端點(diǎn)保護(hù)技術(shù)正不斷取得可喜進(jìn)展，而且很可能在短時(shí)間內(nèi)作為反病毒方案得到普及。

相較于單純利用已知惡意軟件簽名作為查殺依據(jù)的傳統(tǒng)反病毒軟件方案，下一代端點(diǎn)保護(hù)平臺能夠分析過程、變化與連接，從而揪出實(shí)時(shí)活動當(dāng)中的可疑對象，并以更為出色的效果解決零日漏洞等目前尚無法妥善解決的安全難題。

[[141845]]

舉例來說，設(shè)備實(shí)際操作方面的相關(guān)情報(bào)可通過客戶端軟件或者非客戶端形式被收集起來。具體來講，企業(yè)管理者將面對兩種決策選項(xiàng)：要么不使用客戶端并因而降低所能收集到的威脅信息數(shù)量;要么獲得豐富的細(xì)節(jié)信息，但同時(shí)承擔(dān)起代理安裝工作所帶來的部署、管理以及更新任務(wù)。

接下來要做的則是考慮如何從收集到的情報(bào)當(dāng)中找出威脅活動證據(jù)，同時(shí)保證自身不會被收集到的龐大數(shù)據(jù)問題所淹沒。而一旦發(fā)現(xiàn)了攻擊行為，企業(yè)必須在最短時(shí)間內(nèi)找到將其清除的辦法。

目前各大供應(yīng)商都在努力解決此類問題，甚至連思科及EMC這樣擁有廣泛產(chǎn)品線的技術(shù)巨頭亦涉足于其中。除此之外，各大知名企業(yè)方案供應(yīng)商，包括Bit9+Carbon Black、FireEye、ForeScout、Guidance Software、Trend Micro以及Cylance、Light Cyber、Outlier Security與Tanium等新興廠商都在致力于打造端點(diǎn)安全產(chǎn)品。而以上提到的還僅僅是從業(yè)企業(yè)當(dāng)中的一小部分;可以說這一市場已經(jīng)相當(dāng)擁擠，各位參與者則以彼此不同的方式努力解決著同一難題。

端點(diǎn)保護(hù)平臺的價(jià)值在于，它們能夠識別出特定攻擊并在檢測到這類情況后加快響應(yīng)速度。它們通過收集網(wǎng)絡(luò)之上往來于端點(diǎn)及其它設(shè)備之間的通信內(nèi)容來獲取信息，同時(shí)對那些有可能遭到惡意利用的端點(diǎn)作出變更。這些端點(diǎn)方案的數(shù)據(jù)庫能夠?qū)崿F(xiàn)遙測功能并作為取證工具使用，從而深入調(diào)查攻擊活動、映射其開展方式、發(fā)現(xiàn)需要加以整治的設(shè)備并預(yù)測未來可能出現(xiàn)怎樣的后續(xù)安全威脅。

要不要使用探針?

行業(yè)對于探針之所以如此厭惡，主要原因在于它會帶來額外的軟件部署、管理及更新任務(wù)。在下一代端點(diǎn)保護(hù)方案當(dāng)中，它們確實(shí)能夠提供大量與端點(diǎn)相關(guān)的未收集數(shù)據(jù)，但這在某些情況下反而會成為缺點(diǎn)。

端點(diǎn)探針收集到的信息量非常龐大，我們甚至很難將真正的攻擊活動從無關(guān)背景數(shù)據(jù)當(dāng)中準(zhǔn)確提取出來，因此對于探針而言、最重要的就是匹配能夠處理大量獲取數(shù)據(jù)的分析引擎，Gartner公司分析師Lawrence Pingree表示。而所生成數(shù)據(jù)的具體規(guī)模往往取決于探針本身以及端點(diǎn)類型。

如果不使用探針，那么端點(diǎn)保護(hù)平臺仍然能夠通過監(jiān)聽交換機(jī)及路由器數(shù)據(jù)并監(jiān)控Windows Network Services及Windows Management Instrumentation的方式收集到與設(shè)備相關(guān)的有價(jià)值數(shù)據(jù)。這部分信息當(dāng)中包含哪些用戶曾經(jīng)登錄過當(dāng)前設(shè)備、用戶登錄后進(jìn)行過哪些操作、補(bǔ)丁級別、其它安全探針是否正在運(yùn)行、USB設(shè)備是否接入以及當(dāng)前哪些線程正在運(yùn)行等等。

分析機(jī)制能夠告訴我們設(shè)備是否在預(yù)期情況之外創(chuàng)建了額外連接，而這正是攻擊者利用其它設(shè)備侵害其它設(shè)備并獲取高權(quán)限的主要特征。

