在互聯(lián)網(wǎng)尚未普及的時(shí)代，機(jī)構(gòu)唯一需要擔(dān)心的就是內(nèi)網(wǎng)中員工使用的辦公電腦。而現(xiàn)在，遠(yuǎn)不只是在寫字樓，員工會(huì)在機(jī)場(chǎng)、咖啡店、酒店辦公，由于疫情時(shí)代，居家辦公更是常態(tài)。

與在公司內(nèi)網(wǎng)上對(duì)終端進(jìn)行保護(hù)相比，居家辦公的終端面臨的威脅完全不一樣。惡意軟件泛濫的游戲設(shè)備、連接互聯(lián)網(wǎng)的電視、音箱、攝像頭……這些智能設(shè)備的軟件可能上一次更新是在幾年前，都與你的辦公電腦處在同一個(gè)局域網(wǎng)。

傳統(tǒng)端點(diǎn)安全已失效

EDR(端點(diǎn)檢測(cè)和響應(yīng))在這五年來(lái)，似乎一直都是終端安全的最優(yōu)解。但問(wèn)題在于，市面上的許多EDR仍然沿用傳統(tǒng)的方法，嚴(yán)重依賴威脅情報(bào)和基于規(guī)則的響應(yīng)。這意味著，只能看到攻擊者已經(jīng)干了什么，而不知道未來(lái)會(huì)發(fā)生什么。

網(wǎng)絡(luò)攻擊者越來(lái)越善于逃避基于規(guī)則的檢測(cè)。他們能夠快速地關(guān)掉自己的域名，利用殺毒引擎平臺(tái)測(cè)試自己的惡意軟件，并使用雪鞋攻擊(大量IP少量連接)將黑名單對(duì)惡意域名的可見(jiàn)性降至最低，導(dǎo)致想維護(hù)一個(gè)包含最新信息的、全面的威脅情報(bào)數(shù)據(jù)庫(kù)變得更加困難。

兩名希臘的安全研究人員對(duì)18種最流行的EDR和端點(diǎn)保護(hù)產(chǎn)品進(jìn)行測(cè)試，結(jié)果只有兩款產(chǎn)品能夠完全覆蓋測(cè)試所用的高級(jí)攻擊手段。(測(cè)試報(bào)告：https://arxiv.org/pdf/2108.10422.pdf)

人工智能驅(qū)動(dòng)的行為檢測(cè)

以端點(diǎn)安全廠商Darktrace的自主響應(yīng)工具Antigena為例，它并非通過(guò)檢測(cè)已知的IOC來(lái)觸發(fā)緩解規(guī)則，而是使用機(jī)器學(xué)習(xí)技術(shù)建立正常的網(wǎng)絡(luò)流量和行為模型，然后實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)，以發(fā)現(xiàn)與預(yù)期行為不同的任何偏差，即異常行為。如：

某用戶訪問(wèn)一個(gè)陌生服務(wù)器，并試圖將文件上傳到該服務(wù)器;一臺(tái)本地機(jī)器與外部大量的地址通信，而且這些目的地之前從未聯(lián)系過(guò);一個(gè)幾乎不發(fā)送郵件的域名給某位員工發(fā)郵件。

當(dāng)發(fā)現(xiàn)可疑活動(dòng)時(shí)，Antigena便會(huì)發(fā)出警告，也可以設(shè)置成主動(dòng)模式，自動(dòng)響應(yīng)該異常行為。而且，它的自學(xué)習(xí)機(jī)制可以根據(jù)行為的嚴(yán)重程度采取不同程度的處置措施，從簡(jiǎn)單的隔離電子郵件到把終端和整個(gè)網(wǎng)絡(luò)隔離。

終端上的輕量級(jí)代理

后疫情時(shí)代，居家辦公已是常態(tài)。員工可能會(huì)將公司的數(shù)據(jù)下載到家中的計(jì)算機(jī)上，然后有意或無(wú)意地將這些數(shù)據(jù)存儲(chǔ)到其他地方，比如公有云。這種混合工作環(huán)境，脫離了公司的網(wǎng)絡(luò)監(jiān)控視線，屬于典型的網(wǎng)絡(luò)安全盲區(qū)。

