零信任时代端点安全五大创新方向.docx

《零信任时代端点安全五大创新方向.docx》由会员分享，可在线阅读，更多相关《零信任时代端点安全五大创新方向.docx（19页珍藏版）》请在第一文库网上搜索。

1、零信任时代端点安全五大创新方向目录1 .序言12 .缩小端点与身份安全的差距23 .端点安全的五大创新方向21. 1.识别对端点威胁最大的漏洞23. 2.整合技术堆栈提供更好的可见性33.3.基于人工智能的情境智能攻击指标(IOA)是解决端点身份差距的核心33. 4.缩小端点和身份之间的差距，从工具到平台44. 5.自修复端点有助于缩小差距，同时提供弹性44.美国的零信任战略44. 1.概述44. 2.零信任的发展和演进过程54. 2.1.理念探索阶段54. 2.2,产业初步实践阶段54. 2.3.美国政府整体64. 3.零信任理念产生的成因和创新价值104. 4.美国政府在网络安全创新和能力

2、建设的作用125. 5.从零信任的演进分析网络安全创新的规律特点166. 思考197. 结论201 .序百业界的下一代端点安全技术已经形成了一套核心设计目标和产品方向，代表着零信任时代端点安全的未来发展趋势。人工智能和零信任时代，随着身份的快速增长，端点需要变得更加智能、更具弹性并具备自我修复能力。今天，即便是最坚固的端点也无法抵御基于身份的攻击，换而言之，对身份的任何信任都意味着潜在攻击。端点保护平台(EPP)、端点检测和响应(EDR)以及扩展检测和响应(XDR)安全厂商们如何应对这种挑战？近日，VentUreBeat调查了多家领先的端点安全供应商，发现业界的下一代端点安全技术已经形成了一套

3、核心设计目标和产品方向，代表着零信任时代端点安全的未来发展趋势，具体如下:2 .缩小端点与身份安全的差距一些安全厂商将利用未受保护端点的勒索软件攻击称为“数字新冠”。而且，攻击之后的数字取证显示，攻击者正微调他们的攻击技术以利用薄弱甚至缺失的端点身份保护。CrowdStrike的2023年全球威胁报告发现，所有攻击中有71%是无恶意软件的，高于2023年的62%0CrowdStrike将此归因于攻击者大量使用有效凭据来获取访问权限并对目标企业执行长期侦察。另一个刺激因素是新漏洞公布的速度以及攻击者实施攻击的速度正不断提高。CrowdStrike总裁Michae1Sentonas指出：端点和身份

4、安全的差距是当今最大的挑战之一。攻击者的攻击技术和策略正突飞猛进，入侵活动的平均突破时间从2023年的98分钟减少到2023年的84分钟。CroWdStrike指出，有效身份被攻击者利用后，组织可能需要长达250天的时间才能检测到身份泄漏。领先的EPP、EDR和XDR提供商从客户那里了解到，基于身份的端点泄露事件正在快速增加。55%的网络安全和风险管理专业人士估计，他们当前的系统无法阻止超过75%的端点攻击。3 .端点安全的五大创新方向以下为领先端点安全厂商的五大创新方向：3.1. 识别对端点威胁最大的漏洞ActiveDireCtory(AD)于2019年首次随WindowsServer一起推

5、出，至今仍在数百万组织中使用。攻击者通常以AD为目标以获得对身份的控制并在网络中横向移动。攻击者热衷于利用AD中长期存在的漏洞，是因为组织总是优先考虑最紧急的漏洞和补丁。CrOWdStrike发现，25%的利用AD的攻击来自非托管主机，如承包商笔记本电脑、流氓系统、遗留应用程序和协议以及组织缺乏可见性和控制的供应链。3.2.整合技术堆栈提供更好的可见性CrowdStrike的调查发现，越来越多的CISO发现安全预算开始受到更严格的审查，因此整合应用程序、工具和平台的数量是当务之急。大多数(96%)的C1SO计划整合他们的安全平台，其中63%的人更青睐XDR、整合技术堆栈、避免遗漏威胁(57%)

