下一代端點(diǎn)保護(hù)平臺并不是像傳統(tǒng)反病毒軟件那樣查找已知惡意軟件的簽名，而是會分析過程、變化和連接以發(fā)現(xiàn)異常活動(dòng)，雖然這種做法可更好地捕捉零日漏洞利用，但問題仍然存在。

例如，無論有沒有客戶端軟件，都可以收集有關(guān)設(shè)備在做什么的情報(bào)信息。因此，企業(yè)面臨著兩個(gè)選擇：在沒有客戶端的情況下，收集不太詳細(xì)的威脅信息;或者收集豐富的威脅信息，但面臨著安裝代理的部署、管理和更新問題。

然后企業(yè)面對的問題是，如何篩選出攻擊證據(jù)，而不被收集的海量數(shù)據(jù)所淹沒。在發(fā)現(xiàn)攻擊后，企業(yè)還需要弄清楚如何盡快地阻止攻擊。

端點(diǎn)保護(hù)平臺的價(jià)值在于它們可以識別特定的攻擊以及在發(fā)現(xiàn)攻擊后快速響應(yīng)。它們實(shí)現(xiàn)這兩個(gè)目標(biāo)是通過收集端點(diǎn)和其他設(shè)備之間的通信信息，以及端點(diǎn)本身的變化信息。這些端點(diǎn)遙測數(shù)據(jù)庫隨后可作為調(diào)查攻擊的取證工具，了解攻擊如何展開，發(fā)現(xiàn)需要修復(fù)的設(shè)備，也許還可以預(yù)測接下來會出現(xiàn)什么威脅。

是否選擇代理?

大家對代理軟件的主要厭惡是需要部署、管理和更新多個(gè)軟件。在下一代端點(diǎn)保護(hù)中，它們確實(shí)提供有關(guān)端點(diǎn)的大量數(shù)據(jù)，但這也可以是一個(gè)缺點(diǎn)。

Gartner分析師Lawrence Pingree表示，端點(diǎn)代理收集了太多信息，而可能很難從中篩選出攻擊情報(bào)，所以重要的是，代理還需要配合分析引擎使用，以處理海量數(shù)據(jù)。數(shù)據(jù)量取決于代理和端點(diǎn)類型。

分析可以揭示哪些設(shè)備在創(chuàng)建預(yù)期之外的連接，這可能表明攻擊者在設(shè)法感染其他機(jī)器和升級權(quán)限而進(jìn)行的橫向移動(dòng)。

代理可能意味著多了一個(gè)管理控制臺，而這增加了復(fù)雜性和成本。NSS實(shí)驗(yàn)室研究主管Randy Abrams表示：“這將需要更多人員來處理這些控制臺，而這將增加成本?！?/p>

另一位NSS實(shí)驗(yàn)室研究主管Rob Ayoub表示，這也是兼容性的問題，“你如何保證任意兩個(gè)代理可以一起運(yùn)作，如果不行的話，你應(yīng)該找誰?”

企業(yè)還應(yīng)該審查這些平臺的管理安全，以盡量減少對平臺本身的內(nèi)部威脅。企業(yè)應(yīng)該尋找允許對執(zhí)行不同職責(zé)的IT人員分配不同級別訪問權(quán)限的端點(diǎn)保護(hù)平臺。這可以讓企業(yè)對管理員授權(quán)有限的訪問，同時(shí)讓事件響應(yīng)工程師獲得更多訪問權(quán)限。

分析引擎

分析很重要，但也很復(fù)雜，以至于它可以作為獨(dú)立的服務(wù)，例如Red Canary提供的分析服務(wù)。該服務(wù)并不是通過其自己的代理收集端點(diǎn)數(shù)據(jù)，而是采用Bit9+CarbonBlack提供的傳感器。同時(shí)，Red Canary還補(bǔ)充了很多其他商業(yè)安全公司收集的威脅情報(bào)，分析所有情報(bào)，并對其在客戶網(wǎng)絡(luò)發(fā)現(xiàn)的攻擊活動(dòng)生成警報(bào)。

分析引擎會標(biāo)記潛在問題，而人類分析師會檢查標(biāo)記的事件以驗(yàn)證是否為真正的威脅。這可以幫助企業(yè)安全分析師來減少他們需要響應(yīng)的警報(bào)數(shù)量。

