什么是下一代防病毒软件 (NGAV)?
探索 IBM Security MaaS360
采用蓝紫色调的迷宫图,一个人要在迷宫中行进到移动设备、平板电脑和笔记本电脑

发布时间:2021 年 12 月 20 日
撰稿人:Gregg Lindemulder、Amber Forrest

什么是 NGAV?

下一代防病毒软件 (NGAV) 是一种基于云的技术,它使用人工智能机器学习和行为分析来保护终端免受恶意软件其他类型的网络威胁的侵害。

传统的防病毒软件依靠基于特征码的检测来识别以前已知的威胁,而 NGAV 则不同,它可以近乎实时地检测未知的恶意软件威胁和恶意行为。因此,它提供了一种更有效的方法来应对勒索软件、脚本攻击、无文件恶意软件和零日漏洞等现代威胁。

相关内容

订阅 IBM Security 主题更新

NGAV 如何工作

传统的防病毒解决方案利用恶意软件签名数据库和启发式方法来检测台式电脑、笔记本电脑、平板电脑和智能手机等终端设备中的病毒。这些签名实际上是文件中的字符串,表明可能存在病毒。

这种方法使端点容易受到尚未被识别并编入签名数据库的潜在威胁的攻击。即使经常更新签名,新的或未知的恶意文件也可能未被发现。

相比之下,下一代防病毒解决方案使用行为检测来识别与网络攻击相关的策略、技术和程序 (TTP)。机器学习算法可持续监控事件、进程、文件和应用程序的恶意行为。

如果未知漏洞首次成为零日攻击的目标,NGAV 可以检测并阻止该尝试。NGAV 还能防止无文件攻击,如利用 Windows PowerShell 和文档宏的攻击,或诱导用户点击执行无文件恶意软件链接的网络钓鱼电子邮件

作为一种基于云的技术,NGAV 的部署和管理也比传统防病毒解决方案更快速、更简单、更具成本效益。NGAV 能够监控端点活动并提供即时事件响应,因此可以阻止黑客用来渗透系统的许多攻击媒介。

NGAV 的优点
快速部署

与传统 AV 相比,基于云技术的 NGAV 可以更快、更方便地部署、更新和管理,而且所需的资源也更少。无需安装和配置额外的硬件或软件,无需持续管理签名更新,对端点性能几乎没有影响。

检测已知和未知威胁

传统防病毒软件只能检测先前已识别并输入数据库的已知恶意软件签名。NGAV 可近乎实时地监控和分析端点行为,以检测和阻止已知和未知威胁,包括零日攻击。

主动保护

利用 NGAV,安全团队能够主动防御快速演进的高级威胁。随着时间的推移,机器学习算法能更有效地识别哪些端点行为是正常的,哪些行为表明可能存在网络攻击。

NGAV 的功能和限制

虽然不同供应商的功能各不相同,但大多数 NGAV 解决方案都提供以下功能:

  • 机器学习算法:可以近乎实时地检查数以千计的文件特征和端点活动,并识别异常情况和意外操作,从而帮助检测并阻止已知和未知威胁。

  • 行为分析:通过分析用户、设备、应用程序和系统的行为,NGAV 可建立基准行为,并识别表明恶意活动或网络攻击正在进行中的可疑行为。

  • 威胁情报:许多 NGAV 解决方案都可以集成有关特定恶意软件攻击的来源、策略和影响的最新威胁情报,以帮助更快速、更有效地检测和阻止这些攻击。

  • 预测分析:NGAV 可以将收集到的大量数据输入预测模型,从而在恶意软件或潜在网络攻击发生前检测到其可能存在,然后采取行动防止或尽量减少损失。

虽然 NGAV 比传统防病毒软件更有效,但它并非万无一失。有时,它可能会返回误报。或者未能检测出病毒。网络罪犯和黑客不断创造和测试新的方法来躲避最新的防病毒保护技术。

如果端点设备上的 NGAV 防御措施遭到破坏,组织通常依赖其他技术,例如端点检测和响应 (EDR)、统一端点管理 (UEM)安全信息和事件 管理 (SIEM)。这些安全解决方案提供了一种更广泛的全系统方法,用于预防和缓解跨越许多不同端点的网络威胁。

相关解决方案
IBM® Security MaaS360 移动威胁防御

无缝部署高级移动威胁防御 (MTD) 解决方案,帮助整个移动环境抵御网络威胁和用户带来的风险

深入了解 MaaS360 移动威胁防御 免费试用 MaaS360 30 天

统一端点管理

从单个控制台管理和保护所有设备,包括企业和个人、现场和远程设备

深入了解统一端点管理

借助 IBM® Security QRadar SIEM 执行高级威胁检测

近乎实时地检测威胁 — 利用数以千计的预构建用例、用户和网络行为分析、应用程序漏洞数据和 X-Force Threat Intelligence 分析数百万个事件。

深入了解 QRadar SIEM 的高级威胁检测功能
资源 什么是统一端点管理 (UEM)?

UEM 使 IT 和安全团队能够使用一种工具以一致的方式监控、管理和保护网络上的所有最终用户设备。

什么是安全信息和事件管理 (SIEM)?

SIEM 帮助安全团队检测用户行为异常,并使用 AI 自动化与威胁检测和事件响应相关的手动流程。

什么是端点安全?

作为网络的第一道网络安全防线,端点安全保护用户和设备(台式机、笔记本电脑、移动设备、服务器)免受网络攻击。

采取后续步骤

IBM Security MaaS360 允许您通过 AI 驱动的统一端点管理 (UEM) 从单个控制台管理和保护所有设备(公司和个人、现场和远程)。了解有关 MaaS360 的更多信息或预定 IBM 技术专家的免费演示。

探索 MaaS360 预约实时演示