在過去幾年間，向下一代端點(diǎn)安全移動的趨勢已經(jīng)進(jìn)一步加速,，究其原因很簡單：網(wǎng)絡(luò)安全專業(yè)人員對現(xiàn)有的防病毒軟件的功效并不滿意,。

這種市場需求大大推動了諸如Carbon Black,、CrowdStrike、Cybereason,、Cylance,、Morphisec以及SentinelOne等安全供應(yīng)商的投資和創(chuàng)新浪潮。

下一代端點(diǎn)安全技術(shù)往往可以分為兩大陣營——高級防御工具以及深入的檢測和響應(yīng)工具,。其中,，高級防御工具中添加了可用于檢測繞過AV(殺毒軟件)簽名的惡意軟件的新技術(shù)。大多數(shù)此類工具中還包含反漏洞利用工具,，用于檢測和阻止常見的內(nèi)存漏洞以及/或是針對常見應(yīng)用程序(如瀏覽器)的攻擊,。

另一方面，一些組織也對端點(diǎn)檢測和響應(yīng)(EDR)提出了新的要求,，此類工具能夠監(jiān)視端點(diǎn)行為并收集數(shù)據(jù),，然后將這些數(shù)據(jù)用于安全分析工作。

過去,，大多數(shù)企業(yè)選擇了用于高級防御或是端點(diǎn)檢測和響應(yīng)(EDR)的新工具,，而鮮少有企業(yè)會同時選擇兩者。根據(jù)數(shù)據(jù)顯示,，大約75%到80%的人選擇了高級防御工具,，其余的人則選擇了端點(diǎn)檢測和響應(yīng)(EDR)工具。

然而,，這種采購和部署行為正在發(fā)生變化,。根據(jù)ESG的研究結(jié)果顯示，87%的組織已經(jīng)購買或正在計劃購買同時包含高級防御和EDR功能的全面端點(diǎn)安全組件,。因此,，如果端點(diǎn)安全供應(yīng)商想要獲得競爭優(yōu)勢，就必須將自身發(fā)展成為一個一站式的端點(diǎn)安全商店,。

如今,，組織都想擁有一套功能全面的端點(diǎn)安全組件，但這究竟意味著什么呢?基于大量的研究,，下面總結(jié)出端點(diǎn)安全“必備”的七大功能：

1. 高效的惡意軟件檢測/阻止功能

這可以基于分層的端點(diǎn)安全技術(shù)——即殺毒軟件簽名,、啟發(fā)法(指在入侵檢測中使用AI思想)以及IoC 比較等，或是僅僅基于機(jī)器學(xué)習(xí)算法——只要它能檢測并阻止90%以上的零日文件和無文件的惡意軟件,，同時保持較低的誤診率即可,。

2. 反漏洞利用技術(shù)

如上所述，這種技術(shù)可以用于檢測和阻止常見的內(nèi)存漏洞以及/或是針對常見應(yīng)用程序(如瀏覽器)的攻擊和勒索軟件攻擊等,。但是需要注意的是,，反漏洞利用技術(shù)可能會非常難操作，因此首席信息安全官們(CISO)應(yīng)該尋找易于配置和操作的產(chǎn)品,。

3. 端點(diǎn)檢測和響應(yīng)(EDR)功能

對于此類功能的產(chǎn)品，首席信息安全官(CISO)們必須謹(jǐn)慎選擇，因?yàn)槎它c(diǎn)檢測和響應(yīng)工具中存在許多功能細(xì)化的產(chǎn)品,。具備高級安全分析和SOC技能的大型組織可能希望收集,、處理、分析和保留所有的端點(diǎn)安全數(shù)據(jù),，但是經(jīng)驗(yàn)較少的組織可能只需要基于其他安全警報“觸發(fā)器”的EDR功能,。

