(quán)限,例如過(guò)期帳戶的訪問(wèn)權(quán)限。
CrowdStrike公司零信任營(yíng)銷副總裁KapilRaina表示,“審計(jì)和識(shí)別所有憑證(人類和機(jī)器)以識(shí)別攻擊路徑是一個(gè)好主意,例如來(lái)自影子管理員權(quán)限,并自動(dòng)或人工調(diào)整權(quán)限。”
(7)定義端點(diǎn)的許多身份需要更有效的密鑰和數(shù)字證書(shū)管理
網(wǎng)絡(luò)中的每臺(tái)機(jī)器都需要一個(gè)唯一的身份,這樣管理員就可以管理和保護(hù)機(jī)器對(duì)機(jī)器的連接和通信。但是端點(diǎn)越來(lái)越多地接受更多的身份,這使得同時(shí)保護(hù)每個(gè)身份和端點(diǎn)成為一項(xiàng)挑戰(zhàn)。
這就是需要更多地關(guān)注密鑰和數(shù)字證書(shū)管理的原因。數(shù)字身份是通過(guò)SSL、SSH密鑰、代碼簽名證書(shū)、TLS或身份驗(yàn)證令牌分配的。網(wǎng)絡(luò)攻擊者以SSH密鑰為目標(biāo),繞過(guò)代碼簽名證書(shū)或破壞SSL和TLS證書(shū)。
安全團(tuán)隊(duì)的目標(biāo)是確保每個(gè)身份的準(zhǔn)確性、完整性和可靠性。該領(lǐng)域的領(lǐng)先供應(yīng)商包括CheckPoint、Delinea、Fortinet、IBMSecurity、Ivanti、Keyfactor、MicrosoftSecurity、Venafi和Zscaler。
(8)不可靠的端點(diǎn)系統(tǒng)容易崩潰,發(fā)送太多誤報(bào),需要數(shù)小時(shí)才能修復(fù)
首席信息安全官表示,這是最具挑戰(zhàn)性的問(wèn)題——端點(diǎn)在重新配置后不能自行重置,或者更糟的是,需要人工解決,這需要大量的資源來(lái)管理。
用自修復(fù)端點(diǎn)替換遺留端點(diǎn)系統(tǒng)有助于減少軟件代理的蔓延。根據(jù)定義,自我修復(fù)端點(diǎn)將關(guān)閉自己并驗(yàn)證其核心組件,從其操作系統(tǒng)開(kāi)始。接下來(lái),端點(diǎn)將執(zhí)行補(bǔ)丁版本控制,然后在沒(méi)有人為干預(yù)的情況下將自身重置為優(yōu)化配置。
AbsoluteSoftware公司為每個(gè)基于個(gè)人電腦的端點(diǎn)提供不可刪除的數(shù)字連接,以監(jiān)控和驗(yàn)證實(shí)時(shí)數(shù)據(jù)請(qǐng)求和事務(wù)。Akamai、Ivanti、Malwarebytes、Microsoft、SentinelOne、Tanium和TrendMicro是自愈端點(diǎn)的領(lǐng)先提供商。AbsoluteSoftware的彈性平臺(tái)值得注意的是,它提供了對(duì)任何設(shè)備的實(shí)時(shí)可見(jiàn)性和控制,無(wú)論設(shè)備是否在網(wǎng)絡(luò)上。
(9)依靠一組獨(dú)立的工具來(lái)縮小端點(diǎn)差距或獲得全方位的威脅視圖
跨獨(dú)立工具規(guī)范化報(bào)告是困難的、耗時(shí)的和昂貴的。它需要SOC團(tuán)隊(duì)人工關(guān)聯(lián)端點(diǎn)和身份之間的威脅。在屏幕上看到所有的活動(dòng)是不可能的,因?yàn)楣ぞ呤褂貌煌木瘓?bào)、數(shù)據(jù)結(jié)構(gòu)、報(bào)告格式和變量。
一些首席信息安全官分享了Mukkamala從單一控制平臺(tái)管理每個(gè)用戶配置文件和客戶端設(shè)備的愿景。
(10)利用多因素身份驗(yàn)證(MFA)和無(wú)密碼技術(shù),縮小基于身份的端點(diǎn)安全方面的差距
為了讓企業(yè)的員工都接受多因素身份驗(yàn)證(MFA),首席信息安全官和安全團(tuán)隊(duì)?wèi)?yīng)該首先將其設(shè)計(jì)到工作流程中,并盡量減少其對(duì)用戶體驗(yàn)的影響。團(tuán)隊(duì)還需要掌握最新的無(wú)密碼技術(shù),這將最終減輕對(duì)多因素身份驗(yàn)證(MFA)的需求,提供簡(jiǎn)化的用戶體驗(yàn)。
行業(yè)領(lǐng)先的無(wú)密碼認(rèn)證提供商包括MicrosoftAzureActiveDirectory(AzureAD)、OneLoginWorkforceIdentity、ThalesSafeNetTrustedAccess和WindowsHelloforBusiness。
隨著越來(lái)越多的員工保持虛擬狀態(tài),在移動(dòng)設(shè)備上實(shí)施身份管理已成為一項(xiàng)核心需求。在該領(lǐng)域的解決方案中,Ivanti公司的零登錄(ZSO)是唯一一個(gè)在其統(tǒng)一端點(diǎn)管理(UEM)平臺(tái)上結(jié)合無(wú)密碼身份驗(yàn)證、零信任和簡(jiǎn)化用戶體驗(yàn)的解決方案。
Ivanti公司的解決方案旨在將支持生物識(shí)別技術(shù)(蘋(píng)果的面部識(shí)別)作為訪問(wèn)個(gè)人和共享公司賬戶、數(shù)據(jù)和系統(tǒng)的次要認(rèn)證因素。IvantiZSO通過(guò)使用FIDO2身份驗(yàn)證協(xié)議消除了對(duì)密碼的需求。一些首席信息安全官表示,它可以在任何移動(dòng)設(shè)備上配置,不需要另一個(gè)代理來(lái)保持最新?tīng)顟B(tài)。
企業(yè)需要積極應(yīng)對(duì)人工智能驅(qū)動(dòng)的網(wǎng)絡(luò)攻擊
網(wǎng)絡(luò)攻擊者正在提高他們的網(wǎng)絡(luò)攻擊技能,利用不受保護(hù)的端點(diǎn),利用端點(diǎn)和不受保護(hù)的身份之間的差距,比以往任何時(shí)候都更多地進(jìn)行鯨魚(yú)式網(wǎng)絡(luò)釣魚(yú)。安全和IT團(tuán)隊(duì)必須應(yīng)對(duì)改進(jìn)端點(diǎn)安全性的挑戰(zhàn)。人工智能和機(jī)器學(xué)習(xí)正在徹底改變端點(diǎn)安全,本文中簡(jiǎn)要討論的10個(gè)挑戰(zhàn)正在推動(dòng)許多網(wǎng)絡(luò)安全初創(chuàng)公司和行業(yè)領(lǐng)先供應(yīng)商的新產(chǎn)品開(kāi)發(fā)。
企業(yè)都需要采取這些措施來(lái)保護(hù)自己免受網(wǎng)絡(luò)攻擊者的攻擊,這些網(wǎng)絡(luò)攻擊者已經(jīng)使用生成式人工智能、ChatGPT和高級(jí)的多方面攻擊來(lái)竊取身份和特權(quán)訪問(wèn)憑證,并在未被發(fā)現(xiàn)的情況下破壞端點(diǎn)。
