如今,众多攻击者利用无恶意软件的间谍技术实施无法检测到的破坏,依靠合法的系统工具和寄生攻击(LOTL)技术来渗入端点。无恶意软件的攻击有赖于用户对合法工具的信任,很少生成唯一的特征码,并且依赖无文件执行。
在CrowdStrike追踪分析及其《2023年威胁狩猎报告》阐述的所有恶意活动中,CrowdStrike威胁图索引的检测中有71%没有恶意软件。总共有14%的入侵事件依赖基于Falcon OverWatch跟踪的活动的远程监控和管理(RMM)工具,攻击者增加了使用RMM工具进行无恶意软件攻击的数量,同比增长了惊人的312%。
随着FraudGPT标志着武器化人工智能新时代开始到来,而企业面临输掉人工智能战争的风险。人工智能、机器学习和生成式人工智能整合到扩展检测和响应(XDR)中就需要快速行动起来,以阻止无恶意软件和人工智能带来的新攻击。
XDR提供了CISO们一直所需要的那种整合。
XDR改善了信噪比
通过依赖在大规模整合的API和平台,XDR平台充分利用了每个可用的遥测数据源,以便实时检测和响应潜在的入侵和破坏企图。事实证明,这些平台能够有效地减少网络噪声,并发现表明潜在入侵或攻击的信号。
据Cynet 2022年对CISO开展的调查显示,XDR对CISO们来说是一种有效的整合策略:96%的CISO计划整合其安全平台,63%的CISO表示XDR是自己的首选解决方案。
几乎所有接受调查的CISO都表示,整合工作已在他们的路线图上,高于2021年的61%。Gartner公司预测,到2027年年底,多达40%的企业将使用XDR来减少现有安全供应商的数量,而如今这个比例还不到5%。
所有XDR领导者都有一个特点,那就是他们的团队中人工智能和机器学习方面的人才密度很高。领先的XDR平台提供商包括:博通、思科、CrowdStrike、飞塔、微软、派拓网络、SentinelOne、Sophos、TEHTRIS、趋势科技和VMWare。
图1. 图片来源:CrowdStrike博文《XDR是什么?》
做好XDR:从端点入手
端点是企图大规模入侵的攻击者秘密潜入的首选通道:在62%以上的时间里,攻击者使用窃取而来的身份访问试图获取访问权,并不断微调间谍技术,以期找到身份和端点安全方面的缺口,这是端点最薄弱的环节。
保险、金融服务和银行业的CISO告诉外媒,端点是需要保护的威胁面,面临的挑战最大。IT团队和安全团队通常不知道自己有多少端点、每个端点在哪里及其软件物料清单(SBOM)。清理端点代理散乱问题和实现补丁管理自动化是许多CISO一开始想要实现的目标。
CISO们表示,常常发现端点上安装过多的代理,以至于从安全的角度来看无法运作,软件冲突使得端点更容易受到攻击,因而它们更难远程管理,可能会削弱性能。
Absolute Software公司的《2023年弹性指数》使用了其5亿个端点设备的匿名遥测数据,以了解其客户平均拥有多少个端点。结果发现,典型的企业设备安装了11个安全代理,其中2.5个用于端点管理,2.1个用于反病毒/反恶意软件,平均1.6个用于加密。Absolute的设备遥测数据发现,企业设备上平均安装了67个应用程序,其中10%的设备安装了100多个应用程序。
端点补丁管理自动化
一家制造商的CIO告诉外媒,虽然打补丁的工作一直是重中之重,但自己没有足够多的员工来确保所有补丁都是最新版本。CISO的同事们一致认为,补丁管理只有在紧急情况下才会得到关注,即在遭到入侵或破坏之后。
这个结论与Ivanti公司的《2023年安全准备状况报告》相一致,Ivanti发现,在61%的时间里,外部事件、入侵企图或泄密重新启动补丁管理工作。
Mukkamala告诉外媒,他预计补丁管理会变得更加自动化,人工智能助理会提供更多的上下文信息和更高的预测准确性。
图2.图片来源:Ivanti
Ivanti的漏洞风险评级(VRR)评分方法依赖0到10之间的分配分数,该分数表明漏洞对组织或企业的风险。风险越高,VRR就越高。
AI通过自愈合端点增强XDR弹性
在零信任环境下做好网络弹性从端点入手。董事会和向董事会汇报的CISO表示,网络弹性现在被认为是风险管理的必备条件。Absolute Software的《2023年弹性指数》反映了在遵守合规要求才能连接这个趋势下面临的挑战。平衡网络安全和网络弹性是目标。
CISO们表示,自愈合端点是稳固的网络弹性战略的基石。自愈合端点提供可靠的实时遥测数据流来训练人工智能和机器学习模型,并夯实XDR平台。与上一代基于约束和规则的解决方案相比,它们还更难以逃避和破坏。基于人工智能和机器学习的端点可以在短短几毫秒内检测并应对潜在的攻击,鉴于机器对机器攻击迅速增多,这么快的响应时间对如今的企业来说是基本要求。
领先的自愈合端点供应商包括Absolute Software、Akamai、BlackBerry、CrowdStrike、思科、Malwarebytes、迈克菲和Microsoft 365。有媒体采访了每家供应商的客户,发现Absolute的方法嵌入到超过5亿个端点设备的固件中,为SOC团队提供他们及其XDR平台所需的实时遥测数据方面是最可靠的。
XDR:对抗武器化人工智能的首道防线
如果网络安全行业及其服务的许多组织要保持安全,XDR平台就需要加快步伐,充分发挥人工智能和机器学习技术的全部价值这一挑战。人工智能战争谁也输不起,攻击者将身份和端点方面的缺口视为控制网络和基础设施的机会。
最令人不安的是,传统的基于边界的系统假定对每个身份、端点和连接都有无限的信任,一旦攻击者闯入了端点,就可以不受限制地访问任何系统。
做好XDR需要从端点入手。清理代理散乱问题将有助于提高端点可见性和性能,并使用具有学习能力的人工智能和机器学习技术实现补丁管理自动化,而不是等待下一次安全事件发生,这会让IT团队避免攻防演习和浪费的时间。
自愈合端点是网络弹性的基石。夯实这方面是充分利用XDR架构的先决条件,而XDR架构可以发挥其保护组织核心业务功能和客户的潜力。
参考及来源:
https://venturebeat.com/security/less-noise-better-signals-why-xdr-and-ai-are-the-future-of-cybersecurity/