端点安全必须具备的功能有哪些
端点安全必须具备的功能如下:
高效的恶意软件检测/阻止功能:这可以基于分层的端点安全技术——即杀毒软件签名、启发法(指在入侵检测中使用AI思想)以及loC比较等,或是仅仅基于机器学习算法——只要它能检测并阻止90%以上的零日文件和无文件的恶意软件,同时保持较低的误诊率即可。
反漏洞利用技术:这种技术可以用于检测和阻止常见的内存漏洞以及或是针对常见应用程序(如浏览器)的攻击和勒索软件攻击等。但是需要注意的是,反漏洞利用技术可能会非常难操作,因此首席信息安全官们(CISO)应该寻找易于配置和操作的产品。
端点检测和响应(EDR)功能:对于此类功能的产品,首席信息安全官(CISO)们必须谨慎选择,因为端点检测和响应工具中存在许多功能细化的产品。具备高级安全分析和SOC技能的大型组织可能希望收集、处理、分析和保留所有的端点安全数据,但是经验较少的组织可能只需要基于其他安全警报“触发器”的EDR功能。此外,对于任务繁重而又人手不足的安全部门而言,EDR工具也格外具有吸引力。EDR功能是端点安全组件不可或缺的一项要求,但是对于如何选择EDR产品组织还需格外谨慎。
单个端点代理:主流产品应该是基于一个单一的、易于部署和操作的代理。如今,一些供应商可能会使用多个代理,并将其企业发展规划描绘成“合并为一个单一的代理”。对于这一问题,购买者还需谨慎对待。
集中式管理:所有功能都应该汇报到一个集中的管理系统中。对于职责分离需求而言,集中式管理应该支持多因素身份认证、定制视图/仪表板以及基于角色的访问控制等功能。
混合部署选项:组织应该能够选择端点安全管理平台是部署在本地还是云端,亦或者可以两种形式混合部署。
修复能力:当一个端点受到感染时,安全和T操作需要具备隔离系统、删除注册表或终止恶意进程的能力。端点安全工具应该将这种修复能力作为一项简单的管理任务。如今.有些系统仍然需要重新映像,但是端点安全工具应该提供充足的修复选项,以帮助大大减少必需的系统重新缺像次数。