什么是宿主端点保护解决方案?
主机端点保护解决方案相当于商业级的抗病毒和抗疟疾平台,其胆量完全寄托在云中. 这意味着管理员登录到一个网页控制台,以便进行扫描、登记用户、管理许可证以及执行其他日常管理任务和报告。 这是一个自然演变,因为云管理的安保服务的好处太多,不能忽视。
坚持老式端点保护套件意味着IT必须在房地上创建基于服务器的后端,然后在承担扫描引擎更新的责任的同时,将扫描软件和代理设备部署到他们想要手动保护的每一个设备. 与此相反的是,与云管理服务相比,大多数头痛是由服务供应商造成的。 后端完全由供应商管理,您的用户获得设备软件并自动更新,同时为IT提供明确的报告任何例外,问题和威胁. 云层甚至帮助供应商为更困难的威胁采用更先进的解决办法。
所有这些工具面临的挑战是不断变化的网络安全威胁。 他们需要找出什么是恶意的, 并把它压住,而不打乱 以至于保护企业实际上磨碎它。 这是一个很难解决的问题,因为恶意可能是一个非常模糊的事情。 因此,假阳性是一个持续的问题,处理这些问题是开发商如何区分产品和竞争市场份额的一个主要方面。
今云近年已证此功德. 任何主机端点保护解决方案将至少拥有其总体建筑的一部分,居住在云层中. 随之而来的是利用大数据科学的能力,以及服务器方面的高级分析。 这使得服务商可以建立能够显著提高检测率的机器学习(ML)模型,当销售商不得不依靠客户的前提计算能力时,这种模型就几乎无法实现. 虽然基于签名的探测在清理现场方面当然仍然起着主要作用,但机器学习是我们大多数供应商所看到的未来所在,我们在今年的测试中也看到了在这方面取得的巨大进展。 我们的评论显然将ML浮现为当年最热门的安全成分,驱动了许多最新的特征,尤其是基于行为的检测. 虽然这些引擎仍然可以被愚弄,但是这正在迅速变得更加困难.
然而,随着适当的量的调整,恶意软件开发者仍然更有能力巧妙地伪装他们的恶意有效载荷,并潜过IT部门的防御. 不良的应用利用各种技巧来达到这个目的,从数字化伪装一直到社会工程. 因此,在决定终点保护解决办法之前必须恪尽职守。 为了帮助实现这一点,这次围场将十名顶级端点保护球员通过他们的步调将他们推向顶级端点. 首先,我们从信息技术专业人员的角度审查部署和管理能力,然后我们进行一套四部分的检测测试,看看这些工具是如何相互匹配的。
我们如何测试托管端点保护解决方案
随着威胁和反措施不断演变,测试终点保护已成为一件棘手的事情。 我们所看到的销售商所部署的ML算法很能挑出已知的问题,这使得已知的恶意软件批量使用某种象征性的姿态. 每个人都准备好了 试卷能有效吗? 确定每个供应商的能力基线无疑是一个必要的测试,但采取多管齐下的方法测试这些解决方案也是一个很好的理由。
任何组织防御链中最薄弱的安全环节 总是在那里工作的人 因此,PCMag实验室从测试钓鱼检测开始. 有时关闭攻击的最快方法是简单地阻止用户交出他们的证书,即使他们这样做是无辜的. 我们利用一个名为PhishTank的网站, 在那里,我们随机选择10个仍然活跃的场地,并使用这些场地作为气压计来检查在测试候选者中钓鱼探测的功效如何. 我们只是用一台测试机导航到所有10个站点 运行候选人的软件并记录结果。
另一种非常流行的攻击矢量是欺骗用户下载一个看起来合法的应用程序,然后用于邪恶目的,甚至只是等待一段时间,表现正常,然后引爆某种恶意的有效载荷. 能在可能携带无赖密码的应用软件的引擎盖下寻找,对于任何获胜的端点保护解决方案来说,都必须是一个重要的重点领域. 我们侧重于每个候选国如何进行这种分析,如何报告这些结果,可以采取什么反措施,以及如何容易地击败它们。
我们还确保每个候选人熟悉当前的威胁环境。 我们这样做的方法是 推出一个新的数据库 已知的恶意软件 我们的测试系统 运行候选人的保护客户端。 目前为止, 我们还没有测试过一个系统, 这个系统至少无法接收80%的恶意软件变体, 通常还要多得多。 然而,有时可能会出现拖延,直到该系统能够达到最佳水平,这对潜在的买方来说很重要。 另外,有些系统依靠等待,直到恶意软件执行后再标注,然后只是为了清理之后的混乱. 还有的依靠纯粹的基于签名的检测算法和ML来选择共同点. 每一种方法,甚至是明智的组合,都意味着不同程度的成功,买家总是希望检测和清理的百分比尽可能高和尽早。
