什么是端点安全？

攻击者试图通过端点设备对敏感数据和其他资产发起网络攻击，端点安全还可以保护网络免受此类攻击。

端点仍然是网络攻击的主要企业网络入口点。多项研究估计，多达 90% 的成功网络攻击和 70% 的成功数据泄露均源于端点设备。根据 IBM 的数据泄露成本报告，将数据泄露给公司造成的平均损失为 444万美元。

如今，公司必须保护的端点数量和种类比以往任何时候都要多。自带设备 (BYOD) 政策、远程办公的增加以及物联网 (IoT) 设备、面向客户的设备和网络连接产品数量的激增，使黑客可以利用的端点和安全团队必须保护的漏洞成倍增加。

作为最初的端点安全软件，防病毒软件通过保护端点免受已知形式的恶意软件（如木马、蠕虫、广告软件等）攻击。

传统的防病毒软件会扫描端点设备上的文件以查找恶意软件签名，即已知病毒或恶意软件特有的字节串。发现病毒时，该软件会向用户或管理员发出警报，并提供隔离和移除病毒以及修复任何受感染文件的工具。

当今的防病毒软件通常称为下一代防病毒 (NGAV) 软件，可以识别和对抗新型恶意软件，包括不留签名的恶意软件。例如，NGAV 可以检测无文件恶意软件，即驻留在内存中并将恶意脚本注入合法应用程序代码中的恶意软件。NGAV 还可以使用启发功能识别可疑活动，将可疑行为模式与已知病毒的行为模式进行比较，并执行完整性扫描，即扫描文件以查找病毒或恶意软件感染的迹象。

仅防病毒软件就足以保护少数端点的安全。除此之外，通常还需要企业保护平台 (EPP)。EPP 将 NGAV 与其他端点安全解决方案相结合，包括：

• 网页控制：该软件有时称为网页过滤器，可保护用户和您的组织免受网站或用户下载的文件中隐藏的恶意代码的侵害。网页控制软件还包括白名单和黑名单功能，允许安全团队控制用户可以访问哪些站点。
  
  
• 数据分类和数据丢失预防 ：这些技术记录敏感数据的存储位置（无论是在云端还是本地），并防止未经授权的访问或泄露这些数据。
  
  
• 集成防火墙：这些防火墙是通过防止未经授权的流量进出网络来加强网络安全的硬件或软件。
  
  
• 电子邮件网关：这些网关是筛选传入电子邮件以阻止网络钓鱼和社会工程攻击的软件。
  
  
• 应用程序控制：借助该技术，安全团队能够监控和控制设备上应用程序的安装和使用，并阻止使用和执行不安全或未经授权的应用程序。

EPP 将这些端点解决方案集成到一个中央管理控制台中，安全团队或系统管理员可以在其中监控和管理所有端点的安全。例如，EPP 可以为每个端点分配适当的安全工具，根据需要更新或修补这些工具，并管理公司安全策略。

EPP 可以是本地的，也可以是基于云的。但行业分析师 Gartner 首先定义了 EPP 类别，它指出：“理想的 EPP 解决方案主要是云托管解决方案，允许持续监控和收集活动数据，并能够采取远程修复措施，无论端点在公司网络上还是在办公室外。”

EPP 专注于预防已知威胁或以已知方式行事的威胁。另一类端点安全解决方案称为端点检测和响应 (EDR)，它使安全团队能够应对绕过预防性端点安全工具的威胁。

EDR 解决方案持续监控每个设备上的文件和应用程序，搜寻表明存在恶意软件、勒索软件或高级威胁的可疑或恶意活动。EDR 还会持续收集详细的安全数据和遥测数据，将其存储在数据湖中，可用于实时分析、根本原因调查、威胁搜寻等。

EDR 通常包括高级分析、行为分析、人工智能 (AI) 和机器学习、自动化功能、智能警报以及调查和修复功能，借助这些功能，安全团队能够：

• 将入侵指标 (IOC) 和其他端点安全数据与威胁情报源相关联，实时检测高级威胁。
  
  
• 实时接收可疑活动或实际威胁的通知，以及有助于隔离根本原因并加速威胁调查的上下文数据。
  
  
• 执行静态分析（分析可疑恶意或受感染的代码）或动态分析（单独执行可疑代码）。
  
  
• 为端点行为设置阈值，并在超过这些阈值时发出警报。
  
  
• 自动采取响应措施，如断开和隔离各个设备或阻止进程，以减轻损害，直至威胁得到解决。
  
  
• 确定其他端点设备是否受到相同网络攻击的影响。

许多较新或更高级的 EPP 都包含一些 EDR 功能，但要获得包括预防和响应在内的完整端点保护，大多数企业应同时使用这两种技术。

扩展检测和响应 (XDR) 将 EDR 威胁检测和响应模型扩展到基础设施的所有区域或层，不仅可以保护端点设备，还能够保护应用程序、数据库和存储、网络和云工作负载。XDR 是一种软件即服务 (SaaS) 产品，用于保护本地和云资源。一些 XDR 平台集成了来自单一供应商或云服务提供商的安全产品，但最佳平台还允许组织添加和集成他们偏好的安全解决方案。