端點安全面臨“零信任”變局

很多企業在嘗試用零信任方法強化其落后的端點安全，防止網絡攻擊者使用惡意腳本和PowerShell攻擊繞過端點安全控制，因為網絡攻擊越來越難以檢測和防御。根據Tanium最近的一項調查，55%的網絡安全和風險管理專業人士估計，超過75%的端點攻擊無法被他們當前的網絡安全系統阻止。

端點安全缺乏零信任

網絡攻擊者善于發現端點、混合云配置、基礎設施和支持它們的API中的漏洞。Dark Reading的2022年調查“企業如何計劃應對大流行后的端點安全威脅”發現，絕大多數企業（67%）改變了端點安全策略以保護虛擬勞動力，而近三分之一（29%)受訪企業沒有通過補丁管理和代理更新保持端點的更新。

調查還發現，雖然36%的企業擁有一些端點控制，但很少有企業擁有對每個設備和身份的完整端點可見性和控制。因此，正如CyCognito的攻擊面保護布道者Jim Wachhaus在一次采訪中指出的，IT部門在任何時間都無法識別其位置或狀態的端點占比多達40%。

企業也在努力嘗試在其網絡的所有端點上實施零信任網絡訪問(ZTNA)。68%的受訪企業計劃開發新的安全控制或實踐來支持零信任，52%的人承認需要改進最終用戶的培訓。企業IT團隊往往被項目壓得喘不過氣來，因此為零信任制定安全策略和控制措施是一項艱巨的挑戰。

補丁管理落后導致端點成為一種負擔

根據Ivanti的研究，71%的安全和風險管理專業人員認為打補丁過于復雜和耗時。此外，62%的人承認他們在補丁管理方面存在拖延，從而導致其被其他項目取代。在Ivanti的補丁管理挑戰報告中，接受采訪的安全和風險管理專業人士表示，支持虛擬團隊及其分散的工作空間使補丁管理更具挑戰性。例如，網絡攻擊者可以利用補丁管理中的漏洞在短短72小時內將SAP漏洞武器化。

補丁更新不及時導致勒索軟件攻擊增加

過時的補丁管理方法（例如基于庫存的方法）不足以應對威脅，包括來自勒索軟件的威脅。

與2021年底相比，2022年第一季度與勒索軟件相關的漏洞數量增加了7.6%。根據Ivanti的2022年第一季度指數更新，與勒索軟件相關的漏洞在兩年內從57個飆升至310個。CrowdStrike的2022年全球威脅報告發現，勒索軟件在短短一年內激增了82%。

此外，破壞端點的腳本攻擊持續暴增也是CISO和CIO今年優先考慮端點安全的原因之一。

太多端點代理比沒有更糟糕

IT和安全部門經常會使用過多的代理，結果導致端點過載。新上任的CIO或CISO通常擁有他們個人偏愛的端點保護、端點檢測和響應平臺，并且通常在工作的第一年就實施這些平臺。隨著時間的推移，端點代理蔓延會引入軟件沖突，從而危及IT基礎設施和技術堆棧。

Absolute Software的2021年端點風險報告發現，企業端點平均安裝了11.7個安全控制，每個都以不同的速度衰減，從而產生多個攻擊面。該報告還發現，52%的端點安裝了三個或更多端點管理客戶端，59%的端點至少安裝了一個身份訪問管理(IAM)客戶端。

端點需要提供什么

端點安全和補丁管理是所有零信任項目成功的前提和基礎。選擇正確的端點保護平臺和支持解決方案可以降低網絡攻擊者破壞您的基礎設施的風險。在評估哪些端點保護平臺(EPP)最適合您當前和未來的風險管理需求時，請考慮以下因素。

