端点安全的重要性日益增加

2022-07-08

端点安全是现代安全的基石，为更广泛的架构提供控制平面，有助于实现 XDR、SASE 和零信任。

毫无疑问，端点安全一直很重要。在新冠疫情爆发后向远程工作环境的过渡中，端点安全变得比以往任何时候都更加紧迫

远程办公在新冠疫情爆发之前就已经存在，但规模不同，风险也没有那么大。似乎在一夜之间，大多数端点迁移到了公司网络边界之外。端点安全长期以来一直是 IT 行业关注的焦点，未来几年仍将如此，因为各种规模的组织面临的大多数威胁都指向端点，无论是员工家中的桌面还是数据库服务器持有整个公司的身份验证信息。

一个简单的事实是，端点在今天并且一直是通往公司关心的与其知识产权相关的所有事物的门户。

数字显示的端点安全

根据一份最新研究报告显示，组织正在努力解决端点安全问题。报告发现，超过 40% 的全球组织在过去两年中发生了重大安全事件。没有优先考虑将端点安全作为核心元素的集成平台的组织遭受重大安全事件的可能性几乎是其两倍。

通过对检测到的关键危害严重性指标 (IoC) 的分析发现，攻击者通常会使用四种主要技术。排在首位的是两用 PowerShell 工具。虽然这可以包括 PowerShell 框架(例如 PowerShell Empire)和可以利用 PowerShell 的框架(例如 Cobalt Strike 和 Metasploit)，但也经常会看到简单的 PowerShell 命令行活动和自定义 PowerShell 脚本用于保护访问或在内部横向移动网络。PowerShell 受到威胁参与者的欢迎，因为它主要默认安装在企业计算机中，并且通常不会密切监视其活动。

在顶级 IoC 列表中排名第二的是勒索软件。对于许多出于经济动机的威胁行为者而言，向端点提供勒索软件并成功加密数据是他们在网络上活动的主要目标。过去几年，全球范围内的勒索软件活动激增。

第三个最常观察到的 IoC 组是无文件恶意软件。它通过可疑的内存进程注入和注册表活动感染端点。威胁行为者使用此技术来尝试避免被较旧的端点保护技术检测到。

排在第四名的是凭证转储。使用最广泛的凭证转储工具是Mimikatz，它从端点系统内存中抓取用户凭证。最终，这些凭据将用于横向移动，目的是破坏企业 Active Directory 服务器，以允许广泛分发勒索软件或不受限制地访问其他目标数据。

很明显，受到攻击的端点面临着各种不同的复杂技术，因为参与者保护初始访问、在网络中横向移动、提升他们的特权以及泄露和加密数据。第一代端点安全技术保护的不仅仅是病毒、蠕虫和特洛伊木马。现代威胁形势需要一种更复杂的方法，而不是简单地扫描端点以查找恶意软件。

端点是最后一道防线

尽管现代网络安全威胁有多种不同形式，但很明显，为了防御威胁，组织需要能够检测和阻止端点上的各种行为者操作。

端点安全仍然是现代 IT 安全工作的关键。过去，参与者主要针对服务器和数据库，但今天端点既是穿越网络的手段，也是最终目标。因此，了解端点上的活动对于跟踪和阻止攻击者的行为至关重要。

遵守任何数量的不同监管或网络安全政策通常涉及组织能够证明其已采取控制措施来识别潜在风险和攻击。能够查询整个企业的端点以了解其当前的操作状态和历史记录，为审计过程提供了强大的安全工具和支持。

采用平台方法实现端点安全

端点安全也是现代网络安全平台架构的核心要素，包括 SASE、零信任和 XDR。SASE 提供了一种在网络边缘实现安全的整体方法，零信任持续验证访问，而 XDR 支持检测和响应潜在威胁。

端点安全越来越成为远程员工及其日常使用的设备的最后一道关键防线。端点安全现在也是安全行业的控制平面，也是将不同安全元素联系在一起的平台方法的核心元素。