近日，Sophos 發(fā)表其最新全球調(diào)查報告《七個令人不安的端點安全真相》，顯示IT主管最有可能在其所屬機構(gòu)的服務(wù)器和網(wǎng)絡(luò)捕捉到網(wǎng)絡(luò)罪犯的活動。事實上，在IT主管所遇到的最重大攻擊當(dāng)中，有37%是在公司的服務(wù)器上被發(fā)現(xiàn)，另有同樣37%的攻擊于企業(yè)網(wǎng)絡(luò)上被偵測出。同時，分別只有17%和10%的攻擊是在端點及移動設(shè)備上被發(fā)現(xiàn)。

該調(diào)查訪問了來自美國、加拿大、墨西哥、哥倫比亞、巴西、英國、法國、德國、澳大利亞、日本、印度及南非等12個國家的企業(yè)共3100位IT決策人。

Sophos首席研究科學(xué)家Chester Wisniewski指出：“服務(wù)器存儲了企業(yè)的財務(wù)、雇員、專利資產(chǎn)和其他敏感數(shù)據(jù)，加上如GDPR （一般數(shù)據(jù)保護規(guī)則） 這等日趨嚴(yán)苛的法規(guī)要求企業(yè)通報數(shù)據(jù)外泄事故，使企業(yè)在服務(wù)器安全方面的風(fēng)險前所未有的高。這自然使IT主管專注于保護業(yè)務(wù)關(guān)鍵服務(wù)器，并以阻止攻擊者入侵網(wǎng)絡(luò)為首要任務(wù)，也順理成章在這兩個領(lǐng)域偵測出更多的網(wǎng)絡(luò)犯罪活動。然而，IT主管不能忽略端點，因為絕大部分網(wǎng)絡(luò)攻擊都由此展開。問題是，比預(yù)期更多的IT主管仍然無法辨識到網(wǎng)絡(luò)威脅是如何進入系統(tǒng)之內(nèi)的?！?/p>

根據(jù)這份調(diào)查報告，有兩成在去年遭受一次或以上網(wǎng)絡(luò)攻擊的IT主管未能指出攻擊者是如何得以進入系統(tǒng)，也有17%的受訪者不知這些威脅在被發(fā)現(xiàn)之前已經(jīng)隱藏在系統(tǒng)中有多久。為了改善這種欠缺可視度的情況，IT主管需要端點偵測與響應(yīng) （EDR） 技術(shù)的協(xié)助，以曝露這些威脅的入侵源頭，以及攻擊在公司網(wǎng)絡(luò)上四處游走的數(shù)碼足跡。

Chester Wisniewski表示：“如果 IT主管不知攻擊的源頭或動向，他們就無法盡力降低風(fēng)險，也不能中斷攻擊鏈以防范進一步滲透。EDR技術(shù)協(xié)助IT主管辨別出風(fēng)險，且能為企業(yè)在安全成熟度模型 的首尾兩端落實執(zhí)行程序。如果說IT人員較專注于偵測，EDR方案則能更迅速發(fā)現(xiàn)、阻截和補救;如果說IT人員仍是信息安全的基礎(chǔ)，EDR方案便是其中之一個整合部分，提供他們必需的威脅情報。”

報告指出，每月偵查到一宗或以上潛在安全事故的企業(yè)，平均每年要花48天 （即每月4天） 來調(diào)查這些事故。難怪IT主管把辨識可疑事件 （27%）、警報管理 （18%），以及為可疑事件排列優(yōu)先處理次序 （13%） 為頭三大EDR解決方案必要功能，以便他們可縮短辨別安全警報重要性并作出適當(dāng)反應(yīng)的時間。

Chester補充：“多數(shù)撒網(wǎng)式 網(wǎng)絡(luò)攻擊都可以在端點部分瞬間被截停而不會觸發(fā)警報。頑強的攻擊者，包括那些運用SamSam這等針對性勒索軟件的黑客，會有耐心地尋找一些使用未經(jīng)慎重考慮、容易猜中密碼的遠程存取系統(tǒng)，例如遠程桌面協(xié)議 （RDP） 、虛擬網(wǎng)絡(luò)控制面板 （VNC） 、虛擬私云端 （VPC） 等作為墊腳石，再靜悄悄四圍竄動直至造成禍害。假如IT主管可借EDR方案獲得深層防護，他們也能更快偵查事故并利用所得的威脅情報，協(xié)助找尋整個系統(tǒng)架構(gòu)內(nèi)的同類感染。只要網(wǎng)絡(luò)罪犯得知某種攻擊奏效，他們便通常在受害機構(gòu)內(nèi)復(fù)制這種攻擊。因此，發(fā)現(xiàn)且攔截這些攻擊模式將有助于減少IT主管投放在偵察潛在事故的時間?！?/p>

有57%的受訪者表示自己計劃在12個月內(nèi)部署EDR方案。推行EDR方案也有助于解決技能落差問題。調(diào)查顯示，有八成IT主管希望擁有一支更強大的團隊。

Sophos的《7 Uncomfortable Truths of Endpoint Security》調(diào)查由獨立市場研究專家Vanson Bourne于2018年12月至2019年前1月期間進行。