洞見威脅本質!下一代終端安全已來
作者:星期四, 九月 20, 20180

《終端安全》一書中,作者Mark S.Kadrich認為終端安全是影響信息系統安全的根源。在終端設備不斷增加,黑客攻擊愈演愈烈的趨勢下,過去的網關防護已經遠遠不夠,終端安全成為了安全建設不可忽視的最后一環節。

安全事件從未停止過。2017年數據泄露、網絡攻擊等呈爆發態勢,無論在數量還是影響面上,均超過以往任何年度。2018年,安全事件愈發頻發,單“Globelmposter”家族病毒,不斷讓醫療、法院等行業深受其害。

實際上,很多企業組織已經部署諸多網絡安全產品,比如防火墻、訪問控制設備、IPS、IDS等。那么,應用了這么多的安全產品,為什么發生安全事件的次數還是有增無減?

邊界防御無法應對內網攻擊

從近幾年的黑客攻擊形勢看,內網終端的攻擊逐漸增多。企業終端、數據等資產價值更高,由終端、服務器等不同軟硬件所組成辦公局域網,帶來更為復雜的病毒來源、感染、傳播途徑。過去企業組織常常認為堵住、攔住、防住網絡上的攻擊就可以確保網絡安全,傳統安全建設主要以組織邊界和核心資產為保護對象,面對繞過邊界防護的內網終端攻擊,組織單位往往無能為力。

傳統殺毒軟件無法適應當下的攻擊形勢

要進行終端安全防護毋庸置疑。然而,不少企業裝了傳統殺毒軟件,還是中招,原因何在?

一方面,基于特征匹配殺毒無法有效抵御新型病毒 。

實際上,傳統的殺毒軟件主要基于特征值掃描技術,其核心思想是反病毒公司從病毒體代碼中,人工提取出病毒的特征值,然后由殺毒軟件將被查對象與病毒特征值進行比對,如果被查對象中含有某個病毒的特征值就將其報為病毒,并進行查殺。這樣的查毒流程,只能檢測并查殺已知的病毒。即使現在流行的云查殺方式,也只是將特征庫放到云端,只能提升檢測效率,依然檢測不了未知的病毒及變種。而當下網絡環境日益復雜,2017年惡意軟件變種的數量增長高達54%,以防御已知威脅為主的傳統終端反病毒,在高級威脅持續產生的大環境下,呈現被動、后知后覺等檢測特點,對于頻發的未知風險的感知和捕獲都力不從心。

另一方面,傳統殺毒處置方式落后,無法適應病毒新的傳播方式與環境。

隨著攻擊技術的不斷發展,攻擊方式更加多樣化,病毒在內網能夠通過郵件傳播、漏洞傳播、軟件捆綁傳播、僵尸網絡傳播、移動存儲介質傳播等方式進行橫向或縱向擴散。而傳統殺毒軟件采取基于文件隔離的處置方式相對落后,比如出現文件隔離失敗情況,單點威脅將快速輻射到面,難以適應新的病毒與傳播方式。

下一代企業終端安全: EDR

那么,用戶需要什么樣的企業終端安全解決方案?

1. 洞見威脅本質,智能檢測未知威脅

下一代終端安全應提升對未知威脅的檢測能力。通過人工智能持續學習、自我進化能力實現無特征檢測,洞見威脅本質,更有效的鑒定未知病毒。與此同時,結合傳統終端安全軟件本身的信譽庫加上行為分析、基因特征等技術,構建完善的防御體系,全面預防、有效檢測。

2.迅捷靈動處置,及時響應威脅

應用任何的網絡安全產品,都是為了能夠有效應對安全事件,及時止損。下一代終端安全應能夠及時、高效地響應處置安全威脅。一方面,其本身應根據檢測命中的威脅內容進行迅捷處置。區別于傳統終端安全的文件隔離方式,下一代終端安全應提供基于文件、機器、群組等全面處置手段。隔離響應手段包括:終端主機隔離、業務組隔離、文件信任、文件隔離、文件刪除、文件恢復等。

另一方面,安全建設不是孤立的,終端安全作為安全建設的關鍵一環,應能夠與其他安全設備聯動進行協同響應。通過智慧協同、自動處置,形成立體防護能力,幫助用戶快速封堵威脅,縮短威脅在用戶環境的發現和處置時間。

3.一體化管理,終端資產全面識別

組織單位只有掌握了自身資產狀況,以及自身業務的安全狀況,才能從容不迫的應對風險。下一代終端安全應通過一體化統一管理方式進行應用,實現全網終端資產全面盤點。使得每一臺終端上的資產信息清晰同時能夠對終端進行統一的管控,如合規審查等。

在深信服2018年創新技術論壇,深信服正式發布下一代終端安全產品EDR,這是全新輕量級、智能化、響應快的下一代終端安全平臺,以終端資產為核心,通過預防、防御、檢測、響應全面賦予終端威脅防御能力,使其達到洞見威脅本質,迅捷靈動處置效果,幫助用戶快速檢測、處置終端一系列安全問題。EDR產品作為深信服“網端云”安全架構的重要落地支撐之一,協同網絡端下一代防火墻、安全感知平臺等,以及云端安全云腦等共同為用戶提供“面向未來,有效保護”的安全。

 

分享:

相關文章

寫一條評論

 

 

0條評論