隨著新冠病毒大流行遠(yuǎn)程辦公成為“新常態(tài)”，以及網(wǎng)絡(luò)犯罪爆發(fā)式增長(zhǎng)，端點(diǎn)保護(hù)已成為企業(yè)在舊安全邊界消失時(shí)，抵御復(fù)雜的惡意軟件和防不勝防的零日威脅的第一道防線(xiàn)。

　　雖然市場(chǎng)上的EDR/EPP端點(diǎn)安全產(chǎn)品非常豐富，但是選擇適合企業(yè)的端點(diǎn)保護(hù)解決方案并不容易，需要考慮多種因素，例如EDR產(chǎn)品方案的適應(yīng)性、有效性、擴(kuò)展性、先進(jìn)性等。以下安全牛整理了數(shù)位國(guó)外網(wǎng)絡(luò)安全專(zhuān)家的見(jiàn)解，希望能夠?qū)ψx者有所啟發(fā)或幫助。

　　AT＆T網(wǎng)絡(luò)安全部門(mén)市場(chǎng)負(fù)責(zé)人Theresa Lanowitz

　　端點(diǎn)是企業(yè)的最高安全風(fēng)險(xiǎn)所在，尤其是考慮到COVID-19帶來(lái)的運(yùn)營(yíng)虛擬化轉(zhuǎn)變。隨著越來(lái)越多的惡意行為者利用能夠逃避傳統(tǒng)端點(diǎn)防護(hù)工具發(fā)起針對(duì)端點(diǎn)的新型攻擊，組織必須尋求高級(jí)端點(diǎn)檢測(cè)和響應(yīng)（EDR）解決方案。

　　傳統(tǒng)上，企業(yè)EDR解決方案成本高且復(fù)雜，成功實(shí)施EDR的難度很大。盡管許多安全團(tuán)隊(duì)認(rèn)識(shí)到對(duì)EDR的需求，但大多數(shù)企業(yè)沒(méi)有資源來(lái)管理獨(dú)立的端點(diǎn)安全解決方案。

　　因此，在選擇EDR解決方案時(shí)，應(yīng)當(dāng)尋找用于威脅檢測(cè)，事件響應(yīng)和合規(guī)性的統(tǒng)一解決方案并整合到組織的現(xiàn)有安全堆棧中，降低附加成本或復(fù)雜性至關(guān)重要。好的端點(diǎn)解決方案，可以幫助安全團(tuán)隊(duì)在同一個(gè)平臺(tái)上部署高級(jí)EDR以及許多其他基本安全功能，以提高安全性和網(wǎng)絡(luò)運(yùn)營(yíng)效率。

　　總而言之，組織選擇EDR解決方案的目標(biāo)，是讓安全團(tuán)隊(duì)能夠更快地檢測(cè)和響應(yīng)威脅，同時(shí)降低成本和復(fù)雜性。

　　VMware Carbon Black網(wǎng)絡(luò)安全策略師Rick McElroy

　　隨著威脅形勢(shì)的不斷發(fā)展，企業(yè)選擇EDR產(chǎn)品方案的過(guò)程中需要考慮許多因素。安全團(tuán)隊(duì)是要替換過(guò)時(shí)的惡意軟件防護(hù)？還是要實(shí)現(xiàn)全自動(dòng)的安全操作流程？以下是主要考慮因素：

　　·該平臺(tái)是否具有適合您IT環(huán)境的靈活性？端點(diǎn)的系統(tǒng)通常都是多樣化的，因此EDR需要能支持多種操作系統(tǒng)。

　　·供應(yīng)商是否支持MITER ATT＆CK框架來(lái)測(cè)試和完善產(chǎn)品？企業(yè)需要測(cè)試安全技術(shù)，驗(yàn)證覆蓋范圍并確定其環(huán)境中的漏洞，并實(shí)施緩解措施以減少攻擊面。

　　·與傳統(tǒng)的防病毒軟件相比，它提供更深入的攻擊可見(jiàn)性嗎？組織需要更深（豐富）的背景來(lái)做出預(yù)防、發(fā)現(xiàn)或響應(yīng)的決策。

　　·該平臺(tái)是否在一個(gè)輕量化傳感器中提供多種安全功能？計(jì)算資源是昂貴的，端點(diǎn)安全性工具應(yīng)盡可能不影響系統(tǒng)性能。

　　·該平臺(tái)可大規(guī)模使用嗎？如果您的端點(diǎn)保護(hù)平臺(tái)不能集中分析數(shù)百萬(wàn)個(gè)端點(diǎn)的行為，那么它將無(wú)法發(fā)現(xiàn)正?；顒?dòng)中的微小波動(dòng)來(lái)揭示攻擊。

　　·供應(yīng)商的產(chǎn)品路線(xiàn)圖是否滿(mǎn)足組織的未來(lái)需求？選擇任何工具都應(yīng)與團(tuán)隊(duì)的成長(zhǎng)相匹配，一個(gè)好的EDR產(chǎn)品方案能夠使用多年，并圍繞它建立自動(dòng)化流程。

