在過去幾年間，向下一代端點安全移動的趨勢已經進一步加速，究其原因很簡單：網絡安全專業(yè)人員對現(xiàn)有的防病毒軟件的功效并不滿意。

[[222181]]

這種市場需求大大推動了諸如Carbon Black、CrowdStrike、Cybereason、Cylance、Morphisec以及SentinelOne等安全供應商的投資和創(chuàng)新浪潮。

下一代端點安全技術往往可以分為兩大陣營——高級防御工具以及深入的檢測和響應工具。其中，高級防御工具中添加了可用于檢測繞過AV(殺毒軟件)簽名的惡意軟件的新技術。大多數此類工具中還包含反漏洞利用工具，用于檢測和阻止常見的內存漏洞以及/或是針對常見應用程序(如瀏覽器)的攻擊。

另一方面，一些組織也對端點檢測和響應(EDR)提出了新的要求，此類工具能夠監(jiān)視端點行為并收集數據，然后將這些數據用于安全分析工作。

過去，大多數企業(yè)選擇了用于高級防御或是端點檢測和響應(EDR)的新工具，而鮮少有企業(yè)會同時選擇兩者。根據數據顯示，大約75%到80%的人選擇了高級防御工具，其余的人則選擇了端點檢測和響應(EDR)工具。

然而，這種采購和部署行為正在發(fā)生變化。根據ESG的研究結果顯示，87%的組織已經購買或正在計劃購買同時包含高級防御和EDR功能的全面端點安全組件。因此，如果端點安全供應商想要獲得競爭優(yōu)勢，就必須將自身發(fā)展成為一個一站式的端點安全商店。

如今，組織都想擁有一套功能全面的端點安全組件，但這究竟意味著什么呢?基于大量的研究，下面總結出端點安全“必備”的七大功能：

1. 高效的惡意軟件檢測/阻止功能

這可以基于分層的端點安全技術——即殺毒軟件簽名、啟發(fā)法(指在入侵檢測中使用AI思想)以及IoC 比較等，或是僅僅基于機器學習算法——只要它能檢測并阻止90%以上的零日文件和無文件的惡意軟件，同時保持較低的誤診率即可。

2. 反漏洞利用技術

如上所述，這種技術可以用于檢測和阻止常見的內存漏洞以及/或是針對常見應用程序(如瀏覽器)的攻擊和勒索軟件攻擊等。但是需要注意的是，反漏洞利用技術可能會非常難操作，因此首席信息安全官們(CISO)應該尋找易于配置和操作的產品。

3. 端點檢測和響應(EDR)功能

對于此類功能的產品，首席信息安全官(CISO)們必須謹慎選擇，因為端點檢測和響應工具中存在許多功能細化的產品。具備高級安全分析和SOC技能的大型組織可能希望收集、處理、分析和保留所有的端點安全數據，但是經驗較少的組織可能只需要基于其他安全警報“觸發(fā)器”的EDR功能。

此外，對于任務繁重而又人手不足的安全部門而言，EDR工具也格外具有吸引力。EDR功能是端點安全組件不可或缺的一項要求，但是對于如何選擇EDR產品組織還需格外謹慎。

4. 單個端點代理

主流產品應該是基于一個單一的、易于部署和操作的代理。如今，一些供應商可能會使用多個代理，并將其企業(yè)發(fā)展規(guī)劃描繪成“合并為一個單一的代理”。對于這一問題，購買者還需謹慎對待。

5. 集中式管理

所有功能都應該匯報到一個集中的管理系統(tǒng)中。對于職責分離需求而言，集中式管理應該支持多因素身份認證、定制視圖/儀表板以及基于角色的訪問控制等功能。

6. 混合部署選項

組織應該能夠選擇端點安全管理平臺是部署在本地還是云端，亦或者可以兩種形式混合部署。

7. 修復能力

當一個端點受到感染時，安全和IT操作需要具備隔離系統(tǒng)、刪除注冊表或終止惡意進程的能力。端點安全工具應該將這種修復能力作為一項簡單的管理任務。如今，有些系統(tǒng)仍然需要重新映像，但是端點安全工具應該提供充足的修復選項，以幫助大大減少必需的系統(tǒng)重新映像次數。

補充觀點：

除了上述的“必備”功能之外，其他一些如資產管理、漏洞管理以及補丁管理、應用程序白名單以及端口控制等，都可歸類為“應該具備”的功能。這些功能對于一些用戶來說可能非常重要，但對其他人來說也許并沒那么重要，但是這些功能目前正在往端點安全領域遷移，所以對于這個領域還需留心關注。如果需要這些功能，就去找能夠提供這些功能的產品供應商。

此外，用戶可能還有數據防泄露(DLP)和其他類型文件級數據安全方面的需求。DLP不需要成為端點安全組件的一部分，但是一些組織可能會認為單個端點安全/數據丟失防護(DLP)解決方案會更具吸引力。而傳統(tǒng)的端點安全控制，例如全磁盤加密和防火墻，已經真正地遷移到了操作系統(tǒng)之中。因此，它們并不真正地需要成為新的端點安全組件的一部分。

最后談談供應商。供應商可能會使用托管服務來補充端點安全產品，但有些CISO覺得能夠擁有屬于自己的端點安全功能，并將其外包給他人的方式才更具吸引力。

一些供應商會參與第三方測試，而另一些供應商則會選擇避開這些測試，并聲稱他們不再運用新的端點安全技術。雖然第三方測試可以提供客觀的指標，但強烈建議用戶可以自己進行詳細而全面的產品檢測。換句話說，不要依賴第三方或讓供應商牽頭進行產品測試。你需要依賴自己做出最為明智的決定。

最后，端點安全市場良莠不齊，用戶應該通過對市場、技術以及供應商進行深入研究來決定任何新的端點安全決策。