端点保护需要实时解决方案
今天的CyberActacks可以以闪电速度移动。例如,Wannacry Ransomware可以在三秒钟内加密文件。同样,NotpetyA专门设计用于自动扩展,并具有毁灭性的结果。最近,Ekans ransomware有针对性的操作技术系统。当组织发现攻击发生时,其数据往往已毁了。此外,如果您没有预防和检测能力,因此可以快速扩散到其他设备的复杂攻击。
特别是,端点尤其是风险。一份报告国际数据公司(IDC)发现,70%的所有成功的网络漏洞启动端点设备。遗憾的是,越来越多的可利用操作系统和应用程序漏洞只是制造端点 - 特别是IoT端点 - 网络犯罪分子的不可抗拒的目标。这种情况是进一步加剧了Covid-19流行病这突然迫使员工使用各种各样的终端在家工作,比如公司提供的笔记本电脑、物联网设备和经常存在安全问题的家庭网络。
此外,漏洞管理可能是一个挑战。打补丁很难大规模执行,而且无论组织如何努力尝试,总会有人打开恶意电子邮件附件。因此,安全团队必须假设他们的端点最终会被破坏。这就是为什么,除了预防之外,实时检测和遏制是必须的。
检测和反应延迟产生很大的风险
勒索软件可以在几秒钟内摧毁一个系统甚至整个网络。然而,大多数被证实的数据泄露都有很长一段时间。事实上,平均平均时间确认一个威胁需要197天,控制一个漏洞还需要69天,这段时间足以让最懒惰的网络罪犯浏览一个组织的网络,提取客户数据和公司资源。以机器速度操作的自动攻击的手动方法是不合理的。
幸运的是,端点安全行业将检测次数从几周减少到几天甚至几小时。但对于那些处理高速勒索软件的组织来说,这很难让人安心。即使一个端点检测与响应(EDR)工具可以实时检测攻击,如果它需要一个小时或更长时间手动包含它?
处理误报
对于有效的检测和反应,误报可能是一个重要的障碍,并且必须解决。即使组织的EDR工具确实实时响应,合法的应用程序活动会发生什么,触发警报,导致暂停?组织的EDR工具必须能够在不终止关键过程或隔离端点的情况下部署块。
为此,组织的下一代EDR工具必须能够瞬时评估所讨论的事件阻止可能的威胁如果是良性的,释放块不会对终端用户造成明显的影响。但是,如果确认该事件是恶意的,则EDR工具必须以自动操作响应,例如终止进程、删除恶意或受感染的文件、隔离端点、通知用户并打开帮助台票据。
五部分策略
为了保护企业免受当今快速攻击,一个EDR工具必须具备以下五个关键要素:
- 发现:一个有效的解决方案必须包括识别授权和非法设备的能力,以了解完整的端点攻击表面。
- 预防:该工具必须硬化所有发现的设备,可以减少攻击表面,并防止具有可义的封锁的已知和未知威胁。理想情况下,它也应该在内核级别运行,以获得最深处的可见性。
- 异常检测和阻塞100%的预防是不现实的。因此,一个有效的解决方案必须包括基于行为的异常检测,结合阻止外部通信的能力,以及访问文件系统,以阻止违反和勒索软件的损害实时;即使在设备被感染之后。
- 自动化和精简:该解决方案应包括剧本,使安全团队能够选择性地自动化事件响应操作和简化事件响应和修复过程,同时在线保持受影响的机器。这将防止用户中断和业务中断而不使网络暴露于风险。然后,安全员工将有时间通过脱机脱机来修复设备,而不会影响关键业务流程。
- 更新英特尔该系统应提供检测到的威胁的详细信息,可用于支持安全分析师的法医调查,预测未来的攻击,并最终提高设备和组织的整体安全性。
去除威胁,保持富有成效
现代EDR解决方案是对端点隔离的巨大改进。自动执行响应过程的工具,例如端点隔离,可能会对用户或部门产生负面影响;特别是鉴于假阳性的关注。如果在任何时候检测到可疑事件,EDR解决方案将很快丢失组织支持。
然而,通过最新的EDR技术到位,一旦EDR工具能够访问文件和通信,就会忽略威胁。组织的网络将持续运行,其用户全面地保持富有成效的系统实时保护端点。这样的系统可以结束疲劳警报和担心被破坏的恐惧,同时使用先进的自动化来最大化组织安全操作的资源。
所有IoT Agenda网络贡献者都对其帖子的内容和准确性负责。意见是作者的,不一定传达物联网议程的想法。