安全之重 預(yù)防為先 | 什么是阻止現(xiàn)代威脅的更好選擇

面對(duì)疫情的反復(fù)無(wú)常和遠(yuǎn)程辦公的常態(tài)化，大多數(shù)CISO及其團(tuán)隊(duì)已經(jīng)重新評(píng)估和調(diào)整了安全策略，為居家辦公和虛擬團(tuán)隊(duì)所需的端點(diǎn)安全提供防護(hù)，但由于大量企業(yè)的端點(diǎn)安全“負(fù)債”過(guò)多，且企業(yè)網(wǎng)絡(luò)攻擊面急速擴(kuò)大，端點(diǎn)安全已經(jīng)成為2022年企業(yè)安全的主要痛點(diǎn)和熱點(diǎn)之一。

端點(diǎn)保護(hù)為有效的安全策略奠定了基礎(chǔ)，預(yù)防為先的方法應(yīng)該是企業(yè)端點(diǎn)安全策略的基礎(chǔ)。新技術(shù)推動(dòng)行業(yè)格局發(fā)生變化。隨著大數(shù)據(jù)、人工智能、云計(jì)算等計(jì)算機(jī)領(lǐng)域的快速發(fā)展，終端與網(wǎng)絡(luò)的邊界開始擴(kuò)張，各類應(yīng)用和數(shù)據(jù)愈加復(fù)雜，數(shù)據(jù)泄密風(fēng)險(xiǎn)顯著提升。產(chǎn)業(yè)進(jìn)入安全應(yīng)用場(chǎng)景爆炸期，針對(duì)信息化的安全防護(hù)重心出現(xiàn)各類細(xì)分，一方面需要針對(duì)泛終端、新邊界、云計(jì)算等新的信息化基礎(chǔ)設(shè)施進(jìn)行安全防護(hù)，另一方面，需要圍繞上層的身份、數(shù)據(jù)、應(yīng)用和行為等構(gòu)建新的防御體系，這些領(lǐng)域不論是軟硬件形態(tài)，還是技術(shù)路線，都和以往安全行業(yè)所提供的產(chǎn)品存在很大的不同。本文在以端點(diǎn)為中心的結(jié)果很明確的情況下，將端點(diǎn)保護(hù)“強(qiáng)者”——Cortex XDR 與 CrowdStrike進(jìn)行比較，助力企業(yè)安全體系建設(shè)作出最優(yōu)選擇。

最佳保護(hù)
在未知惡意軟件方面，Cortex XDR的行為威脅防護(hù)功能和AI驅(qū)動(dòng)的分析在現(xiàn)實(shí)世界的MITRE ATT&CK 評(píng)估和AV-Comparatives測(cè)試中都優(yōu)于 CrowdStrike。通過(guò)跟蹤活動(dòng)鏈的順序并在這些動(dòng)作發(fā)生時(shí)將情境應(yīng)用于這些動(dòng)作，行為威脅防護(hù)能夠自動(dòng)準(zhǔn)確地識(shí)別和阻止高度規(guī)避性的復(fù)雜攻擊。結(jié)合基于技術(shù)的漏洞利用防護(hù)、全球威脅情報(bào)和云輔助分析，Cortex XDR可提供更好、更強(qiáng)大的保護(hù)。CrowdStrike 對(duì)基于哈希的保護(hù)和IoC的依賴只側(cè)重于已知攻擊和事后檢測(cè)。


明顯優(yōu)越的檢測(cè)
在檢測(cè)和可視性方面，Cortex XDR豐富的遙測(cè)收集和廣泛的基于云的分析檢測(cè)模塊可識(shí)別整個(gè)攻擊生命周期中的惡意活動(dòng)，并為分析師提供解決問(wèn)題所需的數(shù)據(jù)。而在MITRE第4輪中，CrowdStrike在109次分析檢測(cè)中僅發(fā)現(xiàn)了94次，其中還有11次延遲檢測(cè)。延遲可能會(huì)產(chǎn)生重大后果。實(shí)時(shí)檢測(cè)意味著更快的響應(yīng)時(shí)間，以及對(duì)企業(yè)的影響更小。


更快、更完整的調(diào)查和響應(yīng)
Cortex XDR自動(dòng)將警報(bào)分組到事件中，提供威脅建模，收集完整的情境并構(gòu)建時(shí)間線和攻擊序列，從而了解攻擊的根本原因和影響?？蛻粞芯勘砻?，Cortex XDR可以將安全警報(bào)減少 98% 以上*，并將調(diào)查時(shí)間縮短88%。**此外，一鍵修復(fù)可加速所有受影響端點(diǎn)的攻擊恢復(fù)。CrowdStrike更多地依賴分析師來(lái)調(diào)查攻擊并從攻擊中恢復(fù)。事件單獨(dú)呈現(xiàn)，響應(yīng)單獨(dú)完成，補(bǔ)救手動(dòng)完成，自動(dòng)化程度有限。最終的結(jié)果可能是更多的風(fēng)險(xiǎn)、更低的效率和延遲的恢復(fù)。


Palo Alto Networks  Cortex XDR®的端點(diǎn)保護(hù)在獨(dú)立第三方評(píng)估中始終優(yōu)于CrowdStrike EDR。
在MITRE ATT&CK第3輪評(píng)估中，Palo Alto Networks  Cortex XDR®阻止了100%的攻擊，而 CrowdStrike只阻止了 70%。
在MITRE ATT&CK第4輪評(píng)估中，Cortex XDR以 98%的技術(shù)級(jí)檢測(cè)率領(lǐng)先于CrowdStrike的71%，再次證明了其在端點(diǎn)保護(hù)和檢測(cè)方面的領(lǐng)先地位。