端点安全审查
云端已经使曾经定义明确的网络边界变得模糊,使企业面临日益复杂和极具破坏性的网络攻击。保护不力的台式机、笔记本电脑和服务器都为攻击者提供了窃取数据和严重破坏的切入点。
由于终端用户分布在多个(家庭)办公室和不同的地理位置, 以及需要使用各种不同的设备和云应用程序来完成工作,进一步加剧了这种情况。
勒索软件攻击正在不断演变,且比之前更为普遍,不仅会直接中断业务,还会因登上头条新闻而影响声誉。加上诉讼和罚款的费用,端点攻击会给大型企业造成超过 900 万美元的损失。在 CyberArk 对 1,000 位 IT 安全决策者进行的调查中,59% 的调查对象将勒索软件视为最大安全风险之一 。
深度防御在此危急时刻,企业应当重新审视端点,并采用深度防御方法来保护端点安全,建立各种安全控制措施来防御勒索软件。】
深度防御方法最初由美国国家安全局构想,采用多层安全来消除漏洞,减少攻击面并遏制风险。
本文综述了全面端点安全策略的五项基本要素。多层端点安全计划可以帮助您 加固漏洞、改善安全状况并降低风险。
要素一 端点检测和响应 (EDR)
EDR 工具让您主动识别和调查端点上的可疑活动。EDR 解决方案最初在 2013 年应运 而生,这是一个额外的安全层,可持续监视、记录和分析端点活动,帮助 IT 和安全专业人员有效发现和缓解高级威胁。
许多 EDR 解决方案使用高级分析来分析端点事件并检测恶意活动,以免忽视此类活动。EDR 工具提供了对可疑端点行为的实时可见性,帮助您在这些威胁扎根并蔓延到整个企 业之前阻止它们。
扩展的端点检测和响应 (XDR) 为发现更多威胁并提供更多的情境信息以进行分析,工具在不断演变,以涵盖网络、云和端点,同时提供更高的分析与自动化水平。
要素二 防病毒和下一代防病毒 (NGAV)
防病毒 (AV) 和下一代防病毒 (NGAV) 保护工具可帮助您检测和删除各种形式的恶意软件。传统的AV解决方案通过检查文件和寻找已知病毒的特征码来识别和阻止恶意程序。尽管这些工具在首次推出时很有效,它们却无法检测到新型威胁,如无文件恶意软件和零日攻击。事实上,在 Ponemon Institute 的一项调查中,62% 的受访者表示,他们的传统防病毒解决方案最多只能缓解 50% 的攻击数量。
NGAV 工具采用预测分析、人工智能 (AI) 和机器学习 (ML) 来防御能够规避传统防病毒程序的当代攻击,如勒索软件和高级网络钓鱼。相较于扫描文件以寻找已知模式的传统AV解决方案,NGAV解决方案采用整体方法,检查端点上运行的每个进程,并使用 AI 和 ML 来智能检测并主动阻止之前还不知道其形式的恶意软件。
要素三 特权管理
以特权为核心的勒索软件防范 通过实行应用程序控制,部分解决方案可让您阻止已知的恶意应用程序运行, 并限制未经批准应用程序的操作。这大大减少了风险和不确定性。扩展功能包括通过策略检测(尚)未覆盖的应用程序中勒索软件的能力、阻止凭据盗窃尝试,以及通过特权欺骗组件(如本地管理员欺骗性账户或虚假密码诱惑) 主动阻断正在进行的攻击。
特权管理解决方案可帮助您控制与特权账户(如 Windows 或 Mac 管理员账户)相关的风险。特权账户用于控制文件、目录、服务和用户访问权限,但一旦落入不法分子之手, 它们可能被用来窃取数据或破坏系统。
攻击者通常试图通过端点处的恶意软件或网络钓鱼攻击获得对特权账户的未授权访问。一旦立足,他们就可以在网络中寻找高价值的目标,并使用提升的权限窃取机密信息或破 坏关键应用程序。
