在本文中,专家Ed Tittel解释了端点反恶意软件是如何保护最终用户设备及其连接网络、以抵御恶意代码的。
端点反恶意软件保护是一种积极地阻止恶意软件感染计算机的应用。在很多这样的产品中,这种安全技术会延伸到虚拟桌面和移动设备,以及工作站和笔记本电脑。
影响计算机和各种移动设备的常见恶意软件类型包括病毒、木马、蠕虫、间谍软件、rootkit等。
“端点”和“反恶意软件”术语通常意味着产品专用于企业内部(而不是一次性或家庭为单位的个人消费者使用),这可能意味着小型企业、分支机构、中型企业、政府机构或企业。
目前数十万种恶意软件在网络中肆虐,同时,网络攻击正不断上升,各种规模的企业面临的最关键问题是确保抵御恶意软件的强有力的保护。另外,在格雷姆-里奇-比利雷法和健康保险携带和责任法案(HIPAA)监管下的企业,或需要遵守PCI DSS标准来接受支付卡的企业,必须运行反恶意软件作为其合规要求的一部分。
端点反恶意软件套件的价值
端点保护必须能够阻止恶意软件攻击、保护用户(同时发送电子邮件、浏览网页或者链接设备),以及阻止任何取得成功的攻击的扩散。为了实现这些目标,现在的端点反恶意软件套件提供了分层保护,采用强大的防病毒功能的形式,即反间谍软件、电子邮件收件箱保护、基于主机的防火墙、数据丢失防护、当访问的网站可能带来安全风险时发出警报,并能够抵御新的或未知威胁,又称零日威胁。
这种反恶意软件套件的价值在于集多种功能于一身,它可以在外部恶意软件和内部系统及数据之间提供全面的保护。这种深度防御采用不同的方法来阻止恶意软件,这样一来,可以攻破单层保护来获取成功的攻击或入侵就不太可能实现。另外,对于IT而言,与管理来自不同供应商的不同应用相比,管理套件更加容易。
部署了端点反恶意软件的计算机或设备就像是由高墙、护城河、钢闸门和吊桥组成的戒备森严的城堡,同时,里里外外的护卫会不断观察可疑活动,随时准备阻止或者杀死“恶龙”。
端点反恶意软件保护的特征
下面是这类软件套件的典型特征:
• 防病毒:恶意软件编写者竭尽全力来创建恶意软件以逃避检测和防止移除。而现在的反恶意软件产品通常会结合基于签名的扫描与启发式技术及基于云的全球威胁情报,以发现和根除系统中的恶意软件并阻止感染。(启发式技术是基于以往的经验、对恶意软件行为的观察以及典型攻击点来发现恶意软件的做法。)这种防病毒技术组合可以有效阻止零日威胁,零日威胁一直给IT安全团队带来重大挑战。
• 反间谍软件:恶意间谍软件感染比常见感染更容易实现,并且它是保护敏感或机密数据面临的主要威胁。对此,反恶意软件会不断在后台运行以阻止间谍软件安装,无论其来源如何。
• 数据丢失防护(DLP):DLP中涉及的技术旨在保护那些离开企业内部网络的数据,无论是通过电子邮件、USB驱动器、在笔记本电脑或移动设备,还是上传到云中。
• 桌面防火墙:网络应始终受到防火墙保护,而在端点部署第二个防火墙可以为抵御恶意软件提供另一层保护。
• 设备控制:恶意软件可以感染没有连接到网络或互联网的计算机。连接USB设备到计算机或者从CD或DVD安装软件总是可能会转移受感染应用到目标机器。而设备控制允许IT通过设置和执行设备访问规则来限制或阻止用户访问。
• 电子邮件保护:反恶意软件套件的这个组件旨在过滤出网络钓鱼电子邮件、垃圾邮件和携带恶意或可疑内容的其他信息。
• 网页浏览保护:也被称为信誉技术,大多数反恶意软件套件会咨询某种类型的评级数据库,来查询网站是否可以安全地浏览。通过这种类型的保护,被视为不安全的网站将不能被打开,同时用户会受到警告消息。
除了上述功能,有些端点反恶意软件套件还包含入侵检测和防御功能、应用控制和网络访问控制。有些产品还执行补丁评估和管理,其中会对系统威胁进行评估,并修复最关键的补丁,以及漏洞评估,甚至还有全磁盘加密来保护存储的数据。
部署和管理端点反恶意软件产品
通常情况下,端点反恶意软件产品需要管理员在服务器安装管理控制台来帮助管理客户端、产品许可证和日志。
这个步骤还会创建包含设置、权限、事件和安全政策的数据库。出于性能的考虑以及复制数据的需要,大型企业或者具有多个站点的企业可能需要安装额外的管理服务器。下个步骤是在客户端计算机和设备安装软件(有时被称为代理),可能是直接或者通过网络安装。
无论采取何种方法,客户端必须配置为客户端软件更新(自动或从服务器推送)以及病毒定义更新,这是最低要求。
总体而言,端点反恶意软件保护是企业安全基础设施中重要的必要元素,但它不是企业部署的唯一元素。在部署前,IT管理人员和安全专家应该评估自己的环境,以确定他们具体需要保护什么,以及应该预测未来三到五年他们的环境将会如何发展。
企业还应该评估一些高评价的端点反恶意软件套件来对比其功能,确定哪个产品最适合其企业的规模和需求,并考虑成本因素,以在其预算内获得最佳产品。
