您认为公司中最重要的事情是确保公司网络外围和服务器基础结构的安全吗? 这仅部分是正确的:现在仅在公司未应用最严格的IS规则,站点的``白名单'',仅纸质信函和计算机上的USB端口密封且不允许智能手机进一步接收的情况下,原则上不可能创建安全边界。 如果这与您的公司无关,请紧记:今天,终端设备已成为主要风险区域,仅防病毒保护还不够。 是的,防病毒软件将阻止使用危险文件解压缩存档,并且浏览器将禁止访问受感染的站点,但是对于许多威胁,基本保护包都无能为力。 接下来,我们将讨论其中的一些-以及如何保护它们。
公司的常规防病毒软件无法处理的内容-
无文件攻击 。 防病毒软件无法在渗透到系统的阶段就检测到直接落入RAM的恶意PowerShell脚本-这些脚本不是可执行程序,而只是在现有外壳(如OS PowerShell)中运行的基于文本的命令集。 为了避免在关闭计算机时消失,木马会在注册表中注册其命令。
用传统方法无法检测到无文件攻击-木马可以将恶意脚本存储在DNS资源记录的TXT文件中。 根据趋势科技
2018年年中安全综述 ,全球无文件攻击的数量正在增长:2018年1月,记录了24,430起事件,6月-超过38,000起。
-
在未更新的OS中利用漏洞 。 操作系统更新修复了已知漏洞,并且已经可以为其编写漏洞利用程序。 在将更新部署到成千上万台计算机之前,您应该首先对其进行测试-有时更新包含错误,由于某些计算机暂时无法运行,因此错误。 将更新安装任务转移到用户的肩膀上是确保通过可选或无能的雇员的错误造成网络漏洞的可靠方法。
耸人听闻的WannaCry和NotPetya过去曾散布Windows的漏洞,爆发前两个月就关闭了更新:2017年1月16日出现了第一个WannaCry修订版,2017年3月14日,Microsoft在所有当前版本的Windows中分发了SMB协议补丁,而传奇性的流行才刚刚开始5月12日。 勒索软件渗透到用户的计算机中后,计算机仍未更新,从而在公司网络内部传播,使公司的活动陷于瘫痪。 为什么大型公司中成千上万的公司计算机在两个月内都没有Windows的重要更新,而这是有关服务的一个严重问题。
-
移动设备 。 尽管在Play Market和App Store上发布之前先检查应用程序,但间谍软件甚至矿工通常都被固定在所谓有用的程序上。 例如,对283个适用于Android的VPN应用程序的分析显示,其中43%包含有害广告,17%具有恶意功能,29%是Trojan模块的来源,6%VPN中包含潜在危险的软件,另有
5%间谍为他们的用户 。
-
不了解信息安全基本原理的员工 。 任何公司的信息安全中的主要漏洞仍然是员工,或者说,他们
对信息安全原理的无知 。 没有一种病毒能够像工作人员为了自己的工作方便而下载程序一样,以同样的优雅和效率带走重要的信息和文档,结果证明这是恶意的。
如何保护端点日益复杂的威胁使传统的防御方法无效。 仅防病毒软件还不足以防止数据泄漏或入侵者进入网络,而安装多个高度专业化的解决方案通常会导致冲突和错误。 此外,设置和维护多个安全程序的协作并非易事。 需要一个集成的解决方案,该解决方案将使用户能够舒适地执行其工作功能,但同时又要确保公司信息资产的安全性。
理想的保护措施应该是:
- 多平台-适用于所有流行的台式机和移动操作系统; 这对于具有BYOD政策并具有远程工作能力的公司而言尤其重要。
- 自动-在无需用户干预的情况下检测威胁并做出响应;
- 知识分子-不仅使用传统的基于签名的签名,还使用行为分析,以确保检测到文件和无文件恶意软件;
- 集中管理-管理员应实时查看所有受保护设备的状态,并能够根据设备的位置更改安全设置;
- 提供与行为分析系统的集成以及调查事件的能力;
- 控制终端设备上的应用程序,以保护公司网络免受恶意程序的攻击和来自组织网络设备的有针对性的攻击。
EPP(端点保护平台)类的传统解决方案可以很好地保护用户设备免受已知威胁的侵害,但是对于最新类型的攻击,它们的处理能力要差得多。 他们成功地解决了在单个设备上修复事件的问题,但是,通常,他们无法识别这些事件是复杂的集成攻击的片段,将来可能对组织造成严重破坏。 几乎没有自动事件分析的功能。 因此,公司开发了EDR(端点检测和响应)类的解决方案。
现代EDR解决方案的工作原理
让我们以趋势科技Apex One为例,看看端点保护解决方案的工作方式。 该产品是已经众所周知的防毒墙网络版端点安全解决方案的重要替代。
Apex One的主要功能之一就是多阶段端点保护,它不允许恶意软件在网络中传播,影响计算机的性能并窃取敏感数据。 该解决方案可立即阻止物理和虚拟台式机以及便携式计算机在网络上和外部的零日威胁。
Apex One到底能做什么?-防御高级威胁:- 防止在发布修订包之前使用已知和未知漏洞渗透系统的可能性;
- 保护不再提供修订包的不受支持的旧操作系统。
- 自动评估风险并建议激活每个单独设备所需的虚拟补丁程序;