此外，對于任務(wù)繁重而又人手不足的安全部門而言,，EDR工具也格外具有吸引力,。EDR功能是端點(diǎn)安全組件不可或缺的一項(xiàng)要求，但是對于如何選擇EDR產(chǎn)品組織還需格外謹(jǐn)慎,。

4. 單個端點(diǎn)代理

主流產(chǎn)品應(yīng)該是基于一個單一的,、易于部署和操作的代理。如今,，一些供應(yīng)商可能會使用多個代理,，并將其企業(yè)發(fā)展規(guī)劃描繪成“合并為一個單一的代理”。對于這一問題,，購買者還需謹(jǐn)慎對待,。

5. 集中式管理

所有功能都應(yīng)該匯報到一個集中的管理系統(tǒng)中。對于職責(zé)分離需求而言,，集中式管理應(yīng)該支持多因素身份認(rèn)證,、定制視圖/儀表板以及基于角色的訪問控制等功能。

6. 混合部署選項(xiàng)

組織應(yīng)該能夠選擇端點(diǎn)安全管理平臺是部署在本地還是云端,，亦或者可以兩種形式混合部署,。

7. 修復(fù)能力

當(dāng)一個端點(diǎn)受到感染時，安全和IT操作需要具備隔離系統(tǒng),、刪除注冊表或終止惡意進(jìn)程的能力,。端點(diǎn)安全工具應(yīng)該將這種修復(fù)能力作為一項(xiàng)簡單的管理任務(wù)。如今,，有些系統(tǒng)仍然需要重新映像,，但是端點(diǎn)安全工具應(yīng)該提供充足的修復(fù)選項(xiàng)，以幫助大大減少必需的系統(tǒng)重新映像次數(shù),。

補(bǔ)充觀點(diǎn)：

除了上述的“必備”功能之外,，其他一些如資產(chǎn)管理、漏洞管理以及補(bǔ)丁管理,、應(yīng)用程序白名單以及端口控制等,，都可歸類為“應(yīng)該具備”的功能。這些功能對于一些用戶來說可能非常重要,，但對其他人來說也許并沒那么重要,，但是這些功能目前正在往端點(diǎn)安全領(lǐng)域遷移,，所以對于這個領(lǐng)域還需留心關(guān)注。如果需要這些功能,，就去找能夠提供這些功能的產(chǎn)品供應(yīng)商,。

此外，用戶可能還有數(shù)據(jù)防泄露(DLP)和其他類型文件級數(shù)據(jù)安全方面的需求,。DLP不需要成為端點(diǎn)安全組件的一部分,，但是一些組織可能會認(rèn)為單個端點(diǎn)安全/數(shù)據(jù)丟失防護(hù)(DLP)解決方案會更具吸引力。而傳統(tǒng)的端點(diǎn)安全控制,，例如全磁盤加密和防火墻,，已經(jīng)真正地遷移到了操作系統(tǒng)之中。因此,，它們并不真正地需要成為新的端點(diǎn)安全組件的一部分,。

最后談?wù)劰?yīng)商。供應(yīng)商可能會使用托管服務(wù)來補(bǔ)充端點(diǎn)安全產(chǎn)品,，但有些CISO覺得能夠擁有屬于自己的端點(diǎn)安全功能,，并將其外包給他人的方式才更具吸引力。

一些供應(yīng)商會參與第三方測試,，而另一些供應(yīng)商則會選擇避開這些測試,，并聲稱他們不再運(yùn)用新的端點(diǎn)安全技術(shù)。雖然第三方測試可以提供客觀的指標(biāo),，但強(qiáng)烈建議用戶可以自己進(jìn)行詳細(xì)而全面的產(chǎn)品檢測,。換句話說，不要依賴第三方或讓供應(yīng)商牽頭進(jìn)行產(chǎn)品測試,。你需要依賴自己做出最為明智的決定,。

最后，端點(diǎn)安全市場良莠不齊,，用戶應(yīng)該通過對市場,、技術(shù)以及供應(yīng)商進(jìn)行深入研究來決定任何新的端點(diǎn)安全決策。