Zscaler:檢測優先的安全措施正在失效
阻止能規避安全措施的新型威脅是網絡安全領域的幾大挑戰之一。這也是2022年全球網絡安全支出高達1720億美元也沒擋住攻擊繼續急劇增長的一個因素。
在云工具和復雜附屬網絡的加持下,攻擊者能夠快速開發出能規避檢測的新型惡意軟件,讓企業慢吞吞的防護措施更新更新了個寂寞。
依靠惡意軟件特征碼和黑名單抵抗這些快速變化的攻擊已經沒什么效果了。因此,安全運營中心(SOC)工具包現在主要圍繞威脅檢測和調查展開。如果攻擊者能夠繞過最初的攔截,你就只能指望這些工具在攻擊鏈的某個節點捕獲他們了。如今,各家企業的數字化架構都植入了記錄任何潛在惡意的安全控制措施。安全分析師梳理這些日志,確定哪些東西值得深入調查。
這種方式有效果嗎?我們不妨看看以下數據:
● 76%的安全團隊表示,由于人手不足,他們無法達成自己的目標
● 56%的攻擊需要數月乃至更長的時間才能發現
● 攻擊一直在增長:到2025年,全球網絡犯罪損失預計將達到10.5萬億美元
很明顯,我們需要改變。檢測技術自有其重要性,投資檢測技術沒有錯,但肯定是過于重視了。
企業需要重新將威脅預防放到首位,其中最主要的就是零信任,即基本假定自身預防控制措施已經失效,隨時處于遭活躍入侵狀態。
端點只是起點
盡管很多類安全控制措施都例證了檢測優先安全策略的漏洞,但我們特別關注其中一個很流行的類別:端點檢測與響應(EDR)。
EDR像野火一樣迅速風靡,目前已經是一項價值20億美元的產業,年復合增長率(CAGR)還高達25.3%。說起來也很合理:大多數攻擊都始于端點,而如果能在攻擊鏈早期就檢測出攻擊,那確實可以最大限度地降低攻擊的影響。優秀的EDR解決方案還能夠提供豐富的端點遙測數據,有助于推進調查、合規,以及查找和封堵漏洞。
端點安全是值得投資的領域,也是零信任的重要組成部分,但代表不了全部。盡管供應商宣稱“擴展”檢測與響應(XDR)能夠整合整個企業的數據,但此類解決方案自身并不能提供深度防御。EDR用殺毒軟件(AV)阻止已知惡意軟件,但它們通常會放過所有其他流量,依靠數據分析來最終檢測出AV漏掉的那些。
所有工具都有各自的短板,EDR也不例外,因為:
并非所有攻擊都始于端點。互聯網就是個新網絡,而大多數企業都有各種各樣的數據和應用分散在多個不同云端。企業還經常會使用VPN和防火墻之類可從互聯網路由的設備。暴露出來的任何東西都容易遭到攻擊。Zscaler ThreatLabz研究團隊發現,基于SSL的攻擊有30%都藏身于AWS、Google Drive、OneDrive和Dropbox等基于云的文件共享服務中。
不是所有端點都是托管的。EDR依靠安裝在每個IT托管設備上的代理,但這并未考慮到非托管端點可能觸及企業數據或網絡的無數場景:物聯網(IoT)和運營技術(OT)設備、用于工作的個人(BYOD)端點、可訪問數據的第三方合作伙伴和承包商、最近的并購,甚至到你辦公室用Wi-Fi的訪客。
EDR是可被繞過的。所有安全工具都有各自的弱點,EDR也被證明用幾種常見技術就可輕松繞過,比如利用系統調用。攻擊者會用加密和代碼混淆技術自動生成新的PDF文件、Microsoft 365文檔和其他文件,這些文件能夠修改惡意軟件指紋,繞過傳統網絡安全模型,躲過檢測。
現代威脅動作真的很快。今天的勒索軟件加密數據的速度實在太快,基于檢測的技術完全無法發揮作用,而且任何潛在網絡罪犯幾乎都能在暗網上買到所有這些勒索軟件。LockBit v3.0可以在一分鐘內加密2.5萬個文件,而且它甚至還不是最快的勒索軟件。與之形成鮮明對比的是,檢測和緩解入侵的平均時間是280天。這耗時,足夠LockBit加密100多億個文件了。
