![Zscaler:检测优先的安全措施正在失效]( "Zscaler:检测优先的安全措施正在失效")
阻止能规避安全措施的新型威胁是网络安全领域的几大挑战之一。这也是2022年全球网络安全支出高达1720亿美元也没挡住攻击继续急剧增长的一个因素。
在云工具和复杂附属网络的加持下,攻击者能够快速开发出能规避检测的新型恶意软件,让企业慢吞吞的防护措施更新更新了个寂寞。
依靠恶意软件特征码和黑名单抵抗这些快速变化的攻击已经没什么效果了。因此,安全运营中心(SOC)工具包现在主要围绕威胁检测和调查展开。如果攻击者能够绕过最初的拦截,你就只能指望这些工具在攻击链的某个节点捕获他们了。如今,各家企业的数字化架构都植入了记录任何潜在恶意的安全控制措施。安全分析师梳理这些日志,确定哪些东西值得深入调查。
这种方式有效果吗?我们不妨看看以下数据:
● 76%的安全团队表示,由于人手不足,他们无法达成自己的目标
● 攻击一直在增长:到2025年,全球网络犯罪损失预计将达到10.5万亿美元
很明显,我们需要改变。检测技术自有其重要性,投资检测技术没有错,但肯定是过于重视了。
企业需要重新将威胁预防放到首位,其中最主要的就是零信任,即基本假定自身预防控制措施已经失效,随时处于遭活跃入侵状态。
端点只是起点
尽管很多类安全控制措施都例证了检测优先安全策略的漏洞,但我们特别关注其中一个很流行的类别:端点检测与响应(EDR)。
EDR像野火一样迅速风靡,目前已经是一项价值20亿美元的产业,年复合增长率(CAGR)还高达25.3%。说起来也很合理:大多数攻击都始于端点,而如果能在攻击链早期就检测出攻击,那确实可以最大限度地降低攻击的影响。优秀的EDR解决方案还能够提供丰富的端点遥测数据,有助于推进调查、合规,以及查找和封堵漏洞。
端点安全是值得投资的领域,也是零信任的重要组成部分,但代表不了全部。尽管供应商宣称“扩展”检测与响应(XDR)能够整合整个企业的数据,但此类解决方案自身并不能提供深度防御。EDR用杀毒软件(AV)阻止已知恶意软件,但它们通常会放过所有其他流量,依靠数据分析来最终检测出AV漏掉的那些。
所有工具都有各自的短板,EDR也不例外,因为:
并非所有攻击都始于端点。互联网就是个新网络,而大多数企业都有各种各样的数据和应用分散在多个不同云端。企业还经常会使用VPN和防火墙之类可从互联网路由的设备。暴露出来的任何东西都容易遭到攻击。Zscaler ThreatLabz研究团队发现,基于SSL的攻击有30%都藏身于AWS、Google Drive、OneDrive和Dropbox等基于云的文件共享服务中。
不是所有端点都是托管的。EDR依靠安装在每个IT托管设备上的代理,但这并未考虑到非托管端点可能触及企业数据或网络的无数场景:物联网(IoT)和运营技术(OT)设备、用于工作的个人(BYOD)端点、可访问数据的第三方合作伙伴和承包商、最近的并购,甚至到你办公室用Wi-Fi的访客。
EDR是可被绕过的。所有安全工具都有各自的弱点,EDR也被证明用几种常见技术就可轻松绕过,比如利用系统调用。攻击者会用加密和代码混淆技术自动生成新的PDF文件、Microsoft 365文档和其他文件,这些文件能够修改恶意软件指纹,绕过传统网络安全模型,躲过检测。
现代威胁动作真的很快。今天的勒索软件加密数据的速度实在太快,基于检测的技术完全无法发挥作用,而且任何潜在网络罪犯几乎都能在暗网上买到所有这些勒索软件。LockBit v3.0可以在一分钟内加密2.5万个文件,而且它甚至还不是最快的勒索软件。与之形成鲜明对比的是,检测和缓解入侵的平均时间是280天。这耗时,足够LockBit加密100多亿个文件了。
