2021年9月24日【第十一屆金融CIO高峰會秋季場】
演講題目:《沒有身分安全就沒有服務創新,同意?》— 陳鳴豪 CyberArk 技術顧問
乘數位金融之浪潮 防資訊安全於未然
- 2020年前三季度軟體勒索案件增長75%
- 2020年第二季度末,勒索軟體支出增長至每個事件8萬美元以上
- 大型企業年度平均支付超過100萬美元的勒索軟體金額
根據新加坡國家網路安全局(CSA)統計, 2020年1月至10月勒索軟體案件近75%的增長,相較於2019年的案件總數有著大幅度的增長。其主要目標鎖定金融、製造、零售和醫療保健等各類產業的企業。根據《ASEAN Cyberthreat Assessment 2021 report》的數據,到2020年第二季度末,所有企業的平均防治勒索軟體支出已從2018年第三季度不到1萬美元增長到每個事件17.8萬美元以上。大型企業甚至平均支付超過100萬美元金額的贖金。不僅僅是國外,台灣於2021年以來在金融業、製造業、電商及相關產業也苦於駭客的威脅,除了客戶機敏資訊、公司營運資料、智慧財產IP…等多樣機敏資訊外洩,被駭客勒索金額更從數百到數十億台幣不等。為此,如何解決企業內部身分保護風險外漏,是我們刻不容緩必須解決的問題。
CyberArk為「特權存取管理領域的市場領導廠商」 助益金融業縱深資安防禦
CyberArk為「特權存取管理領域的市場領導廠商」,並結合了CyberArk Labs全球客戶經驗,總結四種快速降低資安風險的作法,助力金融業通過這些作法,立即降低風險,使企業免遭受任何不易察覺的攻擊,運用以下四種降低風險作法:
- 防止企業身分憑證被盜竊或洩漏
- 不再依賴過往的用戶名稱及密碼
- 檢測並阻止橫向或縱向移動
- 識別與身分特權相關的異常狀況
後疫情時代智慧資安 建立客戶信任於永續
因應後疫情時代非接觸應用蓬勃發展,流程自動化、雲端服務、AI運用、物聯網、DevOps等新興科技的浪潮推動下,金融業正將迎來新一波數位改革的華麗變身,也由於面對Covid19的衝擊,台灣實施了近3個月的三級警戒,金融業從只能在辦公室辦公,演變至今除了可遠距視訊會議外,也成就了各種多元化遠距辦公的作為,然而,面對各式潛在的數位攻擊行為,駭客更是虎視眈眈等著藉由數位化的過程有任何的疏失,從遠端竊取企業資料,使企業人心惶惶。面對現今不同的使用情境及新技術的演進,如何架構新一代的智慧資安,管控企業內部統一身分管理平台刻不容緩,據此,CyberArk在金融產業揭渚了高階主管須具備的三大核心管理思維及五大實施步驟,務求加速金融業數位轉型及保全企業及客戶權益。
三大核心管理思維
一、數位轉型,資安隨行(零常設特權Zero sustain privilege management);
金融數位化已是不可逆的趨勢,如何與客戶運用數位化零接觸式進行多管道的溝通也已經是現在進行式,然而如何乘浪疾駛,卻又要做好資安管理的後勤補給,著實是目前企業高管的一大挑戰,所以如何規劃並運用零信任基礎下的運營管理,當是現在資安長或是資訊長的首要任務。在大型企業,平均有480位使用者擁有24x7x365的Always-on IT管理權,攻擊者竊取一個帳密即可能接管整個企業網路,常設特權也是勒索軟體能快速散播的主因,因此減少常設特權是現階段相當重要的防禦手段。
二、統一管理,IDaaS(統一身分管理Unified Identity Security Platform)資訊安全防護已是金融業最重要的一環,而身分管理無疑是管理者的第一要務,如何將過往企業已發展數十年使用資訊架構中的身分權限,作完整且一致的統一控管,並考量Policy as a Code的實際作為,降低企業內身分權限的遺失,並符合主管機關合規性及稽核的考核,提升作業效率也達到身分保存要求。Verizon Data Breach Investigations Report曾揭露29%的攻擊牽涉到被竊取的帳密,因此多因子驗證已是業界在身分驗證的共識,企業內外的身分生命週期管理、身分目錄管理及單一簽入機制更是資安防護要點,建立統一的身分安全管理平台刻不容緩。
三、環保地球,永續經營(永續金融資安Sustainable Finance Cyber Security)
因應金管會於2020年8月發布「綠色金融行動方案2.0」,企業內管理機制需導入創新綠色電子數位化運維程序,降低文本輸出簽核及加強稽核效率,提升企業競爭力並兼顧低碳轉型,此外也須積極接軌國際ISO 27001, 22301, PCI..等規範,持續引導及支持金融業實體產業發展,驅動一個正向循環的永續金融生態圈。
五大實施步驟ABCDE;
一、應用系統安全思維(Application Secret Management)
