對於網路安全,沒有單一解決方案可以抵禦組織面臨的各種威脅。為了提供更全面的保護,硬體和軟體的組合可提供多層安全措施,以保護網路免於遭受各種威脅。對於任何組織而言,審慎選擇、實施和維護這些工具所需的時間、成本和人力都是一筆龐大的投資。但是,處於網路環境內的設備不一定永遠在網路邊界內,而且網路保護功能不一定適用於這些設備。如果無法使用正確的安全解決方案產品保護端點,這些設備便會繞過周邊安全措施,而將外部威脅引入環境中。錯誤的端點安全產品會抹煞為了保護網路而做的所有努力。
下方是端點應具備的五大功能,用於避免網路安全態勢遭受負面影響:
1.原生整合威脅情報。
根據 2016 年 Ponemon 研究,39% 的受訪者同意,如果組織參與威脅情報共享,則可以阻止所有攻擊。運用全球威脅情報可以擴展單一解決方案的保護功能,達到全球社群共享情報的成效。社群的其他成員遭遇新的攻擊時,該資訊會對外共享,因此所有成員都可以自動偵測已知威脅,並快速識別未知威脅。
網路和端點都應參與威脅情報共享,針對各自環境中的各種裝置不斷運用持續增加的威脅情報。成員也應該相互交換情報,以便在端點上識別和防範的威脅也能夠在網路上予以識別和防範。
然而,威脅情報本身尚不足夠。訂閱情報回饋的大多數組織都淹沒在無法關聯或者轉換為可化為行動之情報的數據中。如果沒有將威脅情報自動轉換為新防護措施的能力,各組織只是徒然獲得愈來愈多無用的數據。環境中的各部份之間沒有可產生和共享該威脅情報的原生整合時,問題會變得更嚴重。除非投入更多人力,否則未經過原生整合且無法自動轉換為新防護措施的情報幾乎毫無用武之地。最終結果只不過是勞師動眾地進行數據分析。
2.抵禦已知及未知的威脅。
對於已知威脅,大多數傳統安全產品會在已知威脅進入組織之前予以偵測。在許多情況下,偵測到未知威脅時,重要資產已經受到損害,這表示偵測強度完全不足,而且為時已晚。此外,雖然攻擊者經常反覆利用現有的惡意軟體和入侵伎倆,但是也會修改現有的攻擊或發動全新的攻擊來逃避偵測。因此使得大量威脅都無法被大多數安全產品偵測到。
在網路或端點上進行偵測和修復相當費時,需要大量人力,而且效率不彰。如果網路和端點都可以防範已知和未知威脅,則可以避免此類問題。在理想情況下,端點安全解決方案的預防功能不應倚賴特徵碼,也不應倚賴以往知道的攻擊或弱點,而應結合各種分析和預防方法來大幅提高效率。
3.自動化。
攻擊者擁有多種自動化、擴充性和專業工具。在 Ponemon 的 2016 年「Economics of a Breach」調查中,68% 的受訪者表示自動化駭客入侵工具更有利於攻擊者成功發動攻擊。整個經濟和市場的存在推動這些工具以實惠的價格擴散。
為了抵禦日益複雜的攻擊,組織採用的單點解決方案通常複雜而且需要大量人力,但成效不彰。為了搶先防範攻擊者,組織必須使發動攻擊更困難且獲利更低。上述調查中的受訪者表明,如果攻擊需要多耗費 40 小時進行,則可以阻止 60% 的攻擊。以可擴充且永續經營方式實現這個目標的唯一方法是自動化防禦。
如果必須派遣安全分析師調查警示,則網路或端點上的偵測無法擴展。自動化使得組織成為較難以攻擊的目標,因為攻擊成功需要花費更長的時間,因此攻擊者無法快速獲得報酬,進而轉移目標到下一個潛在的受害者。
4.提供持續的保護。
使用者變得愈來愈行動化,因此會從組織網路邊界外的全球各地連線至內部資源。無論連線是在線上或離線,還是在內部或外部,所有端點都應該具有相同等級的保護。這些缺乏持久性的防護措施會導致端點遭破壞,而且,無論是否有網路保護,都很可能導致網路遭破壞。在傳統的網路邊界處,許多網路攻擊是以最終使用者和端點為攻擊目標,而且網路在此處沒有完全的可視性,因此端點安全必須擴展到傳統的網路邊界之外。
5.提供網路、端點和雲端活動的全面可視性。
現今的攻擊需要透過多個步驟來達成目標。若要成功防範攻擊,組織必須全面瞭解其網路、端點和雲端的所有使用者、裝置和數據。可視性對於瞭解攻擊的脈絡,在整個網路和端點內實施安全策略,以及關聯安全事件來改善組織的安全態勢,極其必要。對於任何連線方式或位置,原生整合的威脅情報與已知和未知威脅的自動化防禦相結合,都能夠提供持續的保護,因為,協同效應能夠顯著改善組織的安全態勢。對於伺機發動攻擊的駭客而言,此類組織的吸引力會減少,而且目標攻擊成功發動的可能性會大幅降低。
端點安全解決方案選擇錯誤可能會導致端點容易遭受威脅,並會阻礙或抵消為保護網路所做的大量工作。您的端點安全解決方案應持續保護所有端點,而且為組織的其他部份提供其他功能,並增強整體網路安全態勢。
Palo Alto Networks Traps 進階端點防護運用多重方法防禦,而非入侵偵測與事件回應,藉由專門建構的惡意軟體和入侵防範方法來防範已知和未知威脅。作為 Palo Alto Networks Security Operating Platform 一部份的 Traps 整合 WildFire 雲端式威脅分析服務,用於將威脅情報自動轉換為惡意軟體防禦,在威脅可能破壞端點之前預先封鎖威脅。