只有60%的企業(yè)了解其網(wǎng)絡(luò)上不到75%的端點設(shè)備,只有58%的企業(yè)能夠在遭到網(wǎng)攻擊或利用后的24小時內(nèi)識別出網(wǎng)絡(luò)上的每一個受到攻擊或易受攻擊的資產(chǎn)。這是一個沒有人愿意談?wù)摰臄?shù)字流行病,因為每個人都知道企業(yè)和團隊可能因為不了解每個端點而受到傷害。同樣常見的是,很多企業(yè)無法跟蹤多達40%的端點。
端點需要提供更大的彈性來證明它們的價值
一些首席信息安全官和CIO表示,由于企業(yè)收入低于預期,網(wǎng)絡(luò)安全預算受到了越來越多的審查。行業(yè)媒體采訪了金融服務(wù)、保險和制造業(yè)的一些首席信息安全官,他們表示,新的銷售周期正在延長,現(xiàn)有客戶正在要求降價和延長服務(wù)期限。事實證明,今年將是尋找新的企業(yè)客戶具有挑戰(zhàn)性的一年。
人工智能網(wǎng)絡(luò)安全服務(wù)商Darktrace公司的CEOMarcusFowler表示:“為了在預算削減的情況下實現(xiàn)投資回報率最大化,首席信息安全官需要展示對主動工具和能力的投資,以不斷提高其網(wǎng)絡(luò)彈性。”
波士頓咨詢集團(BCG)在其最近的一篇名為《隨著預算越來越緊,網(wǎng)絡(luò)安全必須變得更明智》報告中寫道,“首席信息安全官將被迫探索增加培訓、流程改進和企業(yè)文化轉(zhuǎn)變,以在不擴大預算的情況下改善他們的安全狀況。”
這份報告還聲稱,78%的企業(yè)定期衡量其網(wǎng)絡(luò)運營改進的投資回報率。正如行業(yè)媒體在多次采訪首席信息安全官時發(fā)現(xiàn)的那樣,整合是重中之重。波士頓咨詢集團(BCG)在研究中發(fā)現(xiàn),防火墻、用戶認證和訪問管理以及端點保護平臺是首席信息安全官尋求整合支出的最常見領(lǐng)域。簡而言之,端點安全平臺要想在預算中占有一席之地,就必須提供更強的彈性。
AbsoluteSoftware公司的總裁兼CEOChristyWyatt在接受行業(yè)媒體采訪時表示,“當我們與用戶進行溝通時,我們聽到的很多是如何繼續(xù)增加彈性,增加保護自己的方式,即使面對可能的人員減少或預算緊張。因此,這使得我們圍繞網(wǎng)絡(luò)彈性所做的工作變得更加重要。我們所做的一件獨特的事情是幫助人們重新安裝或修復他們的網(wǎng)絡(luò)安全資產(chǎn)或其他網(wǎng)絡(luò)安全應(yīng)用程序。”
十大端點安全挑戰(zhàn)以及潛在的解決方案
改進任何企業(yè)的端點安全態(tài)勢管理都需要關(guān)注整合。正如波士頓咨詢公司的研究所表明的那樣,首席信息安全官在整合其端點保護平臺方面面臨著巨大的壓力。尋找端點保護平臺(EPP)、端點檢測和響應(yīng)(EDR)以及擴展檢測和響應(yīng)服務(wù)(XDR)的行業(yè)領(lǐng)先提供商,以獲取更多互補技術(shù)或內(nèi)部快速開發(fā),從而推動更多整合驅(qū)動的銷售。這些供應(yīng)商包括AbsoluteSoftware、BitDefender、CrowdStrike、Cisco、ESET、FireEye、Fortinet、F-Secure、Ivanti、Microsoft、McAfee、PaloAltoNetworks、Sophos和Zscaler。
企業(yè)并購、DevOps和技術(shù)合作戰(zhàn)略面臨的十大挑戰(zhàn)如下:
(1)沒有足夠的實時遙測數(shù)據(jù)來延長端點生命周期并識別入侵和破壞
來自端點的實時遙測數(shù)據(jù)是成功的端點安全策略的基礎(chǔ),可以識別正在進行的入侵或破壞。它對于識別每個端點的硬件和軟件配置,以及每個級別(文件、進程、注冊表、網(wǎng)絡(luò)連接和設(shè)備數(shù)據(jù))也是非常寶貴的。
