Gartner发布终端安全项目路线图:保护终端免受复杂网络攻击
由于攻击者快速适应人工智能技术、配置错误以及在现代工作空间暴露风险的增加,终端已成为高级网络攻击的主要载体。本指南旨在帮助安全和风险管理领导者选择项目,以提升终端保护的成熟度。
主要发现
-
随着组织适应现代工作空间和人工智能的进步,它们面临着不断变化的业务风险,需要改进终端安全以防止进一步的威胁。
-
大多数组织使用的安全工具、流程和团队往往各自为政,对自身整体防护水平、工具重叠情况以及管理复杂威胁检测和响应的能力缺乏了解。
-
尽管采用了先进的终端安全技术,但由于配置不当,组织仍然容易受到复杂的网络攻击。这些错误配置源于网络安全专业知识的缺乏以及安全解决方案日益复杂。
建议
负责基础设施和终端安全的安全和风险管理 (SRM) 领导者应该:
-
评估组织相对于威胁形势的风险偏好,以确定能够平衡风险承受能力与可用预算和资源的终端成熟度级别。这项分析至关重要,因为投资防御性安全控制措施的成本可能过高。
-
选择项目并制定终端安全路线图的时间表,以提升终端成熟度并弥补已发现的保护漏洞。路线图应考虑各种终端类型的业务关键性和具体情况。
-
评估并监控终端安全工具的配置,以识别错误配置和漏洞。通过内部技能培养或借助第三方服务,优化整个组织的终端安全工具利用率。
概述
随着人工智能技术的进步,攻击者正在以极快的速度适应新的攻击技术。因此,依赖间歇性安全架构审查和配置评估的旧方法已不再有效。
攻击者现在通过规避终端保护防篡改控制和利用集成度较差的安全工具来发动攻击。 利用应用程序漏洞的供应链攻击也在增加。随着设备多样性(托管和非托管)和对公司资源的访问增加,维护一套与威胁形势相适应的工具、配置和实践变得越来越困难。
根据 Gartner 2025 年 CIO 人才规划调查,73% 的 CIO 和高级 IT 领导者表示,网络安全方面的技能差距将对其组织的目标产生中度至严重的影响。此类技能缺陷,加上孤立的安全工具部署,可能导致配置不当,并造成整体安全态势的漏洞,危及在高级攻击发生后维持最佳安全态势的努力。因此,针对现代工作场所的攻击持续存在,其中网络钓鱼、凭证盗窃、勒索软件和数据盗窃是主要问题。
SRM 领导者如何找到改善终端保护的方法来保护他们的组织免受高级网络攻击?
SRM 领导者必须首先了解组织的攻击形势、资源和风险偏好。接下来,他们必须基于这些了解制定路线图,概述能够在组织内实现终端保护优先级的项目。图 1 提供了一个示例路线图,其中将项目与成熟度级别和攻击类型进行了匹配。SRM 领导者应根据其期望的成熟度级别定制此路线图。
图 1:终端安全项目路线图
分析
根据威胁形势评估您的风险偏好,以平衡权衡
确定组织的风险
为了确定其组织的终端安全目标级别并确定要开展的相应项目, SRM 领导者必须首先了解业务风险。
将成熟度与业务风险相结合的三个必要要素是:
-
企业风险评估:采用以业务为导向的决策框架,明确风险接受标准、关键风险和剩余风险。请企业风险部门的同事查看现有框架。以该框架为起点,衡量进展。
-
网络和 IT 风险评估:通过维护一个风险登记册,提供业务视角下的IT相关风险的高层概览,以便定期评估组织面临的风险。这个网络和IT风险登记册将与企业风险登记册对齐或通常汇总到企业风险登记册中。
-
以结果为导向的指标(ODMs)和保护水平协议(PLAs):使用这些来解决期望安全水平与可用资源之间的权衡。评估风险和攻击环境,以确定风险水平和可接受的风险偏好,从而促进与业务领导者的资源谈判。
分析攻击形势
SRM 领导者需要分析攻击形势。每种预期的攻击类型和攻击概况都必须根据攻击的影响和可能性进行评分。如表 1 所示,攻击通常分为三种类型:自动化攻击、机会性攻击和高级攻击。
表 1: 攻击类别