開發人員實現軟體建置與測試的自動化,而IT部門正實現佈建工作的自動化;這兩個團隊都仍然認為,安全性減緩他們前進的步伐,雖然持續整合、持續部署與DevOps實踐都可以協助提高靈敏性,但同時也造成資安風險,包括將帳密秘密資訊儲存在原始程式碼庫中以及隨意將憑證或帳密保存在各處,這種不好的習慣使正式環境中的每種軟體皆可能引發風險!運用妥善的工具保護應用程式、腳本及其他非人類身分使用的憑證帳密是當務之急。
二、基礎建設高權限控管(Backend Infrastructure Management)
成熟的特權帳號管理是保管人盡責的表現,擴大落實範圍到整個企業IT卻不容易,各種商業軟體、應用程式、機器人、自動化腳本及開發維運工具,每個環節都是阿基里斯的腳踵,建立完整的信任鍊,達到零常設特權當屬必要。
三、雲端身分特權運維(Cloud Identity Access Management)
安全邊界從企業擴展至雲端為企業帶來全新的安全挑戰,過去安全的網路邊界已經變得模糊,零信任資安思維崛起,取而代之的是經驗證過的合法身分,在雲端除了人的身分,機器身分及其存取權更加複雜,如何運用資安管控及AI協助降低企業所面臨的風險正是新興課題,更須盡早落實。
四、穩健資安作為 (Defensive Security)
疫情下多數企業在資安作為打了折扣,因為開放更多人使用VPN執行作業,忽略居家作業環境的安全性,一些不可或缺的配套機制,例如業務人員的操作錄製、IT人員遠端作業的安全性、廠商維護的資安考量、如何進行臨時授權及提權等等更形重要,新型態的資安管控方式在疫情下於是誕生:安全的Web網頁應用操作連線、無密碼(Passwordless)及VPN的安全遠端存取、廠商維運管理及Just-in-Time授權遠端連線等資安服務可謂大旱之下的及時雨。
五、終端權限存取管理(Endpoint Privilege Management)
攻擊往往是從端末滲入,取得存在端末的高權限服務帳密或端末的管理者帳密更是常見的手段,一個疏忽就是整個企業淪為勒索攻擊的肉俎,基礎的資安控制往往是最艱難的,但這也是所有金融稽核必定要求的,落實最小授權!
持續創新,邁向未來
在數位金融的旅程上,金融業尤應重視其數位化帶來的潛在威脅,面對新型態資安攻擊手法,傳統防毒軟體、偵測工具或是網路防火牆等已無法完全確保企業被駭及資安威脅,若是任何的客戶機敏資料外洩,或是營業秘密被竊取,對金融業尤其是名譽的損傷,在客戶的心目中,「信任」是金融業面對客戶的不二法門。CyberArk與力悅資訊在這十六年來秉持著共好的志念,持續創新資安管理科技提供統一的身分管理安全解決方案,不只專注在資訊安全技術深度,更冀望能協助創造更多業務價值,從而協助金融業在抵抗各式資安攻擊、提升業務產出效率、助力數位業務發展、滿足稽核及合規性。CyberArk資訊安全也攜手C3 Alliance生態系夥伴,提供金融業資訊安全及全方位需求的創新服務。
關於 力悅資訊
力悅資訊成立於2005年,屹今已成功將多項資安防護軟體引進台灣,廣受經銷夥伴及各產業客戶的好評。同時,秉持以「VAD – 加值服務代理商」的專業協銷與服務,專職為大中華區提供專業的資安產品及服務,『利用科技與資安的力量幫助公司獲利』。
力悅資訊本著這個信念,持續引進全球最新的觀念、一流的產品與服務,透過經銷通路將這些有助台灣企業增強國際競爭力的訊息,不斷地推廣到各產業中,讓導入力悅代理產品的IT單位不再是「成本中心」,而是公司『兼顧安全與獲利的中心』。欲了解更多關於CyberArk身分安全與存取管理解決方案或產品訊息,歡迎參閱CyberArk官方網站https://www.cyberark.com.tw
Bitdefender 揭開端點偵測及回應解決方案的下一次進展 — eXtended EDR (XEDR)
對混合環境中跨端點和網路偵測到的威脅進行相關分析,提高抵禦網路攻擊的安全效率
全球網路安全領導者— Bitdefender,今天公佈了端點偵測及回應解決方案的下一次進展 — eXtended EDR(XEDR),將分析和跨端點安全事件相關性添加到Bitdefender端點偵測及回應(EDR)和GravityZone Ultra,這是該公司統一的端點預防、偵測及回應以及風險分析平台。這些新功能提高了安全效率,可在勒索軟體攻擊、進階持續威脅 (APT) 和其他複雜攻擊影響業務營運之前識別和阻止它們的傳播。
Bitdefender通過跨操作系統(Windows、Linux、Mac)和混合環境(公共和私有雲、本地)的整合偵測及回應,Bitdefender為安全營運提供了全面的即時洞見,大大提高了各種規模組織的能力,即使不是全職的安全分析師,在會被忽視的隔離環境中進行分析和偵測單一端點時,也可以偵測到隱藏的攻擊。
