目前多数先进端点保护产品会使用与最新攻击活动相关的情报作为安全信息。而CrowdStrike等产品则提供长长的安全与日志管理工具整合列表,旨在使其更好地彼此协作以应对攻击行为。
在对十款先进端点防护产品进行了广泛测试之后,我们总结出以下几条已经广泛存在的行业发展趋势:
1. 病毒签名机制已经过时。
归功于过去几年中不断涌现在互联网中的自动化病毒拼装套件,如今依靠惟一签名辨认病毒已经失去了可行性。相反,目前多数先进端点保护产品会使用与最新攻击活动相关的情报作为安全信息。而CrowdStrike等产品则提供长长的安全与日志管理工具整合列表,旨在使其更好地彼此协作以应对攻击行为。
2. 追踪可执行程序已经属于陈旧手段。
早期的恶意软件通常会在端点中保留某种有效载荷或者残留物,例如文件、注册表项或者其它形式。以此为基础,恶意人士能够在内存中运行自身代码并尽可能减少活动痕迹。当然,也有利用PDF或者Word文档的作法,抑或是迫使包含漏洞的浏览器访问特定恶意网站。
但如今的黑客手段已经愈发复杂,他们会利用Windows PowerShell命令来设置远程命令shell,发送数条文本指令,且无需立足于特定端点即可入侵设备。为了应对这些挑战,目前的产品需要了解攻击者对端点造成的实际影响:是否删除了任何文件,包括看似平平无奇的文本文档;是否对Windows注册表做出了变更?弄清这些问题殊为不易,但众多产品都集中在这一领域以防止恶意人士获取对目标计算机的控制权。
3. 产品能否追踪到权限升级或者其它凭证欺诈活动?
现代攻击者会尝试伪装成合法的用户来使用SQL Server或其它产品安装时留下的默认设置,而后想办法将自己升级为域管理员或者其他拥有更高网络操作权限的用户类型,从而完成网络入侵。
4. 内部威胁危害更大,阻止这类活动已经成为当务之急。
传统杀毒保护产品被淘汰的一大理由,在于如今攻击者们能够访问到内部网络,并立足于受信端点进行破坏活动。为了阻止这类行为,如今的工具需要统辖内部或横向网络的运行情况,同时追踪计算机中的破坏后果,从而在整体网络落入攻击者手中之前解决相关问题。
5. 数据泄露的发生频率已达到史无前例的高度。
移动用户的个人信息、机密客户数据乃至敏感商业资料已经成为目前最受欢迎的数字化资产。就连索尼与Target都不幸中招,因此我们必须选择那些能够追踪此类数据流出活动的工具。
6. 多数工具利用大数据与云分析机制追踪实际网络活动。
目前的保护工具之所以采用大量传感器与探针机制,是因为大多数高强度分析工作开始由云端接管。具体来讲,云平台负责利用大数据技术及数据可视化手段识别并阻断潜在攻击。SentinelOne与Outlier Security就利用这类技术以实时方式对网络数据进行关联性分析。
7. 攻击报告标准。
CEF、STIX以及OpenIOC等标准被广泛整合在目前的端点产品当中。随着攻击报告标准的日益普及,不同厂商将能够共享安全情报,并借此构建起更为强大的完整保护体系。
原文标题:7 trends in advanced endpoint protection
声明: 此文观点不代表本站立场;转载须要保留原文链接;版权疑问请联系我们。
