想要保护你的终点?超越终点

经过 Colortokens Inc.产品管理总监Jai Balasubramaniyan

 传统的端点安全控制一直是关于 恶意软件,威胁分析和修复。然而,当不知道环境中,即使在清理后也将继续污染,它是一种原始的端点和清晰的终端毫无用处是没用的。一个端点保护解决方案Myoply上专注于驻留在端点上的文件,序列和恶意软件上而不理解大乐透走势图500期图的一部分,坐在端点或应用程序后面的一部分,他们尝试从其端点访问的应用程序,简单地放置了重点。

端点安全市场现在处于重大创新和变革的尖端。下一代端点安全解决方案需要能够识别端点后面的用户以及他/她的行为应该是什么。同样,它需要深入了解用户试图访问的应用程序,以确保它们具有正确的角色和访问。

传统上,这些功能中的一些是由大乐透走势图500期图安全供应商完成的。不幸的是,他们在今天的情景中不起作用。消失的大乐透走势图500期图周边和工作负载迁移到云迁移到云端的周边安全控制,如在内部前提的防火墙,有限的有用性,因为它们根本不是在很多这些通信的路径中。同样,加密的不断上升将继续使大乐透走势图500期图越来越暗,因为它们无法以高速减少流量。

安全供应商已经尝试通过在大乐透走势图500期图层中的众多框中弥补大乐透走势图500期图,端点,用户和应用程序之间的这种差距,并在端点上具有众多代理商,希望他们彼此交谈并解决问题。但这迄今没有发生这种情况。

当前端点安全方法的限制

传统上,端点安全性是关于将端点与数据库中的签名进行比较。签名数据库最初从中央服务器下载到组织中的本地服务器。然后,每个端点都会检查此数据库,以将其系统上的文件哈希与签名进行比较,以确定文件是否恶意。由于签名进入数十亿个哈希,数据库开始越来越大,更大,并开始移动到云,其中一个中央数据库作为存储库到所有已知的好的文件哈希。

这并没有解决零天恶意软件的问题,该问题是迄今未见过的恶意文件,因此云中没有哈希。为了解决这个问题,组织开始部署机器学习和沙箱解决方案。 Sandboxing Solutions只播放或执行此零日文件,以前未在安全的环境中看到其行为的行为,以查看它是否显示恶意行为。同样,机器学习用于查看已从已知漏洞源代码的文件,但更改了代码,以创建一个新的可执行文件,从而创建一个新的哈希。这种形式的攻击,在哪里稍微改变了一个已知的恶意软件以创建一个具有新散列值的全新恶意软件,但源代码基本相同,称为多态性。

终点检测和响应的诞生(EDR)

安全行业随着Aurora的运作而变化,一系列大乐透走势图500期图攻击是通过国家州对知名技术公司进行的。操作Aurora在Internet Explorer中利用了一个众所周知的漏洞,以产生可用于在目标系统上执行命令的PowerShell。返回文件哈希的前面的方法不会担任Internet Explorer和PowerShell是合法的命令;这是非法的序列。浏览器可以产生另一个浏览器,它可以产生音乐播放器,但不应该生疏

正常情况下的电力壳。

保持抵抗彼此的私营企业和批判性部门的国家 - 国家攻击者的兴起促成了这种趋势。

通过监视端点和大乐透走势图500期图事件并在进一步分析,检测,调查,报告和警报中记录中央数据库中的信息,通过监控端点和大乐透走势图500期图事件来解决端点检测和响应工具。端点检测和响应解决方案有四个组件:

  1. 检测
  2. 威胁狩猎
  3. 回复& Remediation
  4. 管理服务

它全部首先在端点录制所有文件 - 每个文件访问,每个注册表呼叫以及每个大乐透走势图500期图连接都被从端点录制并发送到云端。这些行动被缝合在一起并扫描,看看是否存在恶意或可疑的活动序列,例如互联网浏览器产生PowerShell。同样,使用已知Windows实用程序的攻击者运行端口扫描和扫描系统将逃避签名防御,但是由于他的行为触发警报而被终点检测和响应系统捕获。

