在過(guò)去幾年間，向下一代端點(diǎn)安全移動(dòng)的趨勢(shì)已經(jīng)進(jìn)一步加速，究其原因很簡(jiǎn)單：網(wǎng)絡(luò)安全專業(yè)人員對(duì)現(xiàn)有的防病毒軟件的功效并不滿意。

[[222181]]

這種市場(chǎng)需求大大推動(dòng)了諸如Carbon Black、CrowdStrike、Cybereason、Cylance、Morphisec以及SentinelOne等安全供應(yīng)商的投資和創(chuàng)新浪潮。

下一代端點(diǎn)安全技術(shù)往往可以分為兩大陣營(yíng)——高級(jí)防御工具以及深入的檢測(cè)和響應(yīng)工具。其中，高級(jí)防御工具中添加了可用于檢測(cè)繞過(guò)AV(殺毒軟件)簽名的惡意軟件的新技術(shù)。大多數(shù)此類工具中還包含反漏洞利用工具，用于檢測(cè)和阻止常見(jiàn)的內(nèi)存漏洞以及/或是針對(duì)常見(jiàn)應(yīng)用程序(如瀏覽器)的攻擊。

另一方面，一些組織也對(duì)端點(diǎn)檢測(cè)和響應(yīng)(EDR)提出了新的要求，此類工具能夠監(jiān)視端點(diǎn)行為并收集數(shù)據(jù)，然后將這些數(shù)據(jù)用于安全分析工作。

過(guò)去，大多數(shù)企業(yè)選擇了用于高級(jí)防御或是端點(diǎn)檢測(cè)和響應(yīng)(EDR)的新工具，而鮮少有企業(yè)會(huì)同時(shí)選擇兩者。根據(jù)數(shù)據(jù)顯示，大約75%到80%的人選擇了高級(jí)防御工具，其余的人則選擇了端點(diǎn)檢測(cè)和響應(yīng)(EDR)工具。

然而，這種采購(gòu)和部署行為正在發(fā)生變化。根據(jù)ESG的研究結(jié)果顯示，87%的組織已經(jīng)購(gòu)買或正在計(jì)劃購(gòu)買同時(shí)包含高級(jí)防御和EDR功能的全面端點(diǎn)安全組件。因此，如果端點(diǎn)安全供應(yīng)商想要獲得競(jìng)爭(zhēng)優(yōu)勢(shì)，就必須將自身發(fā)展成為一個(gè)一站式的端點(diǎn)安全商店。

如今，組織都想擁有一套功能全面的端點(diǎn)安全組件，但這究竟意味著什么呢?基于大量的研究，下面總結(jié)出端點(diǎn)安全“必備”的七大功能：

1. 高效的惡意軟件檢測(cè)/阻止功能

這可以基于分層的端點(diǎn)安全技術(shù)——即殺毒軟件簽名、啟發(fā)法(指在入侵檢測(cè)中使用AI思想)以及IoC 比較等，或是僅僅基于機(jī)器學(xué)習(xí)算法——只要它能檢測(cè)并阻止90%以上的零日文件和無(wú)文件的惡意軟件，同時(shí)保持較低的誤診率即可。

2. 反漏洞利用技術(shù)

如上所述，這種技術(shù)可以用于檢測(cè)和阻止常見(jiàn)的內(nèi)存漏洞以及/或是針對(duì)常見(jiàn)應(yīng)用程序(如瀏覽器)的攻擊和勒索軟件攻擊等。但是需要注意的是，反漏洞利用技術(shù)可能會(huì)非常難操作，因此首席信息安全官們(CISO)應(yīng)該尋找易于配置和操作的產(chǎn)品。

3. 端點(diǎn)檢測(cè)和響應(yīng)(EDR)功能

對(duì)于此類功能的產(chǎn)品，首席信息安全官(CISO)們必須謹(jǐn)慎選擇，因?yàn)槎它c(diǎn)檢測(cè)和響應(yīng)工具中存在許多功能細(xì)化的產(chǎn)品。具備高級(jí)安全分析和SOC技能的大型組織可能希望收集、處理、分析和保留所有的端點(diǎn)安全數(shù)據(jù)，但是經(jīng)驗(yàn)較少的組織可能只需要基于其他安全警報(bào)“觸發(fā)器”的EDR功能。