探針可以表現(xiàn)為一套管理控制臺，這意味著帶來更多復(fù)雜性因素及潛在的額外成本，NSS實(shí)驗(yàn)室研究主管、主要面向下一代端點(diǎn)保護(hù)平臺議題的Randy Abrams解釋稱。“在某些情況下，采用此類探針方案會增加相關(guān)人員數(shù)量，”他指出，而處理控制臺時(shí)更多人員的介入自然會體現(xiàn)為更加高昂的運(yùn)營成本。

另外，兼容性也是個(gè)不容忽視的問題，NSS實(shí)驗(yàn)室的另一位研究主管Rob Ayoub指出。“大家要如何確保任何兩種探針——例如McAfee與Bromium或者Cylance——能夠順利協(xié)作?如果不能，大家又該向哪家廠商聯(lián)系求助?”

這些平臺的管理及治理安全性同樣需要加以認(rèn)真審視，Pingree表示，從而最大程度降低指向這些平臺自身的安全威脅。企業(yè)應(yīng)當(dāng)尋求配備有必要工具的端點(diǎn)保護(hù)平臺，從而滿足IT人員執(zhí)行不同職責(zé)角色時(shí)的具體訪問級別。舉例來說，如果能夠在管理員訪問時(shí)認(rèn)證其受限訪問能力，同時(shí)為應(yīng)急工程師提供更為寬松的訪問權(quán)限，那么實(shí)際效果肯定會更上一層樓，他解釋道。

分析引擎

分析機(jī)制是必要的，但也是極為復(fù)雜的，因此其完全能夠以獨(dú)立服務(wù)的形式存在——Red Canary公司就提供這類解決方案。相較于利用端點(diǎn)自身提供的探針收集相關(guān)數(shù)據(jù)，我們完全可以利用由Bit9+Carbon Black等廠商提供的傳感器解決這部分需求。Red Canary公司能夠從其它商業(yè)安全廠商的產(chǎn)品當(dāng)中收集威脅信息并將其整理成數(shù)據(jù)，而后通過分析生成與客戶網(wǎng)絡(luò)中異常狀況相關(guān)的警報(bào)通知。

分析引擎會標(biāo)記出潛在的異常狀況，但企業(yè)還需要利用人為分析的方式證明這些標(biāo)記事件到底屬不屬于真正的安全威脅。這有助于企業(yè)安全分析師降低所需應(yīng)對的安全警報(bào)數(shù)量。

初創(chuàng)企業(yè)Barkley公司表示，其目前正著手打造一款能夠以本地方式分析各端點(diǎn)下一步運(yùn)行狀態(tài)、并自動阻斷惡意活動的端點(diǎn)探針。這套方案還會將其采取的具體操作以通知方式交付管理員。

這些引擎需要被綁定在規(guī)模更大的威脅情報(bào)源當(dāng)中，它們能夠追蹤特征攻擊活動如何展開、并在無需借助惡意軟件標(biāo)志性代碼的前提下揪出安全違規(guī)發(fā)生之前的種種可疑跡象，Abrams表示。

大多數(shù)已知端點(diǎn)檢測與響應(yīng)工具都要在人們的操作與指示之下才能實(shí)現(xiàn)預(yù)期的保護(hù)效果。因此如果可能的話，企業(yè)用戶應(yīng)當(dāng)在著手購買之前先組織試驗(yàn)，以確保相關(guān)解決方案的功能性與有效性符合自身實(shí)際需求。“新興技術(shù)方案的缺點(diǎn)在于，其可測試空間還比較有限，”Pingree指出。

修復(fù)

端點(diǎn)檢測工具收集到的大量數(shù)據(jù)能夠以戰(zhàn)術(shù)性方式中止攻擊活動，但同時(shí)也支持安全漏洞被大規(guī)模利用之后的相關(guān)取證工作。這能夠幫助我們確定哪些設(shè)備需要進(jìn)行修復(fù)，而且已經(jīng)有部分供應(yīng)商在尋求將這方面流程以自動化方式實(shí)現(xiàn)的途徑。

舉例來說，Triumfant公司推出的Resolution Manager就能夠在檢測到惡意活動之后將端點(diǎn)恢復(fù)到此前的已知良好狀態(tài)之下。其它供應(yīng)商也提供類似的恢復(fù)功能，或者表示正在研究相關(guān)解決方案。但總體而言，目前各相關(guān)企業(yè)都在順應(yīng)趨勢，探索以同一套平臺修復(fù)所發(fā)現(xiàn)問題的辦法。

