Deep Instinct 提出了有說服力的論點,促使我們重新評估端點保護的重要性。
快速了解IDC
端點安全產品是企業網路防禦的基礎。 然而,隨著EDR和XDR的出現,如果企業忽視了預防的重要性並抱有“假設入侵”的心態,那麼組織的網路防禦能力就會面臨風險。 但哪些端點保護產品值得考慮呢? 根據Unit 221B(Lance James)的說法,該單位對Deep Instinct進行了為期三個月的嚴格第三方安全評估,該公司在靜態和動態分析的創新應用,為其以預防為先的解決方案提出了耳目一新說服力的論點。
新聞要點
2022 年 6 月 22 日,Deep Instinct 發布了一份新聞稿,強調其威脅防禦能力經過由資安公司Unit 221B進行的測試所證實。主要發現包括:
- 在對未知和自行開發惡意軟體攻擊的檢測和防禦,綜合準確率達到99.78%
- 對未知攻擊的防禦率為100%,對Unit 221B自行開發惡意攻擊的防禦率為96.4%
- 事件/警報產生量相較於Microsoft Defender Antivirus減少了40%
有關Unit 221B測試方法、進行的測試和結果的詳細報告已經可以獲得,詳情請洽 download.
IDC的觀點
隨著擴展式檢測和響應(XDR)在資訊安全領域中佔據重要舞台成為下一個「大事件」,組織有可能在花費上過度偏向於針對已發生的入侵情況提供更好應對的解決方案,而忽略了預防入侵情況的解決方案。此外,從總體的角度來看,如果更加關注強化預防能力,可以提升網路防禦的韌性。
根據IDC最新的未來企業韌性與支出調查(第四波,2022年5月),當組織面臨不斷變化的威脅環境時,更傾向於選擇檢測和響應而非預防。在本次調查中,我們向IT決策者提問:「因為俄羅斯與烏克蘭之間的戰爭和世界各國政府的後續行動,您的組織是否已經或將會修改其網路安全準備和防禦措施?」百分之三十九的受訪者回答「是」,另外百分之三十五的受訪者回答「情況仍在變化中,我們將繼續評估」。為了了解他們已經或未來要如何進行修改,我們問道:「在修改您的組織網路安全準備和防禦措施時,哪些安全產品或服務需要增加最多的經費?」
受訪者收到了 15 個網路安全產品和服務類別的列表。其中有3個類別直接適用於端點安全。在這3個類別中,「管理檢測和響應(MDR)服務」以30%的受訪者數量位居榜首,其次是「高級威脅檢測與響應(EDR/XDR/NDR)」佔27%,而「次世代端點保護/防毒(AV)」則佔28%。
在這種情況下,我們對Deep Instinct的「逆流而上」訊息感到興趣,該訊息呼籲組織應重新評估其在端點預防方面的選擇。對於對Deep Instinct不太熟悉的人來說,該公司成立於2015年,並將深度學習(一種先進的AI形式)應用於其以預防為先的解決方案的基礎,以在檔案執行之前識別和消除已知和未知的惡意軟體形式(即在檔案登陸端點磁碟出現惡意行為之前阻止)。
總的來說,我們相信Deep Instinct提出了一個引人注目的論點。我們對此結論的支持原因可以分為兩個類別:(1)嚴格的第三方評估,以及(2)優點和缺點的權衡。前者為IT安全專業人員提供了考慮在其環境中使用Deep Instinct的理由。後者,即優點和缺點的權衡,可以降低組織在選擇部署Deep Instinct時可能遇到的風險,同樣地,也可以在使用Deep Instinct時獲得正面效益。
嚴格的第三方評估
閱讀Unit 221B對Deep Instinct進行全面評估的詳細報告是值得的。這份報告中顯而易見的是,Unit 221B 的目標是找出在於Deep Instinct預防聲明中的漏洞,然而卻未找到任何漏洞。
總結而言,Unit 221B進行了一系列測試,目的在評估Deep Instinct在多種惡意可執行檔案類型(可攜式、未知和自製)中的偵測和防禦效能;特定於勒索軟體的可執行檔案(未知和自製);以及隱藏在文檔中(Microsoft Word、Excel和OneNote)、捷徑、鏈接和HTML應用中的活動腳本惡意軟體。Unit 221B還評估了Deep Instinct對惡意檔案檢測分析的能力,即:靜態分析(磁碟上的惡意檔案)、動態分析(執行惡意檔案)以及傳輸中檔案的分析。結合Deep Instinct的深度學習演算法,Unit 221B評估了Deep Instinct自動隔離惡意行為模型的能力。
為了測試Deep Instinct對未知執行檔案(即二進制檔案)的檢測能力,Unit 221B使用了VirusTotal提交的樣本,該樣本創建日期在2021年12月20日至2022年3月20日期間。由於部署在測試系統上的Deep Instinct軟體版本是2021年12月之前的版本,所選取的二進制檔案樣本對Deep Instinct來說是未知的,因此未被用來訓練Deep Instinct的檢測演算法。Unit 221B的測試結果顯示,Deep Instinct阻止了100%使用未知惡意軟體進行的攻擊。
自定義可執行檔案由 Unit 221B 團隊開發。 儘管樣本量明顯小於未知樣本,但 Deep Instinct 成功阻止了 96.4% 的自定義攻擊。在安全功效的另一項關鍵測量中,還測量了 Deep Instinct 的誤報率。 在進行的所有測試中,Unit 221B 沒有遇到任何誤報。
為了評估對Deep Instinct的安裝和使用是否會產生誤判,我們在測試系統中安裝了常見的商業軟體(Python、Chrome瀏覽器和Microsoft Office)。結果並未發現任何誤判,這也意味著Deep Instinct的軟體部署不需要進行額外的配置調整。