AbsoluteSoftware、BitDefender、CrowdStrike、Cisco、Ivanti和保護MicrosoftAzure中端點數(shù)據(jù)的MicrosoftDefenderforEndpoint,以及其他領(lǐng)先供應(yīng)商捕獲實時遙測數(shù)據(jù)并使用它來進行端點分析。
CrowdStrike、ThreatConnect、DeepInstinct和OrcaSecurity使用實時遙測數(shù)據(jù)來計算攻擊指標(IOA)和折衷指標(IOC)。攻擊指標(IOA)專注于檢測網(wǎng)絡(luò)攻擊者的意圖并確定他們的目標,而不考慮網(wǎng)絡(luò)攻擊中使用的惡意軟件或漏洞。補充攻擊指標(IOA)是一種折衷指標(IOC),提供取證來證明網(wǎng)絡(luò)漏洞。
攻擊指標(IOA)必須實現(xiàn)自動化,以提供準確、實時的數(shù)據(jù),以便了解網(wǎng)絡(luò)攻擊者的意圖并阻止入侵嘗試。CrowdStrike公司是第一個推出人工智能攻擊指標(IOA)的公司,它利用實時遙測數(shù)據(jù)來保護終端。該公司表示,人工智能攻擊指標(IOA)與基于傳感器的機器學習和其他傳感器防御層異步工作。
(2)過度配置和過載的端點是可能發(fā)生網(wǎng)絡(luò)攻擊的漏洞
一些首席信息安全官表示,企業(yè)通常安裝了幾個端點,有時超過十幾個端點代理。通常情況下,當新的首席信息安全官上任時,他們的首要行動之一是安裝他們首選的端點系統(tǒng)。內(nèi)存沖突、故障和性能消耗是常見的。AbsoluteSoftware公司的2023彈性指數(shù)報告發(fā)現(xiàn),企業(yè)的端點設(shè)備平均安裝了11個安全應(yīng)用程序,平均2.5個應(yīng)用程序用于端點管理,其次是防病毒/反惡意軟件(平均2.1個)和1.6個加密應(yīng)用程序。端點過載是一個常見的問題,通常是在新的安全團隊和管理人員上任時出現(xiàn)的。
這個問題之所以成為最具挑戰(zhàn)性的問題之一,是因為每個客戶端的必備軟件都過度構(gòu)建了端點。首席信息安全官主張徹底審計每個端點類型或類別的主映像,然后將它們合并為最少的代理。這有助于降低成本,提高效率、可見性和控制能力。
(3)依賴于強制設(shè)備庫存的傳統(tǒng)補丁程序管理系統(tǒng)
一些首席信息安全官表示,為了確保網(wǎng)絡(luò)、系統(tǒng)和虛擬員工的安全,他們的團隊已經(jīng)捉襟見肘。在需要安裝修補程序之前,它們通常會耗盡時間。71%的IT和安全專業(yè)人員認為打補丁過于復雜和耗時,53%的人把大部分時間花在優(yōu)先處理關(guān)鍵漏洞上。
采用數(shù)據(jù)驅(qū)動的方法會有所幫助,一些供應(yīng)商用來解決這個問題的另一個創(chuàng)新是人工智能和機器學習。
Ivanti公司發(fā)布的《2023年安全準備狀況報告》發(fā)現(xiàn),在61%的情況下,外部事件、入侵企圖或漏洞會重新啟動補丁管理工作。盡管各行業(yè)組織都在競相防御網(wǎng)絡(luò)攻擊,但整個行業(yè)仍然有一種被動的、檢查清單式的心態(tài)。
Ivanti公司的首席產(chǎn)品官SrinivasMukkamala博士在接受行業(yè)媒體采訪中表示:“目前已經(jīng)發(fā)現(xiàn)了16萬個以上漏洞,難怪IT和安全專業(yè)人士絕大多數(shù)都覺得修補漏洞過于復雜和耗時。這就是企業(yè)必須利用人工智能解決方案的原因,以幫助團隊確定優(yōu)先級、驗證和應(yīng)用補丁。安全的未來是將適合機器的平凡和重復的任務(wù)讓人工智能完成,這樣IT和安全團隊就可以專注于業(yè)務(wù)的戰(zhàn)略計劃。”
該領(lǐng)域的行業(yè)領(lǐng)導者包括Automax、IvantiNeuronsforPatchIntelligence、Kaseya、ManageEngine和Tanium。