6、、找到合格的安全专家(56%)、关联和可视化整个威胁环境中的发现(46%)。所有主要安全供应商现在都将整合作为一种增长战略，CrowdStrike.Microsoft和Pa1oA1toNetworks都是如此。C1SO们表示，在以上三个安全厂商中，微软面临的挑战最大。微软将Intune作为一个有助于降低成本的平台进行销售，因为它已经包含在现有的企业许可证中。但是，C1So表示他们需要更多的服务器和许可证来部署IntUne,这使得部署IntUne的成本比预期高很多。CISo还表示，管理所有操作系统具有挑战性，他们需要额外的解决方案来覆盖整个IT基础架构。其它几个代表性厂商中，CrowdStrik

7、e使用XDR作为整合平台；IVanti快速跟踪基于A1和M1的UEM改进；Pa1oA1toNetworks的平台驱动战略旨在帮助客户整合技术堆栈。在Fa1Con2023的主题演讲中，CrowdStrike联合创始人兼首席执行官乔治表示，端点和工作负载提供了80%的最有价值的安全数据。InductiveAutomation的CISOJasonWaits透露，InductiveAutomation已经将漏洞扫描和端点防火墙管理整合到CrowdStrike代理中，在此过程中精简了两个单独的安全工具，减少了需要安装和维护的代理数量，显著降低IT管理开销，同时增强安全性。3.3.基于人工智能的情境智能攻

8、击指标(IOA)是解决端点身份差距的核心根据定义，攻击指标(K)A)用于确定攻击者的意图和目标(不管使用的是什么恶意软件或漏洞)。危害指标(IOC)则是IOA的补充，能提供取证以证明网络攻击。IOA必须自动化以提供准确、实时的数据，以了解攻击者的意图并阻止入侵企图。VentureBeat与几家正在开发基于AI的IOA的供应商进行了交谈，了解到CrowdStrike是第一家也是唯家基于AI的IOA供应商。该公司表示，人工智能驱动的IOA将与基于传感器的M1和其他传感器防御层异步工作。该公司基于AI的IOA使用云原生M1和人类专业知识，运行在该公司十多年前发明的平台上。A1生成的IoA（行为事件数

9、据）以及本地事件和文件数据可用于确定恶意性。3. 4.缩小端点和身份之间的差距，从工具到平台跨各种独立工具生成规范化报告是困难、耗时且昂贵的。SOC团队使用手动关联技术跨端点和身份跟踪威胁。工具之间没有标准的警报、数据结构、报告格式和变量，因此无法在单一管理面板上获取所有活动。IvantiNeurons的UEM产品依靠A1机器人来寻找机器身份和端点并自动更新补丁。该公司的自我修复端点方法结合了人工智能、机器学习和机器人技术，可在全球企业客户群中大规模提供统一的端点和补丁管理。Wanti的设备生命周期仪表板可实时洞察每个端点的状态和其生命周期中的相对位置，并依靠基于A1的机器人自动发现新的网络设

10、备。4. 5.自修复端点有助于缩小差距，同时提供弹性如今，最先进的UEM平台已经开始集成并启用企业范围的微分段、IAM和PAM。当A1和M1嵌入到平台和端点设备固件中时，企业的采用会加速。此外，自我诊断和自适应智能技术使自修复端点成为可能。自修复端点可以自行关闭，重新检查操作系统和应用程序版本控制，并重置为优化的安全配置。这些活动是自主的，不需要人为干预。对C1So们来说，网络弹性与整合技术堆栈同样重要。端点生成的遥测和交易数据是当今零信任供应商最有价值的创新来源之一。安全厂商和CISO们都期望进一步使用AI和M1来改进端点检测、响应和自我修复能力。4.美国的零信任战略4.1. 概述网络安全的

11、发展和创新演进是十分复杂的过程，表现为理论、方法、框架、技术、产品、算法等多种能力升级迭代，涉及用户、安全厂商、IT厂商、研究机构和政府等多类主体，包含对抗、供需、监管、合作、竞争、共享等多种复杂关系。由于这种复杂性，认识网络安全创新规律需要从全局出发、整体分析：既总结历史经验教训，又研判未来演化趋势；既借鉴国际先进理念和成果，又立足国内实际情况。当前，零信任成为网络安全技术的主旋律。Gartner预测，到2023年将有60%的企业采用零信任策略；到2025年，至少70%的新增远程部署将使用零信任网络访问。2023年11月，美国正式公布国防部零信任战略，计划2027财年之前实施零信任战略，并从

