实现端点安全与网络安全协同工作的 5 种方式

Dec 17, 2018
1 minutes
... views

就网络安全而言,单个解决方案无法防御组织面临的全部威胁。若要实现全面的防护,需要将硬件和软件结合起来,来提供多层安全,从而保护网络免遭各种威胁。精心挑选、实施和维护这些工具所耗费的时间、成本及人力,对于任何组织而言都是一项巨大的投资。然而,网络环境中的相关人员并非总是在外围边界内,网络防护功能也不一定总适用于他们。如果未能使用合适的安全解决方案产品来保护端点,这些人便可能绕过外围安全措施,将外部威胁带入环境中。曾经为保护网络安全付出的努力,有可能会因为采用了错误的端点产品而前功尽弃。

下面介绍端点的五大必备功能,可有效抵御对网络安全态势的负面影响。

 

1.原生集成威胁情报。

根据 2016 年 Ponemon 的一份研究,39% 的受访者认为,如果组织积极分享威胁情报,所有攻击都可被成功阻截。通过采用全球威胁情报,可突破单个解决方案的能力范畴,将防护功能扩展到全球社区的共享情报。当社区的其他成员遇到新的攻击时,会分享该信息,这样所有成员均可自动检测到已知威胁,并快速识别未知威胁。

网络与端点均应参与威胁情报共享,并在各自环境中的设备上持续应用不断增加的威胁情报。它们还应该相互交换情报,以便在端点上识别和防御的威胁也能够在网络上得到识别和防御。

不过,仅仅共享威胁情报还不够。大多数订阅情报来源的组织都淹没在他们无法关联到或转换为可操作情报的数据中。由于无法自动将威胁情报转换为新的保护措施,组织只能购买更多的数据。如果环境中的这两个组成部分之间没有进行原生集成来产生和共享这些威胁情报,问题将变得更加严重。未经原生集成且无法自动转换为新保护措施的情报毫无用处,除非在它身上投入更多的人力成本。最终结果只会是需要大量人员来进行数据分析。

 

2.防御已知和未知威胁。

在某个组织之前,大多数传统安全产品的设计目的都是检测已知威胁。在很多情况下,等到检测到未知威胁时,关键资产已经遭到破坏,检测的作用微乎其微且为时已晚。此外,尽管攻击者通常会重用现有的恶意软件和漏洞利用技术,但是他们也会修改现有的攻击,或创建全新的攻击来规避检测。这让所有威胁都无法被大多数安全产品检测到。

对网络或端点的检测和修复一直都是耗费时间和人力且低效的过程。如果网络和端点能够同时预防已知和未知威胁,便可避免这一问题。在理想情况下,端点安全解决方案的防护功能不应依赖于签名和对攻击或漏洞的预先了解,而是应该纳入各种分析和防护方法,以最大限度提高有效性。

 

3.实现自动化。

攻击者拥有自动化、可扩展性和专业工具可供使用。在 2016 年 Ponemon 的泄漏经济学调查中,68% 的受访者表示,自动化攻击工具让攻击者可以更轻松地成功发起攻击。整个经济体和市场的存在以实惠的价格推动了这些工具的激增。

组织通常采用复杂、耗费人力且看起来效果不佳的单点解决方案,抵御不断增加的复杂攻击。要想战胜攻击者,组织必须使成功发起攻击这件事变得更具挑战性、可获得的利润更低。前述调查中的受访者称,如果执行攻击的时间再延长 40 小时,60% 的攻击均可被阻止。以可扩展和可持续的方式实现此目标的唯一方法便是自动化预防。

如果必须指派安全分析师去调查警报情况,则对网络或端点的检测不具有扩展性。自动化可延迟攻击获得成功和回报,促使攻击者将矛头转向下一个潜在受害者,这样可让组织成为更加难以攻击的目标。

 

4.提供持续性防护。

如今,用户的移动性越来越高,他们会通过全球各地的位于组织网络边界之外的位置连接到内部资源。所有端点都应获得相同级别的保护,无论它们处于联机还是脱机状态,位于本地还是异地。若没有这些持续性防护,端点就很容易受到侵害,网络很有可能也会受到入侵,即便网络防护措施已经部署到位。端点安全必须扩展到传统网络边界以外,考虑到成为网络攻击目标的许多终端用户和端点,以及没有完整可视性的网络。

 

5.针对网络、端点和云中的活动提供全面可视性。

现代化攻击会通过多个步骤来实现它们的目标。想要成功预防攻击,组织必须对其网络、端点和云中的所有用户、设备和数据拥有全面可视性。必须拥有这种可视性,组织才能了解攻击的情境,在网络和端点中实施安全策略,并关联各个安全事件以改善组织的安全态势。若将原生集成的威胁情报与已知和未知威胁自动预防功能相结合来提供持续性防护,无论是否连接网络,也无论位于何处,这种协同作用均可大幅改善组织的安全态势。这可让组织对机会主义式攻击者的吸引力减小,并最大限度地降低针对性攻击获得成功的几率。

选择使用错误的端点安全解决方案可令您的端点更易受到威胁,并阻碍或毁了为保护网络安全所做的大量工作。您的端点安全解决方案应持续保护所有端点的安全,并为组织的其他部分提供其他有用的功能,从整体上增强整个网络的安全态势。

Palo Alto Networks Traps Advanced Endpoint Protection 摒弃漏洞检测和事件响应的传统方式,利用多重方法防御措施,以专用的恶意软件和漏洞利用防御方法,预防已知和未知的威胁。作为 Palo Alto Networks Security Operating Platform 的一部分,Traps 与基于云的 WildFire 威胁分析服务集成,可自动将威胁情报转换为恶意软件防御措施,在威胁破坏端点之前先发制人地阻截这些威胁。


Subscribe to the Blog!

Sign up to receive must-read articles, Playbooks of the Week, new feature announcements, and more.