對(duì)10種高級(jí)終端防護(hù)產(chǎn)品進(jìn)行廣泛測(cè)試后,一系列業(yè)界趨勢(shì)浮現(xiàn)出來(lái):
1. 病毒簽名已過(guò)時(shí)
近幾年來(lái),在網(wǎng)上充斥的幾乎自動(dòng)化的病毒構(gòu)建包面前,為每個(gè)病毒賦予一個(gè)唯一簽名的做法實(shí)在不夠看。今天的很多高級(jí)終端防護(hù)產(chǎn)品,都利用報(bào)告最新攻擊的安全新聞反饋,比如VirusTotal.com和其他信譽(yù)管理服務(wù)。有些產(chǎn)品,比如CrowdStrike,與大量安全和日志管理工具集成,以便在發(fā)現(xiàn)攻擊趨勢(shì)上更有效。
2. 跟蹤可執(zhí)行程序已成明日黃花
惡意軟件早期,漏洞利用包通常都會(huì)在終端上留下某種載荷或殘留:文件、注冊(cè)表鍵什么的。后來(lái),壞人也進(jìn)修升級(jí)了,惡意進(jìn)程運(yùn)行在內(nèi)存中,幾乎追蹤不到它們的活動(dòng),或者隱藏在PDF或Word文檔中,要不干脆就強(qiáng)制用戶瀏覽器訪問(wèn)包含有Java漏洞利用代碼的釣魚(yú)網(wǎng)站。
今天的黑客則更為高端,利用 Windows PowerShell 建立遠(yuǎn)程命令shell,傳遞文本命令,幾乎不留痕跡地入侵終端。為有效應(yīng)對(duì)這一新型入侵行為,今天的防護(hù)產(chǎn)品將目光放在了攻擊者對(duì)終端的影響上:看有沒(méi)有釋放什么文件,包括乍看之下像是良性文本的文件;或者對(duì)Windows注冊(cè)表有沒(méi)有做什么修改。想找出這些并不容易,很多產(chǎn)品都專注于這一領(lǐng)域以防止壞人獲取用戶電腦的控制權(quán)。
3. 產(chǎn)品能否跟蹤權(quán)限提升或其他憑證欺詐活動(dòng)?
在安裝SQL服務(wù)器或其他什么產(chǎn)品時(shí),有時(shí)候會(huì)留下一些使用了默認(rèn)設(shè)置的合法用戶憑證,現(xiàn)代攻擊者便會(huì)試圖利用這些憑證滲透公司網(wǎng)絡(luò),然后再提升權(quán)限,成為域管理員或其他擁有更高網(wǎng)絡(luò)權(quán)限的重要用戶。
4. 內(nèi)部人威脅愈加致命,封鎖他們也變得更為艱難
傳統(tǒng)殺毒防護(hù)產(chǎn)品不起作用的原因之一,便是因?yàn)楣粽呖梢詮囊郧靶湃蔚慕K端,獲取到公司內(nèi)部網(wǎng)絡(luò)的訪問(wèn)權(quán),從而大搞破壞。要封鎖此類行為,今天的工具需要映射內(nèi)部或橫向網(wǎng)絡(luò)活動(dòng),追蹤哪些PC被入侵,并在整個(gè)網(wǎng)絡(luò)陷落前控制住局勢(shì)。
5. 數(shù)據(jù)滲漏愈演愈烈
將私人用戶數(shù)據(jù)或機(jī)密客戶信息弄出公司網(wǎng)絡(luò)就是所謂的數(shù)據(jù)滲漏。不用舍近求遠(yuǎn),看看索尼或塔吉特,就知道EDR工具不得不處理的是什么了。能追蹤這些滲漏的工具還更有用些。
6. 很多工具都采用大數(shù)據(jù)和云分析來(lái)追蹤網(wǎng)絡(luò)活動(dòng)
傳感器和代理如此緊湊的原因之一,是很多重要功能都放在云端,云端是實(shí)現(xiàn)大數(shù)據(jù)技術(shù)和數(shù)據(jù)可視化以發(fā)現(xiàn)并封鎖潛在攻擊的地方。SentinelOne和 Outlier Security 使用這些技術(shù)實(shí)時(shí)關(guān)聯(lián)用戶整個(gè)網(wǎng)絡(luò)中的數(shù)據(jù)。
7. 攻擊報(bào)告標(biāo)準(zhǔn),比如CEF、STIX和OpenIOC,正被集成到今天的終端防護(hù)產(chǎn)品中
SentinelOne是例子之一。這是個(gè)頗受歡迎的發(fā)展,更多產(chǎn)品有望朝著這一方向前進(jìn)。