在本文中，專(zhuān)家Ed Tittel解釋了端點(diǎn)反惡意軟件是如何保護(hù)最終用戶(hù)設(shè)備及其連接網(wǎng)絡(luò)、以抵御惡意代碼的。

端點(diǎn)反惡意軟件保護(hù)是一種積極地阻止惡意軟件感染計(jì)算機(jī)的應(yīng)用。在很多這樣的產(chǎn)品中，這種安全技術(shù)會(huì)延伸到虛擬桌面和移動(dòng)設(shè)備，以及工作站和筆記本電腦。

[[124977]]

影響計(jì)算機(jī)和各種移動(dòng)設(shè)備的常見(jiàn)惡意軟件類(lèi)型包括病毒、木馬、蠕蟲(chóng)、間諜軟件、rootkit等。

“端點(diǎn)”和“反惡意軟件”術(shù)語(yǔ)通常意味著產(chǎn)品專(zhuān)用于企業(yè)內(nèi)部(而不是一次性或家庭為單位的個(gè)人消費(fèi)者使用)，這可能意味著小型企業(yè)、分支機(jī)構(gòu)、中型企業(yè)、政府機(jī)構(gòu)或企業(yè)。

目前數(shù)十萬(wàn)種惡意軟件在網(wǎng)絡(luò)中肆虐，同時(shí)，網(wǎng)絡(luò)攻擊正不斷上升，各種規(guī)模的企業(yè)面臨的最關(guān)鍵問(wèn)題是確保抵御惡意軟件的強(qiáng)有力的保護(hù)。另外，在格雷姆-里奇-比利雷法和健康保險(xiǎn)攜帶和責(zé)任法案(HIPAA)監(jiān)管下的企業(yè)，或需要遵守PCI DSS標(biāo)準(zhǔn)來(lái)接受支付卡的企業(yè)，必須運(yùn)行反惡意軟件作為其合規(guī)要求的一部分。

端點(diǎn)反惡意軟件套件的價(jià)值

端點(diǎn)保護(hù)必須能夠阻止惡意軟件攻擊、保護(hù)用戶(hù)(同時(shí)發(fā)送電子郵件、瀏覽網(wǎng)頁(yè)或者鏈接設(shè)備)，以及阻止任何取得成功的攻擊的擴(kuò)散。為了實(shí)現(xiàn)這些目標(biāo)，現(xiàn)在的端點(diǎn)反惡意軟件套件提供了分層保護(hù)，采用強(qiáng)大的防病毒功能的形式，即反間諜軟件、電子郵件收件箱保護(hù)、基于主機(jī)的防火墻、數(shù)據(jù)丟失防護(hù)、當(dāng)訪問(wèn)的網(wǎng)站可能帶來(lái)安全風(fēng)險(xiǎn)時(shí)發(fā)出警報(bào)，并能夠抵御新的或未知威脅，又稱(chēng)零日威脅。

這種反惡意軟件套件的價(jià)值在于集多種功能于一身，它可以在外部惡意軟件和內(nèi)部系統(tǒng)及數(shù)據(jù)之間提供全面的保護(hù)。這種深度防御采用不同的方法來(lái)阻止惡意軟件，這樣一來(lái)，可以攻破單層保護(hù)來(lái)獲取成功的攻擊或入侵就不太可能實(shí)現(xiàn)。另外，對(duì)于IT而言，與管理來(lái)自不同供應(yīng)商的不同應(yīng)用相比，管理套件更加容易。

部署了端點(diǎn)反惡意軟件的計(jì)算機(jī)或設(shè)備就像是由高墻、護(hù)城河、鋼閘門(mén)和吊橋組成的戒備森嚴(yán)的城堡，同時(shí)，里里外外的護(hù)衛(wèi)會(huì)不斷觀察可疑活動(dòng)，隨時(shí)準(zhǔn)備阻止或者殺死“惡龍”。

端點(diǎn)反惡意軟件保護(hù)的特征

下面是這類(lèi)軟件套件的典型特征：

• 防病毒：惡意軟件編寫(xiě)者竭盡全力來(lái)創(chuàng)建惡意軟件以逃避檢測(cè)和防止移除。而現(xiàn)在的反惡意軟件產(chǎn)品通常會(huì)結(jié)合基于簽名的掃描與啟發(fā)式技術(shù)及基于云的全球威脅情報(bào)，以發(fā)現(xiàn)和根除系統(tǒng)中的惡意軟件并阻止感染。(啟發(fā)式技術(shù)是基于以往的經(jīng)驗(yàn)、對(duì)惡意軟件行為的觀察以及典型攻擊點(diǎn)來(lái)發(fā)現(xiàn)惡意軟件的做法。)這種防病毒技術(shù)組合可以有效阻止零日威脅，零日威脅一直給IT安全團(tuán)隊(duì)帶來(lái)重大挑戰(zhàn)。

