在过去几年间,向下一代端点安全移动的趋势已经进一步加速,究其原因很简单:网络安全专业人员对现有的防病毒软件的功效并不满意。
这种市场需求大大推动了诸如Carbon Black、CrowdStrike、Cybereason、Cylance、Morphisec以及SentinelOne等安全供应商的投资和创新浪潮。
下一代端点安全技术往往可以分为两大阵营——高级防御工具以及深入的检测和响应工具。其中,高级防御工具中添加了可用于检测绕过AV(杀毒软件)签名的恶意软件的新技术。大多数此类工具中还包含反漏洞利用工具,用于检测和阻止常见的内存漏洞以及/或是针对常见应用程序(如浏览器)的攻击。
另一方面,一些组织也对端点检测和响应(EDR)提出了新的要求,此类工具能够监视端点行为并收集数据,然后将这些数据用于安全分析工作。
过去,大多数企业选择了用于高级防御或是端点检测和响应(EDR)的新工具,而鲜少有企业会同时选择两者。根据数据显示,大约75%到80%的人选择了高级防御工具,其余的人则选择了端点检测和响应(EDR)工具。
然而,这种采购和部署行为正在发生变化。根据ESG的研究结果显示,87%的组织已经购买或正在计划购买同时包含高级防御和EDR功能的全面端点安全组件。因此,如果端点安全供应商想要获得竞争优势,就必须将自身发展成为一个一站式的端点安全商店。
如今,组织都想拥有一套功能全面的端点安全组件,但这究竟意味着什么呢?基于大量的研究,下面总结出端点安全“必备”的七大功能:
1. 高效的恶意软件检测/阻止功能
这可以基于分层的端点安全技术——即杀毒软件签名、启发法(指在入侵检测中使用AI思想)以及IoC 比较等,或是仅仅基于机器学习算法——只要它能检测并阻止90%以上的零日文件和无文件的恶意软件,同时保持较低的误诊率即可。
2. 反漏洞利用技术
如上所述,这种技术可以用于检测和阻止常见的内存漏洞以及/或是针对常见应用程序(如浏览器)的攻击和勒索软件攻击等。但是需要注意的是,反漏洞利用技术可能会非常难操作,因此首席信息安全官们(CISO)应该寻找易于配置和操作的产品。
3. 端点检测和响应(EDR)功能
对于此类功能的产品,首席信息安全官(CISO)们必须谨慎选择,因为端点检测和响应工具中存在许多功能细化的产品。具备高级安全分析和SOC技能的大型组织可能希望收集、处理、分析和保留所有的端点安全数据,但是经验较少的组织可能只需要基于其他安全警报“触发器”的EDR功能。
此外,对于任务繁重而又人手不足的安全部门而言,EDR工具也格外具有吸引力。EDR功能是端点安全组件不可或缺的一项要求,但是对于如何选择EDR产品组织还需格外谨慎。
4. 单个端点代理
主流产品应该是基于一个单一的、易于部署和操作的代理。如今,一些供应商可能会使用多个代理,并将其企业发展规划描绘成“合并为一个单一的代理”。对于这一问题,购买者还需谨慎对待。
5. 集中式管理
所有功能都应该汇报到一个集中的管理系统中。对于职责分离需求而言,集中式管理应该支持多因素身份认证、定制视图/仪表板以及基于角色的访问控制等功能。
6. 混合部署选项
组织应该能够选择端点安全管理平台是部署在本地还是云端,亦或者可以两种形式混合部署。
7. 修复能力
当一个端点受到感染时,安全和IT操作需要具备隔离系统、删除注册表或终止恶意进程的能力。端点安全工具应该将这种修复能力作为一项简单的管理任务。如今,有些系统仍然需要重新映像,但是端点安全工具应该提供充足的修复选项,以帮助大大减少必需的系统重新映像次数。
补充观点:
除了上述的“必备”功能之外,其他一些如资产管理、漏洞管理以及补丁管理、应用程序白名单以及端口控制等,都可归类为“应该具备”的功能。这些功能对于一些用户来说可能非常重要,但对其他人来说也许并没那么重要,但是这些功能目前正在往端点安全领域迁移,所以对于这个领域还需留心关注。如果需要这些功能,就去找能够提供这些功能的产品供应商。
此外,用户可能还有数据防泄露(DLP)和其他类型文件级数据安全方面的需求。DLP不需要成为端点安全组件的一部分,但是一些组织可能会认为单个端点安全/数据丢失防护(DLP)解决方案会更具吸引力。而传统的端点安全控制,例如全磁盘加密和防火墙,已经真正地迁移到了操作系统之中。因此,它们并不真正地需要成为新的端点安全组件的一部分。
最后谈谈供应商。供应商可能会使用托管服务来补充端点安全产品,但有些CISO觉得能够拥有属于自己的端点安全功能,并将其外包给他人的方式才更具吸引力。
一些供应商会参与第三方测试,而另一些供应商则会选择避开这些测试,并声称他们不再运用新的端点安全技术。虽然第三方测试可以提供客观的指标,但强烈建议用户可以自己进行详细而全面的产品检测。换句话说,不要依赖第三方或让供应商牵头进行产品测试。你需要依赖自己做出最为明智的决定。
最后,端点安全市场良莠不齐,用户应该通过对市场、技术以及供应商进行深入研究来决定任何新的端点安全决策。