我们更先进的测试正在研究是否可以使用浏览器或微软Windows的利用来侵入系统,以及主动攻击者如何容易破坏系统。 我们完成了第一部分,将恶意可执行文件直接投放到我们的测试系统,看看端点保护软件的反应如何. 我们还能够建立一个基于浏览器的具体(有效)开发的模拟网站,并针对我们的测试系统启动。
我们使用测试系统的远程桌面协议(RDP)密码,并假设它已经通过野蛮的武力攻击而受损. 然后通过RDP向系统下载各种恶意软件样本. 这一程序严重依赖Metasploit框架和Veil 3.1框架生成和编码攻击。 探测引擎的捕捉速度是这里最重要的尺度 因为野外的这种攻击 可以在一段时间内不被察觉 虽然我们发现大多数系统在执行时都会赶上,但有些系统将使这一进程持续时间令人不安。 我们的得分依据是系统受损时能够造成的破坏程度。 我们还试图删除文档,更改系统文件,甚至不安装或禁用抗病毒软件包.
其他关键特性
原始保护潜力当然是终点保护解决方案的关键购买指标,但还有其他特点需要考虑。 首先,对移动设备的支持是一个关键特点,即使我们去年测试了托管端点保护解决方案,我们当然发现这一趋势今年仍在继续。 确保你所选择的防护套房能保护你组织稳定中的所有设备 意味着必须学习和支付多种工具的费用 以及能够从一个控制面板上看到 你公司的端点安全性能的区别 要寻找的移动功能不仅包括可以在Google Android和Apple iOS上安装的代理,还包括基本的移动设备管理(MDM)能力,如自动化设备注册,远程加密政策执行,以及远程设备擦拭.
补丁管理是这种保护产品作物中的另一个重磅成分。 恶意软件产生的许多问题都发生,因为恶意软件利用了未标注的系统留下的缺陷. 微软 Windows可能是这里最常被引用的罪魁祸首, 但实际上,补丁剥削发生在各种系统上, 你的端点保护解决方案应该解决这个问题。 特别是现在微软已经大多强制用户自动更新其补丁. 这在用户中产生了一种虚假的安全感,只要Windows自动安装了它的更新,他们就安全了. 但在现实中,无数其他应用经常没有被标注,坏人经常使用其中的一个或多个来完成同样多的混乱.
仅仅知道补丁的存在,是向企业主传达危险的第一步,并允许一个补丁过程,它不仅需要包括下载补丁,而且需要先进行测试,然后才进行部署. 能够从网络控制台上部署和回滚这些补丁是一件不该有的事,无论是作为端点解决方案的一部分还是作为单独的补丁管理工具获得的.
另一种关键的能力,也是我们在测试中高度重视的一种能力,是政策管理。 能够对大或小群用户或设备设定定制政策,不仅是拥有的有用工具,在用户通常使用多种设备,甚至自己的设备来完成工程的时代,实际上也是必要的. 电源用户和开发者可能需要在操作上有一定的回旋余地,而标准终端用户可能被更严格地锁定. 拥有一个干净的方法来做这件事不仅是管理层的欢乐,它往往是避免未来发生重大噩梦的唯一方法.
在你的环境下进行评估
最后,虽然我们认为我们的测试方法是正确的,但我们希望对照第三方资源的结果来验证结果。 今年,这主要是AV比较及其2019年测试结果. 将我们的结果与AV比较的结果进行比较,使我们能够增加一个额外的比较点,以便从多个角度更好地代表产品。 它也是我们在可用性,检测精度,假阳性,性能等方面对结果的独立核查.
所有这一切加起来,为寻找新的或更新的终点保护解决方案的企业提供了出色的购买指南。 然而,阅读本指南不应该成为你研究的结束. 一旦你缩小了你的选择, 确定哪个最适合你的公司 意味着在你自己的环境中评估解决方案。 这意味着总是寻找能够提供启动评价期的能力的产品是一个好主意,无论是在与销售人员进行一些对话之后,还是仅仅使用供应商网站上的免费下载链接.
(开发者注:维普雷由PCMag的母公司Ziff Davis拥有. ).