目的在逃避安全技術偵測的複雜攻擊通常模仿“正常”流程或通過多個向量在多個階段執行,包括端點、網路、供應鏈、託管IT和雲端服務。Bitdefender XEDR通過跨端點擷取、檢查和關聯性遙測數據來偵測入侵指標(IOC)、APT技術、惡意軟體簽名、漏洞和異常行為,從而阻止複雜的攻擊。無論攻擊從何處開始,這種進階監控可自動早期偵測攻擊手法,為安全和IT人員提供單一儀表板視圖
新的XEDR功藉由通過在調查期間提供更高的可視性和事件上下文來加速威脅驗證、回應行動和補救,從而增強Bitdefender託管式偵測及回應(MDR)。
Bitdefender Business Solutions Group總裁兼總經理Steve Kelley表示:「所有行業的各種規模組織都在APT和熟練的網路犯罪集團瞄準之下。」「每個應用程式、電子郵件、未修補的漏洞、合作夥伴關係或第三方服務都代表著災難性安全事件的潛在切入點。隨著攻擊者發展技術以繞過防禦並在未被發現的環境中移動,超出單個端點邊界的事件相關性對於網路彈性至關重要。Bitdefender XEDR提供跨端點的關聯性,以在從早期偵察到最終有效負載(Payload)的每個攻擊階段能更快地偵測和消除威脅。”
在最近的一份報告***中,Forrester分析師Allie Mellen寫道:「XDR供應商將受到它們所基於的EDR的限制或啟用。選擇基於EDR的XDR,該EDR具有高效偵測、強大的第三方合作夥伴關係或擴展的本機功能以及自動回應建議。」
XEDR建立在公司領先業界的EDR解決方案和由Bitdefender全球保護網路 (GPN)提供支持的進階威脅情報之上,該網路由數億個感測器(Sensor)組成,不斷收集全球端點威脅數據。在獨立評估中,Bitdefender在偵測APT策略和技術方面始終得分最高。在最近的MITRE ATT&CK測試中,Bitdefender實現了29家參與網路安全供應商的最高偵測次數。
具有跨端點事件相關性的XEDR現已可用,並且是Bitdefender EDR、GravityZone Ultra和MDR服務的標準配置。希望添加基於網路可視性和偵測功能的客戶可以加入目前正在進行的搶先體驗計劃。
XEDR(擴展的偵測及回應)具有三個重要優勢:
- 在最重要的地方提供 XDR 優勢:端點上。為什麼端點最重要?因為這裡是數據所在的地方(伺服器/容器),也是使用者互動發生的地方(工作站)。與其他基礎架構元素相比,端點面臨的風險要高得多。
- 隨著時間的推移,它可以逐步整合其他(非端點)遙測源,以增強威脅偵測和可視性能力。這降低了新解決方案類別中常見的技術風險,並支持新資源的整合(更廣泛的視角),而不會失去 EDR 非常擅長的功能:透視深度。
- 它保持(甚至可能降低)技能和員工數量方面的要求,允許大多數組織在不增加營運成本的情況下增強其網路彈性。
***Forrester Research, Allie Mellen, “Adapt Or Die: XDR Is On A Collision Course With SIEM And SOAR” April 28, 2021
CyberArk 連續第三年獲 Gartner 評選為「特權存取管理魔力象限」領導者
CyberArk在此宣布,我們在特權存取管理魔力象限中被Gartner評選為領導者,且在執行能力和視野全面性方面均高居第一。這是我們連續第三年獲得這項殊榮。
出色的特權存取管理。多年一直深受肯定。
CyberArk 在此宣布,我們在特權存取管理魔力象限中被Gartner評選為領導者,且在執行能力和視野全面性方面均高居第一。這是我們連續第三年獲得這項殊榮。
持續創新。業務穩定如一。
CyberArk 的身份安全架構環繞特權存取管理為中心而構建,極有彈性。架構由基於人工智慧的行為和風險分析驅動,專用於使用地端和軟體即服務部署來服務資料中心、雲端或混合環境的現代企業,解決現今使用案例和挑戰。
CyberArk 能讓業務注入堅如磐石的穩定性,使其得以持續創新,同時為過半數的財星 500 大企業保護其特權存取。
Figure 1: Magic Quadrant for Privileged Access Management
Source: Gartner (July 2021)
GARTNER 為 Gartner, Inc.與/或在美國和其他國際地區的關係企業的註冊標誌和服務標誌,在此獲得許可使用。保留一切權利。
Gartner 不為自家研究發布內容中的任何銷售商、產品或服務背書,也不建議技術使用者只選擇評分或其他方面表現最佳的銷售商。Gartner 研究發布內容包括 Gartner 的研究機構意見,其不應闡釋為事實聲明。Gartner 特此聲明,本研究內容不含任何明示或暗示保證,包括對適銷性、任何特定目的之適用性的保證。
Gartner, 2021 Gartner Magic Quadrant for Privileged Access Management, Felix Gaehtgens, Abhyuday Data, Michael Kelley, Swati Rakheja, 19 July 2021