自动化 | 机会主义 | 高级 |
自动攻击采用可靠的自动化方法,例如利用漏洞或社会工程学,来感染大量受害者。随着防御措施的普及,它们也随之调整,但避免零日漏洞或手动攻击。例如EvilProxy和勒索软件即服务 (RaaS) 。 | 机会主义、持续性的攻击者会利用新技术和现有技术来寻找受害者。他们会扫描漏洞,并采用各种策略进行利用。随着自动化工具的增多,他们很可能会将热门商业软件作为攻击目标。例如,2024 年发现的ConnectWise ScreenConnect(身份验证绕过)零日漏洞和 BeyondTrust 远程访问工具漏洞。 | 高级持续性攻击者有明确的目标,并使用各种方法来实现目标。他们倾向于使用简单的策略,但如果有利可图,也可能使用零日漏洞和技术。他们通常优先考虑长时间不被发现。例如,午夜暴雪 (Midnight Blizzard) 在 2024 年对微软发动的密码喷洒攻击。 |
来源:Gartner
SRM 领导者应该利用行业资源,例如MITRE ATT&CK框架以及威瑞森数据泄露调查报告来进行:
-
分析攻击者使用的常见策略、技术和程序 (TTP)
-
识别正在兴起的攻击类型
-
确定哪些行业受影响最大
勒索软件攻击已转变为双重或三重勒索和数据泄露,并且由于 RaaS 的兴起而变得更加猖獗。混合和远程工作的兴起导致 2024 年商业电子邮件泄露 (BEC)、社会工程和多因素身份验证 (MFA) 疲劳攻击的数量不断增加。
在确定终端保护项目的优先级时,SRM 领导者必须考虑主要的攻击手段及其适当的应对措施。
制定路线图以提升终端成熟度
SRM 领导者应首先确定所有现有的安全工具和流程,以了解其当前的终端安全成熟度级别。然后应优先考虑在本研究概述的五个级别中提升安全性的项目。
有些项目可能涉及超出终端安全范围的工具,但安全与环境工具可以帮助减少整体攻击面,评估控制有效性,并改进威胁检测和响应。然而,并非每个流程或项目都需要特定的工具或技术来完善终端安全。SRM 领导者可以通过保留以下两项内容来实现相同的目标:
-
熟练的人员能够操作特定于组织环境和攻击面的工具
-
相应的流程以优化有意义的集成
图 2 说明了如何评估涉及人员、流程或工具的建议项目何时会对某一类型的攻击者产生影响。
图 2:终端项目路线图:预期对手
SRM 领导者必须根据五个成熟度级别对终端和基础设施安全项目进行优先排序。并非所有组织都需要实施每个项目才能达到最高安全级别。SRM 领导者应权衡风险与成本,使用网络安全 ODM 和 PLA,与管理层就可行的安全级别和潜在风险达成一致,并考虑可用的资源和投资。此流程可帮助高管层确定并传达可接受的风险偏好。
成熟度较低的组织可能需要增强安全性,即使流程不完善且资源有限。托管安全服务可以快速提升运营安全性,从而专注于战略重点。然而,旨在防御高级攻击者的组织应努力达到终端防护 5 级。
以下部分描述了每个成熟度级别的潜在项目。
终端保护级别 1:中断
这一层级的重点是确定需要通过投资人员和流程来加强保护的领域。SRM 领导者需要与业务利益相关者讨论预期的威胁,并确定实现业务目标所需的关键企业资源。他们应该为所需的保护级别设定最终目标、时间表和预算,并优先创建资产和资源清单。
1级项目
-
进行资产清查:确保所有管理终端的清单可用。此清单应包括操作系统类型、操作系统版本及现有的安全控制措施。维护一个清单并整合多个资产详细信息来源将大大提高资产的可见性和当前状态。
-
清点、升级和审计现有的安全工具:处于一级成熟度的组织可能没有先进的安全产品或维护这些产品的资源,这导致使用过时版本的产品时间过长。作为SRM负责人,必须升级这些工具或其产品版本,以获得风险评估所需的功能。请向供应商寻求帮助,定期评估当前的配置。他们应该有您可以参与的配置评估服务。
