端点保护技术正不断取得可喜进展,而且很可能在短时间内作为反病毒方案得到普及。
相较于单纯利用已知恶意软件签名作为查杀依据的传统反病毒软件方案,下一代端点保护平台能够分析过程、变化与连接,从而揪出实时活动当中的可疑对象,并以更为出色的效果解决零日漏洞等目前尚无法妥善解决的安全难题。
举例来说,设备实际操作方面的相关情报可通过客户端软件或者非客户端形式被收集起来。具体来讲,企业管理者将面对两种决策选项:要么不使用客户端并因而降低所能收集到的威胁信息数量;要么获得丰富的细节信息,但同时承担起代理安装工作所带来的部署、管理以及更新任务。
接下来要做的则是考虑如何从收集到的情报当中找出威胁活动证据,同时保证自身不会被收集到的庞大数据问题所淹没。而一旦发现了攻击行为,企业必须在最短时间内找到将其清除的办法。
目前各大供应商都在努力解决此类问题,甚至连思科及EMC这样拥有广泛产品线的技术巨头亦涉足于其中。除此之外,各大知名企业方案供应商,包括 Bit9+Carbon Black、FireEye、ForeScout、Guidance Software、trend Micro以及Cylance、light Cyber、Outlier Security与Tanium等新兴厂商都在致力于打造端点安全产品。而以上提到的还仅仅是从业企业当中的一小部分;可以说这一市场已经相当拥挤,各位 参与者则以彼此不同的方式努力解决着同一难题。
端点保护平台的价值在于,它们能够识别出特定攻击并在检测到这类情况后加快响应速度。它们通过收集网络之上往来于端点及其它设备之间的通信内容来获 取信息,同时对那些有可能遭到恶意利用的端点作出变更。这些端点方案的数据库能够实现遥测功能并作为取证工具使用,从而深入调查攻击活动、映射其开展方 式、发现需要加以整治的设备并预测未来可能出现怎样的后续安全威胁。
要不要使用探针?
行业对于探针之所以如此厌恶,主要原因在于它会带来额外的软件部署、管理及更新任务。在下一代端点保护方案当中,它们确实能够提供大量与端点相关的未收集数据,但这在某些情况下反而会成为缺点。
端点探针收集到的信息量非常庞大,我们甚至很难将真正的攻击活动从无关背景数据当中准确提取出来,因此对于探针而言、最重要的就是匹配能够处理大量 获取数据的分析引擎,Gartner公司分析师Lawrence Pingree表示。而所生成数据的具体规模往往取决于探针本身以及端点类型。
如果不使用探针,那么端点保护平台仍然能够通过监听交换机及路由器数据并监控Windows Network Services及Windows Management Instrumentation的方式收集到与设备相关的有价值数据。这部分信息当中包含哪些用户曾经登录过当前设备、用户登录后进行过哪些操作、补丁级 别、其它安全探针是否正在运行、USB设备是否接入以及当前哪些线程正在运行等等。
分析机制能够告诉我们设备是否在预期情况之外创建了额外连接,而这正是攻击者利用其它设备侵害其它设备并获取高权限的主要特征。
探针可以表现为一套管理控制台,这意味着带来更多复杂性因素及潜在的额外成本,NSS实验室研究主管、主要面向下一代端点保护平台议题的Randy Abrams解释称。“在某些情况下,采用此类探针方案会增加相关人员数量,”他指出,而处理控制台时更多人员的介入自然会体现为更加高昂的运营成本。
另外,兼容性也是个不容忽视的问题,NSS实验室的另一位研究主管Rob Ayoub指出。“大家要如何确保任何两种探针——例如McAfee与Bromium或者Cylance——能够顺利协作?如果不能,大家又该向哪家厂商联系求助?”
