Prevendo o futuro da segurança de endpoint em um mundo de confiança zero

Os endpoints devem se tornar mais inteligentes, resilientes e autorrecuperáveis ​​para suportar as muitas novas identidades que precisam proteger. Mesmo os endpoints mais protegidos estão em risco porque não podem proteger contra violações baseadas em identidade. Colocar qualquer confiança em identidades é uma violação esperando para acontecer.

Como os provedores de plataforma de proteção de endpoint (EPP), detecção e resposta de endpoint (EDR) e detecção e resposta estendida (XDR) respondem ao desafio definirá o futuro da segurança de endpoint. Com base nos muitos briefings que a VentureBeat teve com os principais fornecedores, surge um conjunto básico de objetivos de design e direção do produto. Juntos, eles definem o futuro da segurança de endpoint em um mundo de confiança zero.

Srinivas Mukkamala, diretor de produtos da Ivantiaconselhou as organizações a considerar cada sistema operacional e ter a capacidade de gerenciar cada perfil de usuário e dispositivo cliente a partir de um único painel de vidro. Os funcionários desejam acessar dados e sistemas de trabalho a partir do dispositivo de sua escolha, portanto, a segurança ao fornecer acesso aos dispositivos “nunca deve ser uma reflexão tardia”.

“Os líderes empresariais continuarão vendo os custos de gerenciamento desses dispositivos aumentarem se não considerarem a variedade de dispositivos que os funcionários usam”, disse Mukkamala. “As organizações devem continuar avançando em direção a um modelo de confiança zero de gerenciamento de endpoint para enxergar além e reforçar sua postura de segurança.”

Os fabricantes, em particular, chamam os ataques de ransomware que capitalizam endpoints desprotegidos de pandemia digital. E, após um ataque, a análise forense mostra como os invasores estão ajustando seu ofício para capitalizar a proteção de identidade de endpoint fraca ou inexistente.

CrowdStrike Relatório de Ameaças Globais de 2023 descobriu que 71% de todos os ataques são livres de malware, acima dos 62% em 2021. A CrowdStrike atribui isso ao uso prolífico de credenciais válidas pelos invasores para obter acesso e realizar reconhecimento de longo prazo nas organizações visadas. Outro fator contribuinte é a rapidez com que novas vulnerabilidades são divulgadas e a rapidez com que os invasores se movem para operacionalizar as explorações.

CrowdStrike o presidente Michael Sentonas disse à VentureBeat que a interseção de endpoint e identidade é um dos maiores desafios hoje.

Os invasores que se esforçam para melhorar seu tradecraft reduziram o tempo médio de interrupção da atividade de intrusão de 98 minutos em 2021 para 84 minutos em 2022. A CrowdStrike observa que pode levar até 250 dias para as organizações detectarem que ocorreu uma violação de identidade quando os invasores foram válidos credenciais para trabalhar.

Os principais fornecedores de EPP, EDR e XDR ouvem de clientes que as violações de endpoint baseadas em identidade estão aumentando. Não é surpresa que 55% dos profissionais de segurança cibernética e gerenciamento de riscos estimam que mais de 75% dos ataques de endpoint não pode ser interrompido com seus sistemas atuais.

A IA generativa precisa fornecer ganhos de confiança zero

A IA generativa pode ajudar a capturar cada intrusão, violação e atividade anômala, juntamente com seus fatores causais, para melhor prever e interrompê-los. Com essas ferramentas, as equipes de segurança, TI e operações poderão aprender com cada tentativa de violação e colaborar nelas. A IA generativa criará um novo tipo de “memória muscular” ou resposta reflexiva.

Provedores notáveis ​​com fortes líderes em IA e aprendizado de máquina (ML) incluem CrowdStrike, Cisco, Ivanti, Microsoft, Palo Alto Networks e Zcaler. Microsoft gastou $ 1 bilhão em P&D de segurança cibernética no ano passado e se comprometeu a gastar mais $ 20 bilhões nos próximos cinco anos.

Os provedores buscam ganhos graduais para fornecer mais inteligência contextual, resiliência e autocura. É fácil ver por que os provedores de endpoint, incluindo Bitdefender, Cisco, Ivanti, McAfee, Palo Alto Networks, Sophos e outros estão apostando em IA e ML para trazer uma nova intensidade à forma como inovam.

Abaixo estão as principais conclusões dos briefings de produtos com os principais fornecedores.

Aplicativos de ML de rastreamento rápido para identificar os CVEs mais críticos que afetam os endpoints

O Active Directory (AD), introduzido pela primeira vez com o Windows Server em 2019, ainda é usado em milhões de organizações. Os invasores geralmente visam o AD para obter controle sobre as identidades e mover-se lateralmente pelas redes. Os invasores exploram os CVEs de longa data do AD porque as organizações priorizam os patches mais urgentes e as defesas CVE primeiro.

Sem dúvida, AD está sob ataque; CrowdStrike descobriu que 25% dos ataques vêm de hosts não gerenciados, como laptops contratados, sistemas não autorizados, aplicativos e protocolos herdados e partes da cadeia de suprimentos em que as organizações carecem de visibilidade e controle.

A consolidação de pilhas de tecnologia fornece melhor visibilidade

Os CISOs dizem que os orçamentos estão sob maior escrutínio, portanto, consolidar o número de aplicativos, ferramentas e plataformas é uma alta prioridade. A maioria (96%) dos CISOs planeja consolidar suas plataformas de segurança, com 63% preferindo (XDR). Consolidando pilhas de tecnologia ajudará os CISOs a evitar ameaças ausentes (57%), encontrar especialistas em segurança qualificados (56%) e correlacionar e visualizar descobertas em seu cenário de ameaças (46%).

