大多数企业在了解每个网络端点的当前状态方面是盲目的,网络犯罪团伙、高级持续性威胁(APT)组织和其他网络攻击者知道,大多数企业都没有对端点进行精确的统计。这些网络攻击者也非常清楚端点安全和身份保护之间的巨大差距,他们使用ChatGPT和其他生成式人工智能工具来提升他们的攻击技巧,并发动网络攻击。
只有60%的企业了解其网络上不到75%的端点设备,只有58%的企业能够在遭到网攻击或利用后的24小时内识别出网络上的每一个受到攻击或易受攻击的资产。这是一个没有人愿意谈论的数字流行病,因为每个人都知道企业和团队可能因为不了解每个端点而受到伤害。同样常见的是,很多企业无法跟踪多达40%的端点。
端点需要提供更大的弹性来证明它们的价值
一些首席信息安全官和CIO表示,由于企业收入低于预期,网络安全预算受到了越来越多的审查。行业媒体采访了金融服务、保险和制造业的一些首席信息安全官,他们表示,新的销售周期正在延长,现有客户正在要求降价和延长服务期限。事实证明,今年将是寻找新的企业客户具有挑战性的一年。
人工智能网络安全服务商Darktrace公司的CEO Marcus Fowler表示:“为了在预算削减的情况下实现投资回报率最大化,首席信息安全官需要展示对主动工具和能力的投资,以不断提高其网络弹性。”
波士顿咨询集团(BCG)在其最近的一篇名为《随着预算越来越紧,网络安全必须变得更明智》报告中写道,“首席信息安全官将被迫探索增加培训、流程改进和企业文化转变,以在不扩大预算的情况下改善他们的安全状况。”
这份报告还声称,78%的企业定期衡量其网络运营改进的投资回报率。正如行业媒体在多次采访首席信息安全官时发现的那样,整合是重中之重。波士顿咨询集团(BCG)在研究中发现,防火墙、用户认证和访问管理以及端点保护平台是首席信息安全官寻求整合支出的最常见领域。简而言之,端点安全平台要想在预算中占有一席之地,就必须提供更强的弹性。
Absolute Software公司的总裁兼CEO Christy Wyatt在接受行业媒体采访时表示,“当我们与用户进行沟通时,我们听到的很多是如何继续增加弹性,增加保护自己的方式,即使面对可能的人员减少或预算紧张。因此,这使得我们围绕网络弹性所做的工作变得更加重要。我们所做的一件独特的事情是帮助人们重新安装或修复他们的网络安全资产或其他网络安全应用程序。”
十大端点安全挑战以及潜在的解决方案
改进任何企业的端点安全态势管理都需要关注整合。正如波士顿咨询公司的研究所表明的那样,首席信息安全官在整合其端点保护平台方面面临着巨大的压力。寻找端点保护平台(EPP)、端点检测和响应(EDR)以及扩展检测和响应服务(XDR)的行业领先提供商,以获取更多互补技术或内部快速开发,从而推动更多整合驱动的销售。这些供应商包括Absolute Software、BitDefender、CrowdStrike、Cisco、ESET、FireEye、Fortinet、F-Secure、Ivanti、Microsoft、McAfee、Palo Alto Networks、Sophos和Zscaler。
企业并购、DevOps和技术合作战略面临的十大挑战如下:
(1)没有足够的实时遥测数据来延长端点生命周期并识别入侵和破坏
来自端点的实时遥测数据是成功的端点安全策略的基础,可以识别正在进行的入侵或破坏。它对于识别每个端点的硬件和软件配置,以及每个级别(文件、进程、注册表、网络连接和设备数据) 也是非常宝贵的。
Absolute Software、BitDefender、CrowdStrike、Cisco、Ivanti和保护Microsoft Azure中端点数据的Microsoft Defender for Endpoint,以及其他领先供应商捕获实时遥测数据并使用它来进行端点分析。
CrowdStrike、ThreatConnect、Deep Instinct和Orca Security使用实时遥测数据来计算攻击指标(IOA)和折衷指标(IOC)。攻击指标(IOA)专注于检测网络攻击者的意图并确定他们的目标,而不考虑网络攻击中使用的恶意软件或漏洞。补充攻击指标(IOA)是一种折衷指标(IOC),提供取证来证明网络漏洞。