这些平台的管理及治理安全性同样需要加以认真审视,Pingree表示,从而最大程度降低指向这些平台自身的安全威胁。企业应当寻求配备有必要工具 的端点保护平台,从而满足IT人员执行不同职责角色时的具体访问级别。举例来说,如果能够在管理员访问时认证其受限访问能力,同时为应急工程师提供更为宽 松的访问权限,那么实际效果肯定会更上一层楼,他解释道。
分析引擎
分析机制是必要的,但也是极为复杂的,因此其完全能够以独立服务的形式存在——Red Canary公司就提供这类解决方案。相较于利用端点自身提供的探针收集相关数据,我们完全可以利用由Bit9+Carbon Black等厂商提供的传感器解决这部分需求。Red Canary公司能够从其它商业安全厂商的产品当中收集威胁信息并将其整理成数据,而后通过分析生成与客户网络中异常状况相关的警报通知。
分析引擎会标记出潜在的异常状况,但企业还需要利用人为分析的方式证明这些标记事件到底属不属于真正的安全威胁。这有助于企业安全分析师降低所需应对的安全警报数量。
初创企业Barkley公司表示,其目前正着手打造一款能够以本地方式分析各端点下一步运行状态、并自动阻断恶意活动的端点探针。这套方案还会将其采取的具体操作以通知方式交付管理员。
这些引擎需要被绑定在规模更大的威胁情报源当中,它们能够追踪特征攻击活动如何展开、并在无需借助恶意软件标志性代码的前提下揪出安全违规发生之前的种种可疑迹象,Abrams表示。
大多数已知端点检测与响应工具都要在人们的操作与指示之下才能实现预期的保护效果。因此如果可能的话,企业用户应当在着手购买之前先组织试验,以确 保相关解决方案的功能性与有效性符合自身实际需求。“新兴技术方案的缺点在于,其可测试空间还比较有限,”Pingree指出。
修复
端点检测工具收集到的大量数据能够以战术性方式中止攻击活动,但同时也支持安全漏洞被大规模利用之后的相关取证工作。这能够帮助我们确定哪些设备需要进行修复,而且已经有部分供应商在寻求将这方面流程以自动化方式实现的途径。
举例来说,triumfant公司推出的Resolution Manager就能够在检测到恶意活动之后将端点恢复到此前的已知良好状态之下。其它供应商也提供类似的恢复功能,或者表示正在研究相关解决方案。但总体 而言,目前各相关企业都在顺应趋势,探索以同一套平台修复所发现问题的办法。
目前企业面临的问题在于,尽管传统端点安全方案已经竭尽所能——即逐步转化为囊括了反病毒、反恶意软件、入侵检测及入侵防御等机制在内的整体性安全套件,但端点当中仍然存在大量安全漏洞。而在尝试解决这些问题的过程当中,新的问题亦如影随形。
“供应商实际上只是在端点方案当中添加了更多其它安全产品,这最终只会导致解决方案本身臃肿不堪,”科罗拉多州下游管理局CSO Larry Whiteside表示。“幸运的是,内存与磁盘速度(SSD)的不断提升在一定程度上解决了端点性能面临的沉重压力。”
结果就是,他决定选择来自SentinelOne公司的下一代端点保护方案作为安全储备。与专门针对已知恶意软件签名为依托的传统端点保护机制不 同,下一代端点保护方案以端点的实际运作状态为起效基础,他解释道。“这并不是说签名机制不好,但将其作为主要甚至是惟一的保护前提显然太不靠谱。因此, 增加这种基于行为的检测能力将显著提高端点保护方案的实际价值。”
相较于投资回报水平,他更关心的显然是下一代端点保护产品体现出的上述价值。“事实上,我更关注检测效果而非投资回报率,因此我甚至压根不打算进行什么投资回报分析。我敢说,率先采用下一代解决方案对于整个机构来说绝对是利大于弊,”他总结道。
是否会取代反病毒产品?
到目前为止,下一代端点保护产品供应商还没有明确宣称其方案能够取代传统反病毒软件——尽管已经有令人印象深刻的测试结果支持这一结论。不过相信这 种状况将逐渐改变。CrowdStrike公司CEO George Kurtz指出,在未来一年之内,监管机构对于此类供应商的限制将逐步得到放宽。
在一年之内,要求利用反病毒方案来满足合规测试的条款将作出变更,即允许企业利用下一代端点保护机制实现同样的效果,他表示。“这才是我们真正的发展目标,”他补充称。“从一开始,我们就坚信自己能够实现这一点。”
他同时表示,每个人都在高度关注恶意软件,但恶意软件只代表着约四成攻击活动。对于其它安全事故,他将其称为“非恶意软件型入侵”,包括内部人员窃取以及攻击者在没有利用恶意软件的情况下窃取凭证信息。
不过在监管条例真正作出变更之前,企业仍然需要满足既定合规要求提出的反病毒方案实施目标,Abrams指出,即使其它平台已经能够带来更理想的保护效果。“在某些情况下,合规性本身甚至比保护效果更加重要,因为后者可能有违法律要求。”
与此同时,反病毒产品与下一代端点保护方案之间的功能交集意味着可能只有大型企业才能顺利适应这种变革,而资源相对有限的小公司则需要承受额外的成本负担,他强调称。不过即使对于小型公司来讲,这样的支出也是完全值得的。
“问题的实质在于,大家有哪些信息资产有可能外泄、这些信息在外泄后会带来怎样的损失?只要将答案与安全保护预算作出比较,各位就能得出适合自己的评判结论了。”Abrams总结称。