Forrester 估计,至少 80% 的数据泄露都与受损的特权凭据有关 。解决方案通过删除本地管理权限并根据策略严格控制用户和应用程序权限,帮助减少 暴露。通过实施最小权限原则,即授予用户执行工作所需的最小权限,您可以防止横向移动并改善您的安全状况,而不会影响用户的工作效率或业务绩效。
要素四 CDR - 电子邮件安全
94%的恶意软件都通过电子邮件和网络钓鱼账户传播,占所报道社交工程事件的 80% 以上。尽管终端用户意识培训在解决此类问题方面发挥着重大作用,CDR (内容撤除与重建)工具也额外提供了一层保护。传统上,CDR 与 EDR 不同,它不检测恶意文件,而是可让您通过跨各种来源(包括电子邮件)设置规则和策略,以删除未被批准的组件。除了存档与备份外,电子邮件安全性功能还包括垃圾邮件防护、URL 分析、附件沙盒、动态内容筛选和加密。部分解决方案已进化到利用 AI 和即时终端用户情报来识别和删除恶意电子邮件。管理员控制台可让您为用户、域和域组设置策略, 使用“白名单/黑名单”,并自定义数据丢失防护 (DLP) 规则。
要素五 补丁工具
补丁工具可帮助您高效跟踪和实施端点软件更新,以增强您的安全态势。狡猾的攻击者 和网络罪犯不断寻找可以利用的应用程序和操作系统安全漏洞,而软件供应商则必须不 断发布补丁来解决已知的漏洞 。在这场旷日持久的猫鼠游戏中,应用程序和操作系统必须保持最新,以始终领先于不法分子。
应用程序补丁对许多组织来说,管理应用程序更新是一项挑战。根据一项研究,IT 组织通常需要平均 34 天才能修补高严重性漏洞。应用程序补丁解决方案可帮助您消除人工密集、易于出错且耗时的补丁管理流程,改善网络应对姿态。大多数应用程序修补解决方案提供:• 清单扫描程序,用于发现分散在企业中的所有应用程序 • 状态看板和报告,用于识别已打补丁和易受攻击的应用程序 • 自动执行批准、分发和安装补丁程序的工具
操作系统补丁
就像应用程序更新一样,您需要对端点操作系统更新保持警觉。您可以通过实施自动操作系统更新或实施其他系统和做法来减少安全漏洞,以确保所有企业台式机、笔记本电脑和服务器运行最新的版本。
每个供应商都有自己发布操作系统补丁的方法,必须分别加以考虑。
微软在每月的第二个星期二为 Windows 服务器和 Windows台式机执行安全更新。您可以使用 Windows 更新自动安装这些补丁程序。如果您希望在将更新部署到生产环境之前对其 进行测试,可以使用 Windows 服务器更新服务 (WSUS) 或第三方应用程序补丁工具根 据自己的计划分发和实施操作系统更新。苹果定期发布 macOS 软件(可能包括安全更新)。您可以配置 Mac 以手动或自动安 装 macOS 更新。
总结
端点会带来重大的安全风险。狡猾的攻击者可能利用端点漏洞窃取机密信息或中断 IT 服务,从而导致收入损失、代价高昂的监管罚款和法律和解。
通过对勒索软件采取深度防御方法(建立广泛的端点安全控制),您可以增强安全态势并减少暴露。
特权管理是有效的端点安全策略中一个关键、经常被忽视的组成部分。恶意内部人员或外部攻击者会利用端点管理员账户在网络中获得立足点,然后横向移动以渗透或破坏更高价值的目标。特权管理解决方案会限制特权访问并强制执行应用程序控制,授予用户执行工作所需的最低权限集,增强安全性,同时不影响用户工作效率。
这样可以减少进入点处的端点威胁,防止恶意软件的横向移动和传播,最终帮助您减少暴露并防止勒索软件加密。
