端點保護技術正不斷取得可喜進展，而且很可能在短時間內作為反病毒方案得到普及。

相較于單純利用已知惡意軟件簽名作為查殺依據的傳統反病毒軟件方案，下一代端點保護平臺能夠分析過程、變化與連接，從而揪出實時活動當中的可疑對象，并以更為出色的效果解決零日漏洞等目前尚無法妥善解決的安全難題。

[[141845]]

舉例來說，設備實際操作方面的相關情報可通過客戶端軟件或者非客戶端形式被收集起來。具體來講，企業管理者將面對兩種決策選項：要么不使用客戶端并因而降低所能收集到的威脅信息數量;要么獲得豐富的細節信息，但同時承擔起代理安裝工作所帶來的部署、管理以及更新任務。

接下來要做的則是考慮如何從收集到的情報當中找出威脅活動證據，同時保證自身不會被收集到的龐大數據問題所淹沒。而一旦發現了攻擊行為，企業必須在最短時間內找到將其清除的辦法。

目前各大供應商都在努力解決此類問題，甚至連思科及EMC這樣擁有廣泛產品線的技術巨頭亦涉足于其中。除此之外，各大知名企業方案供應商，包括Bit9+Carbon Black、FireEye、ForeScout、Guidance Software、Trend Micro以及Cylance、Light Cyber、Outlier Security與Tanium等新興廠商都在致力于打造端點安全產品。而以上提到的還僅僅是從業企業當中的一小部分;可以說這一市場已經相當擁擠，各位參與者則以彼此不同的方式努力解決著同一難題。

端點保護平臺的價值在于，它們能夠識別出特定攻擊并在檢測到這類情況后加快響應速度。它們通過收集網絡之上往來于端點及其它設備之間的通信內容來獲取信息，同時對那些有可能遭到惡意利用的端點作出變更。這些端點方案的數據庫能夠實現遙測功能并作為取證工具使用，從而深入調查攻擊活動、映射其開展方式、發現需要加以整治的設備并預測未來可能出現怎樣的后續安全威脅。

要不要使用探針?

行業對于探針之所以如此厭惡，主要原因在于它會帶來額外的軟件部署、管理及更新任務。在下一代端點保護方案當中，它們確實能夠提供大量與端點相關的未收集數據，但這在某些情況下反而會成為缺點。

端點探針收集到的信息量非常龐大，我們甚至很難將真正的攻擊活動從無關背景數據當中準確提取出來，因此對于探針而言、最重要的就是匹配能夠處理大量獲取數據的分析引擎，Gartner公司分析師Lawrence Pingree表示。而所生成數據的具體規模往往取決于探針本身以及端點類型。

如果不使用探針，那么端點保護平臺仍然能夠通過監聽交換機及路由器數據并監控Windows Network Services及Windows Management Instrumentation的方式收集到與設備相關的有價值數據。這部分信息當中包含哪些用戶曾經登錄過當前設備、用戶登錄后進行過哪些操作、補丁級別、其它安全探針是否正在運行、USB設備是否接入以及當前哪些線程正在運行等等。

分析機制能夠告訴我們設備是否在預期情況之外創建了額外連接，而這正是攻擊者利用其它設備侵害其它設備并獲取高權限的主要特征。

探針可以表現為一套管理控制臺，這意味著帶來更多復雜性因素及潛在的額外成本，NSS實驗室研究主管、主要面向下一代端點保護平臺議題的Randy Abrams解釋稱。“在某些情況下，采用此類探針方案會增加相關人員數量，”他指出，而處理控制臺時更多人員的介入自然會體現為更加高昂的運營成本。

另外，兼容性也是個不容忽視的問題，NSS實驗室的另一位研究主管Rob Ayoub指出。“大家要如何確保任何兩種探針——例如McAfee與Bromium或者Cylance——能夠順利協作?如果不能，大家又該向哪家廠商聯系求助?”

這些平臺的管理及治理安全性同樣需要加以認真審視，Pingree表示，從而最大程度降低指向這些平臺自身的安全威脅。企業應當尋求配備有必要工具的端點保護平臺，從而滿足IT人員執行不同職責角色時的具體訪問級別。舉例來說，如果能夠在管理員訪問時認證其受限訪問能力，同時為應急工程師提供更為寬松的訪問權限，那么實際效果肯定會更上一層樓，他解釋道。

分析引擎

分析機制是必要的，但也是極為復雜的，因此其完全能夠以獨立服務的形式存在——Red Canary公司就提供這類解決方案。相較于利用端點自身提供的探針收集相關數據，我們完全可以利用由Bit9+Carbon Black等廠商提供的傳感器解決這部分需求。Red Canary公司能夠從其它商業安全廠商的產品當中收集威脅信息并將其整理成數據，而后通過分析生成與客戶網絡中異常狀況相關的警報通知。

