主页
topics
端点安全
端点安全是关键的网络第一道网络安全防线,用于保护最终用户和端点设备(台式机、笔记本电脑、移动设备、服务器等)免受网络攻击。
攻击者试图通过端点设备对敏感数据和其他资产发起网络攻击,端点安全还可以保护网络免受此类攻击。
端点仍然是网络攻击的主要企业网络入口点。多项研究估计,多达 90% 的成功网络攻击和 70% 的成功数据泄露均源于端点设备。根据 IBM 的数据泄露成本报告,将数据泄露给公司造成的平均损失为 488 万美元。
如今,公司必须保护的端点数量和种类比以往任何时候都要多。自带设备 (BYOD) 政策、远程办公的增加以及物联网 (IoT) 设备、面向客户的设备和网络连接产品数量的激增,使黑客可以利用的端点和安全团队必须保护的漏洞成倍增加。
ESG 的高级分析师分享了组织如何确保他们为适用于所有团队和所有位置的统一端点管理 (UEM) 和安全解决方案进行正确的投资。
作为最初的端点安全软件,防病毒软件可保护端点免受已知形式恶意软件(木马、蠕虫、广告软件等)的侵害。
传统的防病毒软件会扫描端点设备上的文件以查找恶意软件签名 – 已知病毒或恶意软件特有的字节串。发现病毒时,该软件会向用户或管理员发出警报,并提供隔离和移除病毒以及修复任何受感染文件的工具。
当今的防病毒软件通常称为下一代防病毒 (NGAV) 软件,可以识别和对抗新型恶意软件,包括不留签名的恶意软件。例如,NGAV 可以检测无文件恶意软件,即驻留在内存中并将恶意脚本注入合法应用程序代码中的恶意软件。NGAV 还可以使用启发功能识别可疑活动,将可疑行为模式与已知病毒的行为模式进行比较,并执行完整性扫描,即扫描文件以查找病毒或恶意软件感染的迹象。
仅防病毒软件就足以保护少数端点的安全。除此之外,通常还需要企业保护平台 (EPP)。EPP 将 NGAV 与其他端点安全解决方案相结合,包括:
EPP 将这些端点解决方案集成到一个中央管理控制台中,安全团队或系统管理员可以在其中监控和管理所有端点的安全。例如,EPP 可以为每个端点分配适当的安全工具,根据需要更新或修补这些工具,并管理公司安全策略。
EPP 可以是本地的,也可以是基于云的。但行业分析师 Gartner(ibm.com 外部链接)首先定义了 EPP 类别,它指出:“理想的 EPP 解决方案主要是云托管解决方案,允许持续监控和收集活动数据,并能够采取远程修复措施,无论端点在公司网络上还是在办公室外。”
EPP 专注于预防已知威胁或以已知方式行事的威胁。另一类端点安全解决方案称为端点检测和响应 (EDR),它使安全团队能够应对绕过预防性端点安全工具的威胁。
EDR 解决方案持续监控每个设备上的文件和应用程序,搜寻表明存在恶意软件、勒索软件或高级威胁的可疑或恶意活动。EDR 还会持续收集详细的安全数据和遥测数据,将其存储在数据湖中,可用于实时分析、根本原因调查、威胁搜寻等。
EDR 通常包括高级分析、行为分析、人工智能 (AI) 和机器学习、自动化功能、智能警报以及调查和修复功能,借助这些功能,安全团队能够:
许多较新或更高级的 EPP 都包含一些 EDR 功能,但要获得包括预防和响应在内的完整端点保护,大多数企业应同时使用这两种技术。
扩展检测和响应 (XDR) 将 EDR 威胁检测和响应模型扩展到基础设施的所有区域或层,不仅可以保护端点设备,还能够保护应用程序、数据库和存储、网络和云工作负载。XDR 是一种软件即服务 (SaaS) 产品,用于保护本地和云资源。一些 XDR 平台集成了来自单一供应商或云服务提供商的安全产品,但最佳平台还允许组织添加和集成他们偏好的安全解决方案。