只有60%的企業了解其網絡上不到75%的端點設備,只有58%的企業能夠在遭到網攻擊或利用后的24小時內識別出網絡上的每一個受到攻擊或易受攻擊的資產。這是一個沒有人愿意談論的數字流行病,因為每個人都知道企業和團隊可能因為不了解每個端點而受到傷害。同樣常見的是,很多企業無法跟蹤多達40%的端點。
端點需要提供更大的彈性來證明它們的價值
一些首席信息安全官和CIO表示,由于企業收入低于預期,網絡安全預算受到了越來越多的審查。行業媒體采訪了金融服務、保險和制造業的一些首席信息安全官,他們表示,新的銷售周期正在延長,現有客戶正在要求降價和延長服務期限。事實證明,今年將是尋找新的企業客戶具有挑戰性的一年。
人工智能網絡安全服務商Darktrace公司的CEOMarcusFowler表示:“為了在預算削減的情況下實現投資回報率最大化,首席信息安全官需要展示對主動工具和能力的投資,以不斷提高其網絡彈性。”
波士頓咨詢集團(BCG)在其最近的一篇名為《隨著預算越來越緊,網絡安全必須變得更明智》報告中寫道,“首席信息安全官將被迫探索增加培訓、流程改進和企業文化轉變,以在不擴大預算的情況下改善他們的安全狀況。”
這份報告還聲稱,78%的企業定期衡量其網絡運營改進的投資回報率。正如行業媒體在多次采訪首席信息安全官時發現的那樣,整合是重中之重。波士頓咨詢集團(BCG)在研究中發現,防火墻、用戶認證和訪問管理以及端點保護平臺是首席信息安全官尋求整合支出的最常見領域。簡而言之,端點安全平臺要想在預算中占有一席之地,就必須提供更強的彈性。
AbsoluteSoftware公司的總裁兼CEOChristyWyatt在接受行業媒體采訪時表示,“當我們與用戶進行溝通時,我們聽到的很多是如何繼續增加彈性,增加保護自己的方式,即使面對可能的人員減少或預算緊張。因此,這使得我們圍繞網絡彈性所做的工作變得更加重要。我們所做的一件獨特的事情是幫助人們重新安裝或修復他們的網絡安全資產或其他網絡安全應用程序。”
十大端點安全挑戰以及潛在的解決方案
改進任何企業的端點安全態勢管理都需要關注整合。正如波士頓咨詢公司的研究所表明的那樣,首席信息安全官在整合其端點保護平臺方面面臨著巨大的壓力。尋找端點保護平臺(EPP)、端點檢測和響應(EDR)以及擴展檢測和響應服務(XDR)的行業領先提供商,以獲取更多互補技術或內部快速開發,從而推動更多整合驅動的銷售。這些供應商包括AbsoluteSoftware、BitDefender、CrowdStrike、Cisco、ESET、FireEye、Fortinet、F-Secure、Ivanti、Microsoft、McAfee、PaloAltoNetworks、Sophos和Zscaler。
企業并購、DevOps和技術合作戰略面臨的十大挑戰如下:
(1)沒有足夠的實時遙測數據來延長端點生命周期并識別入侵和破壞
來自端點的實時遙測數據是成功的端點安全策略的基礎,可以識別正在進行的入侵或破壞。它對于識別每個端點的硬件和軟件配置,以及每個級別(文件、進程、注冊表、網絡連接和設備數據)也是非常寶貴的。
AbsoluteSoftware、BitDefender、CrowdStrike、Cisco、Ivanti和保護MicrosoftAzure中端點數據的MicrosoftDefenderforEndpoint,以及其他領先供應商捕獲實時遙測數據并使用它來進行端點分析。
CrowdStrike、ThreatConnect、DeepInstinct和OrcaSecurity使用實時遙測數據來計算攻擊指標(IOA)和折衷指標(IOC)。攻擊指標(IOA)專注于檢測網絡攻擊者的意圖并確定他們的目標,而不考慮網絡攻擊中使用的惡意軟件或漏洞。補充攻擊指標(IOA)是一種折衷指標(IOC),提供取證來證明網絡漏洞。
攻擊指標(IOA)必須實現自動化,以提供準確、實時的數據,以便了解網絡攻擊者的意圖并阻止入侵嘗試。CrowdStrike公司是第一個推出人工智能攻擊指標(IOA)的公司,它利用實時遙測數據來保護終端。該公司表示,人工智能攻擊指標(IOA)與基于傳感器的機器學習和其他傳感器防御層異步工作。
(2)過度配置和過載的端點是可能發生網絡攻擊的漏洞
