什么是端点保护平台?

端点保护平台 (EPP) 是为抵御威胁而在端点设备上部署的综合性安全解决方案。

 

定义端点保护平台

 

EPP 解决方案通常由云管理,并利用云数据帮助进行高级监控和远程修复。
EPP 解决方案采用广泛的安全功能,但基本包括:

 

  • 预防基于文件的恶意软件。
  • 使用从入侵指标 (IOC) 到行为分析等技术检测可疑活动。
  • 处理动态突发事件和警示的调查和修复工具。
  •  

端点保护平台是端点安全的最新发展成果。它们旨在识别可绕过传统端点安全机制的攻击者,并帮助整合复杂的安全堆栈。整合可改进数据共享,从而改进可用于检测可疑行为的分析功能。它还显著简化安全运维。

端点保护平台的另一个重要优势是迁移到云环境。云原生 EPP 能够使用单一轻型代理监控所有端点。此外,可收集和利用的数据远不限于单个公司的端点。对于说明攻击者策略的全局共享数据,可加以吸收以提高对攻击者行为的检测能力。

在研究“端点保护平台的关键功能”时,Gartner 称赞了云端 EPP 的重要性,并指出:“云端 EPP 解决方案相对于传统的本地部署,缩短了价值实现时间,降低了管理成本并提高了产品改进的敏捷性。”

Gartner 最新的端点保护平台魔力象限中,Gartner 发现 EPP 正在朝向提供“自动化、统筹编排的突发事件调查和泄露响应”发展。它还建议安全和风险管理主管“确保 EPP 供应商发展得足够快,以与现代威胁的发展保持同步。”

云端的端点保护平台不仅限于 IR,还可以实现实时的行为分析。最先进的 EPP 利用事件流处理(与信用卡欺诈检测所用的技术相同)转变端点安全机制。这种技术可以检测出攻击者为掩饰自己的策略而故意表现为“正常”的行为。如今,VMware Carbon Black Cloud 是唯一利用事件流处理的端点保护平台,并且已经在泄露发生之前检测攻击者方面取得卓越的成效。

 

 

攻击者如何逃避传统端点安全机制

端点保护平台开发背后的主要动力是,攻击者更容易逃避使用传统解决方案的 SecOps 团队。从根本上说,攻击者已经超越了传统端点安全功能,现在能够长时间隐蔽在网络中而不被发现。

攻击者绕过传统端点安全机制的五种方式

  • 无文件勒索软件 – 发出勒索软件的无文件技术没有文件可检测和拦截,在很大程度上不受传统端点安全机制的干扰。根据 SecureWorld 的一份网络安全报告,与 2018 年下半年相比,2019 年上半年的无文件攻击增加了 18%。只有使用 EPP 才能跟踪行为,找到可提醒您无文件攻击方法的模式。 

  • 新的可用攻击技术 – 网络犯罪分子盗用或开发了高级攻击技术,在 Internet 和暗网上销售或直接开放源代码。攻击者利用这些脚本和策略,让自己的活动“看起来正常”并隐藏在网络中。 

  • 过时的端点 – 威胁形势正在快速发展。这意味着安全供应商要尽可能快地开发补丁程序和更新,以努力跟上新兴威胁的发展速度。更新的速度通常超过 SecOps 团队的能力,尤其是在缺乏补丁程序管理和自动化的情况下。此外,端点代理经常失败,导致各个端点不安全。2019 年全球端点安全趋势报告显示,35% 的端点泄露事件是由现有漏洞造成的。由于端点保护平台通常在云端,因此它们能够持续及时更新,保护端点免受最新威胁的攻击。

  • 多个数据源 – 传统端点安全解决方案与安全堆栈的其余部分是相对隔离的。这意味着,它需要多个系统来查看单个端点上的活动,并在调查期间跟踪整个网络中的任何可疑活动。端点保护平台提供单一可信来源,将平台上所有安全解决方案的数据组合起来,以便轻松访问数据和调查警示。
  • 筛选的端点数据 – 许多端点安全解决方案根据已知的行为模式和 IOC 筛选掉认为与威胁无关的端点数据。现在,攻击者拥有更先进的技术,依靠端点数据筛选来筛选掉他们的活动。这意味着 SecOps 看不到新模式。当您持续捕获端点活动数据时,可以看到这些新技术并预测新的威胁。

 

 

行业动态:安全专家对端点保护平台的看法

分析机构和安全专家认为,EPP 是保护网络不受高级威胁影响的最佳方式。Gartner 和 Forrester 各自通过 Gartner 端点保护平台魔力象限和 Forrester Wave 端点安全套件报告分析了这一解决方案领域。对 EPP 的论证来自 Forrester 执行的 ROI 分析。Forrester 端点保护平台总体经济影响研究发现,迁移到 EPP 的七家公司平均投资回报率为 204%。这相当于在三年内平均节省了 210 万美元。以下是迁移到端点保护平台的安全专家对 EPP 价值的评价:

节省大量时间
“我现在拥有全天候 SOC 能力,可立即识别出现的任何问题并采取行动,而无需在白天/夜间的任何时间联系我的团队。”
– Cosy Lavalle,Progress Residential IT 基础架构经理

单一窗口

“IR 和威胁追踪功能让我们的团队能够快速决然地行动起来,同时受益于云端控制台的单一窗口管理。它改变了我们团队的工作方式。”
– Eric Samuelson,Lithium 高级 IT 经理

跟上威胁的发展速度

“[EPP] 正是企业在面临当今最大的网络威胁时维持连续性所需要的工具。借助 [EPP],我们能够快速调查、响应并删除过时的 AV 解决方案。”
– Stevenlentz,Samsung Research Americas 首席信息安全官

 

 

解决方法:识别异常行为

网络犯罪分子在使用恶意软件实现目标方面非常成功,背后的原因很简单,那就是大多数传统的防病毒工具都将静态分析用作主要安全策略。但是,这些工具只能识别已知样本,而如今,随着恶意软件日新月异的快速发展,大部分恶意软件都是未知文件。攻击者使用打包或压缩等各种技术来更改恶意软件的方方面面,使其看起来不同于已知威胁。因此,病毒防御体系很容易遗漏这些攻击。

 

而这正是新一代端点安全性和行为分析的用武之地。好消息是,恶意软件在系统或设备中的运行方式,终究不同于正常用户的行为。因此,通过大数据和机器学习锁定异常,可以识别不正常的潜在恶意软件。

VMware 端点保护平台的相关产品、解决方案和资源

利用原生安全性保护您的应用和数据

一种全新的安全方法 - 原生安全性是一种与以往完全不同的业务保护方法。

VMware NSX Service-defined Firewall

依靠基于 NSX 构建的分布式有状态第 7 层内部防火墙,跨虚拟、物理、容器化和云计算工作负载保护数据中心流量。

现代数字化工作空间平台

借助智能驱动型数字化工作空间平台 VMware Workspace ONE,在任意设备上便捷、安全地交付和管理任意应用。