与传统的反病毒软件那样寻找已知恶意软件的签名不同,下一代终端保护平台分析进程、变化和连接,以便发现恶意行为。虽然这种方法在捕捉零日漏洞方面做得更好,但问题仍然存在。
例如,有关设备正在做什么的智能信息可以在有或没有客户端软件的情况下收集。因此,企业面临的选择是,要么没有客户端,收集不太详细的威胁信息,要么收集大量的细节,但面临部署、管理和更新问题,与安装代理。
+更多关于网络世界:足球竞猜app软件高:早期看看美联储的“爱因斯坦3”的安全性武器的发现挑战+
然后是如何梳理出证据表明,入侵的展开和不通过收集数据的洪水所淹没这样做的选择。一旦攻击被发现,企业必须弄清楚如何尽可能快地将其关闭。
供应商试图解决这些问题包括那些具有广泛的产品线,如思科和EMC,建立安全厂商如故障Bit9 +炭黑FireEye的,ForeScout的,指导软件和Trend Micro,和新公司专注于终端安全,如Cylance,光网络,离群安全和Tanium。这只是一分钟的采样;现场拥挤,和竞争对手都上来了不同的方式来处理这些问题。
端点保护平台的价值在于,它们能够识别特定的攻击,一旦被检测的速度给他们的响应。他们通过收集有关端点和其他设备之间是去网络到端点本身可能表明妥协进行的通信,以及变化的信息做到这一点。此端点遥测数据库就成为调查袭击事件,映射他们如何展开,发现什么设备需要补救,也许预测未来的威胁可能会出现什么取证工具。
代理或不呢?
主要厌恶的总代理商是,他们多了一个的软件部署,管理和更新。在下一代端点保护的情况下,他们还是能提供大量有关端点否则无法收回的数据,但也可能是一个缺点。
Endpoint agents gather so much information that it may be difficult to sort out the attacks from the background noise, so it’s important that the agents are backed by an analysis engine that can handle the volume of data being thrown at it, says Gartner analyst Lawrence Pingree. The amount of data generated varies depending on the agent and the type of endpoint.
平格里和NSS研究员
没有代理,端点保护平台仍然会带来什么机器都通过接入交换机和路由器的数据和监视Windows网络服务和Windows管理规范做有价值的数据。这些信息包括谁是登录到机器,什么用户呢,补丁级别,是否有其他安全人员正在运行,USB设备是否连接,哪些进程正在运行,等等。
分析可以揭示设备是否创建外面什么,他们将有望设法受害其他机器和升级权限的攻击者进行,横向移动的可能迹象的连接。
代理可以意味着多了一个管理控制台,这意味着更多的复杂性和成本可能更低兰迪·艾布拉姆斯,在NSS实验室研究主管谁研究下一代EPP平台说。“在某些时候,那将是头数的差异,”他说,与正在需要更多的人员来处理所有的游戏机和转化为更高的成本。
+更多关于网络世界足球竞猜app软件:该做饭,打扫卫生的机器人,又唱又跳+
罗布·阿尤布,也是在NSS实验室研究主任说,这也是兼容性的问题。“你怎么保证任何两个代理 - McAfee和Bromium或Cylance的 - 工作在一起,你叫谁,如果他们不?”
Pingree说,这些平台的管理和管理的安全性也应该被审查,以最大限度地减少对平台本身的内部威胁。企业应该寻找具有允许执行不同角色的IT人员进行不同级别访问的工具的EPP。他说,例如,如果授权管理员有限的访问权限,而事故响应工程师可以获得更大的访问权限,这将是有用的。
分析引擎
分析是必不可少的,但也是复杂的,以至于它可以是一个独立的服务,如由红金丝雀提供的一个。而不是与自己的代理收集端点数据,它采用由位9 +碳黑提供的传感器。红金丝雀补充剂与威胁情报来自各种其他商业保安公司收集的数据,分析了这一切,并产生约入侵它发现客户的网络警报。
分析引擎会标记潜在的问题,但是人工分析人员会检出标记的事件,以验证它们是真正的威胁。这有助于公司安全分析师减少必须响应的警报数量。
创业公司Barkly表示,它正在开发一款终端代理,能够在本地分析每个终端的状态,并自动阻止恶意活动。它还通知管理员它所采取的操作。
这些发动机需要被捆绑到更大的威胁情报来源说,他们是怎样展开特征分析的攻击,揭示的活动,导致违反不使用,可以被标记为恶意软件代码,说艾布拉姆斯。
关于端点检测和响应工具,我们所知道的大部分都是制造它们的人说他们可以做的。因此,如果可能的话,企业应该在购买之前进行试验,以确定第一手的特征和有效性。Pingree说:“新兴技术的缺点是测试方面的东西很少。”
修复
端点检测工具收集可用于战术停止攻击还支持法医调查入侵如何发展到成为攻击点数据的大量。这可以帮助确定哪些设备需要修复,而一些厂商正在寻求自动化这一进程。
例如Triumfant提供解决方案管理器,可以检测到恶意活动后,恢复端点到已知的良好状态。其他供应商提供补救功能,或者说,他们正在对他们的工作,但趋势是使用相同的平台,以解决他们发现的问题。
企业所面临的问题是,尽管传统的端点安全已经发展成杀毒、反恶意软件、入侵检测、入侵预防等安全套件,但端点仍然容易受到攻击。在逐步解决这个问题的同时,它会导致另一个问题。
“他们实际上只是在终端产品组合中增加了更多的产品,从而让我们回到了臃肿的终端产品组合,”科罗拉多河下游管理局(Lower Colorado River Authority)首席执行官拉里•怀特塞德(Larry Whiteside)表示。“幸运的是,内存和磁盘速度(SSD)避免了大量内存影响终端性能。”
因此,他正在研究来自SentinelOne的下一代终端保护。他说,相对于寻找已知恶意行为的签名,基于端点行为的安全性是对传统端点保护的改进。我不是说签名是完全不好的,但作为一个主要或唯一的决定点是可怕的。因此,添加基于行为的检测功能会增加价值。”
这么多的价值,他更关心的是比他是否有投资硬回车。“现实情况是,我更关心的检测比我的投资回报率,所以我可能甚至不执行分析。我可以说,进入下一代的在合适的阶段,可以是一个组织有益的,”他说。
杀毒替换吗?
到目前为止,尽管测试结果令人印象深刻,但新一代终端保护的供应商都避免声称他们的产品可以取代杀毒软件。但这种情况可能正在改变。CrowdStrike的首席执行官乔治•库尔茨(George Kurtz)表示,一年之内,这些供应商面临的监管障碍可能会消失。
他说,在一年内,要求使用杀毒软件才能通过合规测试的规定也将允许下一代终端保护。“这就是我们的目标,”他说。“从一开始,我们就认为我们可以做到。”
他说,每个人都在关注恶意软件,但这只占攻击总数的40%。其余的他称之为“无恶意入侵”,如内部盗窃,即攻击者在没有使用恶意软件的情况下盗取信息。
直到法规被重写,为监管企业,以满足防病毒要求,这一点很重要,艾布拉姆斯说,尽管其他平台可以提供更好的保护。“这有些情况下,这实际上不是保护,因为你不会从法律责任的保护能力更重要。”
他说,与此同时,反病毒和下一代终端保护的重叠意味着,与资源较少的小型企业相比,大型企业目前更有可能成为客户。但即使是对较小的企业来说,这样的成本也是值得的。
“他们会失去什么?失去这些信息的成本是多少?保护这些信息的成本又是多少?””艾布拉姆斯说。”