- 根据设备的位置动态更改安全设置;
- 保护终端设备,对网络带宽,用户生产力和生产力的影响最小。
-阻止无效类型的网络流量:- 应用过滤器来通知某些流量类型并阻止它,例如即时消息和视频流;
- 使用深入的数据包检查来识别可能对应用程序有害的流量;
- 过滤出禁止的网络流量,并通过监视连接状态检查允许的流量;
- 检测在非标准端口上使用众所周知的协议隐藏的恶意流量;
- 防止后门进入公司网络。
-及时保护:- 在发布和安装官方修订包之前提供保护;
- 保护操作系统和典型应用程序免受已知和未知的攻击。
-促进现有基础架构中的部署和管理:- 简化的控制面板可以方便地在每个用户的上下文中进行详细的环境控制和监视。
- 漏洞评估是基于Microsoft安全公告,CVE数据和其他来源的。
现在我们将告诉(并展示)它是如何工作的有关端点和威胁状态的所有信息都在一个Apex Central面板中收集。 分析师有机会在每个用户的上下文中进行详细监视,并管理策略。 一个面板可让您控制本地,云和混合环境。 它还可以从本地“沙盒”或趋势科技云安全智能防护网络基础架构访问操作信息,该基础架构使用来自全球的基于云的威胁数据,并通过在威胁到达计算机之前对其进行阻止来提供实时信息安全性。
单个面板允许您不在控制面板之间切换。 在这里,您可以看到集成的检测和反应如何在单个管理器中反映出来。 它还提供与EDR调查,自动检测和对威胁的响应的统一集成。
影响规模分析:
- 恶意IP被阻止,因为它已经被检测到(红色)(1)
- “零病人。” 未知(橙色)并且未被阻止(2)
- “零病人”被隔离,并且开始寻找根本原因(3)
使用趋势科技全球威胁信息找到根本原因:
-红色(“不良”);
-橙色(“可疑”);
-黑色(“令人满意”)
有反应选项:
-停止执行;
-发布威胁信息;
-调查
Apex One Endpoint Sensor会考虑
上下文,监视终端设备上的安全状态
,记录系统级操作并生成安全防护报告,以便您可以快速评估网络上的攻击规模。 其中包括Endpoint Sensor监控高级威胁,例如臭名昭著的无文件攻击。 使用EDR,您可以使用OpenIOC,Yara和可疑对象等条件在所有终端设备上执行多级恶意软件搜索。 还提供了针对无文件攻击的保护。
即使恶意软件已渗透到服务器端扫描系统中,趋势科技用户保护技术也将在使用机器学习运行可执行文件之前检查该可执行文件。 开始时,将开始基于机器学习的行为分析。 然后使用“沙箱”中的分析-根据检查结果,应用程序开始工作或被阻止。 此外,出于安全目的,整个计算机可能会自动在网络上被阻止,以定位恶意软件并阻止其渗透到网络中。
Apex One使用趋势科技漏洞保护技术,即使没有修补程序更新,该技术也可以保护所有网络终端设备不受攻击。 为此,Apex One集中分析流量中的漏洞/漏洞,服务攻击,Web恶意软件和非法流量。 同时,扫描是高速进行的,Apex One的工作实际上并不影响网络本身的速度。
如何提供漏电保护Apex One中另一个有用的模块是Data Loss Prevention。 它监视和控制所有可能的通信通道上的内容传输,以防止数据泄漏。 您可以记录或限制USB记忆棒,CD / DVD,奇异的IR发射器,PCMCIA设备,调制解调器,云存储和邮件服务器的使用。 在使用即时通讯程序和大多数网络协议(例如HTTP / HTTPS,FTP和SMTP)中,在与邮件客户端一起使用时以及通过基于Web的邮件界面都可以控制数据转发。
Data Loss Protection具有用于识别包括存档文件在内的300多种文件类型的模板,其余数据类型由特定的模板,公式和位置确定。 您也可以自己创建一个数据标识符。
最后,“最聪明”的保护可控制剪贴板,剪贴板中的粘贴以及生成的屏幕截图。 正确设置数据丢失保护后,可以大大减少从公司中删除有价值的数据的可能性。
奖金:MDR-订阅安全性在当前环境下,维持一支庞大的信息安全团队已成为一种奢望。 同时,正确评估网络攻击造成的损害,制定消除威胁并防止重复攻击的行动计划非常重要-经过“优化”后留下的员工不太可能会抽出时间进行此类调查。
趋势科技可管理的检测和响应功能可以帮助您解决Apex One威胁检测和响应管理服务。 MDR是趋势科技专业人员的远程团队,可以全天候监控客户网络上的安全性。 对于那些没有能力支持大量安全人员或缺乏高素质员工的公司来说,这是一个很好的解决方案。
MDR服务监视日志以识别重要通知,对其进行检查,然后将威胁信息报告给客户。 使用来自端点的数据,MDR团队将检测根本原因和攻击媒介,并评估其后果。 客户始终可以向专家团队提出问题,以得到澄清和解释。 MDR将制定详细的行动计划以从攻击中恢复。
订阅包括跟踪端点和网络,服务器,甚至打印机和物联网。
实际上,趋势科技MDR可以完成专业配备的信息安全部门的所有工作。 但是远程,全天候和通过订阅。