分析引擎會標記出潛在的異常狀況，但企業還需要利用人為分析的方式證明這些標記事件到底屬不屬于真正的安全威脅。這有助于企業安全分析師降低所需應對的安全警報數量。

初創企業Barkley公司表示，其目前正著手打造一款能夠以本地方式分析各端點下一步運行狀態、并自動阻斷惡意活動的端點探針。這套方案還會將其采取的具體操作以通知方式交付管理員。

這些引擎需要被綁定在規模更大的威脅情報源當中，它們能夠追蹤特征攻擊活動如何展開、并在無需借助惡意軟件標志性代碼的前提下揪出安全違規發生之前的種種可疑跡象，Abrams表示。

大多數已知端點檢測與響應工具都要在人們的操作與指示之下才能實現預期的保護效果。因此如果可能的話，企業用戶應當在著手購買之前先組織試驗，以確保相關解決方案的功能性與有效性符合自身實際需求。“新興技術方案的缺點在于，其可測試空間還比較有限，”Pingree指出。

修復

端點檢測工具收集到的大量數據能夠以戰術性方式中止攻擊活動，但同時也支持安全漏洞被大規模利用之后的相關取證工作。這能夠幫助我們確定哪些設備需要進行修復，而且已經有部分供應商在尋求將這方面流程以自動化方式實現的途徑。

舉例來說，Triumfant公司推出的Resolution Manager就能夠在檢測到惡意活動之后將端點恢復到此前的已知良好狀態之下。其它供應商也提供類似的恢復功能，或者表示正在研究相關解決方案。但總體而言，目前各相關企業都在順應趨勢，探索以同一套平臺修復所發現問題的辦法。

目前企業面臨的問題在于，盡管傳統端點安全方案已經竭盡所能——即逐步轉化為囊括了反病毒、反惡意軟件、入侵檢測及入侵防御等機制在內的整體性安全套件，但端點當中仍然存在大量安全漏洞。而在嘗試解決這些問題的過程當中，新的問題亦如影隨形。

“供應商實際上只是在端點方案當中添加了更多其它安全產品，這最終只會導致解決方案本身臃腫不堪，”科羅拉多州下游管理局CSO Larry Whiteside表示。“幸運的是，內存與磁盤速度(SSD)的不斷提升在一定程度上解決了端點性能面臨的沉重壓力。”

結果就是，他決定選擇來自SentinelOne公司的下一代端點保護方案作為安全儲備。與專門針對已知惡意軟件簽名為依托的傳統端點保護機制不同，下一代端點保護方案以端點的實際運作狀態為起效基礎，他解釋道。“這并不是說簽名機制不好，但將其作為主要甚至是惟一的保護前提顯然太不靠譜。因此，增加這種基于行為的檢測能力將顯著提高端點保護方案的實際價值。”

相較于投資回報水平，他更關心的顯然是下一代端點保護產品體現出的上述價值。“事實上，我更關注檢測效果而非投資回報率，因此我甚至壓根不打算進行什么投資回報分析。我敢說，率先采用下一代解決方案對于整個機構來說絕對是利大于弊，”他總結道。

是否會取代反病毒產品?

到目前為止，下一代端點保護產品供應商還沒有明確宣稱其方案能夠取代傳統反病毒軟件——盡管已經有令人印象深刻的測試結果支持這一結論。不過相信這種狀況將逐漸改變。CrowdStrike公司CEO George Kurtz指出，在未來一年之內，監管機構對于此類供應商的限制將逐步得到放寬。

在一年之內，要求利用反病毒方案來滿足合規測試的條款將作出變更，即允許企業利用下一代端點保護機制實現同樣的效果，他表示。“這才是我們真正的發展目標，”他補充稱。“從一開始，我們就堅信自己能夠實現這一點。”

他同時表示，每個人都在高度關注惡意軟件，但惡意軟件只代表著約四成攻擊活動。對于其它安全事故，他將其稱為“非惡意軟件型入侵”，包括內部人員竊取以及攻擊者在沒有利用惡意軟件的情況下竊取憑證信息。

不過在監管條例真正作出變更之前，企業仍然需要滿足既定合規要求提出的反病毒方案實施目標，Abrams指出，即使其它平臺已經能夠帶來更理想的保護效果。“在某些情況下，合規性本身甚至比保護效果更加重要，因為后者可能有違法律要求。”

與此同時，反病毒產品與下一代端點保護方案之間的功能交集意味著可能只有大型企業才能順利適應這種變革，而資源相對有限的小公司則需要承受額外的成本負擔，他強調稱。不過即使對于小型公司來講，這樣的支出也是完全值得的。

“問題的實質在于，大家有哪些信息資產有可能外泄、這些信息在外泄后會帶來怎樣的損失?只要將答案與安全保護預算作出比較，各位就能得出適合自己的評判結論了。”Abrams總結稱。

原文標題：Next-generation endpoint protection not as easy as it sounds