端点安全：一个全新的世界

以前，端点安全只是一个中央监视器。它监视那些使用简单签名的已损坏文件，并在文件被阻止时向你发送警报。为了安全起见，它会每天扫描每台机器，这种侵入性的活动会让机器运行缓慢，让受影响的用户和服务中心倒霉的分析师心跳加速。

那些日子一去不复返了。现在端点安全像所有技术一样，比它诞生时要复杂得多。曾经以创新和前瞻性而引人注目的特性，现在成了基本功能——几乎可以认为是必不可少的考虑因素。

以下是现代端点保护软件的一些基本特性和其他特性，排在首位的三个能力分别是：

1. 能够检测零日漏洞（以前未知的恶意软件）；

2. 能够检测和预防基于内存的攻击(即“无文件”攻击)，这些攻击运行在受感染的机器上，但从不将文件存储在受害者的系统中；

3. 能够监控端点上运行的进程，并识别 “恶意的” 或至少不寻常的行为。

如果恶意软件侥幸逃脱，好的端点软件能够对组织机构中所有机器进行搜索，而不会干扰终端用户，从而遏制感染扩散。当然，它必须生成针对此类事件的警报，但必须最小化误报率，并提供严重级别或可理解的对恶意软件的描述。安全保护人员负担过重众所周知。他们不能浪费时间追查虚假警报，他们必须知道如何优先处理真正的入侵警报。

引用John Donne的话：没有人是一座孤岛。端点保护也是如此，事实上，任何类型的网络安全工具都是如此。端点保护系统需要将发现的东西提供给其他系统，例如SIEMs或威胁情报共享系统，并且必须从多个来源获取数据。

自动隔离受感染的机器，以及在虚拟机甚至专用硬件上 “引爆” 恶意软件的能力，也是必不可少的，所有这些操作都不应该惊动在 “沙箱” 中运行的恶意软件。端点保护系统还必须通过检测和报告试图删除它们的企图来保护自己。

最后，端点保护系统可以帮助用户或系统管理员完成修复，提供建议和最佳实践。这些基本特性就已经相当复杂了。现代端点保护系有哪些高级功能？有很多，它们只受限于开发人员的创造力和专业知识。

自动漏洞屏蔽（也称为虚拟补丁）是关键，还有将可疑的恶意软件转移到专用沙箱机器以观察其行为的能力。在防御者和攻击者之间永无止境的猫鼠游戏中，攻击者已经能够编写出能够检测到自己何时在沙箱中的恶意软件，它在沙箱中不会引爆，而是继续保持伪装。

反过来，端点供应商可以通过判断恶意软件判断它需要何时被引爆，并判断通过哪种方式引爆它。这场游戏可以无限进行，因此转移到物理的，专用的引爆沙箱显然是一个有用的功能。而另一个极端是在端点上创建一个微型VM，在不造成危害的情况下立即引爆恶意软件。

很多组织机构正在部署诱捕技术，也称为 “蜜罐” 或 “蜜网”。复杂的端点软件可以将恶意软件转移到一个诱骗网络或系统，放缓攻击，能够使防御者分析攻击，而不必担心会破坏生产数据或机器。

更好的是一个好的系统可以为不断遭受攻击的安全团队提供响应和补救建议，并帮助识别攻击者。

安全公司每天都在进行创新，所以本文没有在这里列出很多功能，包括那些还在开发或还没有被开发的功能。但请记住，端点保护是一个全新的世界。

声明：本文来自安全牛，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。