对10种高级终端防护产品进行广泛测试后,一系列业界趋势浮现出来:
1. 病毒签名已过时
近几年来,在网上充斥的几乎自动化的病毒构建包面前,为每个病毒赋予一个唯一签名的做法实在不够看。今天的很多高级终端防护产品,都利用报告最新攻击的安全新闻反馈,比如VirusTotal.com和其他信誉管理服务。有些产品,比如CrowdStrike,与大量安全和日志管理工具集成,以便在发现攻击趋势上更有效。
2. 跟踪可执行程序已成明日黄花
恶意软件早期,漏洞利用包通常都会在终端上留下某种载荷或残留:文件、注册表键什么的。后来,坏人也进修升级了,恶意进程运行在内存中,几乎追踪不到它们的活动,或者隐藏在PDF或Word文档中,要不干脆就强制用户浏览器访问包含有Java漏洞利用代码的钓鱼网站。
今天的黑客则更为高端,利用 Windows PowerShell 建立远程命令shell,传递文本命令,几乎不留痕迹地入侵终端。为有效应对这一新型入侵行为,今天的防护产品将目光放在了攻击者对终端的影响上:看有没有释放什么文件,包括乍看之下像是良性文本的文件;或者对Windows注册表有没有做什么修改。想找出这些并不容易,很多产品都专注于这一领域以防止坏人获取用户电脑的控制权。
3. 产品能否跟踪权限提升或其他凭证欺诈活动?
在安装SQL服务器或其他什么产品时,有时候会留下一些使用了默认设置的合法用户凭证,现代攻击者便会试图利用这些凭证渗透公司网络,然后再提升权限,成为域管理员或其他拥有更高网络权限的重要用户。
4. 内部人威胁愈加致命,*他们也变得更为艰难
传统杀毒防护产品不起作用的原因之一,便是因为攻击者可以从以前信任的终端,获取到公司内部网络的访问权,从而大搞破坏。要*此类行为,今天的工具需要映射内部或横向网络活动,追踪哪些PC被入侵,并在整个网络陷落前控制住局势。
5. 数据渗漏愈演愈烈
将私人用户数据或机密客户信息弄出公司网络就是所谓的数据渗漏。不用舍近求远,看看索尼或塔吉特,就知道EDR工具不得不处理的是什么了。能追踪这些渗漏的工具还更有用些。
6. 很多工具都采用大数据和云分析来追踪网络活动
传感器和代理如此紧凑的原因之一,是很多重要功能都放在云端,云端是实现大数据技术和数据可视化以发现并*潜在攻击的地方。SentinelOne和 Outlier Security 使用这些技术实时关联用户整个网络中的数据。
7. 攻击报告标准,比如CEF、STIX和OpenIOC,正被集成到今天的终端防护产品中
SentinelOne是例子之一。这是个颇受欢迎的发展,更多产品有望朝着这一方向前进。
====================================分割线================================
本文转自d1net(转载)