• 反間諜軟件：惡意間諜軟件感染比常見(jiàn)感染更容易實(shí)現(xiàn)，并且它是保護(hù)敏感或機(jī)密數(shù)據(jù)面臨的主要威脅。對(duì)此，反惡意軟件會(huì)不斷在后臺(tái)運(yùn)行以阻止間諜軟件安裝，無(wú)論其來(lái)源如何。

• 數(shù)據(jù)丟失防護(hù)(DLP)：DLP中涉及的技術(shù)旨在保護(hù)那些離開(kāi)企業(yè)內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)，無(wú)論是通過(guò)電子郵件、USB驅(qū)動(dòng)器、在筆記本電腦或移動(dòng)設(shè)備，還是上傳到云中。

• 桌面防火墻：網(wǎng)絡(luò)應(yīng)始終受到防火墻保護(hù)，而在端點(diǎn)部署第二個(gè)防火墻可以為抵御惡意軟件提供另一層保護(hù)。

• 設(shè)備控制：惡意軟件可以感染沒(méi)有連接到網(wǎng)絡(luò)或互聯(lián)網(wǎng)的計(jì)算機(jī)。連接USB設(shè)備到計(jì)算機(jī)或者從CD或DVD安裝軟件總是可能會(huì)轉(zhuǎn)移受感染應(yīng)用到目標(biāo)機(jī)器。而設(shè)備控制允許IT通過(guò)設(shè)置和執(zhí)行設(shè)備訪問(wèn)規(guī)則來(lái)限制或阻止用戶(hù)訪問(wèn)。

• 電子郵件保護(hù)：反惡意軟件套件的這個(gè)組件旨在過(guò)濾出網(wǎng)絡(luò)釣魚(yú)電子郵件、垃圾郵件和攜帶惡意或可疑內(nèi)容的其他信息。

• 網(wǎng)頁(yè)瀏覽保護(hù)：也被稱(chēng)為信譽(yù)技術(shù)，大多數(shù)反惡意軟件套件會(huì)咨詢(xún)某種類(lèi)型的評(píng)級(jí)數(shù)據(jù)庫(kù)，來(lái)查詢(xún)網(wǎng)站是否可以安全地瀏覽。通過(guò)這種類(lèi)型的保護(hù)，被視為不安全的網(wǎng)站將不能被打開(kāi)，同時(shí)用戶(hù)會(huì)受到警告消息。

除了上述功能，有些端點(diǎn)反惡意軟件套件還包含入侵檢測(cè)和防御功能、應(yīng)用控制和網(wǎng)絡(luò)訪問(wèn)控制。有些產(chǎn)品還執(zhí)行補(bǔ)丁評(píng)估和管理，其中會(huì)對(duì)系統(tǒng)威脅進(jìn)行評(píng)估，并修復(fù)最關(guān)鍵的補(bǔ)丁，以及漏洞評(píng)估，甚至還有全磁盤(pán)加密來(lái)保護(hù)存儲(chǔ)的數(shù)據(jù)。

部署和管理端點(diǎn)反惡意軟件產(chǎn)品

通常情況下，端點(diǎn)反惡意軟件產(chǎn)品需要管理員在服務(wù)器安裝管理控制臺(tái)來(lái)幫助管理客戶(hù)端、產(chǎn)品許可證和日志。

這個(gè)步驟還會(huì)創(chuàng)建包含設(shè)置、權(quán)限、事件和安全政策的數(shù)據(jù)庫(kù)。出于性能的考慮以及復(fù)制數(shù)據(jù)的需要，大型企業(yè)或者具有多個(gè)站點(diǎn)的企業(yè)可能需要安裝額外的管理服務(wù)器。下個(gè)步驟是在客戶(hù)端計(jì)算機(jī)和設(shè)備安裝軟件(有時(shí)被稱(chēng)為代理)，可能是直接或者通過(guò)網(wǎng)絡(luò)安裝。

無(wú)論采取何種方法，客戶(hù)端必須配置為客戶(hù)端軟件更新(自動(dòng)或從服務(wù)器推送)以及病毒定義更新，這是最低要求。

總體而言，端點(diǎn)反惡意軟件保護(hù)是企業(yè)安全基礎(chǔ)設(shè)施中重要的必要元素，但它不是企業(yè)部署的唯一元素。在部署前，IT管理人員和安全專(zhuān)家應(yīng)該評(píng)估自己的環(huán)境，以確定他們具體需要保護(hù)什么，以及應(yīng)該預(yù)測(cè)未來(lái)三到五年他們的環(huán)境將會(huì)如何發(fā)展。

企業(yè)還應(yīng)該評(píng)估一些高評(píng)價(jià)的端點(diǎn)反惡意軟件套件來(lái)對(duì)比其功能，確定哪個(gè)產(chǎn)品最適合其企業(yè)的規(guī)模和需求，并考慮成本因素，以在其預(yù)算內(nèi)獲得最佳產(chǎn)品。