下一代防病毒 解決方案通過監控、響應攻擊者的策略、技術和程序 (TTP) 來防止所有類型的已知和未知攻擊。

讓我們定義下一代防病毒 (NGAV)

下一代防病毒軟件將傳統防病毒軟件提升到一個全新的高級端點安全保護水平。它超越了已知的基于文件的惡意軟件簽名和啟發式方法，因為它是一種以系統為中心、基于云的方法。它使用由機器學習和人工智能驅動的預測分析，并結合威脅情報來：

• 檢測和預防惡意軟件和無文件非惡意軟件攻擊
• 識別來自未知來源的惡意行為和 TTP
• 收集和分析全面的端點數據以確定根本原因
• 應對以前未被發現的新出現的威脅。

為什么傳統的防病毒軟件不再有效

今天的攻擊者確切地知道在哪里可以找到組織網絡外圍安全的漏洞和弱點——他們以輕松繞過傳統防病毒軟件的方式滲透這些漏洞。這些攻擊者使用高度開發的工具來針對利用以下漏洞的漏洞：

• 基于內存的攻擊
• PowerShell 腳本語言
• 遠程登錄
• 基于宏的攻擊

而且由于傳統的 AV 只關注基于簽名文件或基于定義的威脅，它無法從不會將新文件引入系統的現代威脅中檢測到任何這些環境。但是，NGAV 側重于事件（文件、進程、應用程序和網絡連接），以了解每個領域中的操作或事件流是如何相關的。事件流分析有助于識別惡意意圖、行為和活動——一旦識別，攻擊者就可以被阻止。

這種方法在今天變得越來越重要，因為像美國職業棒球大聯盟、國家冰球聯盟和其他主要體育組織這樣的企業越來越多地發現攻擊者專門針對他們的個人網絡。這些攻擊是多階段的、個性化的，并且風險明顯更高——而防病毒解決方案沒有機會阻止它們。

EDR：NGAV 的基本要求

根據 2017 年端點檢測和響應解決方案市場指南， Gartner 現在將 端點檢測和響應 (EDR)視為一項基礎安全能力。當它與 NGAV 結合使用時，公司可以更準確地識別可疑和未經授權的活動，徹底防止許多此類行為，并能夠比以往更快、更好地響應和修復高級惡意威脅。

為幫助 NGAV 解決方案識別超越傳統 AV 的威脅，EDR 提供了一種整體的數據收集方法，進而為機器學習、預測分析和行為監控提供了全面的環境圖景。這些技術共同幫助公司監控事件并識別可能可疑的模式，將它們轉化為可以被管理員和響應者輕松使用的攻擊可視化。

EDR 甚至可以幫助發現文件、注冊表和網絡中最細微的變化，從而幫助安全團隊發現隱藏在視線中的惡意活動。從那里，EDR 幫助響應者控制已識別的威脅并阻止新出現的、從未見過的攻擊，否則這些攻擊可能會通過大多數 NGAV 解決方案。2017 年報告的每月網絡攻擊增長率為 328%

行業脈搏：攻擊者和安全解決方案之間的競賽正在進行中

根據 Ponemon Institute 的端點安全狀況報告：防病毒軟件公司不僅與提供類似產品的供應商競爭，而且還與邪惡的攻擊者直接競爭。在這場比賽的正面交鋒中，進攻者占據了勝利之手。該報告還指出，在那些遭受端點攻擊并損害其公司的組織中，77% 的組織表示該攻擊是無文件攻擊或漏洞利用。顯然，防病毒軟件正在輸掉這場競賽。

答案：云中的 NGAV + EDR

為了充分釋放 NGAV 和 EDR 解決方案，公司必須利用云及其強大的計算能力、無限的可擴展性和易于管理。將端點安全帶到云端可確保采用主動而非被動的方法，將大數據與強大的分析相結合，以幫助智取最新、最具威脅性的新興攻擊。

例如，云支持流式分析，可以監控正常和異常的端點活動，并將其與任何未過濾的歷史端點數據進行比較。通過分析這些事件流并將它們與看起來像正常的事件流進行比較，云創建了一個全球威脅監控系統，不僅可以檢測攻擊，還可以預測以前從未見過的攻擊。這種強大的方法對于傳統的 AV 解決方案來說是根本不可能的。

云中的 NGAV 還提供與端點的雙向通信，因此可以監控所有未過濾的端點數據并將其轉化為預測分析，從而主動保護公司免受復雜攻擊。此外，云提供了大多數公司已經通過其他企業軟件體驗到的基礎設施優勢——簡化、成本更低的運營、更快的部署以及最新和最具創新性的技術。