對10種高級終端防護(hù)產(chǎn)品進(jìn)行廣泛測試后,一系列業(yè)界趨勢浮現(xiàn)出來:
1. 病毒簽名已過時
近幾年來,在網(wǎng)上充斥的幾乎自動化的病毒構(gòu)建包面前,為每個病毒賦予一個唯一簽名的做法實在不夠看。今天的很多高級終端防護(hù)產(chǎn)品,都利用報告最新攻擊的安全新聞反饋,比如VirusTotal.com和其他信譽(yù)管理服務(wù)。有些產(chǎn)品,比如CrowdStrike,與大量安全和日志管理工具集成,以便在發(fā)現(xiàn)攻擊趨勢上更有效。
2. 跟蹤可執(zhí)行程序已成明日黃花
惡意軟件早期,漏洞利用包通常都會在終端上留下某種載荷或殘留:文件、注冊表鍵什么的。后來,壞人也進(jìn)修升級了,惡意進(jìn)程運行在內(nèi)存中,幾乎追蹤不到它們的活動,或者隱藏在PDF或Word文檔中,要不干脆就強(qiáng)制用戶瀏覽器訪問包含有Java漏洞利用代碼的釣魚網(wǎng)站。
今天的黑客則更為高端,利用 Windows PowerShell 建立遠(yuǎn)程命令shell,傳遞文本命令,幾乎不留痕跡地入侵終端。為有效應(yīng)對這一新型入侵行為,今天的防護(hù)產(chǎn)品將目光放在了攻擊者對終端的影響上:看有沒有釋放什么文件,包括乍看之下像是良性文本的文件;或者對Windows注冊表有沒有做什么修改。想找出這些并不容易,很多產(chǎn)品都專注于這一領(lǐng)域以防止壞人獲取用戶電腦的控制權(quán)。
3. 產(chǎn)品能否跟蹤權(quán)限提升或其他憑證欺詐活動?
在安裝SQL服務(wù)器或其他什么產(chǎn)品時,有時候會留下一些使用了默認(rèn)設(shè)置的合法用戶憑證,現(xiàn)代攻擊者便會試圖利用這些憑證滲透公司網(wǎng)絡(luò),然后再提升權(quán)限,成為域管理員或其他擁有更高網(wǎng)絡(luò)權(quán)限的重要用戶。
4. 內(nèi)部人威脅愈加致命,封鎖他們也變得更為艱難
傳統(tǒng)殺毒防護(hù)產(chǎn)品不起作用的原因之一,便是因為攻擊者可以從以前信任的終端,獲取到公司內(nèi)部網(wǎng)絡(luò)的訪問權(quán),從而大搞破壞。要封鎖此類行為,今天的工具需要映射內(nèi)部或橫向網(wǎng)絡(luò)活動,追蹤哪些PC被入侵,并在整個網(wǎng)絡(luò)陷落前控制住局勢。
5. 數(shù)據(jù)滲漏愈演愈烈
將私人用戶數(shù)據(jù)或機(jī)密客戶信息弄出公司網(wǎng)絡(luò)就是所謂的數(shù)據(jù)滲漏。不用舍近求遠(yuǎn),看看索尼或塔吉特,就知道EDR工具不得不處理的是什么了。能追蹤這些滲漏的工具還更有用些。
6. 很多工具都采用大數(shù)據(jù)和云分析來追蹤網(wǎng)絡(luò)活動
傳感器和代理如此緊湊的原因之一,是很多重要功能都放在云端,云端是實現(xiàn)大數(shù)據(jù)技術(shù)和數(shù)據(jù)可視化以發(fā)現(xiàn)并封鎖潛在攻擊的地方。SentinelOne和 Outlier Security 使用這些技術(shù)實時關(guān)聯(lián)用戶整個網(wǎng)絡(luò)中的數(shù)據(jù)。
7. 攻擊報告標(biāo)準(zhǔn),比如CEF、STIX和OpenIOC,正被集成到今天的終端防護(hù)產(chǎn)品中
SentinelOne是例子之一。這是個頗受歡迎的發(fā)展,更多產(chǎn)品有望朝著這一方向前進(jìn)。