什麼是端點保護平台?

端點保護平台 (EPP) 是部署在端點裝置上的全方位安全性解決方案,可防範威脅。

端點保護平台的定義

端點保護平台解決方案通常是採用雲端管理,且會利用雲端資料協助進行進階監控和遠端修復作業。
端點保護平台解決方案採用了廣泛的安全功能,不過就基礎層級而言,則包含:

  • 防範檔案式惡意軟體。
  • 使用入侵指標 (IOC) 與行為分析等多種技術,偵測可疑活動。
  • 調查與修復工具,可處理動態事件並因應警示。

端點保護平台是端點安全性機制的最新進化版本。開發這類平台的目的,在於識別可規避傳統端點安全性機制的攻擊者,並協助整合複雜的安全性堆疊。進行整合後,即可改善資料共用情況,進而提升可用來偵測可疑行為的分析資料。除此之外,還能大幅簡化安全性作業。

端點保護平台的另一個重要優勢,就是可移轉至雲端。雲原生端點保護平台可使用單一的輕量型代理程式,監控所有端點。此外,可收集和利用的資料量,都遠遠超過單一公司的端點能力。同時還能整合說明攻擊者策略的全域共用資料,以提升偵測攻擊者行為的方式。

在進行《端點保護平台的關鍵功能》(Critical Capabilities for Endpoint Protection Platforms) 研究時,Gartner 公司傳達了雲端式端點保護平台的重要性,並指出:「相較於傳統地端部署,雲端式端點保護平台解決方案可縮短實現價值時間、降低管理成本,且能以更靈活的方式改善產品。」

Gartner 公司的《端點保護平台魔力象限評比》(Magic Quadrant for Endpoint Protection Platforms) 中,Gartner 公司發現端點保護平台持續進化,以提供「自動化且協調的事件調查與漏洞回應功能」。該公司也建議安全性與風險管理主管應「確保端點保護平台廠商的進化速度夠快,足以跟上現代化威脅的腳步。」

雲端式端點保護平台能夠超越安全事件應變的範疇,實現即時的行為分析。最先進的端點保護平台會利用事件串流處理功能 (與偵測信用卡詐騙時所使用的技術相同),以推動端點安全性轉型。如此一來,攻擊者為了隱瞞其策略而企圖讓自己「看來正常」的行為,就會在偵測之下無所遁形。現在,VMware Carbon Black Cloud 是唯一利用事件串流處理功能的端點保護平台,而且已經展現優異的成果,能在發生外洩前就先偵測出攻擊者。

適用於混合式部署的搜尋威脅與安全事件應變

瞭解 VMware 安全性如何協助組織實作零信任機制

攻擊者如何避開傳統的端點安全性機制

開發端點保護平台的主要動機,在於若使用傳統解決方案,攻擊者就可更輕易地避開安全營運團隊。基本上,攻擊者的能力已進步到超越傳統端點安全性機制的功能,讓他們現在能夠長期逗留在網路中,而且不會被發現。