Todos os principais provedores agora estão buscando a consolidação como uma estratégia de crescimento, com CrowdStrike, Microsoft e Palo Alto Networks sendo os CISOs mais mencionados ao VentureBeat.

O CISOS diz que a Microsoft é a mais difícil de acertar dos três. Microsoft vende Em sintonia como uma plataforma que ajuda a reduzir custos porque já está incluída nas licenças corporativas existentes. Mas os CISOs dizem que precisam de mais servidores e licenças para implantar o Intune, tornando-o mais caro do que esperavam. Os CISOs também dizem que o gerenciamento de todos os sistemas operacionais é desafiador e eles precisam de soluções adicionais para cobrir toda a sua infraestrutura de TI.

A CrowdStrike, por sua vez, usa o XDR como uma plataforma de consolidação; Ivanti acelera melhorias baseadas em IA e ML para UEM; e a estratégia baseada em plataforma da Palo Alto Networks visa ajudar os clientes a consolidar pilhas de tecnologia. Durante sua palestra na Fal.Con 2022, o cofundador e CEO da CrowdStrike, George, disse que os endpoints e as cargas de trabalho fornecem 80% dos dados de segurança mais valiosos.

“Sim, [attacks] acontecem na rede e em outras infraestruturas”, disse ele. “Mas a realidade é que as pessoas estão explorando os endpoints e a carga de trabalho.”

Jason Waits, CISO da Automação Indutivaexplicou que sua empresa consolidou a verificação de vulnerabilidades e o gerenciamento de firewall de endpoint no agente CrowdStrike, removendo duas ferramentas de segurança separadas no processo.

“Reduzir o número de agentes que precisamos instalar e manter reduz significativamente a sobrecarga de administração de TI e aumenta a segurança”, disse ele.

Inteligência contextual Indicadores de ataque (IOA) baseados em IA para resolver a lacuna de identidade do endpoint

Por definição, os indicadores de ataque (IOA) medem a intenção de um agente de ameaça e tentam identificar seus objetivos, independentemente do malware ou exploit usado. IOAs complementares são indicadores de compromisso (COI) que fornecem perícia para provar uma violação de rede. Os IOAs devem ser automatizados para fornecer dados precisos e em tempo real para entender a intenção dos invasores e interromper as tentativas de invasão.

A VentureBeat conversou com vários provedores que têm IOA baseado em IA em desenvolvimento e descobriu que CrowdStrike é o primeiro e único fornecedor de IOAs baseados em IA. A empresa diz que os IOAs com tecnologia AI funcionam de forma assíncrona com ML baseado em sensor e outras camadas de defesa de sensor. Os IOAs baseados em IA da empresa usam ML nativo da nuvem e experiência humana em uma plataforma inventada há mais de uma década. IOAs gerados por IA (dados de eventos comportamentais) e eventos locais e dados de arquivos são usados ​​para determinar a malícia.

Ferramentas autônomas não fecham lacunas entre endpoints e identidades; plataformas fazem

A normalização de relatórios em várias ferramentas independentes é difícil, demorada e cara. As equipes de SOC usam técnicas de correlação manual para rastrear ameaças em endpoints e identidades. As ferramentas não têm um conjunto padrão de alertas, estruturas de dados, formatos de relatórios e variáveis, portanto, obter todas as atividades em um único painel de vidro não está funcionando.

Neurônios Ivanti para UEM depende de bots habilitados para IA para buscar identidades de máquinas e endpoints e atualizá-los automaticamente. Sua abordagem para endpoints de autocorreção combina tecnologias de IA, ML e bot para fornecer endpoint unificado e gerenciamento de patches em escala em uma base global de clientes corporativos.

Endpoints de autocorreção ajudam a fechar a lacuna enquanto fornecem resiliência

As plataformas UEM mais avançadas podem se integrar e habilitar a microssegmentação, IAM e PAM em toda a empresa. Quando AI e ML são incorporados em plataformas e firmware de dispositivo de endpoint, a adoção corporativa é acelerada. O autodiagnóstico e a inteligência adaptativa criam um endpoint de autocorreção. Os endpoints de autocorreção podem se desligar, verificar novamente o sistema operacional e a versão do aplicativo e redefinir para uma configuração otimizada e segura. Essas atividades são autônomas, sem necessidade de interação humana.

Os CISOs dizem à VentureBeat que a resiliência cibernética é tão crítica para eles quanto a consolidação de suas pilhas de tecnologia. Os dados de telemetria e transação que os terminais geram estão entre as fontes mais valiosas de inovação que a comunidade de fornecedores de confiança zero tem hoje. Espere o uso adicional de IA e ML para melhorar os recursos de detecção, resposta e autocorreção de endpoints.

Conclusão

A segurança de endpoint em um mundo de confiança zero depende da capacidade dos provedores de EPP, EDR e XDR de preencher a lacuna de segurança de endpoint e proteção de identidade em uma única plataforma usando dados de telemetria comuns em tempo real. Com base nas entrevistas que a VentureBeat realizou com os principais fornecedores e CISOs, é evidente que isso pode ser alcançado usando IA generativa para fornecer ganhos de confiança zero e consolidar pilhas de tecnologia para melhor visibilidade. Os provedores devem inovar e integrar as tecnologias de IA e ML para melhorar a detecção, a resposta e a autocorreção de endpoints diante de um cenário de ameaças implacável e em rápida mudança.