從移動設備、PC、服務器再到云上的容器，各種類型的端點設備應用日益復雜，同時也成了黑客們重點關注的攻擊目標。對于企業的安全團隊來說，有效管理并保護端點應用安全是一項充滿挑戰的工作。為了應對不斷變化的端點安全威脅，企業應該重新評估各種端點安全防護技術的先進性和有效性，并積極擴展提升端點安全保護的能力范圍。

日前，Quick Heal 公司董事總經理Sanjay Katkar博士發表了一篇主題文章，總結了目前新一代端點安全防護方案發展演進的12個關鍵特性。他認為，如果將這些特性有機融合，企業組織將能夠快速構建起應對新型網絡攻擊威脅的“高級”端點安全防護能力。

1、實時的威脅檢測與調查 

在檢測端點安全威脅的過程中，每一秒都很重要。高級端點安全解決方案必須采用實時監測和分析技術，并能夠利用機器學習來識別可能逃避傳統檢測方法的威脅妥協指標。

而當針對端點的網絡攻擊活動發生時，能夠快速開展事件調查和響應也非常關鍵。高級端點威脅檢測和響應( EDR )方案應提供自動化調查工作流程，在事件響應過程中指導安全團隊開展調查分析，并提供快速遏制和消除威脅的工具。

2、積極融入零信任架構理念

零信任是一種新的安全體系，零信任的安全保護對象不只局限于端點設備，而是對業務訪問的全過程進行可信認證和評估，始終保持對各種端點設備和網絡會話的分析，篩選符合安全要求的訪問行為，通過零信任網關建立終端與業務系統之間的聯系。零信任體系中，實現對端點安全的保護是不可或缺的一個重要維度。盡管零信任并不能完全覆蓋端點安全保護的所有方面，但是可以對傳統端點安全防護措施進行補充和完善。傳統端點安全工具已經難以應對新型的網絡安全威脅，而零信任理念在加強端點安全設備的信任度和安全性的同時，也擴展了終端安全的應用場景和功能。

3、進一步增強機器學習

端點安全的未來在于人工智能。高級端點安全方案應不斷增強學習和調查能力,通過分析大量數據以識別新的攻擊模式,并在新出現的威脅造成損害之前對其進行風險預測。

4、強調對異常行為的監控識別

理解什么是“正常”的活動行為有助于提前識別未知的端點安全風險。高級端點安全解決方案應該為用戶和端點系統建立安全行為基線配置文件，并使用人工智能來檢測可能表明妥協的行為偏差。

5、全面共享第三方威脅信息和情報

傳統端點安全的方法在很大程度上依賴于孤立點解決方案的實施。這導致了這些解決方案不容易協同工作，會在安全防御對抗中留下了巨大的漏洞。高級端點安全方案必須與其他安全工具實現無縫集成,共享監控日志與威脅情報,從而實現構建一個整體的安全生態系統,這個生態系統能夠將組織的各種安全能力有機整合，并利用上下文進行高級威脅的監控與檢測。

6、有效管控影子設備及應用 

影子IT和BYOD策略的泛濫給現代企業制造了一場安全噩夢。高級端點安全解決方案必須對企業中所有的端點應用程序使用和設備連接提供細粒度的發現和控制能力，這樣才可以適應組織數字化發展中的端點風險管理和合規要求。

7、基于業務的數據丟失防護

在數字化時代，企業在數字化業務開展中會產生大量的數據并不斷變化。因此，高級端點安全方案需要融合先進的DLP功能，基于業務場景提供對數據流動和使用過程的細粒度安全控制，并使用人工智能技術來理解上下文和風險意圖，在不影響合法業務流程使用數據的情況下，防止數據的非法泄漏。

8、未知風險預防能力

針對零日漏洞等未知安全風險提供安全防護能力，一直是網絡安全廠商的圣杯。因此，高級端點安全性必須包含復雜的風險利用預防技術，如內存保護、行為監控和微虛擬化等，以在高級威脅攻擊被執行之前，發現、遏制和消除威脅。

9、利用新技術指標消除“噪音”

信息過載一直是干擾企業安全運營的嚴重挑戰。高級端點安全方案應該利用快速發展的人工智能技術，提供情境化的、可操作的海量報警優化能力，通過消除噪音突出那些需要安全團隊重點關注的真正端點威脅。

10、加強對電子郵件威脅的保護

大語言模型技術讓網絡釣魚攻擊變得越來越復雜，高級端點安全解決方案必須超越簡單的郵件附件掃描模式，而是需要使用人工智能驅動的新一代威脅分析技術來檢測電子郵件內容、發件人行為和附件特征中的細微異常。這種更積極的郵件威脅防護方法，可以識別和消除傳統惡意郵件過濾器可能會漏掉的新型威脅。

11、自動化補丁管理

未打補丁的端點應用系統是攻擊者最常利用的端點攻擊路徑之一，也是最容易實現的端點安全防護之一。因此，企業應該采取合適的策略和機制，以自動化方式解決這些缺陷可能造成的安全問題。通過采取正確有效的補丁管理策略，企業不僅可以確保端點設備和底層基礎架構沒有錯誤和漏洞，還可以循序漸進地降低嚴重網絡安全事件發生的概率，同時也有助于企業進行后續的回顧管理和安全審核。

12、靈活的部署選項

當企業開始啟動端點安全管理計劃時，薄弱的安全運營能力和匱乏的專業安全人才會成為阻礙計劃推進的障礙。在此情況下，高級解決方案應該提供靈活的部署模型，包括基于內部部署、基于云或混合部署，以適應不同的組織需求和基礎設施需求。企業還可以通過與托管式威脅檢測和響應服務商（MDR）合作，以解決端點安全運營能力不足的難題。

結語

以上特征協同作用，代表了當前高級端點安全防護中的范式轉變，體現了一種主動的、以情報為驅動的新理念，不僅能夠應對威脅，而且可以提前預測和阻止威脅。

Katkar表示，批評者可能會認為實施這種全面端點安全解決方案會增加企業安全運營的復雜性和成本，他們會辯稱，這太過分了，企業需要的是更簡單、更便宜的端點安全措施。

但這種想法并不現實。因為在數字化時代，一次簡單的網絡入侵就可能給企業造成數百萬美元的財產損失，并對組織的商譽造成不可挽回的損害。在此背景下，端點安全防護的關鍵不在于企業是否要負擔高成本的安全投入，而在于其是否能夠承擔端點攻擊活動所造成的損失。

參考鏈接：