A végponti eszközök továbbra is a kibertámadások kitüntetett célpontjainak számítanak. Egy sikeresen feltört laptop olyan hídfőállást jelent, ahonnan azután a hálózat további végpontjai is sikeresen megfertőzhetők. Ezek a fajta támadások csak úgy előzhetők meg, ha a biztonsági szakemberek a végpontvédelmet is integrálják a hálózatbiztonsági feladatok közé.
Az ilyen mély az integrációnak 4 olyan fő területe létezik, melyek megvalósulása jelentős előrelépést jelent a céges biztonsági megoldások területén. Ezek 1) a kockázatalapú láthatóság, 2) a kontroll, 3) a veszélyekre vonatkozó értesülések megosztása, és 4) az automatizálás.
1.
A kockázatalapú láthatóság
A cégeknek teljes mértékben tisztában kell lenniük vele, mi történik a végpontokon. Ennek függetlennek kell lennie attól, hogy valaki be van-e jelentkezve, illetve hogy használ-e VPN-t.
A hálózatbiztonsági szakembereknek látniuk kell a felhasználókat és az eszközöket, hogy monitorozhassák és elbírálhassák a bennük rejlő kockázatokat: a befoltozatlan biztonsági réseket, az elavult szoftvereket, a nemkívánatos alkalmazásokat, a kockázatos felhasználói viselkedést.
A kockázatalapú láthatósághoz a hálózatbiztonsági eszközökkel (tűzfal, sandbox, webszűrők) valós időben megosztott telemetrikus adatokra van szükség az összes végpontról. Ennek a módszernek a segítségével a hálózat kezelője egyetlen pillantással, naprakész pontossággal meg tudja mondani, milyen a cég védelmi helyzete. Ez az egyszerűsített, egyetlen felületen alapuló menedzsment egy teljes képet kínál a végpontokon fellépő kockázatokról, beleértve a felhasználók azonosítását, a védelmi státuszt, a be nem foltozott biztonsági réseket és a biztonsági eseményeket is.
2.
Kontroll
Ha megvalósult a láthatóság, itt a lehetőség a megfelelő ellenőrzés kialakítására. A végpontokat meg kell szilárdítani, és megbízható folyamatokat kell kialakítani olyan “hálózatbiztonsági higiénia” fenntartásával, ami megerősíti a cég holisztikus állapotát.
A végpontvédelmi megoldásnak ki kell kényszeríteni a megfelelő eljárások és kontrollok alkalmazását valamennyi eszközre. Csak a megfelelési és biztonsági szabványoknak megfelelő végpontok kaphatnak hozzáférést a hálózati erőforrásokhoz. A telemetriás adatokat használva a szabályzaton alapuló hozzáférés-kontroll alkalmazható. Ebben a helyzetben a hálózat még valamelyik nagy kockázatú végpont sérülése esetén is fenntartható, vagy helyrehozható.
3.
A fenyegetésekre vonatkozó értesülések megosztása és a riasztási döntések
A végpontok és a hálózatbiztonsági eszközök közötti mély integráció támogatja a fenyegetésekkel kapcsolatos információk kétirányú megosztását. Ez a kulcsfontosságú védekezési képesség fokozottan értékessé válik a célzott adathalászat, vagy az egyedi malware-eken alapuló támadások esetén.
Azzal, hogy az egész szervezetben valós időben megosztják az információkat, segítik az azonnali választ a szervezetet, vagy az iparágat ért támadásokkal szemben. Amikor a hálózat, a web gateway, vagy a végpontbiztonsági megoldás új fenyegetést észlel, ezt az információt automatikusan az összes végponttal és a szervezetben működő biztonsági eszközzel megosztja.
A végpontvédelmi megoldás egyaránt küld és fogad fenyegetésekre vonatkozó információkat, és a hálózatbiztonsággal koordinálva a riasztások hitelesítésében és megerősítésében is részt vesz. Ez azt jelenti, hogy a végpontbiztonság összeveti az eseményeket a hálózati forgalommal, vagy a fenyegetésekre vonatkozó információkkal, így igazolja a riasztásokat a sebezhetőségeket és a potenciális biztonsági réseket.
A végpontvédelemnek köszönhetően csökkennek a téves riasztások és az ezekből származó feszült munkaórák, miközben a szakemberek egy teljesebb és pontosabb képet kapnak a hálózat pillanatnyi állapotáról.
4.
Automatizálás
Az automatizálás az integráció “Szent Grálja”. Az automatizált válaszok és munkafolyamatok gyorsabb észlelést, jobb védelmet tesznek lehetővé, miközben csökkentik a nyomást a túlterhelt, erőforráshiányos IT csapaton.
Az automatizálás révén a támadások és az incidensek minden emberi beavatkozás nélkül gyorsan, hatékonyan kezelhetők.
Ezek a funkciók segítenek kiküszöbölni az alapvető védelmi hiányosságokat, miközben csökkentik a manuális folyamatokat. Az incidensekre való automatikus reagálás és ezek elszigetelése olyan funkciók, melyek támogatják az azonnali reagálást az észlelt fenyegetésekre, megakadályozva ezzel azok szélesebb körű elterjedését.
Ha a végpont olyan gyanús viselkedést mutat, ami megfelel a veszélyeztetési indikátorok (ICO) kritériumainak, akkor azokat karanténba zárva, azonnal szeparálják a hálózat többi részétől. Ezzel megelőzhető a többi eszköz megfertőződése, illetve a továbbterjedés a szervezeten belül. Az automatikus karantén megvédi az érzékeny adatokat, csökkenti a kitettséget, lerövidíti az elszigetelésig / megoldásig tartó időt, mégpedig úgy, hogy nem terheli tovább az IT csapatot.
Az automatizáció segít biztosítani a hálózatért felelős vezetőknek, hogy a működtetett infrastruktúra szigorúan megfeleljen az adatvédelmi törvényeknek és az iparági szabályozásnak. Ahhoz, hogy az automatizálási megoldások az egész hálózatbiztonsági architektúrával együtt tudjanak működni, olyan végponti megoldásra van szükség, ami nyílt API-n alapul és kompatibilis más cégek biztonsági termékeivel is. Ez kiterjeszti a biztonsági integrációt, miközben segít maximalizálni a már meglevő AV megoldásokat és biztonsági termékeket.
Összegzés
A felsorolt 4 módszer implementálásával jelentősen csökkenthető a végpontvédelmi kockázat. Éppen ezért érdemes lehet Fortinet eszköztárunkat áttekintenie, hiszen rengeteg manuális munkát válthat ki a Fortinet integrált, rugalmasan kezelhető, automatizált biztonsági keretrendszerével.
