下一代防病毒 解決方案通過監(jiān)控、響應(yīng)攻擊者的策略、技術(shù)和程序 (TTP) 來防止所有類型的已知和未知攻擊。

讓我們定義下一代防病毒 (NGAV)

下一代防病毒軟件將傳統(tǒng)防病毒軟件提升到一個全新的高級端點安全保護水平。它超越了已知的基于文件的惡意軟件簽名和啟發(fā)式方法，因為它是一種以系統(tǒng)為中心、基于云的方法。它使用由機器學習和人工智能驅(qū)動的預測分析，并結(jié)合威脅情報來：

• 檢測和預防惡意軟件和無文件非惡意軟件攻擊
• 識別來自未知來源的惡意行為和 TTP
• 收集和分析全面的端點數(shù)據(jù)以確定根本原因
• 應(yīng)對以前未被發(fā)現(xiàn)的新出現(xiàn)的威脅。

為什么傳統(tǒng)的防病毒軟件不再有效

今天的攻擊者確切地知道在哪里可以找到組織網(wǎng)絡(luò)外圍安全的漏洞和弱點——他們以輕松繞過傳統(tǒng)防病毒軟件的方式滲透這些漏洞。這些攻擊者使用高度開發(fā)的工具來針對利用以下漏洞的漏洞：

• 基于內(nèi)存的攻擊
• PowerShell 腳本語言
• 遠程登錄
• 基于宏的攻擊

而且由于傳統(tǒng)的 AV 只關(guān)注基于簽名文件或基于定義的威脅，它無法從不會將新文件引入系統(tǒng)的現(xiàn)代威脅中檢測到任何這些環(huán)境。但是，NGAV 側(cè)重于事件（文件、進程、應(yīng)用程序和網(wǎng)絡(luò)連接），以了解每個領(lǐng)域中的操作或事件流是如何相關(guān)的。事件流分析有助于識別惡意意圖、行為和活動——一旦識別，攻擊者就可以被阻止。

這種方法在今天變得越來越重要，因為像美國職業(yè)棒球大聯(lián)盟、國家冰球聯(lián)盟和其他主要體育組織這樣的企業(yè)越來越多地發(fā)現(xiàn)攻擊者專門針對他們的個人網(wǎng)絡(luò)。這些攻擊是多階段的、個性化的，并且風險明顯更高——而防病毒解決方案沒有機會阻止它們。

EDR：NGAV 的基本要求

根據(jù) 2017 年端點檢測和響應(yīng)解決方案市場指南， Gartner 現(xiàn)在將 端點檢測和響應(yīng) (EDR)視為一項基礎(chǔ)安全能力。當它與 NGAV 結(jié)合使用時，公司可以更準確地識別可疑和未經(jīng)授權(quán)的活動，徹底防止許多此類行為，并能夠比以往更快、更好地響應(yīng)和修復高級惡意威脅。

為幫助 NGAV 解決方案識別超越傳統(tǒng) AV 的威脅，EDR 提供了一種整體的數(shù)據(jù)收集方法，進而為機器學習、預測分析和行為監(jiān)控提供了全面的環(huán)境圖景。這些技術(shù)共同幫助公司監(jiān)控事件并識別可能可疑的模式，將它們轉(zhuǎn)化為可以被管理員和響應(yīng)者輕松使用的攻擊可視化。

EDR 甚至可以幫助發(fā)現(xiàn)文件、注冊表和網(wǎng)絡(luò)中最細微的變化，從而幫助安全團隊發(fā)現(xiàn)隱藏在視線中的惡意活動。從那里，EDR 幫助響應(yīng)者控制已識別的威脅并阻止新出現(xiàn)的、從未見過的攻擊，否則這些攻擊可能會通過大多數(shù) NGAV 解決方案。2017 年報告的每月網(wǎng)絡(luò)攻擊增長率為 328%

行業(yè)脈搏：攻擊者和安全解決方案之間的競賽正在進行中

根據(jù) Ponemon Institute 的端點安全狀況報告：防病毒軟件公司不僅與提供類似產(chǎn)品的供應(yīng)商競爭，而且還與邪惡的攻擊者直接競爭。在這場比賽的正面交鋒中，進攻者占據(jù)了勝利之手。該報告還指出，在那些遭受端點攻擊并損害其公司的組織中，77% 的組織表示該攻擊是無文件攻擊或漏洞利用。顯然，防病毒軟件正在輸?shù)暨@場競賽。

答案：云中的 NGAV + EDR

為了充分釋放 NGAV 和 EDR 解決方案，公司必須利用云及其強大的計算能力、無限的可擴展性和易于管理。將端點安全帶到云端可確保采用主動而非被動的方法，將大數(shù)據(jù)與強大的分析相結(jié)合，以幫助智取最新、最具威脅性的新興攻擊。

例如，云支持流式分析，可以監(jiān)控正常和異常的端點活動，并將其與任何未過濾的歷史端點數(shù)據(jù)進行比較。通過分析這些事件流并將它們與看起來像正常的事件流進行比較，云創(chuàng)建了一個全球威脅監(jiān)控系統(tǒng)，不僅可以檢測攻擊，還可以預測以前從未見過的攻擊。這種強大的方法對于傳統(tǒng)的 AV 解決方案來說是根本不可能的。

云中的 NGAV 還提供與端點的雙向通信，因此可以監(jiān)控所有未過濾的端點數(shù)據(jù)并將其轉(zhuǎn)化為預測分析，從而主動保護公司免受復雜攻擊。此外，云提供了大多數(shù)公司已經(jīng)通過其他企業(yè)軟件體驗到的基礎(chǔ)設(shè)施優(yōu)勢——簡化、成本更低的運營、更快的部署以及最新和最具創(chuàng)新性的技術(shù)。