-
优先考虑最新的操作系统:优先使用最新的操作系统,并将到期(EOL)的操作系统更新为最新版本。这种做法将减少脆弱性、复杂性和风险,同时提高数字办公环境的成熟度。
-
制定终端的共同配置策略:基线配置因组织的安全政策而异。可以使用工具包,例如针对 Windows 的 Microsoft 安全合规工具包和 macOS 安全合规项目,开始创建基线,以评估配置策略并减少配置漂移。
-
部署终端保护平台 (EPP):实施一个能够支持组织各种操作系统类型并提供防范和保护能力的 EPP 解决方案,同时不影响终端性能。要根据组织的使用案例挑选合适的供应商。
-
实施控制和隔离:启用基于主机的防火墙,阻止在未经批准的端口和IP地址上的通信。此外,在终端保护平台(EPP)中启用设备控制功能,以减少终端的攻击面,并仅允许批准的外部存储设备访问。
-
投资电子邮件安全平台(ESP):电子邮件是主要的攻击途径之一。因此,投资于电子邮件安全平台以防范各种基于电子邮件的攻击,包括商业电子邮件欺诈(BEC)。这一投资有助于减少终端的攻击面。
-
制定供应商整合策略:为了降低成本、复杂性和管理负担,资源有限、安全预算受限的组织可以考虑提供多种集成产品的供应商。然而,这类产品通常缺乏配置深度和灵活性。因此,在评估整合收益的同时,必须评估供应商锁定风险。
-
采用云优先部署策略:优先选择云部署的解决方案(例如,SaaS),以减轻管理负担,提高可扩展性,轻松集中管理远程终端,并更快速地提供更新和新版本。
-
制定终端管理策略:通过采用现代终端管理策略,减少劳动力、提高补丁速度,并保护员工体验。
-
外包:如果在短期内增加员工数量和技能不太可能,考虑将系统管理外包给管理安全服务提供商(MSSP)。
终端保护级别2:开发
在 2 级,组织开始改进 1 级中列出的流程。组织应明确自身需求,盘点现有情况,并制定弥补差距的计划。SRM 领导者应专注于获取应用程序和身份验证级别的清单。2 级的重点应扩展到改进应用程序级网络安全以及备份和恢复。
2级项目
-
盘点和整合应用程序:首先列出所有的应用程序/可执行程序。然后,确定它们的来源和业务价值。最后,整合应用程序及其版本。
-
标准化操作系统:尽可能开始标准化操作系统以提高安全性。标准化确保所有设备上安全更新的一致性,从而减少漏洞并最小化攻击面。它还简化了监控,使快速检测和响应威胁成为可能。在发生安全事件时,标准化的操作系统可以进行迅速而协调的响应。
-
应用加密:对终端进行加密,以保护设备上敏感数据不被未经授权的访问。利用本机操作系统的加密控制来保护内部存储。部署终端管理工具以强制执行全盘加密政策,管理密钥并大规模修复不合规设备。
-
实施漏洞检测:有效的漏洞管理对增强组织的安全态势和最小化攻击面至关重要。在这个阶段,可以开始检测和评估关键漏洞。如果EPP支持,请利用其漏洞评估功能,因为了解终端的漏洞状态对于在事件调查中提供背景至关重要。
-
管理固件:首先列出、监控和更新固件、驱动程序和微控制器到最新版本,以减少漏洞和攻击面。
-
部署终端检测与响应(EDR):实施EDR解决方案作为事件响应(IR)的主要工具。优先选择能够将预防、保护、检测和响应功能结合在一个统一管理的单一代理中的工具,以减少复杂性。
-
采用安全运营(SecOps):如果组织内有可用的SecOps团队,请开始与其合作,并建立角色和职责。与SecOps团队共同开展事故响应(IR),并将终端保护平台(EPP)与SecOps工具整合。
-
实施多因素身份验证(MFA):对特权帐户和关键业务系统使用MFA。
-
实施安全服务边缘(SSE):用SSE替换独立的安全网页网关(SWG)和云访问安全代理(CASB),以扩展对远程工作人员和小型办公室的保护,减少终端上的代理数量,并实现与EPP的更好集成。
