什么是端点安全性?

了解端点安全性解决方案如何保护设备、用户和组织免受日益狡猾的网络攻击的威胁

安全防护罩和企业端点的数字插图
什么是端点安全性?

端点安全性是网络安全防御中关键的第一道防线,旨在保护最终用户和端点设备(例如台式机、笔记本电脑、移动设备设备和服务器等) 免受网络攻击。 端点安全性还可以保护网络,防止对手尝试使用端点设备发起对网络上敏感数据和其他资产的攻击。

端点仍然是针对企业网络的攻击活动的主要突破口。 各种研究估计,多达 90% 的成功网络攻击和多达 70% 的成功数据窃取都源自端点设备。 根据 IBM Security® 2021 年数据泄露成本报告,数据违规事件平均给企业造成 424 万美元的损失。

与以往相比,目前的企业必须保护数量和种类都更多的端点。 自带设备 (BYOD) 政策、日益增加的远程工作以及激增的物联网设备、面向客户的设备和网络连接产品,使黑客可以利用的端点以及安全团队必须保护的薄弱环节都成倍增加。


杀毒软件

作为比较原始的端点安全软件,反病毒软件用于保护端点免受各种已知形式的恶意软件(木马、蠕虫、广告软件等)的威胁。

传统的反病毒软件扫描端点设备上的文件以侦测恶意软件特征符 - 即已知病毒或恶意软件的字节特征字符串。  这种软件在发现病毒时会向用户或管理员发出警报,并使用工具隔离和移除病毒,修复任何受感染的文件。

目前的反病毒软件通常称为下一代反病毒软件 (NGAV),可以识别和对抗较新类型的恶意软件,包括不留下特征符的恶意软件。 例如,NGAV 能够检测出无文件恶意软件,它们位于内存中,将恶意脚本注入合法应用的代码中。 NGAV 还可使用启发式方法识别可疑活动 - 将可疑行为模式与已知病毒的行为模式进行比较;此外还进行完整性扫描 - 扫描文件以检测病毒或恶意软件感染的迹象。


端点保护平台 (EPP)

单靠反病毒软件可能足以保护为数不多的端点。 除此之外,通常还需要企业保护平台 (EPP)。 EPP 将 NGAV 与其他端点安全性解决方案相结合,包括:

  • web 控制:有时称为 Web 过滤器,这种软件用于保护用户和组织免受网站或用户下载的文件中隐藏的恶意代码的攻击。 web 控制软件还包含白名单和黑名单功能,支持安全团队控制用户可访问的网站。
  • 数据分类和数据丢失预防:这些技术负责记录敏感数据的存储位置,比如云或本地,并防止未经授权地访问或披露这些数据。
  • 集成防火墙:这些防火墙既包括硬件,也有软件,它们实施网络安全功能,阻止未经授权的流量进出网络。
  • 电子邮件网关:这些网关是软件,用于筛查入站电子邮件,以阻止网络钓鱼和社会工程攻击。
  • 应用控制:这种技术帮助安全团队监控设备上应用的安装和使用,并且能够阻止不安全或未经授权的应用的使用和执行。

EPP 将这些端点解决方案集成到一个集中管理控制台中,安全团队或系统管理员可以监控和管理所有端点的安全性。 例如,EPP 可将相应的安全工具分配给每个端点,根据需要更新或修补这些工具,以及管理企业安全策略。

EPP 可部署在本地,也可基于云。 但首先定义 EPP 类别的行业分析机构 Gartner (链接位于 ibm.com 外部)指出,"理想的解决方案应当主要在云端管理,支持持续监控和收集活动数据,并且能够远程采取补救措施,无论端点是在企业网络上还是在办公室以外。"

 


端点检测与响应 (EDR)

EPP 主要负责预防已知威胁或以已知方式行事的威胁。 另一类端点安全性解决方案称为端点检测与响应 (EDR),旨在帮助安全团队应对过去的预防性端点安全工具无能为力的威胁。 

EDR 解决方案持续监控进入每个设备的文件和应用,搜寻表明恶意软件、勒索软件或高级威胁的可疑或恶意活动。 EDR 还持续收集详细的安全数据和遥测数据,将它们存储在数据湖中,可用于实时分析、根本原因调查、威胁搜寻等任务。

EDR 通常包含高级分析、行为分析、人工智能 (AI) 和机器学习、自动化功能、智能警报以及调查和补救功能,使安全团队能够:

  • 将攻击迹象 (IOC) 和其他端点安全数据与威胁情报订阅源关联起来,以实时检测高级威胁
  • 实时接收有关可疑活动或实际威胁的通知,以及有助于确定根本原因和加快威胁调查的背景数据 
  • 执行静态分析(分析疑似恶意或受感染代码)或动态分析(在隔离环境中执行可疑代码)
  • 为端点行为设置阈值,并在超过这些阈值时发出警报
  • 自动进行响应,例如断开和隔离个别设备或阻止流程,以减轻损失,直至威胁得到解决
  • 确定其他端点设备是否受到同一网络攻击的影响。

许多更新或更高级的 EPP 包含一些 EDR 功能,但为了确保完整的端点保护解决方案包含防御和响应措施,大多数企业应当同时采用这两种技术。


扩展的检测和响应功能 (XDR)

扩展的检测和响应功能 (XDR) 将 EDR 威胁检测与响应模型扩展到基础架构的所有领域或层面,不仅保护端点设备,还保护应用、数据库和存储、网络以及云工作负载。 作为软件即服务 (SaaS) 产品,XDR 能够保护本地和云资源。 某些 XDR 平台集成来自单一供应商或云服务提供商的安全产品,但最好允许组织添加或集成他们中意的安全解决方案。


安全主题