端点安全 端点安全：赢得与时间的战争

"

我们一直处于有利地位，我们有终点。

对抗任何对手有什么共同点？攻守斗争中最宝贵的“制胜秘诀”是什么？到目前为止，对手一直拥有的优势是什么？SentinelOne首席安全技术专家斯科特·谢弗曼写道，答案是时间本身。

威胁成功的原因并不复杂。他们只是一直走在我们前面，在我们能阻止他们之前就成功入侵了。威胁正以“机器速度”前进。然而，我们的防御能力还没有达到这个水平。威胁是高度自动化的，然而，我们的防御却不是！

WannaCry是历史上最复杂和写得最差的软件负载之一。但正是因为其惊人的沟通速度，最终打败了企业的防御机制，打败了落后的事件应对团队，给全球企业造成了不可挽回的灾难性后果。

的确，这篇文章最重要的一点就是“我们的防守速度很慢”。大部分威胁都没有极其复杂的技术和战略内容，它们成功的秘诀就是防御速度比我们快！这就是为什么我们仍然无法像两年前那样为即将到来的BlueKeep蠕虫做准备。

我们告诉自己的谎言

那么如何才能赢得时间呢？答案是，我们可以从揭露和颠覆这些不真实的“谎言”开始:“这是一个关于'”的问题。

事实是，在过去的3-4年里，我们大多数人都建立了巨大的、极其混合的解决方案堆栈，而且大多数只有在事实发生后才能帮助我们。然后，我们又花了1-2年的时间试图让大家互相交流，了解组织里发生了什么。但是结果还是太少太晚！

当我们在复杂的工作中淹没了最优秀的人才，对手也会从中受益。后续根本原因分析；审查假阳性警报；不断完善我们的“剧本”，以适应我们期待的事件；我们已经完全失去了对事件整体剧情的掌控……谁也不能怪，只能怪自己。大多数安全供应商只会建造他们认为企业感兴趣的东西，他们的投资者都希望他们能有涉及“云”的项目……他们希望他们有基于订阅的OPEX模型，他们希望他们能出售警报音量、宽带、数据保留、每秒事件、皮尤-皮尤激光地图等。

我们站在这里，一遍又一遍地做同样的事情，期待更好的结果。我们面临着数以百万计的人才缺口，但我们仍然把无数复杂的任务——后分析、报警、误报警、捕捉和根本原因分析活动——放在几个筋疲力尽的分析师身上。

端点是网络安全的战场

击败对手的关键是要知道他们要去哪里，到达目标点后会做什么，然后采取可以预见敌人行动路径的措施，从而顺利阻挡他们前进的道路。这场战争的战场就在终点...是的，它是你的终点。这是发动攻击的地方，也是获得持久性的地方；这是横向运动重复的地方；这是注入流程的地方，是网络数据包的来源，是数据存在的地方，也是最终用户创建数据的地方。这是恶意行为者渗透的入口，几乎永远是根本原因分析的最终目的。

我管理事件响应团队多年，有幸访问了数千份妥协评估报告。我已经可以告诉你你的RCA成绩会是什么样子；我知道它们是如何入侵的——鱼叉式网络钓鱼、社会工程、远程桌面协议、易受攻击的网络服务、内部威胁以及您的托管安全服务提供商或第三方/供应链。

不幸的是，我们大多数人可能不会在每个面向外部的应用程序上运行多因素身份验证机制。或者，我们仍然在运行不必要的RDP服务，并期望将它们放入虚拟专用网将有所作为。或者也许我们还没有固定我们的软件安全开发生命周期，因为我们没有能力或能力去实现这样做所需的文化改变。是的，我们的终端用户仍然在点击内容，因为这是终端用户在用来点击内容的设备上所做的事情！他们不是问题，有效地训练他们只是解决方案的一部分，即使我们已经对他们的行为做出了可衡量的改进。

如果我们想赢，我们必须控制我们的终点。控制端点与被动地知道端点发生了什么不是一回事，也不是指从备份中恢复端点的能力。它指的是在过程级别和软件安全开发生命周期上对其进行控制。

如果我们拥有世界上所有的能见度:完全透明的视角，20/20的视野和完美的后知后觉，但它不能在坏事发生之前通知我们足够快地采取行动，那么我们获得的能见度就是对宝贵资源的无意义浪费，也是问题的根源。

扭转对抗局面

是时候扭转局面，争取时间实现守军的利益了。在前一篇文章中，我提出了一个误导性的观点，即我们习惯于告诉自己，攻击者只需要正确一次就能成功，而防御者需要始终正确才能防止违规。

现在，让我们重新排列这个语句，使它对我们有利:攻击者成功之前的每一步都必须正确，而防御者只需要正确一次就可以停止破坏。

事实上，我们一直处于有利地位。我们有终点。这是我们的地盘。我们可以控制发生了什么和没有发生什么。我们只是没有实施足够主动的“机器速度”防御措施来跟上威胁。

我们可以在恶意行为者行动之前保护内核；我们可以在他们站稳脚跟之前确定法律程序；我们可以知道大多数坏演员在到达终点之前做了什么。我们可以利用神经语言编程和机器学习在恶意行为者入侵系统之前了解潜在恶意活动的整体情况。我们可以卸载任何我们认为容易受到攻击或威胁的软件；我们还可以撤销任何未经授权的软件或用户对操作系统的更改。

我们完全有能力领先于恶意行为者。如果我们看到PowerShell从Word文档派生来获取远程文件，我们可以在进程在内存中完全运行之前终止它。我们能做到这一切，因为这是我们的地盘，是我们的终点。

如果米特雷特& CK框架说明了一件事，那就是我们能够并且需要能够插入一个活跃的杀戮链。ATT & amp；CK框架是一个对抗性的战略，相关的技巧和共识。框架本身的攻击性质可以使安全工作从攻击的角度深入理解安全事件。ATT & amp；CK是不同团队和组织之间沟通的语言。它的构建依赖于攻防策略，以及攻击者可能采取的战术技术，关注最严重的脆弱点。

大多数攻击都是自动化的，但是自动化程度不复杂，适应性不强。我们完全有能力防止这些攻击在我们控制的区域发生。

所以应该说“攻击者成功之前的每一步都必须100%正确”，要想成功，每一步都必须正确。更重要的是，我们可以采取主动，以一种可以预见他们行为的方式成功阻止他们！

马上！

时间就是战斗，终点就是战场。为了在“机器速度”领域赢得时间，我们必须实现自动化。为了实现自动化，我们必须确保它不会破坏企业的业务或使命。为了足够快地获得信心，必须在合适的时间和地点充分利用可信度高的静态规则和NLP或其他形式的ML。我们必须能够在主机上快速组合足够的事件，以提供足够的上下文来识别恶意活动并立即进行干预。

另外，我们的智能必须成为战斗力，让自动化以机器速度运行。如果我们能够识别关键点，并在端点赢得时间优势，那么我们将能够在威胁中领先，解决我们的身份、凭据、物联网、内部威胁、软件安全开发生命周期和供应链安全问题。