-
为终端开发韧性:勒索软件和敲诈软件是对大多数组织最大的威胁之一,其策略不断演变为双重或三重敲诈、数据外泄和数据损坏。因此,制定坚实的终端备份和恢复策略对于防止威胁至关重要。
终端保护级别 3:定义
在3级,组织开始走向成熟。他们应该拥有大多数必要的工具,例如 EPP、EDR、SSE 和ESP ,并且应该定义目标、流程和管理系统。尤其应该:
-
继续改进流程
-
为事件响应建立正式的安全运营中心 (SOC)
-
开始将漏洞管理发展为更全面的暴露管理。
在这个级别组织开始关注绩效跟踪和报告。为了防止更多机会性攻击,SRM 领导者应该将重点从单纯的预防扩展到检测和响应。
3级项目
-
采用扩展检测与响应(XDR):为了统一安全事件检测并自动化响应能力,考虑采用XDR工具。将EDR集成到更广泛的XDR平台中有助于提高事件的真实性,改善检测速度,简化警报管理并改善多个安全产品的事件响应。
-
加强安全团队:确保安全团队拥有足够的人手和必要的技能来运行。成熟度较低的组织缺乏24/7的安全运营中心(SOC)覆盖、资源和专业知识,应寻求完全托管的方案。如果希望提升内部技能,事件响应解决方案可以帮助员工解释结果并响应告警。如果员工在高级威胁狩猎和分析方面没有经验或训练,考虑从管理检测与响应(MDR)供应商那外包所需的技能,但仍然应该优先考虑对内部员工的培训。
-
扩展漏洞管理的范围:使用先进的基于风险的优先排序方法,考虑利用的可能性、资产的关键性以及已部署的缓解控制的背景。
-
实施特权访问管理:开始从用户中移除管理员权限(包括本地管理员权限),并对终端应用基于角色的访问控制,以限制未经授权的使用。如有必要,为最终用户实施特权访问管理(参见特权访问管理指南)。开发特权凭据的清单,建立这些凭据生命周期管理的流程,并监控其使用。
-
保护云工作负载:将工作区与工作负载解耦,以成功实施云原生应用安全。前者包括个人电脑和移动操作系统,后者包括部署在基础设施即服务(IaaS)上的服务器和安全程序。作为云工作负载安全程序的一部分,部署云原生应用保护平台(CNAPP)。这样可以确保云原生应用的开发和部署符合DevSecOps方法。
-
发现物联网 (IoT) 和OT 设备:将资产发现范围扩展到非 Windows、Linux 和 macOS 设备。发现 IoT 和 OT 资产,以识别非标准设备的风险。
-
实施自带设备 (BYOD) 安全:开始审查未管理设备的使用政策及其对关键系统的访问。利用 MFA 保护企业应用。使用端点隔离和批准的安全访问方法(如虚拟桌面基础设施 (VDI) 或桌面即服务 (DaaS)、安全企业浏览器 (SEB)、SSL VPN 及无客户端零信任网络访问 (ZTNA))提供对企业应用和数据的分段访问。确定 BYOD 计划何时及何地有意义,分析如何管理,并评估其应用的预期效果。
-
建立安全意识计划:开展安全意识培训计划,以教育员工并改善安全行为。这些计划应包括网络钓鱼意识和计算机基础培训。此外,利用供应商平台的计划可以支持和增强多渠道、特定情境和以员工为中心的方法的执行。
终端保护级别 4:主动防御
在第4级,组织已经准备好同时部署攻击性技术和防御性技术。SRM领导者应该扩大他们的范围,关注所有网络连接的设备。也就是说,他们应该采取旨在减少广泛设备攻击面的方法——从标准工作站到物联网设备,再到使用过期操作系统的设备。在这个成熟阶段,检测活动升级到设备、身份和用户行为层面。
SRM领导者应该实施身份威胁检测和响应(ITDR)解决方案,以进一步提高与身份相关的检测能力。为了进一步减少攻击面并保护遗留系统,他们应该加强使用默认拒绝控制,例如应用控制解决方案。此外,他们应该采取持续渗透测试的思维方式,以识别漏洞。
4级项目
-
