主页 topics 终端安全 什么是端点安全性?
了解端点安全性如何保护设备、用户和组织免受日益狡猾的网络攻击的威胁
安全防护罩和企业端点的数字插图
什么是端点安全性?

端点安全性是网络安全防御中关键的第一道防线,旨在保护最终用户和端点设备(例如台式机、笔记本电脑、移动设备设备和服务器等) 免受网络攻击。 端点安全性还可以保护网络,防止对手尝试使用端点设备发起对网络上敏感数据和其他资产的攻击。

端点仍然是针对企业网络的攻击活动的主要突破口。 各种研究估计,多达 90% 的成功网络攻击和多达 70% 的成功数据窃取都源自端点设备。 根据 IBM Security® 2021 年数据泄露成本报告,数据违规事件平均给企业造成 424 万美元的损失。

与以往相比,目前的企业必须保护数量和种类都更多的端点。 自带设备 (BYOD) 政策、日益增加的远程工作以及激增的物联网设备、面向客户的设备和网络连接产品,使黑客可以利用的端点以及安全团队必须保护的薄弱环节都成倍增加。
杀毒软件

作为比较原始的端点安全软件,反病毒软件用于保护端点免受各种已知形式的恶意软件(木马、蠕虫、广告软件等)的威胁。

传统的反病毒软件扫描端点设备上的文件以侦测恶意软件特征符 - 即已知病毒或恶意软件的字节特征字符串。  这种软件在发现病毒时会向用户或管理员发出警报,并使用工具隔离和移除病毒,修复任何受感染的文件。

目前的反病毒软件通常称为下一代反病毒软件 (NGAV),可以识别和对抗较新类型的恶意软件,包括不留下特征符的恶意软件。 例如,NGAV 能够检测出无文件恶意软件,它们位于内存中,将恶意脚本注入合法应用的代码中。 NGAV 还可使用启发式方法识别可疑活动 - 将可疑行为模式与已知病毒的行为模式进行比较;此外还进行完整性扫描 - 扫描文件已检测病毒或恶意软件感染的迹象。
端点保护平台 (EPP)

单靠反病毒软件可能足以保护为数不多的端点。 除此之外,通常还需要企业保护平台 (EPP)。 EPP 将 NGAV 与其他端点安全性解决方案相结合,包括:

  • web 控制:有时称为 Web 过滤器,这种软件用于保护用户和组织免受网站或用户下载的文件中隐藏的恶意代码的攻击。 web 控制软件还包含白名单和黑名单功能,支持安全团队控制用户可访问的网站。
  • 数据分类和数据丢失预防:这些技术负责记录敏感数据的存储位置,比如云或本地,并防止未经授权地访问或披露这些数据。
  • 集成防火墙:这些防火墙既包括硬件,也有软件,它们实施网络安全功能,阻止未经授权的流量进出网络。
  • 电子邮件网关:这些网关是软件,用于筛查入站电子邮件,以阻止网络钓鱼和社会工程攻击。
  • 应用控制:这种技术帮助安全团队监控设备上应用的安装和使用,并且能够阻止不安全或未经授权的应用的使用和执行。

EPP 将这些端点解决方案集成到一个集中管理控制台中,安全团队或系统管理员可以监控和管理所有端点的安全性。 例如,EPP 可将相应的安全工具分配给每个端点,根据需要更新或修补这些工具,以及管理企业安全策略。

EPP 可部署在本地,也可基于云。 但首先定义 EPP 类别的行业分析机构 Gartner (链接位于 ibm.com 外部)指出,"理想的解决方案应当主要在云端管理,支持持续监控和收集活动数据,并且能够远程采取补救措施,无论端点是在企业网络上还是在办公室以外。"

 
端点检测与响应 (EDR)

EPP 主要负责预防已知威胁或以已知方式行事的威胁。 另一类端点安全性解决方案称为端点检测与响应 (EDR),旨在帮助安全团队应对过去的预防性端点安全工具无能为力的威胁。 

EDR 解决方案持续监控进入每个设备的文件和应用,搜寻表明恶意软件、勒索软件或高级威胁的可疑或恶意活动。 EDR 还持续收集详细的安全数据和遥测数据,将它们存储在数据湖中,可用于实时分析、根本原因调查、威胁搜寻等任务。