一些首席信息安全官表示,企業通常安裝了幾個端點,有時超過十幾個端點代理。通常情況下,當新的首席信息安全官上任時,他們的首要行動之一是安裝他們首選的端點系統。內存沖突、故障和性能消耗是常見的。AbsoluteSoftware公司的2023彈性指數報告發現,企業的端點設備平均安裝了11個安全應用程序,平均2.5個應用程序用于端點管理,其次是防病毒/反惡意軟件(平均2.1個)和1.6個加密應用程序。端點過載是一個常見的問題,通常是在新的安全團隊和管理人員上任時出現的。
這個問題之所以成為最具挑戰性的問題之一,是因為每個客戶端的必備軟件都過度構建了端點。首席信息安全官主張徹底審計每個端點類型或類別的主映像,然后將它們合并為最少的代理。這有助于降低成本,提高效率、可見性和控制能力。
(3)依賴于強制設備庫存的傳統補丁程序管理系統
一些首席信息安全官表示,為了確保網絡、系統和虛擬員工的安全,他們的團隊已經捉襟見肘。在需要安裝修補程序之前,它們通常會耗盡時間。71%的IT和安全專業人員認為打補丁過于復雜和耗時,53%的人把大部分時間花在優先處理關鍵漏洞上。
采用數據驅動的方法會有所幫助,一些供應商用來解決這個問題的另一個創新是人工智能和機器學習。
Ivanti公司發布的《2023年安全準備狀況報告》發現,在61%的情況下,外部事件、入侵企圖或漏洞會重新啟動補丁管理工作。盡管各行業組織都在競相防御網絡攻擊,但整個行業仍然有一種被動的、檢查清單式的心態。
Ivanti公司的首席產品官SrinivasMukkamala博士在接受行業媒體采訪中表示:“目前已經發現了16萬個以上漏洞,難怪IT和安全專業人士絕大多數都覺得修補漏洞過于復雜和耗時。這就是企業必須利用人工智能解決方案的原因,以幫助團隊確定優先級、驗證和應用補丁。安全的未來是將適合機器的平凡和重復的任務讓人工智能完成,這樣IT和安全團隊就可以專注于業務的戰略計劃。”
該領域的行業領導者包括Automax、IvantiNeuronsforPatchIntelligence、Kaseya、ManageEngine和Tanium。
(4)保持BYOD資產配置更新和兼容性
保持企業擁有的設備配置的最新和兼容性需要安全團隊投入端點資產管理的大部分時間。企業團隊通常沒有BYOD端點,IT部門對員工使用自己設備的政策有時過于寬泛,沒有進行監管。端點保護平臺需要簡化和自動化配置和部署企業和BYOD端點設備的工作流程。
目前,行業領先的端點平臺可以大規模地做到這一點,并為企業提供了解決方案,包括CrowdStrikeFalcon、IvantiNeurons和MicrosoftDefenderforendpoint,這些平臺可以將來自電子郵件、端點、身份和應用程序的威脅數據關聯起來。
(5)實施有針對性的UEM策略,阻止針對高級管理人員移動設備的攻擊
鯨魚式網絡釣魚是網絡攻擊的最新形式,影響了數千名企業高管。Ivanti公司在《2023年安全準備狀況報告》中指出,企業高管成為網絡釣魚受害者的概率是員工的四倍。近三分之一的CEO和高級管理人員成為網絡釣魚詐騙的受害者,他們或者點擊這些鏈接,或者支付贖金。
采用統一的端點管理(UEM)平臺對于保護每個移動設備至關重要。先進的端點管理(UEM)平臺可以實現配置管理的自動化,并確保企業的合規性,從而降低違規風險。
首席信息安全官希望端點管理(UEM)平臺提供商能夠整合并以更低的成本提供更多的價值。Gartner公司最新的統一端點管理工具魔力象限反映了首席信息安全官對IBM、Ivanti、ManageEngine、Matrix42、微軟、VMWare、黑莓、思杰等公司產品戰略的影響。
(6)太多的IT、安全和承包商團隊成員擁有對端點、應用程序和系統的管理訪問權限
首席信息安全官需要從源頭開始審計訪問權限,并識別仍然擁有ActiveDirectory、身份和訪問管理(IAM)和特權訪問管理(PAM)系統中定義的管理權限的前員工、承包商和供應商。所有與身份相關的活動都應該被審計和跟蹤,以縮小信任差距,減少內部攻擊的威脅。必須消除不必要的訪問權限,例如過期帳戶的訪問權限。
