世界从未停止变化,只有持续地创新与探索才能更好地生存发展,在网络安全领域更是如此。当攻击者们大量利用AI技术改进攻击方法,更加轻松地挫败传统网络安全防护体系时,网络防护者们必须找到更聪明、更快、更有创造力的威胁检测和攻击响应技术,才能保护企业免受内外攻击。在此背景下,整合传统的网络安全工具,并不断应用创新的网络安全技术将是CISO应对挑战的最佳选择之一。
日前,专业科技媒体VentureBeat根据对企业用户的应用调研和访谈,列举出已被证明切实有效的10种创新安全技术,或将能够帮助企业在未来的数字化发展中,应对网络攻击,消除安全漏洞和风险。
1.零信任网络访问(ZTNA)
随着云计算、虚拟化、物联网 (IoT)、BYOD概念以及远程办公的蓬勃发展,移动设备数量剧增,网络的边界正变得越来越模糊。ZTNA旨在将零信任的思想应用于实践。部署 ZTNA 后,边界保护工具的范围将超越传统技术和身份验证机制,例如代理、网络访问控制 (NAC) 和防火墙。此外,工作站和节点是否符合已建立的安全策略将受到持续监控。出色的可扩展性是 ZTNA 模型有别于传统模型的主要特征之一。Gartner认为,混合工作是推动组织采用ZTNA的强大动因,以促使ZTNA被整合到安全服务边缘(SSE)中。零信任策略只允许获得授权的应用程序有权访问,有效缩小了远程访问的攻击面。
2.扩展检测和响应(XDR)
根据Gartner的定义,XDR是一个统一的安全威胁检测与事件响应平台,无缝集成大量安全能力到一个安全运营系统,并将来自云、网、端等多源异构数据统一整合形成数据湖,从而精准检测高级威胁,以及对入侵事件进行分诊,对入侵过程进行追根溯源,实现安全能力的闭环。从上述定义看,XDR最大的特点在于,其核心产品能力是聚焦于通过一手遥测数据聚合分析进行检测和响应;同时也具备更快速的自动化响应能力,可以通过对接第三方组件,完成响应任务。因此,XDR技术能够有效满足企业在面对新型网络攻击时不断提升检测及响应能力。
3.身份威胁检测和响应(ITDR)
数字身份安全防护是一个系统化的工作,其可靠性最终取决于安全防护中的最薄弱环节。企业需要将主动端点防御、实时事件响应、零信任基础设施和域名保护等防护措施结合起来,构建更强大的新型身份管理解决方案。在Gartner发布的《2022安全运营技术成熟度曲线》报告当中,正式提出了身份威胁检测和响应(Identity Threat Detection and Response,ITDR)技术。Gartner认为ITDR可以帮助企业填补在身份威胁监测与响应领域的防护空白,不仅可以在企业现有的身份管理模式基础上实现能力增强,还可以与EDR、NDR以及XDR等威胁监测解决方案互为补充。
4.移动威胁防御(MTD)
MTD是一种预防为主的网络攻击方法,它的运作原理是移动的目标比固定的目标更难击中,因此可以通过动态或静态排列、变形、变换或混淆应用访问入口,来达到转移网络攻击的目的。此外,MTD还可以设置陷阱,捕捉威胁者的行动,以进一步防范未来的攻击。MTD技术已被证明可以有效阻止勒索软件和其他高级零日攻击,将会成为提高内存、网络、应用程序和操作系统安全性的关键技术,让主动安全防护理念成为现实。企业组织需要类似移动目标防御(MTD)这样的创新技术来改善网络安全。
5.微隔离
微隔离技术通过将网络系统或云划分为较小的隔离段来限制攻击在组织内部横向移动的能力,已被广泛认为是应对网络安全威胁的最佳实践之一。微隔离通过按身份分离工作负载来限制攻击期间的横向移动,它解决了缺乏有效隔离的工作负载允许攻击者横向移动的难题。实践证明,应用微隔离技术减少了未经授权的工作负载通信和攻击的影响范围,使其成为未来网络安全和零信任架构中的一项关键技术。
6.安全访问服务边缘(SASE)
SASE是一种创新的安全访问服务架构,旨在提供安全的网络访问、应用程序及数据保护。SASE结合了SD-WAN、云安全、网络安全等多种安全技术,能够在企业边缘提供安全、可靠、高效的网络访问服务。Gartner认为,SASE将是企业网络和业务上云和服务化后自然产生的安全架构需求,可以为企业带来了安全、高效、灵活的网络访问服务,使得企业能够快速满足业务需求,提高工作效率。Gartner预测, 到2025年至少有60%的企业组织会将SASE模型用于实现用户、分支机构的远程访问,而在2020年,这一比例还不足10%。
7.安全服务边缘(SSE)
SSE被认为是没有“A”的SASE方案,主要为了确保SaaS、Web和私有应用程序的安全,SSE将SASE方案中的安全Web网关(SWG)、云访问安全代理(CASB)和ZTNA整合到单一云平台中。SSE对于部分中小型企业可能更加重要,因为不是所有的安全厂商都能提供完整的SASE服务,而很多中小型企业也不希望购买集五大技术于一体的完整SASE套件。
8.端点检测和响应(EDR)
EDR的产生背景主要是因为网络安全威胁的不断演变和升级,使得终端设备成为企业网络安全的薄弱环节,是攻击者的主要攻击目标。传统的安全防御措施通常无法发现这些攻击,因为攻击者使用的技术和工具越来越复杂,可以绕过传统的安全防御措施。EDR技术的产生就是为了解决这个问题,它利用先进的威胁情报、机器学习和行为分析技术来识别并响应终端设备上的安全威胁,提供了更全面、更灵敏和更智能的安全防御解决方案。EDR技术的应用使企业可以更加全面地了解终端设备的状况,识别并响应各种复杂的网络威胁,提高企业网络安全的水平。
9.端点保护平台(EPP)
EPP是EDR技术的有效补充,更加侧重于对终端系统的管理和控制。当企业在改造技术堆栈以提高集成度、提升扩展性时,EPP被认为是不可或缺的工具,它已向CISO们证明了其应用的价值。EPP能有效地应对新兴威胁,包括新的安全漏洞。一家金融服务公司的CISO表示,其所用的EPP平台采用了先进的人工智能和机器学习,能够在攻击行为渗入到企业网络之前就阻止入侵。随着大数据分析技术的不断完善,EPP正变得越来越受数据驱动,可以为企业组织提供更好的端点可见性和安全控制性。
10.统一端点安全(UES)
UES能够将端点保护平台(EPP)、威胁检测与响应(EDR)、移动威胁防御(MTD)功能单一的控制台整合到一个统一的平台下,从而提供更好的安全概况和更简单的管理。通过将孤立的端点安全技术整合到单一平台中,UES技术简化了保护每个端点设备(包括PC移动设备和服务器)的工作。一些受访的CISO们表示,UES已经成为他们首选的端点安全平台,特别是在企业并购活动中。