EDR 通常包含高级分析、行为分析、人工智能 (AI) 和机器学习、自动化功能、智能警报以及调查和补救功能,使安全团队能够:

  • 将攻击指示信息 (IOC) 和其他端点安全数据与威胁情报订阅源关联起来,以实时检测高级威胁
  • 实时接收有关可疑活动或实际威胁的通知,以及有助于确定根本原因和加快威胁调查的背景数据 
  • 执行静态分析(分析疑似恶意或受感染代码)或动态分析(在隔离环境中执行可疑代码)
  • 为端点行为设置阈值,并在超过这些阈值时发出警报
  • 自动进行响应,例如断开和隔离个别设备或阻止流程,以减轻损失,直至威胁得到解决
  • 确定其他端点设备是否受到同一网络攻击的影响。

许多更新或更高级的 EPP 包含一些 EDR 功能,但为了确保完整的端点保护解决方案包含防御和响应措施,大多数企业应当同时采用这两种技术。
扩展的检测和响应功能 (XDR)

扩展的检测和响应功能 (XDR) 将 EDR 威胁检测与响应模型扩展到基础架构的所有领域或层面,不仅保护端点设备,还保护应用、数据库和存储、网络以及云工作负载。 作为软件即服务 (SaaS) 产品,XDR 能够保护本地和云资源。 某些 XDR 平台集成来自单一供应商或云服务提供商的安全产品,但最好允许组织添加或集成他们中意的安全解决方案。
相关解决方案 EDR 解决方案

提供一种独特的 EDR 和端点安全方法,使用自动化和 AI 近乎实时地检测威胁并及时补救。

 移动安全解决方案

使用企业移动安全解决方案阻止移动安全威胁,从而能够在各个设备之间灵活地交付应用、内容和资源。

 统一端点管理解决方案

采用开放云 AI 方法,并通过统一端点管理 (UEM) 解决方案来保护和管理任何设备。

 网络安全解决方案

借助下一代威胁防护和实时威胁情报来保护网络基础架构远离高级威胁和恶意软件。

 零信任安全性解决方案

为企业提供零信任安全解决方案,以帮助保护数据和资源,仅当满足所有条件时才可访问。

 云安全解决方案

通过将安全性集成到上云之旅的每个阶段,确保混合云环境的安全性。

 数据加密解决方案

利用以数据为中心的安全解决方案和服务,保护企业数据,并满足监管合规性。

 SIEM 解决方案

能够集中检测、调查和响应最关键的企业范围的网络安全威胁。
资源
IBM 安全框架和发现研讨会

在一场时长 3 小时、虚拟或面对面的设计思维免费对话中,与 IBM 的资深安全架构师和顾问一起了解贵组织的网络安全形势,确定各种计划的优先顺序。

了解更多信息
数据泄露成本

这份《数据泄露成本报告》探讨了相关财务影响,以及可帮助贵组织避免数据泄露或在发生数据泄露时降低成本的安全措施。

了解更多信息
移动安全

一种可以更好地查看和控制您的移动组织的集成方法。

了解更多信息
安全主题 防火墙管理服务

IBM 防火墙管理服务通过强大的防火墙安全管理,帮助您改善安全态势。

 端点安全管理服务

IBM Security 端点安全管理服务包含咨询和端点安全管理服务,覆盖范围广泛的端点保护解决方案。

 什么是零信任?

零信任是一种框架,它假定一个复杂网络的安全性始终面临外部和内部威胁的风险。

 端到端加密

端到端加密 (E2EE) 是一种安全通信过程,可防止第三方访问从一个端点传输到另一个端点的数据。

 网络安全性

网络安全通过阻止对您的网络和连接该网络的设备进行未经授权的访问,来保护 IT 基础架构免受各种威胁。

 移动设备管理 (MDM)

MDM 是一种经过验证的方法和工具集,用于提供员工队伍移动生产力工具和应用,同时保证企业数据的安全。

 数据安全

了解数据安全性如何帮助在整个生命周期内保护数字信息免遭未经授权的访问、损坏或窃取。

 安全信息与事件管理(SIEM)

SIEM 技术提供了必要的高级威胁检测和安全自动化,帮助组织进行扩展,同时最大程度提高 IT 合规性与业务连续性。

 IBM Security

IBM Security 与您合作,凭借集成的企业安全高级产品和服务组合,保护贵企业的安全。