阻止新的和规避的威胁是网络安全中最大的挑战之一。这是攻击在过去一年再次急剧增加的最大原因之一，尽管估计 2022 年全球网络安全支出为 1720 亿美元。

借助基于云的工具并得到复杂的附属网络的支持，威胁参与者可以比组织更新其保护措施更快地开发新的和规避的恶意软件。

依靠恶意软件签名和黑名单来抵御这些快速变化的攻击已经变得徒劳无功。因此，SOC 工具包现在主要围绕威胁检测和调查展开。如果攻击者可以绕过您的初始块，您希望您的工具能够在攻击链中的某个点拾取它们。每个组织的数字架构现在都植入了安全控制，可以记录任何潜在的恶意行为。安全分析师仔细研究这些日志并确定要进一步调查的内容。

这行得通吗?让我们看看这些数字:

76% 的安全团队表示他们无法实现目标是因为人手不足

56% 的攻击需要数月或更长时间才能发现

攻击不断增加:到 2025 年，全球网络犯罪成本预计将达到 10.5 万亿美元

显然，有些事情需要改变。检测技术有一个重要的用途，对它们进行投资并没有错，但它肯定被过分强调了。

组织需要重新优先考虑威胁预防——这来自零信任领域的领导者，该模型基本上假设您的预防控制已经失败，并且您在任何给定时间都在积极地被破坏。

终点只是起点

尽管许多安全类别都体现了检测优先安全策略中的差距，但让我们特别看看一个流行的类别:端点检测和响应 (EDR)。

EDR 的采用像野火一样增长。它已经是一个价值 20 亿美元的行业，并以 25.3% 的复合年增长率增长。这是有道理的:大多数攻击都是从端点开始的，如果您在攻击链的早期检测到它们，就可以将影响降到最低。一个好的 EDR 解决方案还提供丰富的端点遥测，以帮助调查、合规性以及查找和关闭漏洞。

端点安全是一个值得投资的领域——也是零信任的关键组成部分——但它并不是全部。尽管供应商声称“扩展的”检测和响应可以将整个企业的数据拼接在一起，但 XDR 解决方案本身并不提供纵深防御。EDR 有防病毒软件来阻止已知的恶意软件，但它们通常允许所有其他流量通过，依靠分析最终检测出 AV 遗漏了什么。

所有工具都有其缺点，EDR 也不例外，因为:并非所有攻击都从端点开始。Internet 是新网络，大多数组织都将大量数据和应用程序存储在各种云中。他们还经常使用可从互联网路由的 VPN 和防火墙等设备。任何暴露的东西都会受到攻击。Zscaler ThreatLabz 发现 30% 的基于 SSL 的攻击隐藏在基于云的文件共享服务中，例如 AWS、Google Drive、OneDrive 和 Dropbox。

并非所有端点都受到管理。EDR 依赖于安装在每个 IT 管理的设备上的代理，但这并没有考虑到非托管端点可能接触您的数据或网络的无数场景:IoT 和 OT 设备、用于工作的个人 (BYOD) 端点、第三方- 可以访问数据、最近的合并或收购的合作伙伴和承包商，甚至是来您办公室使用 Wi-Fi 的客人。

EDR 可以被绕过。所有安全工具都有其弱点，EDR 已被证明相当容易使用几种常见技术来规避，例如利用系统调用。攻击者使用加密和混淆技术自动生成新的 PDF、Microsoft 365 文档和其他可以改变恶意软件指纹并绕过传统网络安全模型而不被发现的文件。

现代威胁移动得非常快。当今的勒索软件毒株几乎都可以在暗网上为任何潜在的网络犯罪分子购买，它们加密数据的速度太快，以至于基于检测的技术无法派上用场。LockBit v3.0 可以在一分钟内加密 25,000 个文件，它甚至不是目前最快的勒索软件。相反，检测和缓解违规的平均时间为 280 天。这足以让 LockBit 加密超过 100 亿个文件。

确保您的安全

的确，基于签名的防病毒技术已不足以阻止复杂的攻击。但同样真实的是，检测技术背后的相同人工智能分析可以（而且必须!）用于预防，而不仅仅是检测，如果它们是在线交付的话。这种预防策略需要考虑到您的整个基础架构，而不仅仅是您的端点或架构的任何其他部分。

沙箱是可以通过这种方式部署的安全工具的一个重要示例。沙盒通过在安全、隔离的环境中分析可疑文件和 URL，提供针对复杂和未知威胁的实时保护。将它们内联部署（而不是作为直通）意味着在解决方案做出裁决之前不允许文件继续运行。

Zscaler 零信任交换平台包括一个云原生代理，它检查所有流量，无论是否加密，以实现安全访问。作为代理，该平台的分层控件（包括集成的高级沙箱）均以预防为先的方法内联交付。

使用 Zscaler 的云原生内联沙箱补充您的检测技术可为您提供:

针对零日威胁的实时 AI 保护

Zscaler 使用先进的机器学习算法，这些算法由世界上最大的安全云不断完善，每天处理超过 3000 亿笔交易。这些算法实时分析可疑文件和 URL，在潜在威胁造成损害之前检测并阻止它们。

首先是预过滤分析，该分析根据 40 多个威胁源、防病毒签名、哈希阻止列表和 YARA 规则检查文件内容以获取已知的危害指标 (IOC)。通过减少深入分析所需的文件数量，AI/ML 模型可以更有效地执行。当文件在初始分类后仍然未知或可疑时，Zscaler Sandbox 会引爆它以执行强大的静态、动态和二次分析，包括检测高级规避技术的代码和二次有效负载分析。完成后，将生成一份报告，其中包含威胁评分和可操作的判决，根据策略配置阻止恶意和可疑文件。

可扩展性

云的最大卖点之一是能够快速扩展或缩减以满足各种规模的组织的需求。部署在云中的安全控件自然更易于配置和管理，使您的组织能够灵活地适应不断变化的安全需求。

降低成本

成本是定义许多安全策略的主要输入之一，它有多种形式:用户生产力、运营效率、硬件成本等。但值得注意的最大成本是被破坏的成本。通过防止攻击，您可以消除停机时间、声誉损失、业务损失和补救成本，所有这些对于一次攻击来说很容易加起来高达七位数。ESG 发现，使用零信任交换的普通组织的恶意软件减少了 65%，勒索软件减少了 85%，数据泄露减少了 27%，总体投资回报率为 139%。

全面的威胁防护

零信任交换提供全面的威胁预防、检测和分析功能，为组织提供跨所有位置、用户和设备的统一安全控制策略。Zscaler Sandbox 可以在任何地方分析文件，而不仅仅是在端点上，并且集成了一系列附加功能，例如 DNS 安全、浏览器隔离（针对无文件攻击）、数据丢失防护、应用程序和工作负载安全、欺骗等等。这提供了您组织的安全态势和安全团队努力实现的纵深防御的完整视图。

预防为先

在与攻击者的军备竞赛中，安全团队需要优先考虑内联安全控制而不是直通检测技术。文件不应被允许进入端点或网络，除非您确定它们是良性的——因为如果它们被证明是恶意的，您很可能在损坏完成之前不会发现它们。