協科資訊｜最新消息

進階端點安全防護的12個關鍵解決方案

在網路安全的陰暗領域裡，正在激烈進行一場無聲的戰爭。無數組織成為網路攻擊的受害者，網路安全防禦正在不斷演化威脅衝擊下變得脆弱不堪。傳統的網路安全防護方法已嚴重不足。為了因應不斷變化的端點安全威脅，企業應該重新評估各種端點安全防護技術的先進性和有效性，並積極延伸並提升端點安全保護的能力範圍。

資通訊安全發生巨大的轉變，早已不再是處理簡單的病毒或易於識別的惡意軟體而已。當今資通訊安全威脅是多態樣性、隱藏性的，且具有高破壞性效力。可利用零時差漏洞(Zero-Day Vulnerability)、利用人工智慧連網世界的複雜性，端點（電腦、智慧型手機和物聯網設備）現已成為主要攻擊目標。

Quick Heal公司總經理Sanjay Katkar博士發表了一篇主題文章：目前新世代端點安全防護方案發展演進的12個關鍵解決方案。並認為，結合所有關鍵技能，便可針對現代威脅創立強大的安全防禦，企業組織將能夠快速構建應對新型網路攻擊威脅的「進階」端點安全防護能力。以下為12個關鍵解決方案：

1.強化電子郵件威脅防護：隨著網路釣魚攻擊變得越來越複雜，進階解決方案必須超越簡單的附件掃描，需要採用人工智慧驅動分析來偵測電子郵件內容、寄件者行為和附件特徵中的細微異常。這種主動方法可以識別並消除那些無法通過傳統過濾器的威脅。

2.加強網頁下載安全：隨著偷渡式下載和水坑攻擊的激增，即時 Web 流量分析變得至關重要。先進的解決方案不僅應阻止已知的惡意網站，還應採用行為分析來識別和阻止訪問新受感染的網站，從而保護用戶免受基於網路的零日威脅。

註:偷渡式下載：偷渡式下載攻擊是指無意中將惡意程式下載到你的電腦或流動設備中，令你遭受網絡攻擊。你無需點擊任何東西、按下下載鍵或打開惡意電子郵件附件也會受到感染。偷渡式下載可能會利用因更新不成功或缺乏更新而存在安全漏洞的應用程式、操作系統或網絡瀏覽器。有別於很多其他類型的網絡攻擊，「偷渡式」攻擊並不依賴用戶主動採取任何行動。水坑攻擊（Watering Hole Attack）是一種網路攻擊方法，其名稱來源於自然界的捕食方式，即很多捕食者會守候在水源旁邊，伏擊來飲水的其他動物，提高捕食的成功率。攻擊者會通過前期的調查或各種社交工程手段，確定受害者（往往是一個特定群體）經常存取一些網站，並在網站上部署惡意程式，當受害者存取被部署了惡意程式的網站時即會被感染。通常來說，水坑攻擊的目的是通過感染受害者的電腦，以獲得對受害者公司網路的存取權。與其他社交工程手段（例如網路釣魚）相比，水坑攻擊的危險性來源於其利用的是不會被列入黑名單的合法網站，因此更難被發現。存取者出於對這些網站的一貫信任，更容易放鬆警惕，繼而落入水坑陷阱之中。

3.全面安全漏洞修補：針對零時差漏洞的安全防護是主要網路安全供應商的神聖工作。進階端點安全必須結合複雜的漏洞防護技術，例如記憶體保護、行為監控和微虛擬化，以在威脅執行前遏制和消除威脅。

4.深化資料遺失防護 (DLP)：遠端工作和雲端運算時代，資料不斷轉變。進階的DLP（Data Loss Prevention ) 功能應該提供對資料轉移的精細控制，利用人工智慧來理解上下文及意圖，防止意外洩漏，同時允許合法的業務流程不受阻礙地繼續進行。

5.加強應用程式和裝置控制：影子IT和BYOD（自攜電子設備，Bring Your Own Device)政策及使用的激增，造成了資通訊安全噩夢。進階解決方案是，必須提供對應用程式使用和裝置連接的精細度控制，以適應組織獨特的風險狀況和合規性要求。

註：影子IT:是指在組織內未經批准使用軟體、硬體或其他系統和服務，而該組織的資訊技術(IT) 部門往往並不知情。與標準的IT基礎結構不同，影子IT並非由組織內部進行管理。影子IT可能以不同的方式進入組織，但通常是透過下面兩個動作之一而發生：使用未經核准的工具存取、儲存或共用公司資料。

6.利用新時代技術：資訊過載（Information overload）是網路安全的嚴重問題。進階的解決方案應利用人工智慧提供情境化、可操作性的警報，消除雜訊，已突顯需要立即關注的真正安全威脅。

7.事後事件調查與補救：當資安事故發生時，緊急應變極為關鍵。進階端點偵測及回應 (Endpoint Detection and Response, EDR) 和受管式偵測及回應（Managed Detection and Response, MDR）功能應提供自動化調查工作流程，指導安全團隊完成事件應變流程，並提供快速遏制和消除安全威脅的工具。

8.即時安全威脅偵測：在網路安全領域，每一秒都至關重要。進階的解決方案必須採用即時監控及分析，利用機器學習來識別可能逃避傳統檢測方法的細微跡象指標。

9.採用進階機器學習：未來的網路安全在於人工智慧。進階端點安全應不斷學習和適應，分析大量資料以識別新的攻擊模式並在新安全威脅造成損害之前對其進行預判。

10.強調對異常行為的監控識別：了解什麼是「正常」是辨識異常的關鍵。進階的解決方案應該為使用者和系統建立安全底線的行為標準適配檔案，使用人工智慧來檢測可能標示折中的細微誤差。

11.全面共用協力廠商的威脅資訊和情報：無資通訊安全解決方案便是安全孤島。進階端點保護必須與其他安全工具無縫結合，有助於共享威脅情報及整體安全生態系統，該生態系統應大於各個集合的總和。

12.靈活的部署選項：現代企業是多元化且多變。進階解決方案應提供靈活的部署模式（本地端、雲端或本地與雲端混合），以適應不同的組織需求和基礎設施要求。

以上功能協同作業，可代表處理網路安全方式的典範轉移。體現了一種主動的、情報驅動的策略，不僅對安全威脅做出應變，且提供預判和預防威脅。

某些批評者可能會對實施以上綜合解決方案，考量其複雜性和成本而止歩不前。認為只要更精簡的防護措施就足夠。現今世界，一次資安事故發生就可能造成企業重大金錢及商譽的損失，並對組織的商譽會造成不可彌補的損害。

此外，基於雲端的解決方案和「安全即服務」模式興起，使進階端點防護相較於以往，均更容易獲得。各種層級規模的組織、企業均都可以利用現有企業級安全防護功能，而無需大量的前期投資或大型專業IT團隊。

前方資通訊安全的道路充滿各式挑戰，但並非不可逾越。透過採用上述進階的解決方案，組織可以將其安全態勢由被動轉變為主動，從脆弱轉變為彈性及韌性。

本文參考自：https://www.expresscomputer.in/guest-blogs/the-12-commandments-of-advanced-endpoint-security/115303/