內聯安全
沒錯,基于特征碼的殺毒軟件技術確實不再足以阻止復雜攻擊。但同樣真實的是,檢測技術背后同樣基于AI的數據分析可以(也必須!)用于預防而不僅僅是檢測,如果這些技術以內聯方式提供的話。這種預防策略需要考慮企業的整個基礎設施,而不僅僅是端點或整個架構中的其他某一部分。
沙箱就是可以用這種方式部署的典型安全工具之一。沙箱在安全的隔離環境中分析可疑文件和URL,可提供對復雜未知威脅的實時防護。內聯(而非直通)部署沙箱意味著文件在解決方案給出判斷之前無法繼續執行既定操作。
Zscaler Zero Trust Exchange平臺的云原生代理能夠檢查所有流量以確保安全訪問,無論流量是加密的還是非加密的。作為代理,該平臺的多層控制措施——包括集成的高級沙箱,全都以預防優先的方式內聯提供。
案例研究
花20分鐘快速部署Zscaler Cloud Sandbox后,客戶的IT和安全團隊即可接收人工智能(AI)驅動的即時裁斷,然后將91%的文件安全交付給用戶。其余未知文件被轉入深度動態分析,結果顯示5%的文件含有惡意軟件或惡意企圖。出于整體一致的防護目的,這些惡意文件不會發往其目標用戶和所有Zscaler的全局用戶及設備。
用Zscaler的云原生內聯沙箱補充企業的檢測技術可以獲得以下好處:
AI驅動的實時零日威脅防護
Zscaler采用的高級機器學習算法由日處理3000億事務的全球最大安全云持續改進。這些算法分析實時分析可疑文件和URL,檢測并阻止潛在威脅,防止造成損害。
整個過程始于預過濾分析:對照40+威脅源、殺軟特征碼、哈希黑名單和YARA規則檢查文件內容,找尋已知入侵指標(IOC)。通過減少需要進一步分析的文件數量,AI/ML模型得以更為有效地執行。如果初步分類后文件依然未知或可疑,Zscaler Sandbox會將之投入穩健的靜態、動態和二次分析,包括可以檢測高級規避技術的代碼和二次載荷分析。分析完成后會生成一份附帶威脅評分和可操作裁斷的報告,根據策略配置來阻止惡意和可疑文件。
可伸縮性
云的最大賣點之一是能夠快速擴展或收縮,滿足大中小型企業的需求。部署在云端的安全控制措施自然更易于配置和管理,企業能夠靈活適應不斷變化的安全需求。
成本降低
成本是決定諸多安全策略的主要因素之一,以多種形式呈現:用戶生產力、運營效率、硬件成本等等。但值得注意的最大成本是遭入侵的損失。如果能夠防止攻擊,企業就可以消除宕機時間、聲譽損失、業務損失和修復成本,而單次攻擊很容易就能讓這些成本加起來高達七位數。企業戰略集團(ESG)的研究發現,使用Zero Trust Exchange的企業平均減少了65%的惡意軟件,勒索軟件削減量為85%,數據泄露減少了27%,總投資回報率達到了139%。
全面威脅防護
Zero Trust Exchange可提供全面的威脅預防、檢測和分析功能,為企業帶來跨所有位置、用戶和設備的統一安全控制策略。Zscaler Sandbox能夠在任意位置分析文件,而不僅僅是在端點上,且還集成了一系列附加功能,例如DNS安全、瀏覽器隔離(針對無文件攻擊)、數據防泄露、應用及工作負載安全、防騙等等。運用這些功能,企業便可獲得自身安全態勢的完整視圖和安全團隊尋求的深度防御。
預防優先
在與攻擊者的軍備競賽中,安全團隊需要更為重視內聯安全控制而非直通檢測技術。除非確定是良性的,否則文件不應放入端點或網絡中,因為一旦文件最終被證明是惡意的,那就很有可能在傷害造成之后才會發現了。
