端点安全是实时保护访问企业网络的任何设备的过程. 任何单一设备, 如果不受保护, 可以被认为是有可能影响整个网络的脆弱环节吗, 这就是端点安全对整个网络安全计划如此重要的原因.
根据Gartner, 端点保护平台(epp)提供了部署代理或传感器以保护被管理端点的功能, 包括台式电脑, 笔记本电脑, 服务器, 移动设备.
端点是连接到网络的设备或服务器. 除了上面提到的,还有台式电脑, 笔记本电脑, 服务器, 移动设备——端点可以包括电话, 物联网设备,如厨房电器或恒温器, 相机, 以及任何可以连接到网络并参与数据共享和传输的东西.
我们通常不会想到所有这些设备——尤其是那些我们在个人生活中使用的设备——都可能不安全, 但在某个地方,有人负责保护这个设备以及它所访问的其他网络. 更复杂的是,在工作中使用电子设备可能会影响到个人生活.
例如, 如果你的个人手机上有像Slack或b谷歌Workspace这样的工作应用, 您的公司管理员可能会要求您安装某些 身份和访问管理(IAM) Okta或Duo等应用程序,以保护那些连接到公司网络的特定工作应用程序.
EPP是一个平台,它促进了监控代理的部署,以对抗组织网络中每个端点上的恶意软件和其他类型的攻击. epp通常非常擅长做他们所说的:保护端点. 然而, 需要进一步的解决方案,以便能够在全网保护方面采取更宏观的立场.
功能的解决方案 提供可视性和洞察力,通过识别和报告实时风险来关闭安全漏洞, 测试防御, 最重要的是,检测端点妥协. 功能解决方案应该能够主动识别网络及其用户中的弱点并确定其优先级.
EPP和功能平台和解决方案之间的根本区别在于预防和检测入侵或攻击. EPP利用代理通过下一代防病毒(NGAV)等技术来帮助防止在端点上执行恶意文件。.
现代功能解决方案通常包含 扩展检测和响应(XDR) D .超越简单的检测和反应的能力&R)通过端点遥测和从外围更广泛的数据收集来提供单窗格的覆盖. 这可以极大地提高组织在攻击链中早期检测事件的能力,并在造成任何或非常小的损害之前关闭攻击.
端点安全通过EPP平台持续监控可疑活动并提醒网络管理员可能的违规行为来工作. 安装在端点上的传感器或代理可以安全地将数据从该端点流式传输到集中式EPP,以便 网络流量分析 是否可以发生,如有必要,是否可以采取缓解措施. 让我们看一看端点数据可以揭示的各种类型的攻击, 从而确定适当的反应:
保护网络系统免受未来攻击意味着在调查期间内部提出入侵后的问题.
监控、维&R行动和调查都在EPP的中心位置或仪表板上进行. 如果确实发生了上述类型的违约, 安全人员可以执行拦截恶意软件之类的任务, 漏洞检测, 远程禁用资产和/或端点以控制任何影响, 还有更多.
每个企业及其随行的保安组织都有不同的需求, 但最大的共性在于我们都依赖于技术来完成我们的工作. 因此,让我们看一下端点安全解决方案不应该缺少的一些组件.
访问公司数据和应用程序的设备的数量和类型在过去十年中呈指数级增长. 这在很大程度上是由于大流行造成的, 但技术的普遍采用也使公司能够从他们称之为家乡的直接地理区域以外聘请人才. 在这种环境中,说端点可见性至关重要并不过分.
数字取证和事件响应(DFIR) 工具在帮助安全团队快速收集和查看跨端点的数字取证证据以及主动监控可疑活动方面至关重要.
前面提到的劳动力分散, 人们普遍认为端点代理不再是可选的. 安全程序必须能够在任何时间到达任何端点,以有效地应对威胁. 端点代理应该具有记录关键系统事件的功能功能, 实时调查数据采集, NGAV应用程序可以根据行为终止威胁, 主动威胁防御, 以及随需应变的缓解和补救能力.
人们还必须拓展自己的能力. 从这个意义上说, 这意味着终端用户教育应该是安全项目投资策略的关键部分. 与技术成本相比,终端用户安全教育的美元成本微不足道, 员工人数, 以及与违约相关的成本. 安全意识培训 是否可以根据其行业中普遍存在的威胁类型专门为组织量身定制.
NGAV 超越了传统的防病毒,扩大了对组织端点的看法. NGAV解决方案检测恶意软件和无文件攻击,以防止攻击者的战术, 技术, 和程序(TTPs)以及恶意行为,这些恶意行为要么是有意的,要么是无意的, 事实上, 适当的有资格的.
NGAV阻止隐藏在进程中的恶意代码在被识别之前执行. 利用人工智能(AI), 机器学习(ML), 以及其他能力, NGAV可以从安装它的端点的过去行为中学习. 然后,它可以更有效地阻止整个端点生态系统中的各种攻击.
端点安全性非常重要,因为它有助于查明并降低整个组织的风险. 实时检测威胁, 远程和虚拟基础设施监控, 快速部署代理只是端点安全可以带来的一些好处.
端点安全策略也在发生变化, 正如上面所讨论的那样,超越了端点,成为更大的XDR程序的关键部分. 如果安全组织希望变得更加主动,这一点很重要, 检测潜在的即将到来的攻击信号,并在造成任何损害之前关闭它.
每个员工每天都与多个端点交互, 包括用于工作目的的个人设备, 出入公司网络. 稳健的监测和D&R计划有助于保护资产生态系统免受越来越复杂的破坏, 横向运动, 数据盗窃.