Think 时事通讯
您的团队能否及时捕获下一个零日?
加入安全领导者的行列,订阅 Think 时事通讯,获取有关 AI、网络安全、数据和自动化的精选资讯。快速访问专家教程和阅读解释器,我们会将这些内容直接发送到您的收件箱。请参阅 IBM 隐私声明。
传统的防病毒软件依靠基于特征码的检测来识别以前已知的威胁,而 NGAV 则不同,它可以近乎实时地检测未知的恶意软件威胁和恶意行为。因此,它提供了一种更有效的方法来应对勒索软件、脚本攻击、无文件恶意软件和零日漏洞等现代威胁。
Think 时事通讯
加入安全领导者的行列,订阅 Think 时事通讯,获取有关 AI、网络安全、数据和自动化的精选资讯。快速访问专家教程和阅读解释器,我们会将这些内容直接发送到您的收件箱。请参阅 IBM 隐私声明。
传统的防病毒 (AV) 解决方案使用恶意软件签名数据库和启发式方法来检测台式电脑、笔记本电脑、平板电脑和智能手机等终端设备中的病毒。这些签名实际上是文件中的字符串,表明可能存在病毒。
这种方法使端点容易受到尚未被识别并编入签名数据库的潜在威胁的攻击。即使经常更新签名,新的或未知的恶意文件也可能未被发现。
相比之下,NGAV 解决方案使用行为检测来识别与网络攻击相关的计策、技术和程序 (TTP)。机器学习算法可持续监控事件、进程、文件和应用程序是否存在恶意行为。
如果未知漏洞首次成为零日攻击的目标,NGAV 可以检测并阻止该尝试。NGAV 还能防止无文件攻击,如利用 Windows PowerShell 和文档宏的攻击,或诱导用户点击执行无文件恶意软件链接的网络钓鱼电子邮件。
作为一种基于云的技术,NGAV 的部署和管理也比传统的同类技术更快速、更简单、更具成本效益。NGAV 能够监控端点活动并提供即时事件响应,因此可以阻止黑客用来渗透系统的许多攻击媒介。
相较于传统反病毒软件,基于云的新一代反病毒 (NGAV) 解决方案的部署、更新与管理速度更快、操作更简易,且所需资源更少。无需安装和配置额外的硬件或软件,也无需持续管理签名更新,同时对端点性能几乎没有影响。
传统防病毒软件只能检测先前已识别并输入数据库的已知恶意软件签名。NGAV 可近乎实时地监控和分析端点行为,以检测和阻止已知和未知威胁,包括零日攻击。
利用 NGAV,安全团队能够主动防御快速演进的高级威胁。随着时间的推移,机器学习算法会变得更擅长识别典型的终端行为,并将其与那些预示着网络攻击风险较高的模式区分开来。
虽然不同供应商的功能各不相同,但大多数 NGAV 解决方案都提供以下功能:
虽然 NGAV 比传统防病毒软件更有效,但它并非万无一失。有时,它可能会返回误报或未检测到病毒。网络罪犯和黑客仍在不断创造和测试新的方法来躲避最新的防病毒保护技术。
如果端点设备上的 NGAV 防御措施遭到破坏,组织通常依赖其他技术,例如端点检测和响应 (EDR)、统一端点管理 (UEM) 或安全信息和事件管理 (SIEM)。这些安全解决方案提供了一种更广泛的全系统方法,用于预防和缓解跨越许多不同端点的网络威胁。