Unit 221B 還將 Deep Instinct 的檢測和預防功能與 Microsoft Defender 防毒進行了比較(Microsoft Defender 防毒是 Microsoft Defender for Endpoint Plan 1 和 Plan 2 以及 Microsoft Defender for Business 中的反惡意軟體組件)。 在本次測試中,Unit 221B 再次使用了來自 VirusTotal 的二進制樣本,其創建日期在 2021 年 12 月 20 日至 2022 年 3 月 20 日之間。
在這次測試中使用了兩個系統環境:未安裝Deep Instinct的Windows 10專業版和以預設配置安裝了Deep Instinct的Windows 10專業版。在測試中,Deep Instinct自動刪除了100個惡意軟體樣本中的68個,而在剩下的32個執行檔中,有100%在執行前立即被終止。相比之下,Microsoft Defender防毒自動刪除了5個惡意檔案,其餘的95個既未被阻止也未被終止。由於Deep Instinct相對於Microsoft Defender防毒在自動刪除和終止率高的多,所以Deep Instinct產生的安全事件比未安裝Deep Instinct的Windows 10專業版少了2,647個。此比較中指出Windows 10專業版的配置方式。
Unit 221B 也分享了其對Deep Instinct安裝和配置用戶體驗(令人印象深刻的流暢、快速且不擾人)以及 Deep Instinct 儀表板的 UX 設計的看法(非常優秀)。
優點和缺點的權衡
「嚴格的第三方評估」為資訊安全專業人員提供了考慮的理由,或是從積極的意義上來說,進一步為他們提供更多前進的依據。
由於大多數組織都已經部署了端點安全產品,授權成本是一個不可避免的因素,尤其是如果Deep Instinct要在合同期內增強EDR或取代現有的AV產品。財務計算是明確的:每個設備的年度(設備)價格,以及根據總席位數量提供的大幅折扣。如果預先購買3年期,還可以提供3年價格優惠。
運營成本也是需要考慮的因素。雖然不是零,但Unit 221B表達了一個有利的、低干預的觀點。此外,IDC於2021年中對一位高度滿意的Deep Instinct 1,000+設備的醫療保健客戶進行了調查,該客戶提到了一些希望的管理功能(能夠分類威脅、控制策略分配方式以及更改策略組中主機分類的能力)。由於這些所需的功能來自於2021年中期的調查,可能有一些或全部已經新增。
新產品或替換產品的運營成本可以是雙向的:增加和節省。 憑藉 Deep Instinct 的高安全功效(全面性和準確性),通過減少事件來節省運營成本,從而減少需要由資訊安全人員頻繁處理入侵警報(無論是否有 EDR 或 XDR 產品的幫助)。
事實上,Unit 221B 估計,與 Microsoft Defender 防毒軟體相比,Deep Instinct的警報和事件減少了 40-60%,這可以進一步節省全職等效 (FTE) 成本並減少警報疲勞。 此外,Deep Instinct 的高可信度的自動化操作(例如,阻止下載和執行、刪除檔案和終止執行)可以代替手動操作。端點安全解決方案可以自動且具高可信度地阻止/終止越多的攻擊,多樣性越大,組織就越不依賴於資訊安全人員來開發、測試、部署和管理自定義規則來實現相同的目標。
與其他軟體程序的並存相容性也是需要考慮的因素。Unit 221B表示,Deep Instinct對一組常見的商業軟體未造成干擾。雖然Unit 221B的評估是在有限的一組商業軟體上進行的,但Deep Instinct表示這個結果是通用的,因為無需設置排除規則來防止現有安全產品之間出現競爭條件(例如,CPU和記憶體使用增加到導致系統鎖定的程度)。Deep Instinct的相容性還有另一個好處,即在沒有例外規則的情況下,其他安全產品仍然保持完整效用,Deep Instinct的增強功能仍然完全有效。
由於組織的 IT 資產因作業系統和版本而異,因此信息安全人員需要確保涵蓋其不同的作業系統資產。 Deep Instinct 支援 Windows、Windows Server、macOS、iOS、Android、ChromeOS、Linux 和 VMware VDI 系統的當前版本和其他較舊版本。 還支援掃描上傳到 Web 和自定義應用程序或從 Web 和自定義應用程序下載的文件中的惡意代碼。
最終用戶體驗的透明度是另一個重要的考慮因素。 在這方面,Deep Instinct 具有幾個有吸引力的特點,根據所要增強或替代的端點保護產品,這些特點可能代表重大的優點權衡。 Deep Instinct 端點客戶端體積小 (10MB)、資源高效、更新頻率低(平均每年僅 1-2 次),並且除了偶爾更新之外不需要連接到雲端。 在 Deep Instinct 進行的其他比較研究中,CPU 和記憶體利用率需求大大低於競爭對手的產品。 儘管Deep Instinct進行了比較,組織應該進行自己的分析確認需求。
最後,安全效能不僅是組織的考慮因素,也與端點使用者相關。由惡意軟體引起的使用者日常活動停擺是令人沮喪的。這些情況還會產生一種次要影響,即讓端點使用者對安全軟體的觀感變得不好(不情願地接受而非樂於接受)。憑藉Unit 221B所進行的經過驗證的強大效能測試、持續的保護(在線和離線操作)以及阻止了所有遭遇到的勒索軟體攻擊,Deep Instinct對企業組織及其端點使用者是具有吸引力的。
節錄於:以下相關網路分享資訊
Please contact the IDC Hotline at 800.343.4952, ext.7988 (or +1.508.988.7988) or