采用多功能安全平台用于IOT和OT:识别组织当前使用的OT安全解决方案,并评估市场上增长的解决方案列表,以寻找最佳契合。包括所有网络物理系统(CPS)——例如OT、物联网、工业物联网(IIoT)和医疗物联网(IoMT),以及IT系统在一个联合治理模型中。
-
实施ITDR:实施ITDR能力,以识别和响应恶意行为,如凭据盗窃和凭据滥用攻击中所看到的行为。优先考虑不仅专注于检测的技术,还帮助改善您的身份和访问管理(IAM)基础设施的姿态。威胁行为者已转向认证层,通过社交工程增加账户接管攻击。ITDR将越来越能够通过识别异常设备和用户账户行为来检测这些攻击。
-
使用应用控制:通过应用默认拒绝的方法,减少终端的攻击面。然而,在承诺进行应用控制计划之前,必须检查关键用例,以理解在哪些情况下部署是合适的。
-
部署移动威胁防御 (MTD):在特权用户和高价值目标员工使用的移动终端上实施 MTD,以防止移动钓鱼攻击,并降低在工作场所使用个人设备的风险。
-
持续测试和猎杀:通过与安全运营团队进行攻防演练,测试终端安全控制的有效性,以识别和修复控制缺口。主要目标应该是测试检测和响应,评估特定场景是否可能发生在组织中,评估该威胁可能的严重程度,并确定组织如何应对。您可以使用漏洞和攻击模拟 (BAS) 工具来评估如果发生漏洞,会发生什么,以及终端保护工具的表现如何。
终端保护级别 5:优化
在优化阶段,组织开始预测攻击并识别其当前安全漏洞。在第5级,工作重点将扩展到检查供应链是否存在下游攻击,以及改进和优化安全措施。SRM领导者应专注于整体工作空间安全,通过整合EPP、ESP和SSE来优化运营、降低复杂性并改进检测和响应。
5级项目
-
实施自动化安全控制评估(ASCA):实施ASCA以持续分析、优先排序和优化安全控制,从而减少组织的威胁暴露。ASCA识别配置漂移、政策和控制缺陷、检测逻辑漏洞、不良默认设置以及安全控制中的其他配置错误。
-
实施工作区安全:通过整合EPP、ESP和SSE来实施工作区安全战略,以改善安全性,同时保持复杂性可控。
-
实施网络安全威胁暴露管理(CTEM):为CTEM计划建立定期、可重复的周期。每个周期应遵循五个步骤的流程——范围界定、发现、优先排序、验证和调动,以确保一致的威胁暴露管理。
-
检查供应链:关注设备制造商和应用供应链。考虑地缘政治风险,因为它们可能影响网络威胁环境。因此,网络战争往往跨越地理边界。例如,国家之间的冲突可能导致协调网络攻击,不仅影响受影响国家的组织,还影响全球企业。
评估配置并投资技能以实现终端安全工具的最佳利用
认真评估和监控终端安全工具的配置,以识别可能危及组织安全的错误配置和漏洞。通过合理的配置确保有效性,定期评估设置以解决差异并预防漏洞。主动发现问题并预测黑客可能利用的漏洞。通过定期评估优化安全工具,并监控偏差,以便迅速采取纠正措施。
可以从手动评估开始。然而,随着组织日渐成熟,部署更多工具和流程,手动评估将变得愈发具有挑战性。届时,可以采用 ASCA 技术,将威胁态势与漏洞、攻击方法、业务环境和防御能力相结合。ASCA 可最大限度地减少手动工作,并根据风险暴露情况确定问题的优先级。它根据最佳实践、行业标准和当前威胁对安全控制进行微调,确保最佳功能并提出改进建议。许多安全服务提供商都提供这些功能。
除了定期评估安全配置外,还要确保技术投资与技能投资相匹配。很多时候,组织盲目地信任他们拥有的保护工具,而很少关注这些工具的部署、配置和操作方式。如果组织缺乏必要的资源或专业知识,与第三方服务提供商合作可能是一个可行的替代方案,可以快速获得成果。这些提供商提供专业知识和经验,确保终端安全工具得到充分利用。无论是通过内部开发还是外部合作,目标都是最大限度地提高安全措施的有效性,提供全面的防护,以抵御不断演变的网络威胁。