關於 CYBERARK
CyberArk(NASDAQ: CYBR)是身份安全市場的全球領導者。CyberArk 以特權存取管理為核心,為商業應用、分散式工作、混合雲端負載以至整個開發維運流程中的人類和機器在內的任何身份,提供最為全面的安全產品。全球各大企業和機構都信任 CyberArk 能幫助它們保護最關鍵資產的安全無虞。
【活動報名】我們8月12日與您有約 — CyberArk特權與身份安全網路峰會2021
親愛的CyberArk客戶/夥伴們:
8月12日 | 上午9點30分
在數碼轉型時代裡無畏懼前行
疫情迫使許多的企業必須迅速的進行數碼轉型以便讓員工,客戶與供應商能在疫情肆虐的當兒,能在安全和便利的情況下遠程辦公或合作。
全球各地的網絡安全人員當前的首要關注就是在數碼轉型的當兒,如何在終端/端點上,雲端中,甚至在引用程序開發的過程中確保信息與資料的安全。
今年的CyberArk特權與身份安全峰會,除了與您分享最新的資安科技與趨勢,我們也邀請了來自企業審計與管理諮詢公司,德勤(Deloitte), 與所有貴賓們分享數碼轉型的最新趨勢與動向。
峰會議程
9點30分 – 展望未來:新興網絡安全趨勢
Looking Ahead: Emerging Cybersecurity Trends
9點50分 – 刪除常設特權訪問
Removing Standing Privileged Access
受邀嘉宾演讲 – Deloitte
10點10分 – CyberArk 身份安全:將我們的願景變為現實
CyberArk’s Identity Security Journey: Transforming Our Vision into Realit
10點30分 – 使用深度防禦模式阻止勒索軟件
Stop Ransomware Before It Stops You with a Defense-In-Depth Approach
10點50分 – 新一代特權訪問: 更完善的保護特權
Introducing Dynamic Privileged Access
11點10分 – 為您的網絡應用安全升級
Take your web applications security to the next level
11點30分 – 從雲端權限到應用開發:如何完善的保護數字轉型的每一步
From Cloud to DevOps: Securing Every Step of the Digital Transformation Journey
12點正 – 資安診所
Cyber Security E-Clinic
讓我們的資安顧問們為您的企業“把脈”, 協助您發覺潛在的資安漏洞以及已潛伏在企業裡的惡性軟件,等。
您也能通過這免付費諮詢來詢問關於資安方面的問題,如雲安全,終端/端點防護,特權帳號管理,身分安全管理,軟件開發安全,等。
馬上就註冊參加我們一年一度的特權與身份安全網絡峰會,讓我們協助您在這數碼轉型的時代裡無畏懼前行!
關於 CYBERARK
CyberArk是身份安全的全球領導者。 CyberArk以特權訪問管理為中心,為跨業務應用程式系統,
考慮替換McAfee?查看Bitdefender最佳替換方案
2021年資安業的最大新聞,是McAfee決定將其企業業務出售給STP投資集團 (Symphony Technology Group)。
McAfee將成為純消費者網路安全公司
McAfee to become pure play consumer cybersecurity company
https://www.mcafee.com/enterprise/zh-cn/about/newsroom/press-releases/press-release.html?news_id=99600ca9-4df7-41a5-9a0d-63d00b04a625
McAfee總裁兼首席執行官Peter Leav表示,該交易預計將於2021年底完成。
McAfee 將“僅專注於個人版防毒軟體業務,並加快成為消費者安全領導者的戰略”。
因此,McAfee作為一個品牌將繼續,但在未來將完全專注於消費者的網路安全。
現在針對許多McAfee企業客戶,如果您正在考慮替換McAfee,可以選擇更換或升級到更加強大的Bitdefender企業安全解決方案。
Bitdefender能替換McAfee的哪些產品?
- EPolicy Orchestrator,本地部署版本 – 80%的McAfee客戶仍在用本地版本
- MVISION – 雲版本
- MOVE
- 全盤加密 Full Disk Encryption
為什麽選擇Bitdefender?