CrowdStrike公司零信任營銷副總裁KapilRaina表示,“審計和識別所有憑證(人類和機器)以識別攻擊路徑是一個好主意,例如來自影子管理員權限,并自動或人工調整權限。”
(7)定義端點的許多身份需要更有效的密鑰和數字證書管理
網絡中的每臺機器都需要一個唯一的身份,這樣管理員就可以管理和保護機器對機器的連接和通信。但是端點越來越多地接受更多的身份,這使得同時保護每個身份和端點成為一項挑戰。
這就是需要更多地關注密鑰和數字證書管理的原因。數字身份是通過SSL、SSH密鑰、代碼簽名證書、TLS或身份驗證令牌分配的。網絡攻擊者以SSH密鑰為目標,繞過代碼簽名證書或破壞SSL和TLS證書。
安全團隊的目標是確保每個身份的準確性、完整性和可靠性。該領域的領先供應商包括CheckPoint、Delinea、Fortinet、IBMSecurity、Ivanti、Keyfactor、MicrosoftSecurity、Venafi和Zscaler。
(8)不可靠的端點系統容易崩潰,發送太多誤報,需要數小時才能修復
首席信息安全官表示,這是最具挑戰性的問題——端點在重新配置后不能自行重置,或者更糟的是,需要人工解決,這需要大量的資源來管理。
用自修復端點替換遺留端點系統有助于減少軟件代理的蔓延。根據定義,自我修復端點將關閉自己并驗證其核心組件,從其操作系統開始。接下來,端點將執行補丁版本控制,然后在沒有人為干預的情況下將自身重置為優化配置。
AbsoluteSoftware公司為每個基于個人電腦的端點提供不可刪除的數字連接,以監控和驗證實時數據請求和事務。Akamai、Ivanti、Malwarebytes、Microsoft、SentinelOne、Tanium和TrendMicro是自愈端點的領先提供商。AbsoluteSoftware的彈性平臺值得注意的是,它提供了對任何設備的實時可見性和控制,無論設備是否在網絡上。
(9)依靠一組獨立的工具來縮小端點差距或獲得全方位的威脅視圖
跨獨立工具規范化報告是困難的、耗時的和昂貴的。它需要SOC團隊人工關聯端點和身份之間的威脅。在屏幕上看到所有的活動是不可能的,因為工具使用不同的警報、數據結構、報告格式和變量。
一些首席信息安全官分享了Mukkamala從單一控制平臺管理每個用戶配置文件和客戶端設備的愿景。
(10)利用多因素身份驗證(MFA)和無密碼技術,縮小基于身份的端點安全方面的差距
為了讓企業的員工都接受多因素身份驗證(MFA),首席信息安全官和安全團隊應該首先將其設計到工作流程中,并盡量減少其對用戶體驗的影響。團隊還需要掌握最新的無密碼技術,這將最終減輕對多因素身份驗證(MFA)的需求,提供簡化的用戶體驗。
行業領先的無密碼認證提供商包括MicrosoftAzureActiveDirectory(AzureAD)、OneLoginWorkforceIdentity、ThalesSafeNetTrustedAccess和WindowsHelloforBusiness。
隨著越來越多的員工保持虛擬狀態,在移動設備上實施身份管理已成為一項核心需求。在該領域的解決方案中,Ivanti公司的零登錄(ZSO)是唯一一個在其統一端點管理(UEM)平臺上結合無密碼身份驗證、零信任和簡化用戶體驗的解決方案。
Ivanti公司的解決方案旨在將支持生物識別技術(蘋果的面部識別)作為訪問個人和共享公司賬戶、數據和系統的次要認證因素。IvantiZSO通過使用FIDO2身份驗證協議消除了對密碼的需求。一些首席信息安全官表示,它可以在任何移動設備上配置,不需要另一個代理來保持最新狀態。
企業需要積極應對人工智能驅動的網絡攻擊
網絡攻擊者正在提高他們的網絡攻擊技能,利用不受保護的端點,利用端點和不受保護的身份之間的差距,比以往任何時候都更多地進行鯨魚式網絡釣魚。安全和IT團隊必須應對改進端點安全性的挑戰。人工智能和機器學習正在徹底改變端點安全,本文中簡要討論的10個挑戰正在推動許多網絡安全初創公司和行業領先供應商的新產品開發。
企業都需要采取這些措施來保護自己免受網絡攻擊者的攻擊,這些網絡攻擊者已經使用生成式人工智能、ChatGPT和高級的多方面攻擊來竊取身份和特權訪問憑證,并在未被發現的情況下破壞端點。