目前企業(yè)面臨的問題在于，盡管傳統(tǒng)端點(diǎn)安全方案已經(jīng)竭盡所能——即逐步轉(zhuǎn)化為囊括了反病毒、反惡意軟件、入侵檢測及入侵防御等機(jī)制在內(nèi)的整體性安全套件，但端點(diǎn)當(dāng)中仍然存在大量安全漏洞。而在嘗試解決這些問題的過程當(dāng)中，新的問題亦如影隨形。

“供應(yīng)商實(shí)際上只是在端點(diǎn)方案當(dāng)中添加了更多其它安全產(chǎn)品，這最終只會導(dǎo)致解決方案本身臃腫不堪，”科羅拉多州下游管理局CSO Larry Whiteside表示。“幸運(yùn)的是，內(nèi)存與磁盤速度(SSD)的不斷提升在一定程度上解決了端點(diǎn)性能面臨的沉重壓力。”

結(jié)果就是，他決定選擇來自SentinelOne公司的下一代端點(diǎn)保護(hù)方案作為安全儲備。與專門針對已知惡意軟件簽名為依托的傳統(tǒng)端點(diǎn)保護(hù)機(jī)制不同，下一代端點(diǎn)保護(hù)方案以端點(diǎn)的實(shí)際運(yùn)作狀態(tài)為起效基礎(chǔ)，他解釋道。“這并不是說簽名機(jī)制不好，但將其作為主要甚至是惟一的保護(hù)前提顯然太不靠譜。因此，增加這種基于行為的檢測能力將顯著提高端點(diǎn)保護(hù)方案的實(shí)際價(jià)值。”

相較于投資回報(bào)水平，他更關(guān)心的顯然是下一代端點(diǎn)保護(hù)產(chǎn)品體現(xiàn)出的上述價(jià)值。“事實(shí)上，我更關(guān)注檢測效果而非投資回報(bào)率，因此我甚至壓根不打算進(jìn)行什么投資回報(bào)分析。我敢說，率先采用下一代解決方案對于整個(gè)機(jī)構(gòu)來說絕對是利大于弊，”他總結(jié)道。

是否會取代反病毒產(chǎn)品?

到目前為止，下一代端點(diǎn)保護(hù)產(chǎn)品供應(yīng)商還沒有明確宣稱其方案能夠取代傳統(tǒng)反病毒軟件——盡管已經(jīng)有令人印象深刻的測試結(jié)果支持這一結(jié)論。不過相信這種狀況將逐漸改變。CrowdStrike公司CEO George Kurtz指出，在未來一年之內(nèi)，監(jiān)管機(jī)構(gòu)對于此類供應(yīng)商的限制將逐步得到放寬。

在一年之內(nèi)，要求利用反病毒方案來滿足合規(guī)測試的條款將作出變更，即允許企業(yè)利用下一代端點(diǎn)保護(hù)機(jī)制實(shí)現(xiàn)同樣的效果，他表示。“這才是我們真正的發(fā)展目標(biāo)，”他補(bǔ)充稱。“從一開始，我們就堅(jiān)信自己能夠?qū)崿F(xiàn)這一點(diǎn)。”

他同時(shí)表示，每個(gè)人都在高度關(guān)注惡意軟件，但惡意軟件只代表著約四成攻擊活動。對于其它安全事故，他將其稱為“非惡意軟件型入侵”，包括內(nèi)部人員竊取以及攻擊者在沒有利用惡意軟件的情況下竊取憑證信息。

不過在監(jiān)管條例真正作出變更之前，企業(yè)仍然需要滿足既定合規(guī)要求提出的反病毒方案實(shí)施目標(biāo)，Abrams指出，即使其它平臺已經(jīng)能夠帶來更理想的保護(hù)效果。“在某些情況下，合規(guī)性本身甚至比保護(hù)效果更加重要，因?yàn)楹笳呖赡苡羞`法律要求。”

與此同時(shí)，反病毒產(chǎn)品與下一代端點(diǎn)保護(hù)方案之間的功能交集意味著可能只有大型企業(yè)才能順利適應(yīng)這種變革，而資源相對有限的小公司則需要承受額外的成本負(fù)擔(dān)，他強(qiáng)調(diào)稱。不過即使對于小型公司來講，這樣的支出也是完全值得的。

“問題的實(shí)質(zhì)在于，大家有哪些信息資產(chǎn)有可能外泄、這些信息在外泄后會帶來怎樣的損失?只要將答案與安全保護(hù)預(yù)算作出比較，各位就能得出適合自己的評判結(jié)論了。”Abrams總結(jié)稱。

原文標(biāo)題：Next-generation endpoint protection not as easy as it sounds