新科技速遞
去年,研究機構Gartner終端防禦平台(Endpoint Protection Platforms)的魔力象限(Magic Quadrant),位於領導者象限,只有3 家公司;分別為Symantec、Trend Micro、Sophos。2019年加進了微軟和Crowdstrike,變成了5家公司並列。
一般來說,以往EPP只是指安裝用戶端設備的保護方案,以防禦惡意程式和病毒攻擊,一旦發生保安事故,可作為調查甚至隔離網絡。傳統EPP會利用實體的伺服器,部署企業內部,以作安裝.管理和更新病毒資料和版本更新。
新一代的EPP,則強調「雲原生架構」(Cloud-native Architecture),EPP的所有管理、分析和偵查,更依靠雲端的運算能力。
EDR功能受重視
Gartner對於EPP評估,更注重終端偵測回應(Endpoint Detection and Response,EDR)功能。不少機構受到「進階威脅」(Advanced Threat)惡意程式攻擊,進階威脅可完全躲避傳統資訊的保安防禦,竊取敏感資料,或加密資料以進行勒索。
故此,EPP整合更多層的偵測及回應技巧,自動化事故應變,快速解除進階威脅。EDR因應而生進階威脅的獨有性質,一般事故應變(Incident Response)對於保安事故,集蒐集分析資料、偵測、清除於一身,並自動化在終端快速執行。
CrowdStrike就是利用了全雲原生架構的EPP,除了一般的防禦功能,也可加進額外保安服務。CrowdStrike的Falcon Discover,甚至可評估企業內資訊環境「衛生水平」(IT hygiene),即內部多少未授權系統和應用正在運行。不少企業受「影子IT」(Shadow IT)問題困擾,用戶繞過IT部門,自行安裝各種系統和應用。IT hygiene就可分析各項IT資產,評估正承受的風險。
此外,CrowdStrike又提供弱點分析(Vulnerability Assessment)等高階安全測試(Penetration Tests)功能,甚至可訂閱威脅情報。CrowdStrike設有應用商店CrowdStrike Store,可採購包括「用戶和實體行為分析」(User and Entity Behavior Analytics,UEBA)功能及監察傳輸的檔案,是否途中遭受修改。
UEBA是以機器學習,檢測用戶行為是否有異常,普遍應用在金融交易,如信用卡反欺詐分析,後來電子商貿再應用於網站保護,數年前轉用在EPP,目前尚未普遍。
CrowdStrike又提供類似託管式保安服務Falcon OverWatch,提供威Threat Hunting等功能。Threat Hunting是先進的威脅偵察方法,類似FireEye Managed Defense就其中的代表者,AWS收購的Sqrrl也屬此類。Threat Hunting屬於主動、迭代的偵察方法,以假設為導向的方法和機制,用於測試環境有可能面臨的威脅,較為成較的保安環境正考慮以Threat Hunting作為保護。CrowdStrike也有更全面的Falcon Complete服務,具備更全面的託管式偵察及應變,也可為事故應變提供諮詢服務,並提供100萬美元入侵防禦擔保,可見對本身方案充滿信心。
總括而言,CrowdStrike包含了EDR的整套流程和服務,又加上多項託管式保安方案,結果獲得Gartner研究團隊的肯定。
Microsoft行政總裁Satya Nadella一再表示,每年會投資10億美元以上在保安業務,加上Microsoft的EPP,又與Windows作業系統深度整合,升上領導象限,可說理所當然。
微軟EPP支援Linux
Microsoft的Windows Defender Antivirus已經成為Windows 10一項核心功能。. Microsoft的Defender Advanced Threat Protection (ATP)亦具備了完整EDR功能,從Windows Defender Antivirus及Windows Defender Exploit Guard(反惡意及入侵防禦程式),可從蒐集資訊以偵查可能弱點,馬上作出防禦建議,並從Microsoft Defender ATP、Office 365 ATP、Azure ATP、Active Directory等蒐集各種保安資訊。
Microsoft的EPP保安工具已支援Mac平台,可通過技術夥伴伸延至Linux。Microsoft亦正計畫推出Linux平台EPP。
另一家以雲原生技術提供保安服務Carbon Black,其Predictive Security Cloud (PSC)所支援EPP平台的CB Defense,同時亦可加進CB ThreatHunter及保安應變工具。
Carbon Black的EDR方案,為行業內最著名之一,不少較為複雜的IT環境都使用Carbon Black的CB Response作為建立Threat Hunting機制。CB Defense另一強勁功能,為可利用專屬串流機制,蒐集終端數據往雲端實時分析。
Carbon Black具備了新一代EPP,可惜還是較小眾產品,不少技術較成熟的IT保安人員採用,今次排位略向上升,假以時日,有機會進入領導象限。