为了有效检测,大多数EDR解决方案提供威胁狩猎工具,以扫描来自数百万个端点的所有端点数据,以查看感染或恶意入侵者活动的传播。它们允许管理员通过提供诸如远程外壳的工具来修复受感染的端点,其中管理员可以登录受感染的端点并删除恶意文件。

但是,EDR解决方案也具有一定的限制。客户和解决方案可能会因需要记录和分析而无法录制的数据量而被忽视,以查看恶意行为。修复变得越来越难。数据量只会随着公司的增加而增加,并将员工添加更多的员工,这些员工获得更多数据。这就是为什么EDR解决方案经常将托管安全服务以及其产品随着常规客户提供管理的原因,无法处理管理安全运营中心和可以分析此数据的人员的复杂性。

白名单,黑名单和过程控制

一位医生很少告诉你吃一切,然后运行一系列测试,告诉你有什么问题和规定药物来控制你的疾病。相反,他要求您避免某些类型的食物,这可能会让你生病。它与安全性没有什么不同。而不是允许用户运行每个可能的应用程序和每个可能的命令序列,然后检查云中是否序列是恶意的,替代方法是简单地阻止用户执行某些操作序列或运行某些应用程序。

白名单和黑名单技术在固定功能设备和环境中非常有效,具有有限的更改对端点。在这里,简单地分析所有运行进程会更容易,创建一组过程控件,然后将设备锁定。通过这种方法,而不是扫描宇宙以获取所有可能的坏序列,供应商更喜欢将系统锁定到已知的良好行为。在这样的方法中,在允许进程的已知列表之外创建的任何新进程都会触发警报或在执行前被阻止。同样地,触发除浏览器或文件传输实用程序等众所周知的实用程序之外的大乐透走势图500期图连接的任何进程都将触发警报或在执行之前停止。

把它整合在一起–Colortokens方法安全

Colortokens. 我们希望将电源恢复到终点并使其更智能。端点是任何通信的开始,因此是强制执行安全的最佳位置。我们首先坐在终点点,了解在终端的用户,了解他/她的访问权限,了解他使用的应用程序,当然他将使用这些应用程序作为有效载荷下载的所有文件。其余的端点安全性是关于我们专注于分析他下载到其端点并检查有效载荷的恶意行为的最后一部分。

彩色令牌 雷达360. 使用传统的端点保护控件执行对文件的分析。我们记录事件以确保不会跳过一些恶意序列。但是,我们还添加了复杂的白名单,黑名单和过程控制。如果用户正在访问危险的文件共享应用程序,最终将下载恶意软件到他的系统,我们不等待它发生,然后尝试像传统的端点安全解决方案一样恢复。我们将用户和应用程序上下文引入端点,因此它可以快速将此行为识别为风险并停止它。我们可以始终恢复查看恶意软件的传统端点安全行为 并清理它或防止其执行,
但我们首先尝试阻止不良行为发生。

可以在云(Amazon,Azure和其他供应商中的任何端点或工作负载中部署Colortokens平台,并以一个简单,易于使用的解决方案带来完整的大乐透走势图500期图和端点上下文。

关于作者

Jai Balasubramaniyan是Colortokens Inc.的产品管理总监。他在思科创建屡获殊荣的企业安全产品,趋势科技,检查点,Zscaler,Gijon,人群罢工和聚合物。 jai是思科路由器防火墙的建筑师和开发人员,并领导了DMVPN解决方案的创作和推出赢得了思科最高技术奖的先锋奖。他还领导了趋势科技深层发现解决方案的产品管理,赢得了NSS实验室测试,以获得最高疗效和吉甘安全交付平台。 jai在安全领域有几项专利和出版物。他拥有普渡大学计算机科学硕士学位,以及来自凯洛格管理学院的MBA。 jai可以在网上联系 [email protected] 在我们公司网站上 //colortokens.com/

全球infosec奖项2021

我们在第9年,这些奖项非常受欢迎 - 帮助建立嗡嗡声,客户意识,销售和营销增长机会,投资机会等等。

现在申请