此外，對(duì)于任務(wù)繁重而又人手不足的安全部門而言，EDR工具也格外具有吸引力。EDR功能是端點(diǎn)安全組件不可或缺的一項(xiàng)要求，但是對(duì)于如何選擇EDR產(chǎn)品組織還需格外謹(jǐn)慎。

4. 單個(gè)端點(diǎn)代理

主流產(chǎn)品應(yīng)該是基于一個(gè)單一的、易于部署和操作的代理。如今，一些供應(yīng)商可能會(huì)使用多個(gè)代理，并將其企業(yè)發(fā)展規(guī)劃描繪成“合并為一個(gè)單一的代理”。對(duì)于這一問(wèn)題，購(gòu)買者還需謹(jǐn)慎對(duì)待。

5. 集中式管理

所有功能都應(yīng)該匯報(bào)到一個(gè)集中的管理系統(tǒng)中。對(duì)于職責(zé)分離需求而言，集中式管理應(yīng)該支持多因素身份認(rèn)證、定制視圖/儀表板以及基于角色的訪問(wèn)控制等功能。

6. 混合部署選項(xiàng)

組織應(yīng)該能夠選擇端點(diǎn)安全管理平臺(tái)是部署在本地還是云端，亦或者可以兩種形式混合部署。

7. 修復(fù)能力

當(dāng)一個(gè)端點(diǎn)受到感染時(shí)，安全和IT操作需要具備隔離系統(tǒng)、刪除注冊(cè)表或終止惡意進(jìn)程的能力。端點(diǎn)安全工具應(yīng)該將這種修復(fù)能力作為一項(xiàng)簡(jiǎn)單的管理任務(wù)。如今，有些系統(tǒng)仍然需要重新映像，但是端點(diǎn)安全工具應(yīng)該提供充足的修復(fù)選項(xiàng)，以幫助大大減少必需的系統(tǒng)重新映像次數(shù)。

補(bǔ)充觀點(diǎn)：

除了上述的“必備”功能之外，其他一些如資產(chǎn)管理、漏洞管理以及補(bǔ)丁管理、應(yīng)用程序白名單以及端口控制等，都可歸類為“應(yīng)該具備”的功能。這些功能對(duì)于一些用戶來(lái)說(shuō)可能非常重要，但對(duì)其他人來(lái)說(shuō)也許并沒(méi)那么重要，但是這些功能目前正在往端點(diǎn)安全領(lǐng)域遷移，所以對(duì)于這個(gè)領(lǐng)域還需留心關(guān)注。如果需要這些功能，就去找能夠提供這些功能的產(chǎn)品供應(yīng)商。

此外，用戶可能還有數(shù)據(jù)防泄露(DLP)和其他類型文件級(jí)數(shù)據(jù)安全方面的需求。DLP不需要成為端點(diǎn)安全組件的一部分，但是一些組織可能會(huì)認(rèn)為單個(gè)端點(diǎn)安全/數(shù)據(jù)丟失防護(hù)(DLP)解決方案會(huì)更具吸引力。而傳統(tǒng)的端點(diǎn)安全控制，例如全磁盤加密和防火墻，已經(jīng)真正地遷移到了操作系統(tǒng)之中。因此，它們并不真正地需要成為新的端點(diǎn)安全組件的一部分。

最后談?wù)劰?yīng)商。供應(yīng)商可能會(huì)使用托管服務(wù)來(lái)補(bǔ)充端點(diǎn)安全產(chǎn)品，但有些CISO覺(jué)得能夠擁有屬于自己的端點(diǎn)安全功能，并將其外包給他人的方式才更具吸引力。

一些供應(yīng)商會(huì)參與第三方測(cè)試，而另一些供應(yīng)商則會(huì)選擇避開這些測(cè)試，并聲稱他們不再運(yùn)用新的端點(diǎn)安全技術(shù)。雖然第三方測(cè)試可以提供客觀的指標(biāo)，但強(qiáng)烈建議用戶可以自己進(jìn)行詳細(xì)而全面的產(chǎn)品檢測(cè)。換句話說(shuō)，不要依賴第三方或讓供應(yīng)商牽頭進(jìn)行產(chǎn)品測(cè)試。你需要依賴自己做出最為明智的決定。

最后，端點(diǎn)安全市場(chǎng)良莠不齊，用戶應(yīng)該通過(guò)對(duì)市場(chǎng)、技術(shù)以及供應(yīng)商進(jìn)行深入研究來(lái)決定任何新的端點(diǎn)安全決策。