12、战略愿景、战略设想、战略目标以及执行方法等多个角度对如何实施给出了体系化的指导和参考。零信任从一个模糊而理想化的设想，到提出具体支撑和实施技术，进而提出整体解决方案和战略实施框架体系，是一个多方参与、共同创新的结果，其演进过程为分析网络安全的创新规律提供了很好的样本。本文以零信任为切入点，分析美方推动零信任的过程，剖析并提炼网络安全创新的规律特点，以期为我国网络安全的创新发展提供参考。4. 2.零信任的发展和演进过程4. 2.1.理念探索阶段零信任理念最早源于2004年成立的耶利哥论坛，目的是寻求网络无边界化趋势下的全新安全架构及解决方案。在这种全新的架构中，所有系统都应保护自身免受网络威胁，

13、并能够处理全球范围内的身份验证和授权等功能，而无需每个单独的服务器都具备以上功能。从用户角度来看，单点登录等功能将成为可能。2010年，约翰金德维格(JohnKindervag)首次提出了零信任这一术语，认为零信任本质是以身份为基石的动态访问控制，即以身份为基础，通过动态访问控制技术，以细粒度的应用、接口、数据为核心保护对象，遵循最小权限原则，构筑端到端的安全边界。零信任打破了传统网络安全模式的防护机制，对网络边界安全进行全新的审视。其原则是不应该对任何外部或内部的人员、设备、应用等给予默认信任，而是基于认证、加密等安全技术本身进行信任授权。4. 2.2.产业初步实践阶段2011年，谷歌开始探

14、索和实践零信任理念，并于2014年发表关于内部零信任安全项目BeyOndCorP的系列论文，阐述零信任实践经验。与传统的外围安全模型不同，BeyondCorp消除了将网络分段作为保护敏感资源的主要机制的概念，而是将所有应用程序都部署到公共网络，允许通过以用户和设备为中心的身份验证和授权工作流进行访问。2017年BeyOndCOrP取得成功，验证了零信任安全在大型网络场景下的可行性。2014年，国际云安全联盟在零信任理念的基础上提出了软件定义边界(SDP),并发布标准规范，进一步推动零信任的落地。SDP协议旨在提供按需、动态配置的隔离网络(与所有不安全网络隔离的受信任网络)，缓解基于网络的攻击。

15、该协议以DOD制定并由部分联邦机构使用的工作流程网络为基础，提供更高级别的安全性。SDP遵循美国国家标准技术研究院(N1ST)关于加密协议的准则，可用于政府应用程序，例如支持对联邦风险和授权管理计划(FedRAMP)认证云网络的安全访问；以及企业应用程序，例如启用对公共云的安全移动电话访问等。2017年，Gartner分析师提出持续自适应风险与信任评估(CARTA)的概念，与零信任相比，该策略具有更广泛的安全视图，但在几个重要方面与其重叠，因此Gartner认为零信任是实现CARTA的基本步骤。随后分析师斯蒂夫赖利(SteVeRiIey)将这一概念优化为零信任，认为零信任网络访问(ZTNA)包

16、括CARTA,且在不影响可用性的情况下提供最大的安全性。2018年，FoITeSter分析师蔡斯坎宁安(ChaseCunningham)提出零信任拓展生态系统(ZTX)概念，并构建这一概念演进的控制映射框架，从策略、功能、技术以及特征等维度为安全专业人员提供更详细的参考。FOrreSter从2018年开始发布年度报告，探索零信任架构在企业中的应用，并对零信任厂商的能力进行系统性评估。Gartner在2019年的市场报告中，选择ZTNA作为主题，将其定义为一种IT安全解决方案，可根据明确定义的访问控制策略提供对组织应用程序、数据和服务的安全远程访问。Gartner认为ZTNA创建了一个基于身份和上下文的逻辑访问边界，包括一个用户和一个应用程序或一组应用程序。同时，Gartner表示安全和风险管理