零信任時代端點安全五大創新方向

人工智能和零信任時代，隨著身份的快速增長，端點需要變得更加智能、更具彈性并具備自我修復能力。今天，即便是最堅固的端點也無法抵御基于身份的攻擊，換而言之，對身份的任何信任都意味著潛在攻擊。

端點保護平臺(EPP)、端點檢測和響應(EDR)以及擴展檢測和響應(XDR)安全廠商們如何應對這種挑戰？近日，VentureBeat調查了多家領先的端點安全供應商，發現業界的下一代端點安全技術已經形成了一套核心設計目標和產品方向，代表著零信任時代端點安全的未來發展趨勢，具體如下：

縮小端點與身份安全的差距

一些安全廠商將利用未受保護端點的勒索軟件攻擊稱為“數字新冠”。而且，攻擊之后的數字取證顯示，攻擊者正微調他們的攻擊技術以利用薄弱甚至缺失的端點身份保護。

CrowdStrike的2023年全球威脅報告發現，所有攻擊中有71%是無惡意軟件的，高于2021年的62%。CrowdStrike將此歸因于攻擊者大量使用有效憑據來獲取訪問權限并對目標企業執行長期偵察。另一個刺激因素是新漏洞公布的速度以及攻擊者實施攻擊的速度正不斷提高。

CrowdStrike總裁Michael Sentonas指出：端點和身份安全的差距是當今最大的挑戰之一。

攻擊者的攻擊技術和策略正突飛猛進，入侵活動的平均突破時間從2021年的98分鐘減少到2022年的84分鐘。CrowdStrike指出，有效身份被攻擊者利用后，組織可能需要長達250天的時間才能檢測到身份泄漏。

領先的EPP、EDR和XDR提供商從客戶那里了解到，基于身份的端點泄露事件正在快速增加。55%的網絡安全和風險管理專業人士估計，他們當前的系統無法阻止超過75%的端點攻擊。

端點安全的五大創新方向

以下為領先端點安全廠商的五大創新方向：

一、識別對端點威脅最大的漏洞

Active Directory (AD)于2019年首次隨Windows Server一起推出，至今仍在數百萬組織中使用。攻擊者通常以AD為目標以獲得對身份的控制并在網絡中橫向移動。攻擊者熱衷于利用AD中長期存在的漏洞，是因為組織總是優先考慮最緊急的漏洞和補丁。

CrowdStrike發現，25%的利用AD的攻擊來自非托管主機，如承包商筆記本電腦、流氓系統、遺留應用程序和協議以及組織缺乏可見性和控制的供應鏈。

二、整合技術堆棧提供更好的可見性

CrowdStrike的調查發現，越來越多的CISO發現安全預算開始受到更嚴格的審查，因此整合應用程序、工具和平臺的數量是當務之急。大多數(96%)的CISO計劃整合他們的安全平臺，其中63%的人更青睞XDR、整合技術堆棧、避免遺漏威脅(57%)、找到合格的安全專家(56%)、關聯和可視化整個威脅環境中的發現(46%)。

所有主要安全供應商現在都將整合作為一種增長戰略，CrowdStrike、Microsoft和Palo Alto Networks都是如此。

CISO們表示，在以上三個安全廠商中，微軟面臨的挑戰最大。微軟將Intune作為一個有助于降低成本的平臺進行銷售，因為它已經包含在現有的企業許可證中。但是，CISO表示他們需要更多的服務器和許可證來部署Intune，這使得部署Intune的成本比預期高很多。CISO還表示，管理所有操作系統具有挑戰性，他們需要額外的解決方案來覆蓋整個IT基礎架構。

其它幾個代表性廠商中，CrowdStrike使用XDR作為整合平臺；Ivanti快速跟蹤基于AI和ML的UEM改進；Palo Alto Networks的平臺驅動戰略旨在幫助客戶整合技術堆棧。在Fal.Con 2022的主題演講中，CrowdStrike聯合創始人兼首席執行官喬治表示，端點和工作負載提供了80%的最有價值的安全數據。

Inductive Automation的CISO Jason Waits透露，Inductive Automation已經將漏洞掃描和端點防火墻管理整合到CrowdStrike代理中，在此過程中精簡了兩個單獨的安全工具，減少了需要安裝和維護的代理數量，顯著降低IT管理開銷，同時增強安全性。

三、基于人工智能的情境智能攻擊指標(IOA)是解決端點身份差距的核心

根據定義，攻擊指標(IOA)用于確定攻擊者的意圖和目標（不管使用的是什么惡意軟件或漏洞）。危害指標(IOC)則是IOA的補充，能提供取證以證明網絡攻擊。IOA必須自動化以提供準確、實時的數據，以了解攻擊者的意圖并阻止入侵企圖。

VentureBeat與幾家正在開發基于AI的IOA的供應商進行了交談，了解到CrowdStrike是第一家也是唯一一家基于AI的IOA供應商。該公司表示，人工智能驅動的IOA將與基于傳感器的ML和其他傳感器防御層異步工作。該公司基于AI的IOA使用云原生ML和人類專業知識，運行在該公司十多年前發明的平臺上。AI生成的IOA（行為事件數據）以及本地事件和文件數據可用于確定惡意性。

四、縮小端點和身份之間的差距，從工具到平臺

跨各種獨立工具生成規范化報告是困難、耗時且昂貴的。SOC團隊使用手動關聯技術跨端點和身份跟蹤威脅。工具之間沒有標準的警報、數據結構、報告格式和變量，因此無法在單一管理面板上獲取所有活動。

Ivanti Neurons的UEM產品依靠AI機器人來尋找機器身份和端點并自動更新補丁。該公司的自我修復端點方法結合了人工智能、機器學習和機器人技術，可在全球企業客戶群中大規模提供統一的端點和補丁管理。

Ivanti的設備生命周期儀表板可實時洞察每個端點的狀態和其生命周期中的相對位置，并依靠基于AI的機器人自動發現新的網絡設備。

五、自修復端點有助于縮小差距，同時提供彈性

如今，最先進的UEM平臺已經開始集成并啟用企業范圍的微分段、IAM和PAM。當AI和ML嵌入到平臺和端點設備固件中時，企業的采用會加速。此外，自我診斷和自適應智能技術使自修復端點成為可能。自修復端點可以自行關閉，重新檢查操作系統和應用程序版本控制，并重置為優化的安全配置。這些活動是自主的，不需要人為干預。

對CISO們來說，網絡彈性與整合技術堆棧同樣重要。端點生成的遙測和交易數據是當今零信任供應商最有價值的創新來源之一。安全廠商和CISO們都期望進一步使用AI和ML來改進端點檢測、響應和自我修復能力。

結論

零信任時代的端點安全取決于EPP、EDR和XDR提供商使用通用遙測數據實時彌合單一平臺端點安全和身份保護差距的能力。根據VentureBeat對領先端點安全供應商和 CISO的采訪，下一代端點安全技術的主要驅動力是：通過生成AI實現零信任收益，自修復端點，以及整合技術堆棧提高可見性。面對瞬息萬變的威脅態勢，端點安全廠商們必須持續創新，集成AI和ML技術改進端點檢測、響應和自我修復。