内联安全
没错,基于特征码的杀毒软件技术确实不再足以阻止复杂攻击。但同样真实的是,检测技术背后同样基于AI的数据分析可以(也必须!)用于预防而不仅仅是检测,如果这些技术以内联方式提供的话。这种预防策略需要考虑企业的整个基础设施,而不仅仅是端点或整个架构中的其他某一部分。
沙箱就是可以用这种方式部署的典型安全工具之一。沙箱在安全的隔离环境中分析可疑文件和URL,可提供对复杂未知威胁的实时防护。内联(而非直通)部署沙箱意味着文件在解决方案给出判断之前无法继续执行既定操作。
Zscaler Zero Trust Exchange平台的云原生代理能够检查所有流量以确保安全访问,无论流量是加密的还是非加密的。作为代理,该平台的多层控制措施——包括集成的高级沙箱,全都以预防优先的方式内联提供。
案例研究
花20分钟快速部署Zscaler Cloud Sandbox后,客户的IT和安全团队即可接收人工智能(AI)驱动的即时裁断,然后将91%的文件安全交付给用户。其余未知文件被转入深度动态分析,结果显示5%的文件含有恶意软件或恶意企图。出于整体一致的防护目的,这些恶意文件不会发往其目标用户和所有Zscaler的全局用户及设备。
用Zscaler的云原生内联沙箱补充企业的检测技术可以获得以下好处:
Zscaler采用的高级机器学习算法由日处理3000亿事务的全球最大安全云持续改进。这些算法分析实时分析可疑文件和URL,检测并阻止潜在威胁,防止造成损害。
整个过程始于预过滤分析:对照40+威胁源、杀软特征码、哈希黑名单和YARA规则检查文件内容,找寻已知入侵指标(IOC)。通过减少需要进一步分析的文件数量,AI/ML模型得以更为有效地执行。如果初步分类后文件依然未知或可疑,Zscaler Sandbox会将之投入稳健的静态、动态和二次分析,包括可以检测高级规避技术的代码和二次载荷分析。分析完成后会生成一份附带威胁评分和可操作裁断的报告,根据策略配置来阻止恶意和可疑文件。
云的最大卖点之一是能够快速扩展或收缩,满足大中小型企业的需求。部署在云端的安全控制措施自然更易于配置和管理,企业能够灵活适应不断变化的安全需求。
成本是决定诸多安全策略的主要因素之一,以多种形式呈现:用户生产力、运营效率、硬件成本等等。但值得注意的最大成本是遭入侵的损失。如果能够防止攻击,企业就可以消除宕机时间、声誉损失、业务损失和修复成本,而单次攻击很容易就能让这些成本加起来高达七位数。企业战略集团(ESG)的研究发现,使用Zero Trust Exchange的企业平均减少了65%的恶意软件,勒索软件削减量为85%,数据泄露减少了27%,总投资回报率达到了139%。
Zero Trust Exchange可提供全面的威胁预防、检测和分析功能,为企业带来跨所有位置、用户和设备的统一安全控制策略。Zscaler Sandbox能够在任意位置分析文件,而不仅仅是在端点上,且还集成了一系列附加功能,例如DNS安全、浏览器隔离(针对无文件攻击)、数据防泄露、应用及工作负载安全、防骗等等。运用这些功能,企业便可获得自身安全态势的完整视图和安全团队寻求的深度防御。
在与攻击者的军备竞赛中,安全团队需要更为重视内联安全控制而非直通检测技术。除非确定是良性的,否则文件不应放入端点或网络中,因为一旦文件最终被证明是恶意的,那就很有可能在伤害造成之后才会发现了。
参考阅读
应用检测与响应ADR能力白皮书
DNS污染攻击的危险及预防方法
如何通过异常行为检测来识别新威胁
原文始发于微信公众号(数世咨询):Zscaler:检测优先的安全措施正在失效
评论