从 “RSAC创新沙盒2019” 看终端安全

发布者:绿盟科技
发布于:2019-03-18 21:22

RSA2018掀起的安全浪花似乎还未平息,RSA2019又于3月4日在美国旧金山开幕。在这带有“网络安全风向标”头衔的创新沙盒环节中,10家入围的网络安全厂商犹如“八仙过海,各显神通”,展现各自看家本领,其中包括资产管理、身份与特权管理、硬件及固件威胁预防、应用安全等。众多的创新技术,给终端安全带来新的启发和解决思路。

 

1 终端成为安全的 “宠儿”

回顾2016年RSA会议时,似乎就释放出“终端强势回归,检测响应兴起”的信号,预示EDR(Endpoint Detection and Response)的将获得安全界的新宠。无独有偶,EDR持续入围Gartner 16/17年发布的新技术项目趋势。而在2018新项目中,如“CARTA-Inspired Vulnerability Management Project”、“Privileged Account Management Project”等涉及众多的终端相关的安全技术,预示终端安全的内涵逐渐扩大,向平台侧倾斜。

在本年度的RSAC创新沙盒比赛中,进入Top 10的公司都是安全行业中最大胆的创新者。在过去的5年中,Top 10的决赛选手已经获得超过20.5亿美元以上的投资。



Top10厂商中涉及资产管理、DevOps、云安全、数据安全和固件安全等多种强化终端安全的技术。本届被冠以“最具创新性”公司头衔的AXONIUS聚焦于网络安全资产管理平台,主要帮助用户进行资产管理、应用管理和补丁管理等,确认是否符合该单位的安全保护要求,解决传统环境或技术产品的短板,强化终端的有效保护。

从攻击者的角度来说,无论发起多么复杂的攻击,在网络中经历了多少环节,采用了多少高级的技术,这些攻击动作必须通过某一个或多个终端才能完成。正是终端是大多数安全事件发生过程的跳板、目标或者发生地,终端成为了安全的主战场。尽管终端上运行着账户管理、杀毒软件等基础防护,但仍存在安装效率低、盲区大的问题。此外,对越发复杂的APT攻击,仅依靠单一终端信息难以察觉。这些问题需要联合众多终端的数据与安全能力,进行统一平台安全分析与管理,以提供全面、精细的事件检测与安全响应。正如Gartner在2018《Magic Quadrant for Endpoint Protection Platforms (EPP)》报告中说明那样,终端保护平台应能够自适应安全事件和告警动态变化,提供自动化、精心策划的事件调查和违规响应能力。

2 一切为了安全

不谋全局者,不足谋一域。不谋平台者,不足谋一端。所有的筹谋皆是为了安全。从平台的视角,看待终端侧安全,其内涵极其丰富。数据集中控制与分析、策略的分级与部署、边缘的检测与响应均可为终端安全添砖加瓦。

美国国家标准和技术研究所(NIST)在2014年发布的《Framework for Improving Critical Infrastructure Cybersecurity》报告中,指出系统层面保障信息安全的五大类高度抽象活动,包括:Identify-Protect-Detect-Respond-Recovery,为实现特定安全需求提供了指导。研究企业组织的业务功能,充分识别系统、人员、资产、数据、能力等的风险,是充分理解和保护企业安全的基石。从创新沙盒Top 10的厂商看,AXONIUX厂商提供了极具创新性的资产管理平台,为我们在资产的管理方面提供可借鉴的思路。对于发现的各风险,进行提前防护,有助于增强平台和终端安全能力,限制潜在安全事件的影响。在这些方面,eclypsium、Salt Security、ShiftLeft等厂商针对不同的潜在威胁对象进行深入、细致的研究,给出了具有市场潜力的保护实现方案。在检测与响应方面,基于全流量侧的检测占据主流地位,丰富的终端内数据未充分利用。基于检测分析的安全态势,进行简单的自动响应以及人在环路的取证和补救。CAPSULE8、DisruptOps在精确检测和自主响应上取得了具有广泛应用前景的成果,加速了安全服务自动化真正落地与投入应用的步伐。

尽管在很多安全技术方面,取得了可喜的进步和成果,但仅依靠单一的安全技术或能力仍然无法保证充分的安全。安全是一个相对的概念,实现客户投入与安全能力的平衡是所期望的。在一定的成本下,如何整合各方安全能力,实现最大安全能力正是我们所追求的。正如NIST发布的《System Security Engineering》指出的网络安全是一个系统概念一样,如何从系统平台侧看终端侧安全,在成本等约束条件下,充分利用终端侧资源,整合单点安全能力,最大化系统平台的安全能力,实现潜在威胁攻击影响的最小化是一个不容易并且需要长期探索的问题。

3 终端安全任重道远

站在防御者的角度,安全技术的探索和防护永远都是投入不足的。终端安全问题仍然任重道远。未来的终端安全体系或许具备如下特征:

l 如数字化工厂标准《IEC 62794》对资产从Construction、Function、Performance、Location、Business方面描述一样,建立覆盖资产大多数(全)维度属性的自动化高效资产管理平台是有必要的;

l 针对攻击不断发展、特征多样的特点,防护立足于平台或终端自身的各种属性和行为,进行持续的监控,充分利用流量侧、终端侧等多源数据进行大数据安全分析,主动发现入侵影响并做出响应;

l 配合适当的权限管理,有效整合边缘终端能力和策略集中分析与分级部署能力,实现不同自主度、不同力度、不同及时度的平台或终端的敏捷响应能力,以保障足够的安全弹性;

这样的终端安全体系,必须具备至少3种能力:对平台和终端知识的全面理解和灵活掌控、对已知威胁的精确感知和敏捷响应、对未知可疑活动的及时发现与主动拦截。多(全)维度属性的资产管理贯穿于其中,提供坚实的数据支撑;自动化资产发现、主机风险态势识别、多维度的可视化,帮助客户快速精准定级风险,降低运维成本;全面事件活动轨迹记录,用户可迅速还原事件发生过程,形成完整事件证据链,确认相关责任人;综合多源数据的精确检测和供应多种策略的灵活响应,提升防护的精准度,降低企业安全风险。

面对终端安全的新态势,绿盟科技推出新一代终端安全防护产品:绿盟终端检测与响应系统(绿盟EDR:NSFOCUS Endpoint Detection and Response)。该系统采用主动防御和横向对比模式,使企业的防御模式从静态、被动、基于规则的防御,逐渐转变为主动、动态、自适应的弹性防御,帮助客户降低企业安全风险、溯源安全事件、提高运维效率,全面提升企业的安全防御能力。



声明:该文观点仅代表作者本人,转载请注明来自看雪