攻击指标(IOA)必须实现自动化,以提供准确、实时的数据,以便了解网络攻击者的意图并阻止入侵尝试。CrowdStrike公司是第一个推出人工智能攻击指标(IOA)的公司,它利用实时遥测数据来保护终端。该公司表示,人工智能攻击指标(IOA)与基于传感器的机器学习和其他传感器防御层异步工作。
(2)过度配置和过载的端点是可能发生网络攻击的漏洞
一些首席信息安全官表示,企业通常安装了几个端点,有时超过十几个端点代理。通常情况下,当新的首席信息安全官上任时,他们的首要行动之一是安装他们首选的端点系统。内存冲突、故障和性能消耗是常见的。Absolute Software公司的2023弹性指数报告发现,企业的端点设备平均安装了11个安全应用程序,平均2.5个应用程序用于端点管理,其次是防病毒/反恶意软件(平均2.1个)和1.6个加密应用程序。端点过载是一个常见的问题,通常是在新的安全团队和管理人员上任时出现的。
这个问题之所以成为最具挑战性的问题之一,是因为每个客户端的必备软件都过度构建了端点。首席信息安全官主张彻底审计每个端点类型或类别的主映像,然后将它们合并为最少的代理。这有助于降低成本,提高效率、可见性和控制能力。
(3)依赖于强制设备库存的传统补丁程序管理系统
一些首席信息安全官表示,为了确保网络、系统和虚拟员工的安全,他们的团队已经捉襟见肘。在需要安装修补程序之前,它们通常会耗尽时间。71%的IT和安全专业人员认为打补丁过于复杂和耗时,53%的人把大部分时间花在优先处理关键漏洞上。
采用数据驱动的方法会有所帮助,一些供应商用来解决这个问题的另一个创新是人工智能和机器学习。
Ivanti公司发布的《2023年安全准备状况报告》发现,在61%的情况下,外部事件、入侵企图或漏洞会重新启动补丁管理工作。尽管各行业组织都在竞相防御网络攻击,但整个行业仍然有一种被动的、检查清单式的心态。
Ivanti公司的首席产品官Srinivas Mukkamala博士在接受行业媒体采访中表示:“目前已经发现了16万个以上漏洞,难怪IT和安全专业人士绝大多数都觉得修补漏洞过于复杂和耗时。这就是企业必须利用人工智能解决方案的原因,以帮助团队确定优先级、验证和应用补丁。安全的未来是将适合机器的平凡和重复的任务让人工智能完成,这样IT和安全团队就可以专注于业务的战略计划。”
该领域的行业领导者包括Automax、Ivanti Neurons for Patch Intelligence、Kaseya、ManageEngine和Tanium。
(4)保持BYOD资产配置更新和兼容性
保持企业拥有的设备配置的最新和兼容性需要安全团队投入端点资产管理的大部分时间。企业团队通常没有BYOD端点,IT部门对员工使用自己设备的政策有时过于宽泛,没有进行监管。端点保护平台需要简化和自动化配置和部署企业和BYOD端点设备的工作流程。
目前,行业领先的端点平台可以大规模地做到这一点,并为企业提供了解决方案,包括CrowdStrike Falcon、Ivanti Neurons和Microsoft Defender for endpoint,这些平台可以将来自电子邮件、端点、身份和应用程序的威胁数据关联起来。
(5)实施有针对性的UEM策略,阻止针对高级管理人员移动设备的攻击
鲸鱼式网络钓鱼是网络攻击的最新形式,影响了数千名企业高管。Ivanti公司在《2023年安全准备状况报告》中指出,企业高管成为网络钓鱼受害者的概率是员工的四倍。近三分之一的CEO和高级管理人员成为网络钓鱼诈骗的受害者,他们或者点击这些链接,或者支付赎金。
采用统一的端点管理(UEM)平台对于保护每个移动设备至关重要。先进的端点管理(UEM)平台可以实现配置管理的自动化,并确保企业的合规性,从而降低违规风险。
首席信息安全官希望端点管理(UEM)平台提供商能够整合并以更低的成本提供更多的价值。Gartner公司最新的统一端点管理工具魔力象限反映了首席信息安全官对IBM、Ivanti、ManageEngine、Matrix42、微软、VMWare、黑莓、思杰等公司产品战略的影响。
(6)太多的IT、安全和承包商团队成员拥有对端点、应用程序和系统的管理访问权限
首席信息安全官需要从源头开始审计访问权限,并识别仍然拥有Active Directory、身份和访问管理(IAM)和特权访问管理(PAM)系统中定义的管理权限的前员工、承包商和供应商。所有与身份相关的活动都应该被审计和跟踪,以缩小信任差距,减少内部攻击的威胁。必须消除不必要的访问权限,例如过期帐户的访问权限。
