端點保護平臺 (EPP) 是部署在端點設備上以抵御威脅的綜合安全解決方案。

讓我們定義一個端點保護平臺

EPP 解決方案通常是云管理的，并利用云數據來協助進行高級監控和遠程修復。EPP 解決方案采用廣泛的安全功能，但基本包括：

• 預防基于文件的惡意軟件。
• 使用從危害指標 (IOC) 到 行為分析的各種技術檢測可疑活動。
• 用于處理動態事件和警報的調查和補救工具。

端點保護平臺是端點安全的最新發展。它們的開發是為了識別可以繞過傳統端點安全的攻擊者，并幫助整合復雜的安全堆棧。整合帶來了改進的數據共享——這改進了可用于檢測可疑行為的分析。它還顯著簡化了安全操作。

端點保護平臺的另一個重要優勢是遷移到云端。云原生 EPP 能夠使用單個輕量級代理來監控所有端點。此外，可以收集和使用的數據遠遠超出了單個公司的端點。可以吸收說明攻擊者策略的全局共享數據，以改進對攻擊者行為的檢測。

在研究“端點保護平臺的關鍵能力”時，Gartner 強調了基于云的 EPP 的重要性，并指出：“與傳統的本地部署相比，基于云的 EPP 解決方案提供更快的價值實現時間、更低的管理成本和更敏捷的產品改進部署。”

在 Gartner 最新的端點保護平臺魔力象限中，Gartner 認為 EPP 正在不斷發展，以提供“自動化、協調的事件調查和違規響應”。并建議安全和風險管理領導者“確保他們的 EPP 供應商發展得足夠快，以跟上現代威脅。”

除了 IR，基于云的端點保護平臺使實時行為分析成為可能。最先進的 EPP 利用事件流處理（與信用卡欺詐檢測中使用的技術相同）來轉變端點安全性。這允許檢測攻擊者表現出的行為，他們故意試圖“看起來正常”以隱藏他們的策略。如今，VMware Carbon Black Cloud 是唯一一個利用事件流處理的端點保護平臺，并且已經展示了在發生滲漏之前檢測攻擊者的卓越結果。

攻擊者如何規避傳統端點安全

端點保護平臺開發背后的主要動機是攻擊者更容易 使用傳統解決方案避開SecOps團隊。從根本上說，攻擊者已經超越了傳統端點安全的能力，現在能夠在網絡中長時間不被發現。

攻擊者繞過傳統端點安全的五種方式

無文件勒索軟件——無需檢測和阻止文件，用于交付勒索軟件的無文件技術在很大程度上不受傳統端點安全的干擾。根據 SecureWorld 的網絡安全報告， 與 2018 年下半年相比，2019 年上半年無文件攻擊增加了 18%。只有使用 EPP，您才能跟蹤行為以找到提醒您注意無文件攻擊方法的模式。

可用的新攻擊技術——高級攻擊技術已被 網絡犯罪分子竊取或開發，可供出售或僅作為互聯網和暗網上的開源軟件。使用這些腳本和策略可以讓攻擊者的活動“看起來很正常”并隱藏在網絡中。

過時的端點——威脅形勢正在迅速演變。這意味著安全供應商正在盡可能快地開發補丁和更新，以試圖跟上新出現的威脅。更新速度通常超過 SecOps 團隊的能力——尤其是在缺乏補丁管理和自動化的情況下。此外，端點代理經常失敗，導致各個端點不安全。2019 年全球端點安全趨勢報告顯示， 35% 的端點違規是由現有漏洞引起的。由于端點保護平臺通常基于云，因此它們能夠持續保持最新狀態，以保護端點免受最新威脅。

多個數據源——傳統的端點安全解決方案與安全堆棧的其余部分相對隔離運行。這意味著它需要多個系統來查看單個端點的活動，并在調查期間跟蹤整個網絡中的任何可疑活動。端點保護平臺提供單一的“真相”來源，將來自整個平臺的所有安全解決方案的數據結合起來，以提供輕松的數據訪問和警報調查。

過濾的端點數據——許多端點安全解決方案根據已知的行為模式和 IOC 過濾掉被認為與威脅無關的端點數據。現在攻擊者擁有更先進的技術，他們依靠端點數據過濾來過濾掉他們的活動。這意味著 SecOps 看不到新的模式。當您 持續捕獲端點活動數據時，您可以看到這些新技術并預測新威脅。

行業脈搏：安全專家對端點保護平臺的見解

分析師和安全專家一致認為，EPP 是保護網絡免受高級威脅的最佳方式。Gartner 和 Forrester 都通過 Gartner 端點保護平臺魔力象限和 Forrester Wave 端點安全套件涵蓋了這一解決方案領域。EPP 的驗證來自 Forrester 所做的 ROI 分析。Forrester 的端點保護平臺總體經濟影響研究發現，七家遷移到 EPP 的公司的平均投資回報率為 204%。這相當于三年內平均節省 210 萬美元。

以下是轉向端點保護平臺的安全專家對 EPP 價值的評價：

節省大量時間

“我現在有能力讓 24/7 SOC 立即識別出現的任何問題并采取行動，而無需在白天/晚上的所有時間與我的團隊聯系。”

– Cozy Lavalle，IT 基礎設施經理，Progress Residential

單一管理平臺

“可用的 IR 和威脅搜尋功能使我們的團隊能夠快速、果斷地采取行動，同時受益于單一管理平臺下的基于云的控制臺。這對球隊來說是一個改變游戲規則的人。”

– Eric Samuelson，Lithium 高級 IT 經理

緊跟威脅

“[EPP] 正是企業在面對當今最大的網絡威脅時保持連續性所需要的。借助 [EPP]，我們能夠快速調查、響應并刪除我們過時的 AV 解決方案。”

– Steven Lentz，CISO，三星美洲研究部

答案？行為異常的識別

網絡犯罪分子非常成功地使用惡意軟件來實現他們的目標，原因很簡單，大多數傳統的防病毒工具都使用靜態分析作為主要的安全策略。然而，這些工具只能識別已知樣本——而今天，隨著新惡意軟件每天的快速發展，其中大部分現在都以未知文件的形式出現。攻擊者使用各種技術（如打包或壓縮）來更改惡意軟件的各個方面，使其看起來與已知威脅不同。因此，攻擊很容易繞過防病毒防御。

這就是下一代端點安全和行為分析的用武之地。關于惡意軟件的好消息是，它在系統或設備中的運行方式最終將與正常的用戶行為不同。因此，隨著大數據和機器學習對異常的關注，潛在的惡意軟件可以被識別為不正常的和潛在的惡意軟件。