　　·該平臺(tái)是否具有開(kāi)放的API？安全團(tuán)隊(duì)希望（未來(lái)）將端點(diǎn)與SEIM、SOAR平臺(tái)和網(wǎng)絡(luò)安全系統(tǒng)集成。

　　Commvault金屬產(chǎn)品與工程副總裁David Ngo

　　由于COVID-19大流行，數(shù)以百萬(wàn)計(jì)的人轉(zhuǎn)為遠(yuǎn)程辦公，員工在家工作時(shí)使用的筆記本電腦甚至是家用電腦端點(diǎn)特別容易丟失或者泄露數(shù)據(jù)。

　　對(duì)于企業(yè)而言，選擇一種強(qiáng)大的端點(diǎn)保護(hù)解決方案比以往任何時(shí)候都更為迫切和重要，該解決方案應(yīng)當(dāng)能夠：

　　·降低丟失數(shù)據(jù)的風(fēng)險(xiǎn)。好的EDR解決方案應(yīng)當(dāng)能夠在一天中多次運(yùn)行自動(dòng)備份，以確保最新數(shù)據(jù)得到保護(hù)，并提供安全功能，例如地理位置定位和遠(yuǎn)程擦除丟失或被盜的筆記本電腦。備份數(shù)據(jù)與源數(shù)據(jù)的隔離還可以提供針對(duì)勒索軟件的額外保護(hù)。此外，異常檢測(cè)功能可以識(shí)別異常文件訪(fǎng)問(wèn)模式發(fā)出攻擊警報(bào)。

　　·實(shí)現(xiàn)快速恢復(fù)。如果端點(diǎn)受到威脅，該解決方案應(yīng)通過(guò)提供元數(shù)據(jù)搜索以快速識(shí)別備份數(shù)據(jù)來(lái)加快數(shù)據(jù)恢復(fù)。對(duì)于該解決方案而言，提供多個(gè)粒度還原選項(xiàng)（包括時(shí)間點(diǎn)、異地還原和跨OS還原）以滿(mǎn)足不同的恢復(fù)需求也很重要。

　　·減輕用戶(hù)和IT人員的管理負(fù)擔(dān)。具有靜默安裝和備份功能的端點(diǎn)解決方案不需要最終用戶(hù)采取任何措施，也不會(huì)影響他們的生產(chǎn)力。該解決方案還應(yīng)允許用戶(hù)和員工從支持瀏覽器的設(shè)備隨時(shí)隨地訪(fǎng)問(wèn)備份數(shù)據(jù)，并使員工自己搜索和還原文件成為可能。

　　CrowdStrike公共部門(mén)副總裁James Yeager

　　選擇端點(diǎn)保護(hù)（EPP）解決方案為其業(yè)務(wù)尋求最佳防護(hù)的決策者應(yīng)當(dāng)意識(shí)到，傳統(tǒng)的端點(diǎn)安全解決方案通常無(wú)效，使組織極易受到破壞，同時(shí)給安全團(tuán)隊(duì)和用戶(hù)帶來(lái)沉重負(fù)擔(dān)。

　　由本地體系結(jié)構(gòu)設(shè)計(jì)的舊版端點(diǎn)安全工具無(wú)法實(shí)現(xiàn)現(xiàn)代EPP解決方案中提供的功能，例如實(shí)時(shí)收集數(shù)據(jù)，長(zhǎng)期存儲(chǔ)并及時(shí)分析。通過(guò)將威脅遙測(cè)數(shù)據(jù)存儲(chǔ)在云中，EPP方案可以快速搜索PB級(jí)數(shù)據(jù)，從而為任何托管系統(tǒng)上運(yùn)行的活動(dòng)收集上下文歷史數(shù)據(jù)。

　　企業(yè)還需要警惕那些宣稱(chēng)能提供“云端防護(hù)”的（舊產(chǎn)品）改裝產(chǎn)品。簡(jiǎn)而言之，這些“新瓶裝舊酒”的改裝產(chǎn)品無(wú)法匹敵云原生解決方案的性能。企業(yè)購(gòu)買(mǎi)此類(lèi)過(guò)時(shí)安全產(chǎn)品存在風(fēng)險(xiǎn)，因?yàn)檫@些工具無(wú)法擴(kuò)展以滿(mǎn)足當(dāng)今分布式勞動(dòng)力不斷增長(zhǎng)的需求。

　　此外，全面了解企業(yè)的威脅狀況和整體IT衛(wèi)生狀況是構(gòu)筑有效的端點(diǎn)安全壁壘的基礎(chǔ)。在利用機(jī)器學(xué)習(xí)的安全堆棧中實(shí)現(xiàn)云原生端點(diǎn)檢測(cè)和響應(yīng)（EDR）功能，將在整個(gè)殺傷鏈中提供可見(jiàn)性和檢測(cè)，以提供威脅防護(hù)。此外，“安全衛(wèi)生第一”的方法將幫助您在威脅周期的早期識(shí)別出最關(guān)鍵的風(fēng)險(xiǎn)區(qū)域。