關于端點反惡意軟件保護的幾個事實
在本文中,專家Ed Tittel解釋了端點反惡意軟件是如何保護最終用戶設備及其連接網絡、以抵御惡意代碼的。
端點反惡意軟件保護是一種積極地阻止惡意軟件感染計算機的應用。在很多這樣的產品中,這種安全技術會延伸到虛擬桌面和移動設備,以及工作站和筆記本電腦。
影響計算機和各種移動設備的常見惡意軟件類型包括病毒、木馬、蠕蟲、間諜軟件、rootkit等。
“端點”和“反惡意軟件”術語通常意味著產品專用于企業內部(而不是一次性或家庭為單位的個人消費者使用),這可能意味著小型企業、分支機構、中型企業、政府機構或企業。
目前數十萬種惡意軟件在網絡中肆虐,同時,網絡攻擊正不斷上升,各種規模的企業面臨的最關鍵問題是確保抵御惡意軟件的強有力的保護。另外,在格雷姆-里奇-比利雷法和健康保險攜帶和責任法案(HIPAA)監管下的企業,或需要遵守PCI DSS標準來接受支付卡的企業,必須運行反惡意軟件作為其合規要求的一部分。
端點反惡意軟件套件的價值
端點保護必須能夠阻止惡意軟件攻擊、保護用戶(同時發送電子郵件、瀏覽網頁或者鏈接設備),以及阻止任何取得成功的攻擊的擴散。為了實現這些目標,現在的端點反惡意軟件套件提供了分層保護,采用強大的防病毒功能的形式,即反間諜軟件、電子郵件收件箱保護、基于主機的防火墻、數據丟失防護、當訪問的網站可能帶來安全風險時發出警報,并能夠抵御新的或未知威脅,又稱零日威脅。
這種反惡意軟件套件的價值在于集多種功能于一身,它可以在外部惡意軟件和內部系統及數據之間提供全面的保護。這種深度防御采用不同的方法來阻止惡意軟件,這樣一來,可以攻破單層保護來獲取成功的攻擊或入侵就不太可能實現。另外,對于IT而言,與管理來自不同供應商的不同應用相比,管理套件更加容易。
部署了端點反惡意軟件的計算機或設備就像是由高墻、護城河、鋼閘門和吊橋組成的戒備森嚴的城堡,同時,里里外外的護衛會不斷觀察可疑活動,隨時準備阻止或者殺死“惡龍”。
端點反惡意軟件保護的特征
下面是這類軟件套件的典型特征:
• 防病毒:惡意軟件編寫者竭盡全力來創建惡意軟件以逃避檢測和防止移除。而現在的反惡意軟件產品通常會結合基于簽名的掃描與啟發式技術及基于云的全球威脅情報,以發現和根除系統中的惡意軟件并阻止感染。(啟發式技術是基于以往的經驗、對惡意軟件行為的觀察以及典型攻擊點來發現惡意軟件的做法。)這種防病毒技術組合可以有效阻止零日威脅,零日威脅一直給IT安全團隊帶來重大挑戰。
• 反間諜軟件:惡意間諜軟件感染比常見感染更容易實現,并且它是保護敏感或機密數據面臨的主要威脅。對此,反惡意軟件會不斷在后臺運行以阻止間諜軟件安裝,無論其來源如何。
• 數據丟失防護(DLP):DLP中涉及的技術旨在保護那些離開企業內部網絡的數據,無論是通過電子郵件、USB驅動器、在筆記本電腦或移動設備,還是上傳到云中。
• 桌面防火墻:網絡應始終受到防火墻保護,而在端點部署第二個防火墻可以為抵御惡意軟件提供另一層保護。
• 設備控制:惡意軟件可以感染沒有連接到網絡或互聯網的計算機。連接USB設備到計算機或者從CD或DVD安裝軟件總是可能會轉移受感染應用到目標機器。而設備控制允許IT通過設置和執行設備訪問規則來限制或阻止用戶訪問。
• 電子郵件保護:反惡意軟件套件的這個組件旨在過濾出網絡釣魚電子郵件、垃圾郵件和攜帶惡意或可疑內容的其他信息。
• 網頁瀏覽保護:也被稱為信譽技術,大多數反惡意軟件套件會咨詢某種類型的評級數據庫,來查詢網站是否可以安全地瀏覽。通過這種類型的保護,被視為不安全的網站將不能被打開,同時用戶會受到警告消息。
除了上述功能,有些端點反惡意軟件套件還包含入侵檢測和防御功能、應用控制和網絡訪問控制。有些產品還執行補丁評估和管理,其中會對系統威脅進行評估,并修復最關鍵的補丁,以及漏洞評估,甚至還有全磁盤加密來保護存儲的數據。
部署和管理端點反惡意軟件產品
通常情況下,端點反惡意軟件產品需要管理員在服務器安裝管理控制臺來幫助管理客戶端、產品許可證和日志。
這個步驟還會創建包含設置、權限、事件和安全政策的數據庫。出于性能的考慮以及復制數據的需要,大型企業或者具有多個站點的企業可能需要安裝額外的管理服務器。下個步驟是在客戶端計算機和設備安裝軟件(有時被稱為代理),可能是直接或者通過網絡安裝。
無論采取何種方法,客戶端必須配置為客戶端軟件更新(自動或從服務器推送)以及病毒定義更新,這是最低要求。
總體而言,端點反惡意軟件保護是企業安全基礎設施中重要的必要元素,但它不是企業部署的唯一元素。在部署前,IT管理人員和安全專家應該評估自己的環境,以確定他們具體需要保護什么,以及應該預測未來三到五年他們的環境將會如何發展。
企業還應該評估一些高評價的端點反惡意軟件套件來對比其功能,確定哪個產品最適合其企業的規模和需求,并考慮成本因素,以在其預算內獲得最佳產品。
