从移动设备到服务器和云容器,端点在日益复杂的攻击中仍为攻击目标。尽管企业已部署多种形式的端点保护,但许多攻击行为都依赖于入侵端点才能成功。为了有效应对安全漏洞,企业需要使用可用的最佳端点保护措施进行全副武装。
端点容易遭到攻击的目标
端点是系统和应用访问的主要入口点,随着用户和设备数量持续增长,基础架构中某些设备被忽视或不受管理的可能性也随之增加。根据Ponemon Institute的数据显示,68%的企业经历过一次或多次端点攻击,这些攻击成功窃取了数据或入侵其 IT 基础架构。研究中超过一半的受访者认为自身端点安全解决方案在检测高级攻击方面没有作用。对于IT和安全专业人员来说,管理并保护分布式端是一项挑战,他们可能会力不从心,无法支持企业的数字转型计划、云迁移和远程办公的员工队伍。当下是企业认真评估端点安全方案的绝佳时机,尤其是端点安全方案正在不断创新并探索如何将保护范围扩大到端点之外。注意,并非所有端点安全解决方案都有同样的效果。端点防护最早是在防病毒软件开发出来后开始的,防病毒软件的目的是扫描端点文件中的恶意软件,以检测和清除计算机中的病毒。为应对不断变化的威胁,需要用更加现代的端点安全解决方案。
端点检测和响应的必要性
当今最流行、最有效的端点安全策略是采用端点检测和响应 (EDR) 技术。端点保护永远无法做到尽善尽美,无法自动阻止一切威胁,但可以阻止99%以上的入侵行为,可仍然会留下 1% 的风险,需要使用高级检测和响应功能来发现并阻止这些攻击。
随着端点安全市场不断成熟,EDR解决方案将最佳保护和检测功能进行结合,为抵御端点上的威胁提供了行之有效的工具。EDR有助于加快事件响应团队的响应时间,理想情况下,还可以在造成损害之前阻止威胁。EDR为安全分析师带来了许多好处,包括利用基于规则的自动响应和分析功能实时持续监控和收集端点数据。通过深入了解事件,可以提高事件响应速度。已实施 EDR 解决方案的企业报告称威胁检测的平均时间 (MTTD) 有所减少、未被调查的警报数量也已降低, 阻止威胁的平均时间也有所缩短。
端点安全要求
如今,端点安全市场有诸多选择,五个关键特性和功能帮助企业高效选择行之有效的EDR 解决方案:
1.高级威胁防御
据估计,每天有45 万个新注册的恶意软件实例。依赖签名数据库和更新的传统反病毒解决方案无法应对大量新威胁。最佳端点保护解决方案应利用技术阻止漏洞利用,使用机器学习阻止恶意软件文件,并观察多种行为以阻止恶意行为。
2.卓越的检测功能
最复杂、最具破坏性的攻击甚至可以绕过最佳防御措施,因此需要成熟的检测能力,以便在入侵发生之前快速识别并阻止威胁活动。识别这些攻击的最佳方法是使用丰富的数据收集和详细的端点遥测,通过机器学习随着时间的推移进行分析,清楚地了解攻击链,以便在警报分类和验证期间进行丰富的分析。
专业提示:想要快速排除干扰,了解供应商的检测声明是否合格?以下是值得关注的创新威胁检测功能列表:
将警报智能分组到事件中
基于机器学习的事件评分
端点取证,包括内存数据
跨数据分析
跨客户分析
跨端点的索引式实时搜索
长期数据存储
在寻求EDR 解决方案时,了解检测质量至关重要。评估解决方案检测到的威胁类型以及用于检测的技术和技巧均至关重要,如MITRE ATT&CK 评估报告。
3.简化的调查和响应
尽管每周花费数百个小时进行警报调查,但无论严重程度如何,都有高达 17% 的警报未被调查,误报也是导致大量警报被忽略的原因之一。要加快响应时间,就要通过自动化而非手动操作来简化调查,以发现警报的根本原因、事件顺序和威胁情报详细信息。通过合适的事件管理,自动关联警报并将其整合到事件中,以减少单个警报的数量、简化调查并加快事件响应速度。
4.便于部署和管理
EDR 应通过可在单个管理控制台中进行端点策略管理、检测、调查和响应的平台最大限度地提高工作效率。云原生平台提供简化的部署,无需部署新的本地日志存 储或网络传感器。代理应易于安装,且无需重启端点即可开始保护。现代端点安全方案无需本地日志记录和管理服务器,从而简化了操作。
5.行业验证和独立测试
在评估 EDR 解决方案时,企业应该始终寻找那些备受认可,并且性能通过第三方测试、分析师验证和客户证明的解决方案。MITRE ATT&CK 评估旨在帮助供应商和最终用户深入了解与 MITRE 可公开访问的 ATT&CK 框架相关的产品功能。AV-Comparatives 提供端点防御和响应 (EPR) 测试,以帮助验证反恶意软件解决方案的有效性。该评估会考虑端点威胁预防、易用性、调查的彻底性和响应能力,确保评估能够反映安全效力和总体拥有成本。最后,每个企业的环境都是独一无二的。在概念验证 (PoC) 期间以及在生产中以试点形式测试一 个解决方案,对于评估其集成性、可用性和互操作性至关重要。