攻擊者規避傳統端點安全性機制的五種方法

  • 無檔案勒索軟體 - 以無檔案技術傳送勒索軟體時,就沒有可偵測和封鎖的檔案,因此大多不會受到傳統的端點安全性機制阻擋。SecureWorld 公司的網路安全報告指出,與 2018 年下半年相比,2019 年上半年的無檔案攻擊增加了 18%。只有使用端點保護平台,您才能追蹤行為以找出相關模式,以對無檔案攻擊手法保持警覺。
  • 可取得新的攻擊技術 - 網路罪犯會竊取先進的攻擊技術或自行開發這類技術,並在網際網路和暗網上兜售,或是直接以開放原始碼的形式提供。只要利用這類指令碼和手段,攻擊者的活動就能「看來正常」,並且持續隱匿在網路內部。
  • 過時的端點 - 威脅態勢正在快速進化。這代表,安全性廠商都在盡可能地迅速開發修補程式和更新,以趕上新興威脅的步調。但是需要更新的速度往往超過安全營運團隊的能力,尤其在缺乏修補程式管理和自動化作業的情況下,更是如此。此外,端點代理程式常會故障,導致個別端點處於不安全的狀態。2019 年的《全球端點安全性趨勢》(Global Endpoint Security Trends) 報告顯示,35% 的端點漏洞是因現有弱點而造成。由於端點保護平台通常採用雲端架構,因此能持續維持在最新狀態,以保護端點免受最新威脅影響。
  • 多個資料來源 - 傳統端點安全性解決方案執行時,會以相對隔離在其他安全性堆疊之外的方式執行。這表示在調查期間,需要透過多個系統才能檢視單一端點上的活動,並追蹤網路中的任何可疑活動。端點保護平台能提供單一資料來源,並結合平台中所有安全性解決方案的資料,讓您可輕鬆存取資料並調查警示。
  • 經篩選的端點資料 - 許多端點安全性解決方案都會根據已知的行為模式和入侵指標,篩選出被視為與威脅無關的端點資料。但現在,由於攻擊者擁有更先進的技巧,因此他們會利用端點資料篩選功能,篩選出自己的活動。這代表,安全營運團隊將無法察覺新模式。但當您持續擷取端點活動資料時,就能察覺這類新技巧並預測新的威脅。

產業脈動:安全性專家對端點保護平台的洞悉

分析師和安全性專家一致認為,端點保護平台未來會是防護網路免受進階威脅影響的最佳良方。Gartner 公司與 Forrester 公司分別透過《Gartner 端點保護平台魔力象限評比》(Gartner Magic Quadrant for Endpoint Protection Platforms),以及《Forrester Wave:端點安全性產品套件》(Forrester Wave for Endpoint Security Suites),說明了這款解決方案涵蓋的範圍。而對端點保護平台的驗證結果,則來自由 Forrester 公司所進行的投資報酬率分析。《Forrester 端點保護平台的總體經濟影響研究》(Forrester Total Economic Impact of an Endpoint Protection Platform Study) 發現,移轉至端點保護平台的七家公司,其平均投資報酬率為 204%。這等於在三年間平均節省了 $210 萬美元。

以下是移轉至端點保護平台的安全性專家,對端點保護平台的價值所提出的看法:

節省大量時間
「現在,我能讓全年無休的安全性作業中心立即識別出任何問題並採取行動,完全不需要全天候隨時聯絡我的團隊。」
- Progress Residential 公司 IT 基礎架構經理 Cosy Lavalle

單一介面
「其提供的安全事件應變和搜尋威脅功能,讓我們的團隊能快速確切地行動,同時享有單一介面的雲端式主控台所帶來的助益,這為團隊開創了嶄新局面。」
- Lithium 公司資深 IT 經理 Eric Samuelson

跟上威脅的步調
「面對現今規模最大的網路威脅,[端點保護平台] 正是協助企業維持續航力的必備要素。有了 [端點保護平台],我們就能快速地調查、回應與移除過時的防毒軟體解決方案。」
– Samsung Research Americas 公司資訊安全長 Steven Lentz

解決之道:識別異常行為

為何網路罪犯能成功憑藉惡意軟體為所欲為?原因相當簡單:絕大多數的傳統防毒工具,皆以靜態分析做為主要的安全性機制。然而,這類工具僅能識別已知範例;但如今,開發新惡意軟體的速度飛快,讓多數惡意軟體都歸類在未知檔案的範疇。攻擊者會使用包裝或壓縮等技巧來偽裝惡意軟體,讓其看似不同於已知威脅。正因如此,這些攻擊往往能輕鬆穿越防毒軟體的防護網。

此時,透過新一代的端點安全性和行為分析技術,即可有效防範惡意軟體。畢竟,當惡意軟體在系統或裝置中運作時,終將做出不同於正常使用者行為的舉動。因此,只要使用大數據和機器學習技術鎖定異常情況,就能找出不正常且可能有害的行為,繼而讓潛在的惡意軟體無所遁形。

 

相關解決方案與產品

VMware Carbon Black Endpoint

雲原生端點防護。

VMware Carbon Black Cloud

透過可根據需求調整的智慧型端點與工作負載保護功能,推動資安轉型。

Workspace ONE 統一端點管理

針對任何使用情境,管理並保護所有裝置。