在互联网尚未普及的时代,机构唯一需要担心的就是内网中员工使用的办公电脑。而现在,远不只是在写字楼,员工会在机场、咖啡店、酒店办公,由于疫情时代,居家办公更是常态。
与在公司内网上对终端进行保护相比,居家办公的终端面临的威胁完全不一样。恶意软件泛滥的游戏设备、连接互联网的电视、音箱、摄像头……这些智能设备的软件可能上一次更新是在几年前,都与你的办公电脑处在同一个局域网。
传统端点安全已失效
EDR(端点检测和响应)在这五年来,似乎一直都是终端安全的最优解。但问题在于,市面上的许多EDR仍然沿用传统的方法,严重依赖威胁情报和基于规则的响应。这意味着,只能看到攻击者已经干了什么,而不知道未来会发生什么。
网络攻击者越来越善于逃避基于规则的检测。他们能够快速地关掉自己的域名,利用杀毒引擎平台测试自己的恶意软件,并使用雪鞋攻击(大量IP少量连接)将黑名单对恶意域名的可见性降至最低,导致想维护一个包含最新信息的、全面的威胁情报数据库变得更加困难。
两名希腊的安全研究人员对18种最流行的EDR和端点保护产品进行测试,结果只有两款产品能够完全覆盖测试所用的高级攻击手段。
(测试报告:https://arxiv.org/pdf/2108.10422.pdf)
人工智能驱动的行为检测
以端点安全厂商Darktrace的自主响应工具Antigena为例,它并非通过检测已知的IOC来触发缓解规则,而是使用机器学习技术建立正常的网络流量和行为模型,然后实时监控网络,以发现与预期行为不同的任何偏差,即异常行为。如:
某用户访问一个陌生服务器,并试图将文件上传到该服务器;一台本地机器与外部大量的地址通信,而且这些目的地之前从未联系过;一个几乎不发送邮件的域名给某位员工发邮件。
当发现可疑活动时,Antigena便会发出警告,也可以设置成主动模式,自动响应该异常行为。而且,它的自学习机制可以根据行为的严重程度采取不同程度的处置措施,从简单的隔离电子邮件到把终端和整个网络隔离。
终端上的轻量级代理
后疫情时代,居家办公已是常态。员工可能会将公司的数据下载到家中的计算机上,然后有意或无意地将这些数据存储到其他地方,比如公有云。这种混合工作环境,脱离了公司的网络监控视线,属于典型的网络安全盲区。
为了填补这一盲点,无论是在办公室、商务旅行还是在家中,都要实现终端的可视性。为此,Darktrace的端点检测和响应(EDR)产品包含了一个轻量级代理(cSensor),可以在Windows、Mac或Linux系统上运行,在网络和通信级别执行异常行为的检测,并分析终端设备上发生的情况。
例如,一个新安装的应用程序正在与一个陌生的IP通信,或者某用户没有通过VPN连接到企业网络上的另一台设备。
cSensor还提供了额外的遥测功能,为Darktrace的其他产品提供了更多的上下文信息,帮助Antigena在更新网络流量的自学习语料库时,实时发现问题。
例如,当收到一封请求银行交易的邮件时,基于cSensor提供的上下文信息,Antigena的电子邮件产品能够识别这是否是一封来自陌生域名的发件,该域名是否是可疑的,以及是否要发出报警或做出阻拦。这一切都是在辅助训练Antigena的自主响应能力。
监视断开连接的设备
cSensor为机构网络上运行的Darktrace实例建立了一个安全通道,当设备与网络断开连接时,可立即向后台发出警报,并依据安全管理平台(这里是指Darktrace的Enterprise Immune System)的情报采取相应行动。
对于不具备7*24小时监控服务,但同时又有内部监管要求的组织来说,这是一个很好的使用案例。cSensor能帮助Antigena检测设备上的员工行为是否安全,以它确保设备不会被滥用。
Antigena还能够通过网络流量来监控无cSensor的端点设备,如传感器、智能灯泡、联网摄像头,甚至是工业控制系统和OT设备。简而言之,可以监控任何连进网络的有IP地址的端点。
端点安全的未来
端点安全未来会发生很大的变化,尤其是随着人们逐渐适应居家办公模式,机构网络安全监管范围会扩大到家庭的网络设置。如,企业可能会要求将公司业务数据与家庭个人数据进行物理隔离。这很可能意味着员工要有两个彼此隔离的无线网络。
端点设备一直都是网络攻击最为常见的入口,云计算、万物互联和移动办公,更是令传统的网络边界防护手段失效。网络安全范式转换的时代已来临,在万物互联的数字世界,人工智能决定着未来攻防对抗的此消彼长。