自由的代價(jià)是永遠(yuǎn)警惕。每個(gè)公司信息安全專業(yè)人員都要注意這句有名的不朽格言，因?yàn)樵谀壳鞍踩{不斷變化的情況下，不允許人們有絲毫大意。安全計(jì)劃需要足夠強(qiáng)健和靈活，不需對(duì)每個(gè)新的威脅重新調(diào)整就能應(yīng)付這樣變化的環(huán)境。為了能成功地保護(hù)公司的數(shù)字資產(chǎn)，并確保工作人員可以安全高效地工作，安全團(tuán)隊(duì)不能固步自封。要實(shí)現(xiàn)最高的有效性，對(duì)構(gòu)成安全計(jì)劃的所有東西(人員，過程和技術(shù))，都需要不斷地重新評(píng)估。本篇述評(píng)中，我將集中評(píng)估所有安全計(jì)劃的一個(gè)支柱：端點(diǎn)保護(hù)。

我絕對(duì)不提倡一旦對(duì)端點(diǎn)保護(hù)廠商的績效或能力不滿就更換廠商，為改變而改變。這樣的做法是不實(shí)用或不經(jīng)濟(jì)的。對(duì)這樣的過程不應(yīng)小視，因?yàn)槟悴还馐窃谶x擇安全廠商;你也是在選擇戰(zhàn)略伙伴，這個(gè)伙伴在你的總體安全規(guī)劃中起到重要作用。選擇任何解決方案前，需要確定在端點(diǎn)保護(hù)解決方案要達(dá)到什么樣的質(zhì)量。我列出了幾個(gè)關(guān)鍵方面，比較潛在的端點(diǎn)安全合作伙伴和評(píng)估改變的必要性時(shí)要牢記在心。

跨越基于簽名的探測(cè)技術(shù)

目前惡意軟件的發(fā)展如此之快，廠商們不可能只使用簽名就唯一地識(shí)別這些威脅并提供保護(hù)。這種爆發(fā)式的增加速率，再加上惡意軟件變異能力的增強(qiáng)，已經(jīng)大大降低了簽名探測(cè)的有效性和可持續(xù)性。正是由于業(yè)界不愿意拋棄基于簽名的探測(cè)技術(shù)，才導(dǎo)致網(wǎng)絡(luò)犯罪無法控制地增加和得手。與擁有創(chuàng)新惡意軟件處理和公司端點(diǎn)和數(shù)據(jù)保護(hù)方法的廠商合作會(huì)更明智點(diǎn)。

文檔和支持

文檔和支持是經(jīng)常被視為次要和不重要的兩個(gè)方面。然而，具有良好文檔的產(chǎn)品通常會(huì)比較容易部署，也使配置問題的錯(cuò)誤處理更為容易(至少我個(gè)人的經(jīng)驗(yàn)是這樣)。另外，具有頂級(jí)的支持也是不可小視的問題，因?yàn)榉泵Φ陌踩芾韱T們不能有足夠的時(shí)間在每次發(fā)生問題時(shí)都閱讀Google。我們不能低估具有知識(shí)豐富的支持團(tuán)隊(duì)的重要性，人們可以聯(lián)系他們快速地處理好有問題的部分?；ㄙM(fèi)時(shí)間為其產(chǎn)品建立支持體系(通過容易理解的文檔和優(yōu)良的客戶支持)的安全公司會(huì)是公司安全部門的絕佳戰(zhàn)略伙伴。

額外的功能

越來越多的安全公司正在將其端點(diǎn)產(chǎn)品合并到一個(gè)套件中。這對(duì)公司安全團(tuán)隊(duì)有好處，因?yàn)樗档土丝傮w擁有成本，減少了端點(diǎn)上需要安裝的客戶端數(shù)量，而且使管理、監(jiān)測(cè)和部署都集中化。集中的監(jiān)測(cè)對(duì)于安全管理員和分析員非常有價(jià)值，因?yàn)橛辛怂芾韱T和分析員們就可以迅速測(cè)量和評(píng)估公司端點(diǎn)當(dāng)前的安全狀態(tài)，而不需要把來自多個(gè)不同的系統(tǒng)的信息拼到一起(從而降低未發(fā)現(xiàn)潛在的安全事故的可能性)。通過拓寬端點(diǎn)保護(hù)的范圍，使其諸如應(yīng)用程序控制(白名單)、設(shè)備控制、主機(jī)侵入保護(hù)系統(tǒng)(集中進(jìn)行行為監(jiān)測(cè))，擴(kuò)展功能防病毒，防間諜軟件、防火墻、數(shù)據(jù)丟失保護(hù)和全盤加密這樣的工具，我們就會(huì)大大降低端點(diǎn)給公司帶來的總體風(fēng)險(xiǎn)。

明白局限性

當(dāng)評(píng)估新的或替換的端點(diǎn)解決方案時(shí)，理解任一產(chǎn)品的局限性是最重要的注意事項(xiàng)。我們需要認(rèn)識(shí)到，沒有哪個(gè)解決方案會(huì)針對(duì)惡意軟件或最新威脅實(shí)現(xiàn)100%的保護(hù)。一般說來，我們希望解決方案能保護(hù)員工生產(chǎn)效率不因惡意軟件而降低，能降低清理染毒計(jì)算機(jī)所需的時(shí)間和資源量，并能確保所有關(guān)鍵業(yè)務(wù)數(shù)據(jù)都加密并受到良好保護(hù)。我們不能指望這些解決方案本身就能有效地抵擋潛藏的持續(xù)不斷的威脅。它們只是整個(gè)安全系統(tǒng)中很小的一部分。

就我個(gè)人而言，我希望看到端點(diǎn)保護(hù)套件的使用情景上下文，以便能更好地探究和理解完整的威脅生命周期(惡意軟件進(jìn)入點(diǎn)是什么，它針對(duì)什么弱點(diǎn))，并能更好地與安全漏洞管理工具集成，從而更快地補(bǔ)救。如果我們能更好地理解防護(hù)失敗之處，并獲得更廣泛的深入信息(問題是否嚴(yán)重，是否一次性事件)，則這樣的信息就能提供更實(shí)用的關(guān)于威脅的信息。