【51CTO快譯】在對十款先進端點防護產(chǎn)品進行了廣泛測試之后，我們總結出以下幾條已經(jīng)廣泛存在的行業(yè)發(fā)展趨勢：

[[168623]]

1. 病毒簽名機制已經(jīng)過時。

歸功于過去幾年中不斷涌現(xiàn)在互聯(lián)網(wǎng)中的自動化病毒拼裝套件，如今依靠惟一簽名辨認病毒已經(jīng)失去了可行性。相反，目前多數(shù)先進端點保護產(chǎn)品會使用與最新攻擊活動相關的情報作為安全信息。而CrowdStrike等產(chǎn)品則提供長長的安全與日志管理工具整合列表，旨在使其更好地彼此協(xié)作以應對攻擊行為。

2. 追蹤可執(zhí)行程序已經(jīng)屬于陳舊手段。

早期的惡意軟件通常會在端點中保留某種有效載荷或者殘留物，例如文件、注冊表項或者其它形式。以此為基礎，惡意人士能夠在內(nèi)存中運行自身代碼并盡可能減少活動痕跡。當然，也有利用PDF或者Word文檔的作法，抑或是迫使包含漏洞的瀏覽器訪問特定惡意網(wǎng)站。

但如今的黑客手段已經(jīng)愈發(fā)復雜，他們會利用Windows PowerShell命令來設置遠程命令shell，發(fā)送數(shù)條文本指令，且無需立足于特定端點即可入侵設備。為了應對這些挑戰(zhàn)，目前的產(chǎn)品需要了解攻擊者對端點造成的實際影響：是否刪除了任何文件，包括看似平平無奇的文本文檔;是否對Windows注冊表做出了變更?弄清這些問題殊為不易，但眾多產(chǎn)品都集中在這一領域以防止惡意人士獲取對目標計算機的控制權。

3. 產(chǎn)品能否追蹤到權限升級或者其它憑證欺詐活動?

現(xiàn)代攻擊者會嘗試偽裝成合法的用戶來使用SQL Server或其它產(chǎn)品安裝時留下的默認設置，而后想辦法將自己升級為域管理員或者其他擁有更高網(wǎng)絡操作權限的用戶類型，從而完成網(wǎng)絡入侵。

4. 內(nèi)部威脅危害更大，阻止這類活動已經(jīng)成為當務之急。

傳統(tǒng)殺毒保護產(chǎn)品被淘汰的一大理由，在于如今攻擊者們能夠訪問到內(nèi)部網(wǎng)絡，并立足于受信端點進行破壞活動。為了阻止這類行為，如今的工具需要統(tǒng)轄內(nèi)部或橫向網(wǎng)絡的運行情況，同時追蹤計算機中的破壞后果，從而在整體網(wǎng)絡落入攻擊者手中之前解決相關問題。

5. 數(shù)據(jù)泄露的發(fā)生頻率已達到史無前例的高度。

移動用戶的個人信息、機密客戶數(shù)據(jù)乃至敏感商業(yè)資料已經(jīng)成為目前最受歡迎的數(shù)字化資產(chǎn)。就連索尼與Target都不幸中招，因此我們必須選擇那些能夠追蹤此類數(shù)據(jù)流出活動的工具。

6. 多數(shù)工具利用大數(shù)據(jù)與云分析機制追蹤實際網(wǎng)絡活動。

目前的保護工具之所以采用大量傳感器與探針機制，是因為大多數(shù)高強度分析工作開始由云端接管。具體來講，云平臺負責利用大數(shù)據(jù)技術及數(shù)據(jù)可視化手段識別并阻斷潛在攻擊。SentinelOne與Outlier Security就利用這類技術以實時方式對網(wǎng)絡數(shù)據(jù)進行關聯(lián)性分析。

7. 攻擊報告標準。

CEF、STIX以及OpenIOC等標準被廣泛整合在目前的端點產(chǎn)品當中。隨著攻擊報告標準的日益普及，不同廠商將能夠共享安全情報，并借此構建起更為強大的完整保護體系。

原文標題：7 trends in advanced endpoint protection

【51CTO譯稿，合作站點轉載請注明原文譯者和出處為51CTO.com】