CrowdStrike公司零信任营销副总裁Kapil Raina表示,“审计和识别所有凭证(人类和机器)以识别攻击路径是一个好主意,例如来自影子管理员权限,并自动或人工调整权限。”
(7)定义端点的许多身份需要更有效的密钥和数字证书管理
网络中的每台机器都需要一个唯一的身份,这样管理员就可以管理和保护机器对机器的连接和通信。但是端点越来越多地接受更多的身份,这使得同时保护每个身份和端点成为一项挑战。
这就是需要更多地关注密钥和数字证书管理的原因。数字身份是通过SSL、SSH密钥、代码签名证书、TLS或身份验证令牌分配的。网络攻击者以SSH密钥为目标,绕过代码签名证书或破坏SSL和TLS证书。
安全团队的目标是确保每个身份的准确性、完整性和可靠性。该领域的领先供应商包括CheckPoint、Delinea、Fortinet、IBM Security、Ivanti、Keyfactor、Microsoft Security、Venafi和Zscaler。
(8)不可靠的端点系统容易崩溃,发送太多误报,需要数小时才能修复
首席信息安全官表示,这是最具挑战性的问题——端点在重新配置后不能自行重置,或者更糟的是,需要人工解决,这需要大量的资源来管理。
用自修复端点替换遗留端点系统有助于减少软件代理的蔓延。根据定义,自我修复端点将关闭自己并验证其核心组件,从其操作系统开始。接下来,端点将执行补丁版本控制,然后在没有人为干预的情况下将自身重置为优化配置。
Absolute Software公司为每个基于个人电脑的端点提供不可删除的数字连接,以监控和验证实时数据请求和事务。Akamai、Ivanti、Malwarebytes、Microsoft、SentinelOne、Tanium和Trend Micro是自愈端点的领先提供商。Absolute Software的弹性平台值得注意的是,它提供了对任何设备的实时可见性和控制,无论设备是否在网络上。
(9)依靠一组独立的工具来缩小端点差距或获得全方位的威胁视图
跨独立工具规范化报告是困难的、耗时的和昂贵的。它需要SOC团队人工关联端点和身份之间的威胁。在屏幕上看到所有的活动是不可能的,因为工具使用不同的警报、数据结构、报告格式和变量。
一些首席信息安全官分享了Mukkamala从单一控制平台管理每个用户配置文件和客户端设备的愿景。
(10)利用多因素身份验证(MFA)和无密码技术,缩小基于身份的端点安全方面的差距
为了让企业的员工都接受多因素身份验证(MFA),首席信息安全官和安全团队应该首先将其设计到工作流程中,并尽量减少其对用户体验的影响。团队还需要掌握最新的无密码技术,这将最终减轻对多因素身份验证(MFA)的需求,提供简化的用户体验。
行业领先的无密码认证提供商包括Microsoft Azure Active Directory(AzureAD)、OneLogin Workforce Identity、Thales SafeNet Trusted Access和Windows Hello for Business。
随着越来越多的员工保持虚拟状态,在移动设备上实施身份管理已成为一项核心需求。在该领域的解决方案中,Ivanti公司的零登录(ZSO)是唯一一个在其统一端点管理(UEM)平台上结合无密码身份验证、零信任和简化用户体验的解决方案。
Ivanti公司的解决方案旨在将支持生物识别技术(苹果的面部识别)作为访问个人和共享公司账户、数据和系统的次要认证因素。Ivanti ZSO通过使用FIDO2身份验证协议消除了对密码的需求。一些首席信息安全官表示,它可以在任何移动设备上配置,不需要另一个代理来保持最新状态。
企业需要积极应对人工智能驱动的网络攻击
网络攻击者正在提高他们的网络攻击技能,利用不受保护的端点,利用端点和不受保护的身份之间的差距,比以往任何时候都更多地进行鲸鱼式网络钓鱼。安全和IT团队必须应对改进端点安全性的挑战。人工智能和机器学习正在彻底改变端点安全,本文中简要讨论的10个挑战正在推动许多网络安全初创公司和行业领先供应商的新产品开发。
企业都需要采取这些措施来保护自己免受网络攻击者的攻击,这些网络攻击者已经使用生成式人工智能、ChatGPT和高级的多方面攻击来窃取身份和特权访问凭证,并在未被发现的情况下破坏端点。