(4)保持BYOD資產(chǎn)配置更新和兼容性
保持企業(yè)擁有的設(shè)備配置的最新和兼容性需要安全團隊投入端點資產(chǎn)管理的大部分時間。企業(yè)團隊通常沒有BYOD端點,IT部門對員工使用自己設(shè)備的政策有時過于寬泛,沒有進行監(jiān)管。端點保護平臺需要簡化和自動化配置和部署企業(yè)和BYOD端點設(shè)備的工作流程。
目前,行業(yè)領(lǐng)先的端點平臺可以大規(guī)模地做到這一點,并為企業(yè)提供了解決方案,包括CrowdStrikeFalcon、IvantiNeurons和MicrosoftDefenderforendpoint,這些平臺可以將來自電子郵件、端點、身份和應(yīng)用程序的威脅數(shù)據(jù)關(guān)聯(lián)起來。
(5)實施有針對性的UEM策略,阻止針對高級管理人員移動設(shè)備的攻擊
鯨魚式網(wǎng)絡(luò)釣魚是網(wǎng)絡(luò)攻擊的最新形式,影響了數(shù)千名企業(yè)高管。Ivanti公司在《2023年安全準備狀況報告》中指出,企業(yè)高管成為網(wǎng)絡(luò)釣魚受害者的概率是員工的四倍。近三分之一的CEO和高級管理人員成為網(wǎng)絡(luò)釣魚詐騙的受害者,他們或者點擊這些鏈接,或者支付贖金。
采用統(tǒng)一的端點管理(UEM)平臺對于保護每個移動設(shè)備至關(guān)重要。先進的端點管理(UEM)平臺可以實現(xiàn)配置管理的自動化,并確保企業(yè)的合規(guī)性,從而降低違規(guī)風險。
首席信息安全官希望端點管理(UEM)平臺提供商能夠整合并以更低的成本提供更多的價值。Gartner公司最新的統(tǒng)一端點管理工具魔力象限反映了首席信息安全官對IBM、Ivanti、ManageEngine、Matrix42、微軟、VMWare、黑莓、思杰等公司產(chǎn)品戰(zhàn)略的影響。
(6)太多的IT、安全和承包商團隊成員擁有對端點、應(yīng)用程序和系統(tǒng)的管理訪問權(quán)限
首席信息安全官需要從源頭開始審計訪問權(quán)限,并識別仍然擁有ActiveDirectory、身份和訪問管理(IAM)和特權(quán)訪問管理(PAM)系統(tǒng)中定義的管理權(quán)限的前員工、承包商和供應(yīng)商。所有與身份相關(guān)的活動都應(yīng)該被審計和跟蹤,以縮小信任差距,減少內(nèi)部攻擊的威脅。必須消除不必要的訪問權(quán)限,例如過期帳戶的訪問權(quán)限。
CrowdStrike公司零信任營銷副總裁KapilRaina表示,“審計和識別所有憑證(人類和機器)以識別攻擊路徑是一個好主意,例如來自影子管理員權(quán)限,并自動或人工調(diào)整權(quán)限。”
(7)定義端點的許多身份需要更有效的密鑰和數(shù)字證書管理
網(wǎng)絡(luò)中的每臺機器都需要一個唯一的身份,這樣管理員就可以管理和保護機器對機器的連接和通信。但是端點越來越多地接受更多的身份,這使得同時保護每個身份和端點成為一項挑戰(zhàn)。
這就是需要更多地關(guān)注密鑰和數(shù)字證書管理的原因。數(shù)字身份是通過SSL、SSH密鑰、代碼簽名證書、TLS或身份驗證令牌分配的。網(wǎng)絡(luò)攻擊者以SSH密鑰為目標,繞過代碼簽名證書或破壞SSL和TLS證書。
安全團隊的目標是確保每個身份的準確性、完整性和可靠性。該領(lǐng)域的領(lǐng)先供應(yīng)商包括CheckPoint、Delinea、Fortinet、IBMSecurity、Ivanti、Keyfactor、MicrosoftSecurity、Venafi和Zscaler。
(8)不可靠的端點系統(tǒng)容易崩潰,發(fā)送太多誤報,需要數(shù)小時才能修復