選擇安全解決方案的第一個基準應該是它的防護能力,Bitdefender在國際權威測評機構的測試中始終排名第一,防護能力遠遠超過McAfee。
🏆Bitdefender 榮獲AV-Test 2020年度最佳保護產品
AV-TEST首席執行官Maik Morgenstern表示:「Bitdefender每年都在測試時證明了其卓越性和可靠性。」「2020年,Bitdefender發光得比以往任何時候都要亮。憑借四項最佳保護大獎,Bitdefender展示了其在市場上的至高無上的地位。在針對企業用戶,以及個人用戶和移動產品的測試中,Bitdefender出色的保護力給他們留下了深刻的印象。」Bitdefender阻止了100%的零時差惡意軟體和外部威脅。
查看報告:
https://www.av-test.org/en/news/av-test-award-2020-for-bitdefender/
查看2020年度總結報告:
https://www.av-test.org/en/news/av-test-awards-2020-presented-to-the-best-it-security-products/
🏆 Mitre ATT&CK 發布第三輪EDR產品評估報告,Bitdefender檢測率全球排名第一
在參加MITER ATT&CK評估的29家網路安全廠商中,Bitdefender以366的檢測排名第一,檢測到100%的針對Linux系統的攻擊技術,檢測次數最多,可檢測範圍最廣的網路威脅,其檢測數量比McAfee檢測數量高出近34%。
https://attackevals.mitre-engenuity.org/enterprise/carbanak_fin7/
產品功能對比
迎接變革,替換McAfee
變革可能令人擔憂,端點安全涉及組織中的每台設備。但是,從McAfee切換到Bitdefender並不困難。
某客戶評價:「將Bitdefender推廣到我們的1400多個端點非常容易,Bitdefender提供了自動化卸載McAfee的腳本,從卸載到部署Bitdefender僅僅花了10天。之後,我們只需要微調策略。」
我們擁有由能力強大的合作夥伴和Bitdefender專業服務組成的全球網路,可以幫助您快速完成替換升級到Bitdefender。
本文出處:https://mbd.baidu.com/newspage/data/landingsuper?context=%7B%22nid%22%3A%22news_9746592374506127180%22%7D&n_type=1&p_from=3
為什麽資安團隊需要EDR端點偵測及回應?
整體而言,當前安全領導廠商的端點保護解決方案已經非常出色。與過去相比,現代的端點保護工具可以比以往阻止更多的惡意軟體和更多類型的威脅。安全領導廠商已經結合了人工智能(AI)、機器學習(ML)和自適應啟發式技術,遠遠超出了靜態且易於繞過的“病毒特徵比對”防護。
現在,預執行前偵測、執行時阻止、執行後終止是頂級端點保護產品的必備功能。總體來說,誤報更少,偵測更快更精準,能對偵測的內容和原因進行更好的解釋。
但是,每個安全領導者都應牢記,端點保護有其不足之處。當規劃網路安全戰略時,您應該詳細了解。
端點保護的不足之處
在每次攻擊開始之前,偵測和阻止攻擊,查殺所有病毒是任何安全團隊都希望達到的理想狀態,但是回顧歷史,證明這是一個遙不可及的目標。防護率從未達到100%,“完美的安全”永遠無法實現。
無檔案攻擊和瀏覽器攻擊不會在硬碟中存儲任何文件,許多高級的、多階段、多向量攻擊只會以某種方式展開,看起來像正常的行為,從而使偵測它們變得異常困難,甚至無法阻止。其中許多攻擊只能在進行中或事後偵測。
具體來說,端點保護的不足之處包括:
- 偵測的太少,太遲了:端點保護可能會進行偵測,但僅在惡意軟體已經部分或全部成功到達電腦時,才偵測,且只告訴你已經阻止,要不就是沒有偵測到任何威脅、攻擊成功、電腦失陷、威脅運行。
- 丟失資安事件關聯的線索:端點保護可能會生成許多警報,但是每個警報都是獨立的,沒有關聯。分析師看不到完整的事件或相關事件鏈。
- 被綁架勒索了,該怎麽辦?惡意軟體可能已被端點保護阻止,但分析人員不知道該漏洞的嚴重程度,它是否存在於其他電腦上,或者是否需要清除其他任何內容。
為什麽需要在防護堆疊中使用EDR
消除關鍵的安全漏洞
端點保護對於合規性以及消除外部惡意軟體和常見威脅是必需的,但對於防禦進階、複雜或針對性的攻擊,還遠遠不夠。如果您擁有重要的知識產權、個人身份資訊PII/個人健康資訊PHI、客戶或財務數據,那麽EDR不再是奢侈的東西,現在已成為必需品。
對進階威脅(APT)的防護不足
端點保護通常無法提供針對進階威脅的足夠防護。複雜的攻擊通常使用正常的行為,例如:打開文檔、建立遠端連接、從Internet下載資源等,但隨後才表現出可疑或惡意行為。
缺乏警報分類和回應功能
端點保護會生成許多警報,但看不到攻擊的所有元素。儘管每個警報都代表端點保護阻止了威脅,但是安全團隊可能需要採取後續措施,進行調查和採取糾正操作,而不是僅僅刪除發現的惡意檔案。如果你使用端點保護方案,你從哪裡開始著手?