初創(chuàng)公司Barkly表示他們正在開發(fā)端點(diǎn)代理，可本地分析每個(gè)端點(diǎn)的活動(dòng)以及自動(dòng)阻止惡意活動(dòng)。其代理還會通知管理員其采取的操作，這些引擎需要集成到更大的威脅情報(bào)來源。

修復(fù)

端點(diǎn)檢測工具會收集海量數(shù)據(jù)，這些數(shù)據(jù)可用于阻止攻擊，還可以支持取證調(diào)查。這可以幫助發(fā)現(xiàn)哪些設(shè)備需要修復(fù)，而有些供應(yīng)商正在試圖自動(dòng)化這個(gè)過程。

例如，Triumfant 提供的 Resolution Manager可在檢測惡意活動(dòng)后恢復(fù)端點(diǎn)到已知良好的狀態(tài)。其他供應(yīng)商也提供修復(fù)功能或者正在開發(fā)中，但現(xiàn)在的趨勢是使用相同的平臺來修復(fù)它們發(fā)現(xiàn)的問題。

企業(yè)面對的問題是端點(diǎn)仍然容易受到攻擊，盡管傳統(tǒng)端點(diǎn)安全保護(hù)付出了努力，傳統(tǒng)端點(diǎn)安全技術(shù)已經(jīng)演變成安全套件：反病毒、反惡意軟件、入侵檢測、入侵防御等。在傳統(tǒng)安全技術(shù)逐步取得進(jìn)展的同時(shí)，也導(dǎo)致了另一個(gè)問題。

“他們實(shí)際上只是增加了更多產(chǎn)品到端點(diǎn)產(chǎn)品組合，而這增加了復(fù)雜性，”Lower Colorado River Authority首席安全官Larry Whiteside表示，“幸運(yùn)的是，內(nèi)存和磁盤速度(SSD)保持了端點(diǎn)性能?！?/p>

這讓他開始考慮來自SentinelOne的下一代端點(diǎn)保護(hù)?；诙它c(diǎn)的活動(dòng)的安全性，而不是尋找已知惡意行為的簽名，這是對傳統(tǒng)端點(diǎn)保護(hù)技術(shù)的改進(jìn)。這并不是說簽名完全不好，但是簽名作為主要或唯一的決策就太可怕。因此，增加基于行為的檢測功能將增加價(jià)值。

他表示：“事實(shí)上，我更關(guān)心檢測情況，而不是投資回報(bào)率，我可以說，在合適的階段部署下一代端點(diǎn)保護(hù)將有益于企業(yè)?！?/p>

殺毒軟件的替代品?

CrowdStrike公司首席執(zhí)行官George Kurtz表示，到目前為止，下一代端點(diǎn)保護(hù)產(chǎn)品供應(yīng)商并沒有宣稱其產(chǎn)品可以取代殺毒軟件，盡管有令人印象深刻的測試結(jié)果。但是這可能會有所轉(zhuǎn)變，在一年之內(nèi)，這些供應(yīng)商面臨的監(jiān)管障礙可能會消失。

在一年內(nèi)，要求使用殺毒軟件才能通過合規(guī)性測試的要求將會新增下一代端點(diǎn)保護(hù)?！斑@正是我們的目標(biāo)，”他表示，“從一開始，我們就認(rèn)為可以做到這一點(diǎn)。”

大家都專注于惡意軟件，但惡意軟件僅代表40%的攻擊。其余的部分為“涉及較少惡意軟件的入侵”，例如內(nèi)部盜竊，攻擊者具有登錄憑證來竊取信息，而沒有使用惡意軟件。

在法規(guī)更改之前，監(jiān)管企業(yè)需要滿足防病毒要求，盡管其他平臺可能提供更好的保護(hù)?！霸谀承┣闆r下，這比保護(hù)功能更重要，因?yàn)槟悴粫馐芊韶?zé)任?！?/p>

與此同時(shí)，殺毒軟件和下一代端點(diǎn)保護(hù)的重疊意味著較大型企業(yè)更有可能成為客戶，但即使對于較小型企業(yè)，下一代端點(diǎn)保護(hù)也非常值得投資。