RSAC 2016: 下一代終端安全成熱點 主流廠商展示重要新品互聯(lián)網(wǎng)+
在RSAC 2016上,終端安全可謂是一大熱門展示:隨處可見的“未來終端安全“標幅、超過 130家終端安全展商,一切無不在顯示,終端安全正在經(jīng)歷新的復興——由原來推崇防病毒軟件的防御,轉(zhuǎn)為終威脅檢測和安全響應(yīng)。
從預(yù)防轉(zhuǎn)向檢測與響應(yīng)
正如RSA總裁Amit Yoran在大會演講中所指出的,安全企業(yè)需要尋求新的途徑來應(yīng)對安全挑戰(zhàn),那就是更加重視監(jiān)測和響應(yīng)。他認為“攔截是個失敗戰(zhàn)略”。目前只有10%的安全預(yù)算用在安全檢測和響應(yīng)技術(shù)上,但據(jù)Gartner預(yù)計,到2020年,60%的IT安全預(yù)算將會用在安全檢測和響應(yīng)上。
頻發(fā)的數(shù)據(jù)泄露事件說明現(xiàn)有安全防護手段的瓶頸。終端產(chǎn)品作為真相之源,在針對黑客的大戰(zhàn)中仍是爭奪的重點。但傳統(tǒng)的防病毒技術(shù)對高級威脅防范卻幾乎不會發(fā)揮作用。HEAT Software在RSA上發(fā)布的數(shù)據(jù)顯示,全球700位安全人士所關(guān)注的4大安全問題中,3個都與終端相關(guān)。
360企業(yè)安全集團總裁吳云坤在RSA上表示,終端依然是吸引網(wǎng)絡(luò)犯罪分子和黑客的目標。對安全廠商來說,終端上則存有關(guān)于攻擊的重要威脅情報。
在過去一年,名為“終端檢測和響應(yīng)” (EDR)的下一代終端產(chǎn)品成為各方爭奪的新領(lǐng)域。Cybereason、enSilo、Hexis、SentinelOne、Tanium、Triumfant與 Ziften等新興的下一代終端公司與老牌安全公司Intel McAfee、 Symantec、趨勢科技、Palo Alto Networks以及RSA Security紛紛加入EDR領(lǐng)域的混戰(zhàn)。
終端響應(yīng)和檢測(EDR)幾乎無所不做:從檢測終端上未打補丁的漏洞和可疑事件,到隔離、調(diào)查和補救漏洞,再到事件發(fā)生后,與網(wǎng)絡(luò)上其他人員共享攻擊情報。Gartner 預(yù)計,到2018年,80%的終端保護平臺將加入EDR相關(guān)的用戶活動監(jiān)測和取證功能,而2013年這一數(shù)字僅為5%。
主流廠商展示新一代終端新品
RSA大會上的下一代終端安全的廠商已經(jīng)很多,值得業(yè)界關(guān)注的新一代終端廠商有下面幾家。
Carbon Black
Carbon Black 是Bit9公司收購的EDR工具提供商。Carbon Black服務(wù)器可以在本地部署,也可以作為云服務(wù)來提供。終端感應(yīng)器持續(xù)記錄和發(fā)送所有執(zhí)行的行為、文檔與注冊表修改、網(wǎng)絡(luò)連接至集中的管理平臺進行安全分析。用于未知威脅檢測的方法包括行為監(jiān)測、傳統(tǒng)基于聲譽的IOC情報(Carbon Black提供)。訂制的模式檢測也可以幫助應(yīng)對持續(xù)的新攻擊。應(yīng)對和隔離措施包括禁止可執(zhí)行文件、網(wǎng)絡(luò)隔離、過程終止和軟件升級等。
CrowdStrike
CrowdStrike公司的Falcon Host以云管理平臺集成終端感應(yīng)器的方式提供。云端匯集可疑終端安全事件數(shù)據(jù),并對可疑行為進行持續(xù)分析。檢測則基于多種技術(shù),包括IOC、多個反病毒檢測引擎、文檔特性分析以及攻擊指標行為分析。云端集中的大量數(shù)據(jù)可以進行全球趨勢分析,以及快速部署新檢測工具。安全措施局限于對感染終端的網(wǎng)絡(luò)隔離。人工調(diào)查的實時搜索和攻擊可視化能力有限。該公司還提供全球的威脅情報服務(wù)。
360
360在RSA期間披露,其天擎終端檢測與響應(yīng)(EDR)系統(tǒng)已經(jīng)開發(fā)完成,即將提供給國內(nèi)用戶。作為融入360威脅情報、大數(shù)據(jù)安全分析等功能的新一代終端產(chǎn)品,360天擎EDR產(chǎn)品可以實時檢測用戶終端的異常行為和漏洞,通過與360威脅情報對比,能夠及時發(fā)現(xiàn)威脅,做出木馬隔離和漏洞修補的安全響應(yīng)。
CounterTack
CounterTack 公司的Sentinel可以持續(xù)收集終端的安全事件和日志,匯到本地的管理服務(wù)器或者云端管理平臺。檢測能力包括IOC、行為及內(nèi)存內(nèi)二元分析等。CounterTack還提供可選的威脅情報服務(wù),包括IOC情報和情報源。Sentinel具有一鍵隔離響應(yīng)功能,包括網(wǎng)絡(luò)、終端和威脅隔離、流程終止和文檔刪除等。Sentinel不能修復注冊表,但客戶可以通過Sentinel API進行注冊表修復。
安全專家認為,從目前市場發(fā)布的下一代終端產(chǎn)品看,都需要威脅情報的支撐。因此擁有豐富威脅情報的安全廠商將會在這場終端安全變革中勝出。
1.砍柴網(wǎng)遵循行業(yè)規(guī)范,任何轉(zhuǎn)載的稿件都會明確標注作者和來源;2.砍柴網(wǎng)的原創(chuàng)文章,請轉(zhuǎn)載時務(wù)必注明文章作者和"來源:砍柴網(wǎng)",不尊重原創(chuàng)的行為砍柴網(wǎng)或?qū)⒆肪控熑危?.作者投稿可能會經(jīng)砍柴網(wǎng)編輯修改或補充。
