在互联网尚未普及的时代,组织唯一需要担心的就是内网员工使用的办公电脑。现在,员工将远离办公楼,而是在机场、咖啡店和酒店工作。由于疫情时代,在家办公更是常态。与在公司内网保护终端相比,在家办公的终端面临的威胁是完全不同的。恶意软件泛滥的游戏设备、联网电视、扬声器、网络摄像头……这些智能设备的软件上次更新可能是几年前的事了,它们都与您的工作计算机位于同一局域网中。传统端点安全失败EDR(EndpointDetectionandResponse)似乎是过去五年端点安全的最优解决方案。问题在于市场上的许多EDR仍然遵循传统方法,严重依赖威胁情报和基于规则的响应。这意味着你只能看到攻击者做了什么,而看不到未来会发生什么。网络攻击者越来越善于规避基于规则的检测。他们能够快速关闭自己的域名,使用反病毒引擎平台测试自己的恶意软件,并使用雪鞋攻击(大量IP和少量连接)来最大限度地减少黑名单对恶意域名的可见性,导致想要维护一个包含最新信息、全面的威胁情报数据库的网站变得更加困难。希腊的两名安全研究人员测试了18种最流行的EDR和端点保护产品,发现只有两种产品完全涵盖了测试中使用的高级攻击向量。(测试报告:https://arxiv.org/pdf/2108.10422.pdf)AI驱动的行为检测以端点安全厂商Darktrace的自主响应工具Antigena为例。它不会通过检测已知的IOC来触发缓解规则。相反,它使用机器学习技术对正常的网络流量和行为进行建模,然后实时监控网络以发现与预期行为的任何偏差,即异常行为。例如:用户访问一个陌生的服务器并尝试向其上传文件;本地机器与大量以前从未联系过的外部地址进行通信;几乎不向员工发送电子邮件的域名。当检测到可疑活动时,Antigena会发出警告,也可以将其设置为主动模式以自动响应异常行为。而且其自学习机制可以根据行为的严重程度采取不同程度的处置措施,从简单的邮件隔离到终端与全网的隔离。终端上的轻量级代理后疫情时代,在家办公成为常态。员工可能会将公司数据下载到家里的计算机上,然后有意或无意地将这些数据存储在其他地方,例如公共云。这种混合工作环境不在公司网络监控视线范围内,是典型的网络安全盲区。要填补这个盲点,无论是在办公室、出差途中还是在家中,都需要启用端点可见性。为此,Darktrace的EndpointDetectionandResponse(EDR)产品包含一个轻量级代理(cSensor),可以运行在Windows、Mac或Linux系统上,以执行网络和通信级别的异常行为检测,并分析端点设备发生了什么多于。例如,新安装的应用程序正在与不熟悉的IP进行通信,或者用户未通过VPN连接到公司网络上的另一台设备。cSensor还提供额外的遥测功能,为Darktrace的其他产品提供更多上下文,帮助Antigena在更新其自学网络流量语料库时实时发现问题。例如,当收到一封请求银行交易的邮件时,基于cSensor提供的上下文信息,Antigena的邮件产品可以识别这是否是来自陌生域名的邮件,该域名是否可疑,以及是否发出一封邮件。报警或封锁。这一切都是为了辅助训练Antigena的自主反应能力。监控断开连接的设备cSensor为在组织网络上运行的Darktrace实例建立安全通道。当设备与网络断开时,可以立即向后台发出告警,并根据安全管理平台(这里指的是Darktrace的企业免疫系统)的情报做出相应的反应。对于没有24/7监控服务但也有内部监管要求的组织来说,这是一个很好的用例。cSensor可以帮助Antigena检测员工在设备上的行为是否安全,从而确保设备不会被滥用。Antigena还能够通过网络流量监控无cSensor端点设备,例如传感器、智能灯泡、网络摄像机,甚至工业控制系统和OT设备。简而言之,可以监视任何具有连接到网络的IP地址的端点。端点安全的未来端点安全的未来有很多发展方向,尤其是当人们适应在家工作和机构网络安全监督扩展到家庭网络设置时。例如,企业可能需要将公司业务数据与家庭个人数据进行物理分离。这很可能意味着员工拥有两个相互隔离的无线网络。端点设备一直是网络攻击最常见的切入点。云计算、万物互联、移动办公,让传统的网络边界防护手段失效。网络安全范式转变的时代已经到来。在万物互联的数字世界,人工智能决定着未来攻防对抗的潮起潮落。