發現漏洞後修補緩慢
端點保護提供很少的攻擊預警訊號,幾乎沒有有關威脅評估的詳細資訊。用戶可能會注意到電腦的行為異常,或者網路工程師可能會看到異常的流量模式或數據高峰,但是沒有提供有關因果關係的詳細資訊。
無法識別根本原因並防止攻擊再次發生
好的,您的端點保護解決方案已經阻止了惡意軟體。但是,還不是慶祝的時候。您是否可以確定整個攻擊是被阻止的還是僅某些攻擊被阻止了?其餘的攻擊是否逃避了偵測並攻擊成功了?攻擊的入口點是什麽?它從哪里來的?我們如何關閉那條攻擊鏈路,使攻擊不再發生?
無法了解攻擊者使用的MITRE ATT&CK TTP/入侵指標IOC
這是一次性事件還是在企業中的許多受害機器上都有這樣的事件,會不會是系統性事件?是否已經多次發生相同或相似的攻擊?攻擊是否仍在組織中的其他電腦上進行?您能否在整個系統範圍內使用入侵指標進行搜索?
有沒有關於主動改善安全狀況的建議?您如何改善安全狀況並加強防護,以防止將來被入侵?您是否可以識別會給您的組織帶來風險的操作系統配置錯誤、應用程式漏洞和人為風險因素?一旦確定,您是否可以根據改進指標來衡量和修正?
EDR 商業驅動
以下是需要在您的端點防禦系統中添加EDR的主要商業驅動因素:
- 無法確保100%防護高級入侵,以防止入侵者潛伏在您的系統中
- 一旦發現潛在的入侵指標,您無法終止可疑活動或隔離受感染的機器
- 缺乏可操作的情資來採取行動,也沒有循序漸進的建議來指導如何處理已識別的入侵行為
- 缺乏集中的威脅數據庫,無法跨系統進行協調的攻擊分析和補救措施
- 無法掌握基礎架構面臨的系統漏洞風險,也不知道如何主動改善與修補
EDR 產品類型
端點偵測和回應提供單獨的價值,並具有自己的優點,與端點保護相輔相成。將這兩種解決方案串聯起來防護,可以防範規避防禦的的最複雜攻擊。Bitdefender提供了豐富的EDR安全產品套裝:
- 端點保護EPP集成EDR,UltraSecurity旗艦版
- 獨立的EDR套裝,輕量級的解決方案,可與任何第三方端點保護解決方案兼容
- XDR,Ultra +網路流量安全分析
- MDR,外包式網路安全營運。MDR服務包含XDR,和Bitdefender安全分析師提供的7*24專業服務,持續監控網路的安全狀態,主動獵殺網路威脅。
您如何評價您的端點保護工具?
所有端點保護解決方案都各有利弊,需要權衡利弊。哪個陳述最能描述您的端點保護狀況?
- 我對我的端點保護解決方案感到滿意,但是我意識到它在調查和修復方面的局限性
- 我對當前的端點保護解決方案不滿意,但是我現有的合約服務仍未到期
- 當前的端點保護解決方案很糟糕,需要立即替換
如果您符合上述三種陳述,我們建議您立即導入BitdefenderEDR,它帶來了前所未有的安全能力,而且比您想象的更簡單,更能發揮導入效益。
獨立的EDR
在以下情況下,安全領導者可能會認為獨立EDR是端點保護的重要補充:
- 安全分析師缺乏對端點和網路上可疑和惡意行為的了解
- 現有的端點保護解決方案缺少EDR、XDR或MDR
- 需要與現有端點保護解決方案兼容,需要事件偵測和報告功能
- 尋求具有輕量級代理且易於部署和管理的事件回應平台
- 希望簡化安全工作流程,以進行威脅取證和端點補救
Bitdefender EDR
Bitdefender EDR提供了預防、偵測、調查、回應和安全加固的組合。它利用最新的尖端技術提供更高的可視性、收集和關聯威脅訊息,同時採用人工智能分析和自動化功能來幫助偵測可疑事件。
攻擊者及其相關戰術、技術及流程TTP可視性
Bitdefender EDR提供了進階攻擊偵測及回應功能。傳統端點保護產品缺乏TPP的可視性。無法主動採取特定的補救措施,也沒有整合應對這些攻擊所需的工具。
MITRE ATT&CK 技術
MITRE ATT&CK是全球安全行業的標準,Bitdefender EDR整合了MITREATT&CK技術,可查看針對攻擊的每個階段所偵測到的事件和單一警報,包括:執行、持久化、提權、防禦逃避、訪問憑證、發現、橫向移動、收集、命令和控制,以及數據洩漏。當EDR與MITER ATT&CK技術的結合使用時,您就可以清楚地看到完整的攻擊畫面,並了解覆蓋範圍的“空白”區域。
IOC/IOA搜索和關聯