首席信息安全官表示,這是最具挑戰(zhàn)性的問題——端點在重新配置后不能自行重置,或者更糟的是,需要人工解決,這需要大量的資源來管理。
用自修復端點替換遺留端點系統(tǒng)有助于減少軟件代理的蔓延。根據(jù)定義,自我修復端點將關(guān)閉自己并驗證其核心組件,從其操作系統(tǒng)開始。接下來,端點將執(zhí)行補丁版本控制,然后在沒有人為干預的情況下將自身重置為優(yōu)化配置。
AbsoluteSoftware公司為每個基于個人電腦的端點提供不可刪除的數(shù)字連接,以監(jiān)控和驗證實時數(shù)據(jù)請求和事務(wù)。Akamai、Ivanti、Malwarebytes、Microsoft、SentinelOne、Tanium和TrendMicro是自愈端點的領(lǐng)先提供商。AbsoluteSoftware的彈性平臺值得注意的是,它提供了對任何設(shè)備的實時可見性和控制,無論設(shè)備是否在網(wǎng)絡(luò)上。
(9)依靠一組獨立的工具來縮小端點差距或獲得全方位的威脅視圖
跨獨立工具規(guī)范化報告是困難的、耗時的和昂貴的。它需要SOC團隊人工關(guān)聯(lián)端點和身份之間的威脅。在屏幕上看到所有的活動是不可能的,因為工具使用不同的警報、數(shù)據(jù)結(jié)構(gòu)、報告格式和變量。
一些首席信息安全官分享了Mukkamala從單一控制平臺管理每個用戶配置文件和客戶端設(shè)備的愿景。
(10)利用多因素身份驗證(MFA)和無密碼技術(shù),縮小基于身份的端點安全方面的差距
為了讓企業(yè)的員工都接受多因素身份驗證(MFA),首席信息安全官和安全團隊應(yīng)該首先將其設(shè)計到工作流程中,并盡量減少其對用戶體驗的影響。團隊還需要掌握最新的無密碼技術(shù),這將最終減輕對多因素身份驗證(MFA)的需求,提供簡化的用戶體驗。
行業(yè)領(lǐng)先的無密碼認證提供商包括MicrosoftAzureActiveDirectory(AzureAD)、OneLoginWorkforceIdentity、ThalesSafeNetTrustedAccess和WindowsHelloforBusiness。
隨著越來越多的員工保持虛擬狀態(tài),在移動設(shè)備上實施身份管理已成為一項核心需求。在該領(lǐng)域的解決方案中,Ivanti公司的零登錄(ZSO)是唯一一個在其統(tǒng)一端點管理(UEM)平臺上結(jié)合無密碼身份驗證、零信任和簡化用戶體驗的解決方案。
Ivanti公司的解決方案旨在將支持生物識別技術(shù)(蘋果的面部識別)作為訪問個人和共享公司賬戶、數(shù)據(jù)和系統(tǒng)的次要認證因素。IvantiZSO通過使用FIDO2身份驗證協(xié)議消除了對密碼的需求。一些首席信息安全官表示,它可以在任何移動設(shè)備上配置,不需要另一個代理來保持最新狀態(tài)。
企業(yè)需要積極應(yīng)對人工智能驅(qū)動的網(wǎng)絡(luò)攻擊
網(wǎng)絡(luò)攻擊者正在提高他們的網(wǎng)絡(luò)攻擊技能,利用不受保護的端點,利用端點和不受保護的身份之間的差距,比以往任何時候都更多地進行鯨魚式網(wǎng)絡(luò)釣魚。安全和IT團隊必須應(yīng)對改進端點安全性的挑戰(zhàn)。人工智能和機器學習正在徹底改變端點安全,本文中簡要討論的10個挑戰(zhàn)正在推動許多網(wǎng)絡(luò)安全初創(chuàng)公司和行業(yè)領(lǐng)先供應(yīng)商的新產(chǎn)品開發(fā)。
企業(yè)都需要采取這些措施來保護自己免受網(wǎng)絡(luò)攻擊者的攻擊,這些網(wǎng)絡(luò)攻擊者已經(jīng)使用生成式人工智能、ChatGPT和高級的多方面攻擊來竊取身份和特權(quán)訪問憑證,并在未被發(fā)現(xiàn)的情況下破壞端點。
