【51CTO快譯】在對十款先進端點防護產品進行了廣泛測試之后，我們總結出以下幾條已經廣泛存在的行業發展趨勢：

[[168623]]

1. 病毒簽名機制已經過時。

歸功于過去幾年中不斷涌現在互聯網中的自動化病毒拼裝套件，如今依靠惟一簽名辨認病毒已經失去了可行性。相反，目前多數先進端點保護產品會使用與最新攻擊活動相關的情報作為安全信息。而CrowdStrike等產品則提供長長的安全與日志管理工具整合列表，旨在使其更好地彼此協作以應對攻擊行為。

2. 追蹤可執行程序已經屬于陳舊手段。

早期的惡意軟件通常會在端點中保留某種有效載荷或者殘留物，例如文件、注冊表項或者其它形式。以此為基礎，惡意人士能夠在內存中運行自身代碼并盡可能減少活動痕跡。當然，也有利用PDF或者Word文檔的作法，抑或是迫使包含漏洞的瀏覽器訪問特定惡意網站。

但如今的黑客手段已經愈發復雜，他們會利用Windows PowerShell命令來設置遠程命令shell，發送數條文本指令，且無需立足于特定端點即可入侵設備。為了應對這些挑戰，目前的產品需要了解攻擊者對端點造成的實際影響：是否刪除了任何文件，包括看似平平無奇的文本文檔;是否對Windows注冊表做出了變更?弄清這些問題殊為不易，但眾多產品都集中在這一領域以防止惡意人士獲取對目標計算機的控制權。

3. 產品能否追蹤到權限升級或者其它憑證欺詐活動?

現代攻擊者會嘗試偽裝成合法的用戶來使用SQL Server或其它產品安裝時留下的默認設置，而后想辦法將自己升級為域管理員或者其他擁有更高網絡操作權限的用戶類型，從而完成網絡入侵。

4. 內部威脅危害更大，阻止這類活動已經成為當務之急。

傳統殺毒保護產品被淘汰的一大理由，在于如今攻擊者們能夠訪問到內部網絡，并立足于受信端點進行破壞活動。為了阻止這類行為，如今的工具需要統轄內部或橫向網絡的運行情況，同時追蹤計算機中的破壞后果，從而在整體網絡落入攻擊者手中之前解決相關問題。

5. 數據泄露的發生頻率已達到史無前例的高度。

移動用戶的個人信息、機密客戶數據乃至敏感商業資料已經成為目前最受歡迎的數字化資產。就連索尼與Target都不幸中招，因此我們必須選擇那些能夠追蹤此類數據流出活動的工具。

6. 多數工具利用大數據與云分析機制追蹤實際網絡活動。

目前的保護工具之所以采用大量傳感器與探針機制，是因為大多數高強度分析工作開始由云端接管。具體來講，云平臺負責利用大數據技術及數據可視化手段識別并阻斷潛在攻擊。SentinelOne與Outlier Security就利用這類技術以實時方式對網絡數據進行關聯性分析。

7. 攻擊報告標準。

CEF、STIX以及OpenIOC等標準被廣泛整合在目前的端點產品當中。隨著攻擊報告標準的日益普及，不同廠商將能夠共享安全情報，并借此構建起更為強大的完整保護體系。

原文標題：7 trends in advanced endpoint protection

【51CTO譯稿，合作站點轉載請注明原文譯者和出處為51CTO.com】