您通過什麽樣的跡象來查看機器是否受到攻擊或感染?安全團隊可以在EDR平台中查詢整個組織中的各個攻擊指標(IOA)和危害指標(IOC),以搜索受感染的電腦,這些電腦可能不會向其用戶或安全管理員生成任何被入侵的外部證據。
根本原因分析和完整攻擊可視性
從初始電子郵件攻擊媒介到第一個客戶端感染、提權、發現、橫向移動、數據收集和洩漏的完整逐一動作的播放。
防止再次被入侵
檢查成功攻擊(和部分成功)的攻擊路徑,並強調攻擊路徑,你可以快速關閉這些入口和訪問點,以便將來再次發生相同或相似的攻擊。
一鍵解決警報分類和優先級
EDR可幫助安全團隊快速識別事件並確定優先級,以進行操作和補救,通常採用一鍵操作來結束可疑程序、隔離惡意文件、將攻擊者域名列入黑名單等。
減輕營運負擔
Bitdefender EDR,易於部署、易於使用,無需專業的安全技能,也能輕鬆掌握,並且佔用系統資源極低,大大減輕了客戶的營運負擔。該產品靈活、可擴展、可滿足各種不同類型客戶的安全需求,例如獨立的EDR、端點保護整合EDR, XDR,MDR等。
縮小網路安全技能差距
通過易於遵循的內建工作流程來幫助組織彌補網路安全技能的鴻溝,高效的安全回應能阻止持續的攻擊並清除已造成的任何損害。威脅朔源與攻擊根本原因分析,最大程度地提高了客戶的回應能力。
管理和降低組織風險
Bitdefender EDR技術還可以幫助客戶評估並最大程度地降低總體組織風險(特別是在系統配置錯誤、操作系統漏洞、應用程式漏洞和人為風險等方面),從而向安全團隊準確顯示出現風險的位置,並為快速緩解這些風險確定必要的任務優先級。
MITRE ATT&CK Carbanak+FIN7測評,Bitdefender EDR全球排名第一
2021年4月20日,MITRE ATT&CK發布了最新一輪年度EDR安全解決方案評估報告:Carbanak+FIN7 挑戰。
今年,全球29個網路安全公司的產品參加了測試,它們能夠檢測出Carbanak和FIN7的攻擊。
Carbanak+FIN7簡介
Carbanak+FIN7 是臭名昭著的APT金融犯罪集團,他們使用複雜的惡意軟體和攻擊技術,主要攻擊金融機構,造成了一系列嚴重破壞事件。迄今為止,Carbanak已為30個國家/地區的數百家銀行造成了超過3億美元的損失,而FIN7則從全球受害者手中竊取了超過1500萬張信用卡記錄。
他們在利用創新攻擊技術方面享有盛譽。高效的間諜活動和隱身性是他們戰略的重中之重,他們嚴重依賴腳本編寫,模糊處理,“隱藏在視線範圍內”,在掠奪環境的同時充分利用機器背後的用戶。他們還利用獨特的攻擊工具,涵蓋覆雜的惡意軟件和廣泛的系統平台,包括Windows和Linux。
Bitdefender在2019年專門发布了針對Carbanak的研究報告,詳細請參閱:Bitdefender-Carbanak研究報告:
https://www.bitdefender.com/files/News/CaseStudies/study/262/Bitdefender-WhitePaper-An-APT-Blueprint-Gaining-New-Visibility-into-Financial-Threats-interactive.pdf
為什麽MITRE ATT&CK的評估具有很高的價值
MITRE ATT&CK評估利用了網絡安全行業測試中獨有的方法。MITRE不僅測試了EDR解決方案檢測和阻止網路威脅的能力,還精心模擬了複雜攻擊的全部行為。MITRE要求在評估過程中關閉被測產品的攔截功能。這種方法詳細揭示了解決方案中嵌入的各種技術層的功能,可以檢測,分析,提供攻擊殺傷鏈的所有階段/子階段的遙測和可見性。
廣泛的MITRE ATT&CK知識庫有助於構建測試方法,因為它提供了整個網路安全行業的通用詞匯表和一致性。MITRE ATT&CK評估的價值在於能夠分析測試解決方案的穩健性和完整性。這使得該測試對於不僅對自動阻止攻擊能力感興趣的組織,而且對於希望在整個執行階段抵抗高級攻擊的組織都非常有意義。在安全運營中使用MITRE的方法可以極大地增強組織的網路彈性,並提高網路防禦者发現和收集對敵活動有價值的見解的機會。
如何使用MITRE ATT&CK報告來指導您的網路安全決策?
