端点保护平台 (EPP) 是部署在端点设备上以抵御威胁的综合安全解决方案。
让我们定义一个端点保护平台
EPP 解决方案通常是云管理的,并利用云数据来协助进行高级监控和远程修复。EPP 解决方案采用广泛的安全功能,但基本包括:
- 预防基于文件的恶意软件。
- 使用从危害指标 (IOC) 到 行为分析的各种技术检测可疑活动。
- 用于处理动态事件和警报的调查和补救工具。
端点保护平台是端点安全的最新发展。它们的开发是为了识别可以绕过传统端点安全的攻击者,并帮助整合复杂的安全堆栈。整合带来了改进的数据共享——这改进了可用于检测可疑行为的分析。它还显着简化了安全操作。
端点保护平台的另一个重要优势是迁移到云端。云原生 EPP 能够使用单个轻量级代理来监控所有端点。此外,可以收集和使用的数据远远超出了单个公司的端点。可以吸收说明攻击者策略的全局共享数据,以改进对攻击者行为的检测。
在研究“端点保护平台的关键能力”时,Gartner 强调了基于云的 EPP 的重要性,并指出:“与传统的本地部署相比,基于云的 EPP 解决方案提供更快的价值实现时间、更低的管理成本和更敏捷的产品改进部署。”
在 Gartner 最新的端点保护平台魔力象限中,Gartner 认为 EPP 正在不断发展,以提供“自动化、协调的事件调查和违规响应”。并建议安全和风险管理领导者“确保他们的 EPP 供应商发展得足够快,以跟上现代威胁。”
除了 IR,基于云的端点保护平台使实时行为分析成为可能。最先进的 EPP 利用事件流处理(与信用卡欺诈检测中使用的技术相同)来转变端点安全性。这允许检测攻击者表现出的行为,他们故意试图“看起来正常”以隐藏他们的策略。如今,VMware Carbon Black Cloud 是唯一一个利用事件流处理的端点保护平台,并且已经展示了在发生渗漏之前检测攻击者的卓越结果。
攻击者如何规避传统端点安全
端点保护平台开发背后的主要动机是攻击者更容易 使用传统解决方案避开SecOps团队。从根本上说,攻击者已经超越了传统端点安全的能力,现在能够在网络中长时间不被发现。
攻击者绕过传统端点安全的五种方式
无文件勒索软件——无需检测和阻止文件,用于交付勒索软件的无文件技术在很大程度上不受传统端点安全的干扰。根据 SecureWorld 的网络安全报告, 与 2018 年下半年相比,2019 年上半年无文件攻击增加了 18%。只有使用 EPP,您才能跟踪行为以找到提醒您注意无文件攻击方法的模式。
可用的新攻击技术——高级攻击技术已被 网络犯罪分子窃取或开发,可供出售或仅作为互联网和暗网上的开源软件。使用这些脚本和策略可以让攻击者的活动“看起来很正常”并隐藏在网络中。
过时的端点——威胁形势正在迅速演变。这意味着安全供应商正在尽可能快地开发补丁和更新,以试图跟上新出现的威胁。更新速度通常超过 SecOps 团队的能力——尤其是在缺乏补丁管理和自动化的情况下。此外,端点代理经常失败,导致各个端点不安全。2019 年全球端点安全趋势报告显示, 35% 的端点违规是由现有漏洞引起的。由于端点保护平台通常基于云,因此它们能够持续保持最新状态,以保护端点免受最新威胁。
多个数据源——传统的端点安全解决方案与安全堆栈的其余部分相对隔离运行。这意味着它需要多个系统来查看单个端点的活动,并在调查期间跟踪整个网络中的任何可疑活动。端点保护平台提供单一的“真相”来源,将来自整个平台的所有安全解决方案的数据结合起来,以提供轻松的数据访问和警报调查。
过滤的端点数据——许多端点安全解决方案根据已知的行为模式和 IOC 过滤掉被认为与威胁无关的端点数据。现在攻击者拥有更先进的技术,他们依靠端点数据过滤来过滤掉他们的活动。这意味着 SecOps 看不到新的模式。当您 持续捕获端点活动数据时,您可以看到这些新技术并预测新威胁。
行业脉搏:安全专家对端点保护平台的见解
分析师和安全专家一致认为,EPP 是保护网络免受高级威胁的最佳方式。Gartner 和 Forrester 都通过 Gartner 端点保护平台魔力象限和 Forrester Wave 端点安全套件涵盖了这一解决方案领域。EPP 的验证来自 Forrester 所做的 ROI 分析。Forrester 的端点保护平台总体经济影响研究发现,七家迁移到 EPP 的公司的平均投资回报率为 204%。这相当于三年内平均节省 210 万美元。
以下是转向端点保护平台的安全专家对 EPP 价值的评价:
节省大量时间
“我现在有能力让 24/7 SOC 立即识别出现的任何问题并采取行动,而无需在白天/晚上的所有时间与我的团队联系。”
– Cozy Lavalle,IT 基础设施经理,Progress Residential
单一管理平台
“可用的 IR 和威胁搜寻功能使我们的团队能够快速、果断地采取行动,同时受益于单一管理平台下的基于云的控制台。这对球队来说是一个改变游戏规则的人。”
– Eric Samuelson,Lithium 高级 IT 经理
紧跟威胁
“[EPP] 正是企业在面对当今最大的网络威胁时保持连续性所需要的。借助 [EPP],我们能够快速调查、响应并删除我们过时的 AV 解决方案。”
– Steven Lentz,CISO,三星美洲研究部
答案?行为异常的识别
网络犯罪分子非常成功地使用恶意软件来实现他们的目标,原因很简单,大多数传统的防病毒工具都使用静态分析作为主要的安全策略。然而,这些工具只能识别已知样本——而今天,随着新恶意软件每天的快速发展,其中大部分现在都以未知文件的形式出现。攻击者使用各种技术(如打包或压缩)来更改恶意软件的各个方面,使其看起来与已知威胁不同。因此,攻击很容易绕过防病毒防御。
这就是下一代端点安全和行为分析的用武之地。关于恶意软件的好消息是,它在系统或设备中的运行方式最终将与正常的用户行为不同。因此,随着大数据和机器学习对异常的关注,潜在的恶意软件可以被识别为不正常的和潜在的恶意软件。