1.跨企業自有資產和BYOD資產大規模自動化設備配置和部署

使自帶設備(BYOD)端點符合企業安全標準對于當今幾乎所有IT和安全團隊來說都是一項挑戰。因此，端點保護平臺（EPP）需要簡化和自動化配置BYOD端點設備的工作流程，將來自電子郵件、端點、身份和應用程序的威脅數據關聯起來。

2.基于云的端點保護平臺依賴API進行集成

IT和安全團隊需要可以快速部署并支持使用API集成到當前系統中的端點保護平臺。開放式集成API正在幫助IT和安全團隊應對保護端點的挑戰。內置開放API的，基于云的端點保護平臺可用于簡化跨供應商集成和報告，同時提高端點可見性、控制和管理。

3.Gartner預測，到2023年底，95%的端點保護平臺將基于云。

具有開放式API集成的領先云EPP供應商包括Cisco、CrowdStrike、McAfee、Microsoft、SentinelOne、Sophos和Trend Micro等。Gartner最新的端點安全炒作周期圖顯示，當前的零信任網絡訪問(ZTNA)應用程序的設計具有更靈活的用戶體驗和定制化，同時提高了基于角色的適應性，以及“基于云的零信任網絡訪問產品提高了可擴展性和易于采用”。

需要設計端點檢測和響應(EDR)

端點保護平臺提供商看到了整合企業網絡安全支出的潛力，開始提供識別和阻止高級威脅的增值服務。許多領先的EPP提供商在他們的平臺上都整合了EDR，例如BitDefender、CrowdStrike、Cisco、ESET、FireEye、Fortinet、F-Secure、Microsoft、McAfee和Sophos。

包括CrowdStrike在內的市場領導者擁有將EDR和EPP代理整合到統一數據平臺上的平臺架構。例如，依靠單一平臺使CrowdStrike的Falcon X威脅情報和威脅圖數據分析能夠識別高級威脅，分析設備、數據和用戶活動，并跟蹤可能導致違規的異常活動。

許多CISO可能會同意網絡安全是一個數據密集型流程，EDR提供商必須證明他們可以經濟有效地擴展分析、數據存儲和機器學習(ML)。

融入平臺核心架構中的自我修復端點

IT和安全團隊需要將自我修復端點集成到EPP和EDR平臺中，以實現端點管理自動化。這既節省了時間又提高了端點安全性。例如，在沒有人工干預的情況下使用自適應智能，設計有自我診斷功能的自我修復端點可以識別并立即采取行動來阻止攻擊企圖。自我修復端點可以自動關閉，驗證其操作系統、應用程序和補丁版本，然后將自身重置為優化配置。Absolute Software、Akamai、Blackberry、Cisco、Ivanti、Malwarebytes、McAfee、Microsoft 365、Qualys、SentinelOne、Tanium、Trend Micro、Webroot和許多其他公司都宣稱可以提供自我修復端點技術。

Forrester高級分析師Andrew Hewitt指出：“大多數自我修復固件都直接嵌入到OEM硬件本身中。”

Hewitt補充說：“自我修復需要在多個層面上進行：1）應用；2）操作系統；3)固件。其中，嵌入在固件中的自我修復將被證明是最重要的，因為它將確保端點上運行的所有軟件，甚至是在操作系統級別進行自我修復的代理，都可以有效地運行而不會中斷。”

勒索軟件攻擊將繼續考驗端點安全性

網絡攻擊者希望繞過脆弱或壓根不存在的端點安全措施，侵入IAM和PAM系統以控制服務器訪問，獲得管理員權限并橫向移動到高價值系統。

2022年上半年，勒索軟件攻擊同比增長80%，排名前11的勒索軟件家族中有8個使用勒索軟件即服務，雙重勒索勒索軟件增長近120%。此外，Zscaler ThreatLabz報告發現，與2021年相比，針對醫療企業的雙重勒索攻擊增長了近650%。

強制執行最低特權訪問，將機器和人類身份定義為新的安全邊界，并且至少啟用多因素身份驗證(MFA)對于改善端點安全至關重要。