MITRE評估的一個不尋常的特征是沒有競爭性排名,從而導致各種解釋,使得普通用戶很難理解測試結果。總體而言,MITRE ATT&CK評估結果包含如下幾個關鍵指標:
- 檢測 – 可以用來識別對手行為的任何原始或處理信息。此度量標準包括原始遙測(例如“進程啟動”或“文件創建”)和分析檢測(例如“常規檢測”,“戰術”或“攻擊技術”)。檢測計數代表所有類型的檢測總數。請注意,攻擊中包含的174個子步驟中的任何一個都可以具有多個檢測(因此,“檢測”的總數可以超過子步驟的數量)。
- 遙測覆蓋 – 可以進行遙測的子步驟數。
- 分析 – 任何經過處理的檢測,例如應用於遙測的規則或邏輯(例如ATT&CK技術映射或警報描述)。
- 分析覆蓋率 – 1個或多個分析可用的子步驟數。
- 可見性 – 可以進行分析或遙測的子步驟數。
MITRE ATT&CK Carbanak+FIN7 評估結果
– 檢測排行
– 分析覆蓋排行
– 遙測覆蓋排行
– 可見性排行
指標解讀—哪些指標與您的組織相關?
接下來,您將要了解與您最相關的指標。通常,檢測與任何組織都息息相關,因為解決方案能夠檢測到的攻擊元素越多,其有效性就越高。
在擁有安全運營中心(SOC)的組織中,遙測覆蓋是一項有價值的度量標準,在安全運營中心中,存在用於進一步分析原始信息的工具,資源和專有技術。
分析覆蓋指標為檢測提供了上下文。可行的分析有助於降低警報疲勞的風險,並降低安全分析師所需的調查工作。對於資源受限的IT和安全運營團隊的組織而言,這使得分析覆蓋成為極有價值的指標。
可見性是原始檢測(遙測覆蓋)和上下文警報(分析覆蓋)的組合,可提供解決方案提供攻擊元素可見性能力的一般視圖。
總結
在參加MITRE ATT&CK評估的29家網路安全廠商中,Bitdefender 以366的檢測排名第一,檢測到100%的針對Linux系統的攻擊技術,檢測次數最多,可檢測範圍最廣的網絡威脅,其檢測數量比Symantec檢測數量高出近50%。
Bitdefender還提供了優秀的分析洞察力來實現有效的安全操作並減少警報疲勞,在測試中脫穎而出。 其他許多供應商在沒有附加上下文的情況下生成的大量遙測數據,將給安全團隊的調查工作帶來更大的負擔和工作量。
此次的測試結果充分證明了Bitdefender EDR頂級的安全能力,Bitdefender EDR安全平台是中大型企業的最佳選擇。
閱讀完整的評估報告:
https://attackevals.mitre-engenuity.org/enterprise/carbanak_fin7/
本文出處:https://baijiahao.baidu.com/s?id=1697924787014342504
Symantec無痛轉移 | 選擇Bitdefender
Symantec最佳替代方案 — 唯有Bitdefender,相見恨晚!
- 增強您的防禦能力— 超過30種的預防技術,位居第一的保護
- 輕鬆升級— 通過全面的單一Agent進行無縫佈署
- 高效管理— 一個console控制系統強化、保護、偵測與回應
你應該體驗Bitdefender的五大理由:
#1 Bitdefender連續多年在國際權威測評機構AV-Test和AV-Comparatives的測試中排名第一,始終如一的卓越保護值得信賴,全球超過5億用戶!
#2 全球雲端安全網路關聯來自5億端點和其它渠道的威脅情報,3秒內回應和攔截全球任意位置的新威脅!
#3 極低的資源占用,難以置信,你甚至感覺不到它的存在,老配置XP也能流暢運行!
#4 面向未來的下一代安全防護平台,高度自動化,簡化您的安全運營,杜絕安全事件!
#5 極高的性價比,用得起、用得好、更重要的是用得放心!
#6 令人驚嘆的功能!
一個Bitdefender GravityZone即適用於許多Symantec產品
| Bitdefender GravityZone | 關鍵差異化因素 | Symantec 端點防護(SEP) |
|
全面的單一Agent,單一Console端點安全解決方案
|
需要多個產品、Agent和Console
|
從同一個Console管理的整合技術:
|
端點偵測與回應(EDR)
|
需要獨立產品:Symantec EDR
|
|
|
具有強化建議的端點風險分析
|
不提供
|
|
|
電子郵件安全
|
需要獨立產品:Symantec Email Security.cloud
|
|
|
補丁管理
|
不提供
|
|
|
威脅情資
|
需要兩種獨立產品:Symantec EDR和DeepSight Intelligence
|
|
|
事件回應能力
|
僅限於黑名單和規則。遠程回應需要一個獨立的產品:Symantec EDR
|
|
|
攻擊能見度
|
防毒警報報告阻擋的文件有限制的威脅起因。進階可視性需要一個獨立的產品:Symantec EDR
|
|
|
針對虛擬和雲端工作負載進行性能優化的高效架構
|
繁重的端點Agent會消耗大量的CPU、內存和其他資源,從而降低虛擬化密度並增加延遲
|
|
|
通過與基礎架構管理工具整合來實現安全工作流程自動化
|
不提供。與VMware整合需要一個獨立的產品:Symantec Data Center Security(DCS)
|
Bitdefender GravityZoneTM 屢獲殊榮,經證實的端點安全領導者