為了填補(bǔ)這一盲點(diǎn)，無(wú)論是在辦公室、商務(wù)旅行還是在家中，都要實(shí)現(xiàn)終端的可視性。為此，Darktrace的端點(diǎn)檢測(cè)和響應(yīng)(EDR)產(chǎn)品包含了一個(gè)輕量級(jí)代理(cSensor)，可以在Windows、Mac或Linux系統(tǒng)上運(yùn)行，在網(wǎng)絡(luò)和通信級(jí)別執(zhí)行異常行為的檢測(cè)，并分析終端設(shè)備上發(fā)生的情況。

例如，一個(gè)新安裝的應(yīng)用程序正在與一個(gè)陌生的IP通信，或者某用戶沒(méi)有通過(guò)VPN連接到企業(yè)網(wǎng)絡(luò)上的另一臺(tái)設(shè)備。

cSensor還提供了額外的遙測(cè)功能，為Darktrace的其他產(chǎn)品提供了更多的上下文信息，幫助Antigena在更新網(wǎng)絡(luò)流量的自學(xué)習(xí)語(yǔ)料庫(kù)時(shí)，實(shí)時(shí)發(fā)現(xiàn)問(wèn)題。

例如，當(dāng)收到一封請(qǐng)求銀行交易的郵件時(shí)，基于cSensor提供的上下文信息，Antigena的電子郵件產(chǎn)品能夠識(shí)別這是否是一封來(lái)自陌生域名的發(fā)件，該域名是否是可疑的，以及是否要發(fā)出報(bào)警或做出阻攔。這一切都是在輔助訓(xùn)練Antigena的自主響應(yīng)能力。

監(jiān)視斷開(kāi)連接的設(shè)備

cSensor為機(jī)構(gòu)網(wǎng)絡(luò)上運(yùn)行的Darktrace實(shí)例建立了一個(gè)安全通道，當(dāng)設(shè)備與網(wǎng)絡(luò)斷開(kāi)連接時(shí)，可立即向后臺(tái)發(fā)出警報(bào)，并依據(jù)安全管理平臺(tái)(這里是指Darktrace的Enterprise Immune System)的情報(bào)采取相應(yīng)行動(dòng)。

對(duì)于不具備7*24小時(shí)監(jiān)控服務(wù)，但同時(shí)又有內(nèi)部監(jiān)管要求的組織來(lái)說(shuō)，這是一個(gè)很好的使用案例。cSensor能幫助Antigena檢測(cè)設(shè)備上的員工行為是否安全，以它確保設(shè)備不會(huì)被濫用。

Antigena還能夠通過(guò)網(wǎng)絡(luò)流量來(lái)監(jiān)控?zé)ocSensor的端點(diǎn)設(shè)備，如傳感器、智能燈泡、聯(lián)網(wǎng)攝像頭，甚至是工業(yè)控制系統(tǒng)和OT設(shè)備。簡(jiǎn)而言之，可以監(jiān)控任何連進(jìn)網(wǎng)絡(luò)的有IP地址的端點(diǎn)。

端點(diǎn)安全的未來(lái)

端點(diǎn)安全未來(lái)會(huì)發(fā)生很大的變化，尤其是隨著人們逐漸適應(yīng)居家辦公模式，機(jī)構(gòu)網(wǎng)絡(luò)安全監(jiān)管范圍會(huì)擴(kuò)大到家庭的網(wǎng)絡(luò)設(shè)置。如，企業(yè)可能會(huì)要求將公司業(yè)務(wù)數(shù)據(jù)與家庭個(gè)人數(shù)據(jù)進(jìn)行物理隔離。這很可能意味著員工要有兩個(gè)彼此隔離的無(wú)線網(wǎng)絡(luò)。

端點(diǎn)設(shè)備一直都是網(wǎng)絡(luò)攻擊最為常見(jiàn)的入口，云計(jì)算、萬(wàn)物互聯(lián)和移動(dòng)辦公，更是令傳統(tǒng)的網(wǎng)絡(luò)邊界防護(hù)手段失效。網(wǎng)絡(luò)安全范式轉(zhuǎn)換的時(shí)代已來(lái)臨，在萬(wàn)物互聯(lián)的數(shù)字世界，人工智能決定著未來(lái)攻防對(duì)抗的此消彼長(zhǎng)。

原文來(lái)源：數(shù)世咨詢