隨著新冠病毒大流行遠程辦公成為“新常態(tài)”，以及網(wǎng)絡(luò)犯罪爆發(fā)式增長，端點保護已成為企業(yè)在舊安全邊界消失時，抵御復(fù)雜的惡意軟件和防不勝防的零日威脅的第一道防線。

　　雖然市場上的EDR/EPP端點安全產(chǎn)品非常豐富，但是選擇適合企業(yè)的端點保護解決方案并不容易，需要考慮多種因素，例如EDR產(chǎn)品方案的適應(yīng)性、有效性、擴展性、先進性等。以下安全牛整理了數(shù)位國外網(wǎng)絡(luò)安全專家的見解，希望能夠?qū)ψx者有所啟發(fā)或幫助。

　　AT＆T網(wǎng)絡(luò)安全部門市場負責(zé)人Theresa Lanowitz

　　端點是企業(yè)的最高安全風(fēng)險所在，尤其是考慮到COVID-19帶來的運營虛擬化轉(zhuǎn)變。隨著越來越多的惡意行為者利用能夠逃避傳統(tǒng)端點防護工具發(fā)起針對端點的新型攻擊，組織必須尋求高級端點檢測和響應(yīng)（EDR）解決方案。

　　傳統(tǒng)上，企業(yè)EDR解決方案成本高且復(fù)雜，成功實施EDR的難度很大。盡管許多安全團隊認識到對EDR的需求，但大多數(shù)企業(yè)沒有資源來管理獨立的端點安全解決方案。

　　因此，在選擇EDR解決方案時，應(yīng)當(dāng)尋找用于威脅檢測，事件響應(yīng)和合規(guī)性的統(tǒng)一解決方案并整合到組織的現(xiàn)有安全堆棧中，降低附加成本或復(fù)雜性至關(guān)重要。好的端點解決方案，可以幫助安全團隊在同一個平臺上部署高級EDR以及許多其他基本安全功能，以提高安全性和網(wǎng)絡(luò)運營效率。

　　總而言之，組織選擇EDR解決方案的目標，是讓安全團隊能夠更快地檢測和響應(yīng)威脅，同時降低成本和復(fù)雜性。

　　VMware Carbon Black網(wǎng)絡(luò)安全策略師Rick McElroy

　　隨著威脅形勢的不斷發(fā)展，企業(yè)選擇EDR產(chǎn)品方案的過程中需要考慮許多因素。安全團隊是要替換過時的惡意軟件防護？還是要實現(xiàn)全自動的安全操作流程？以下是主要考慮因素：

　　·該平臺是否具有適合您IT環(huán)境的靈活性？端點的系統(tǒng)通常都是多樣化的，因此EDR需要能支持多種操作系統(tǒng)。

　　·供應(yīng)商是否支持MITER ATT＆CK框架來測試和完善產(chǎn)品？企業(yè)需要測試安全技術(shù)，驗證覆蓋范圍并確定其環(huán)境中的漏洞，并實施緩解措施以減少攻擊面。

　　·與傳統(tǒng)的防病毒軟件相比，它提供更深入的攻擊可見性嗎？組織需要更深（豐富）的背景來做出預(yù)防、發(fā)現(xiàn)或響應(yīng)的決策。

　　·該平臺是否在一個輕量化傳感器中提供多種安全功能？計算資源是昂貴的，端點安全性工具應(yīng)盡可能不影響系統(tǒng)性能。

　　·該平臺可大規(guī)模使用嗎？如果您的端點保護平臺不能集中分析數(shù)百萬個端點的行為，那么它將無法發(fā)現(xiàn)正常活動中的微小波動來揭示攻擊。

　　·供應(yīng)商的產(chǎn)品路線圖是否滿足組織的未來需求？選擇任何工具都應(yīng)與團隊的成長相匹配，一個好的EDR產(chǎn)品方案能夠使用多年，并圍繞它建立自動化流程。

　　·該平臺是否具有開放的API？安全團隊希望（未來）將端點與SEIM、SOAR平臺和網(wǎng)絡(luò)安全系統(tǒng)集成。

　　Commvault金屬產(chǎn)品與工程副總裁David Ngo

　　由于COVID-19大流行，數(shù)以百萬計的人轉(zhuǎn)為遠程辦公，員工在家工作時使用的筆記本電腦甚至是家用電腦端點特別容易丟失或者泄露數(shù)據(jù)。

　　對于企業(yè)而言，選擇一種強大的端點保護解決方案比以往任何時候都更為迫切和重要，該解決方案應(yīng)當(dāng)能夠：

　　·降低丟失數(shù)據(jù)的風(fēng)險。好的EDR解決方案應(yīng)當(dāng)能夠在一天中多次運行自動備份，以確保最新數(shù)據(jù)得到保護，并提供安全功能，例如地理位置定位和遠程擦除丟失或被盜的筆記本電腦。備份數(shù)據(jù)與源數(shù)據(jù)的隔離還可以提供針對勒索軟件的額外保護。此外，異常檢測功能可以識別異常文件訪問模式發(fā)出攻擊警報。

　　·實現(xiàn)快速恢復(fù)。如果端點受到威脅，該解決方案應(yīng)通過提供元數(shù)據(jù)搜索以快速識別備份數(shù)據(jù)來加快數(shù)據(jù)恢復(fù)。對于該解決方案而言，提供多個粒度還原選項（包括時間點、異地還原和跨OS還原）以滿足不同的恢復(fù)需求也很重要。

　　·減輕用戶和IT人員的管理負擔(dān)。具有靜默安裝和備份功能的端點解決方案不需要最終用戶采取任何措施，也不會影響他們的生產(chǎn)力。該解決方案還應(yīng)允許用戶和員工從支持瀏覽器的設(shè)備隨時隨地訪問備份數(shù)據(jù)，并使員工自己搜索和還原文件成為可能。

　　CrowdStrike公共部門副總裁James Yeager

　　選擇端點保護（EPP）解決方案為其業(yè)務(wù)尋求最佳防護的決策者應(yīng)當(dāng)意識到，傳統(tǒng)的端點安全解決方案通常無效，使組織極易受到破壞，同時給安全團隊和用戶帶來沉重負擔(dān)。

　　由本地體系結(jié)構(gòu)設(shè)計的舊版端點安全工具無法實現(xiàn)現(xiàn)代EPP解決方案中提供的功能，例如實時收集數(shù)據(jù)，長期存儲并及時分析。通過將威脅遙測數(shù)據(jù)存儲在云中，EPP方案可以快速搜索PB級數(shù)據(jù)，從而為任何托管系統(tǒng)上運行的活動收集上下文歷史數(shù)據(jù)。

　　企業(yè)還需要警惕那些宣稱能提供“云端防護”的（舊產(chǎn)品）改裝產(chǎn)品。簡而言之，這些“新瓶裝舊酒”的改裝產(chǎn)品無法匹敵云原生解決方案的性能。企業(yè)購買此類過時安全產(chǎn)品存在風(fēng)險，因為這些工具無法擴展以滿足當(dāng)今分布式勞動力不斷增長的需求。

　　此外，全面了解企業(yè)的威脅狀況和整體IT衛(wèi)生狀況是構(gòu)筑有效的端點安全壁壘的基礎(chǔ)。在利用機器學(xué)習(xí)的安全堆棧中實現(xiàn)云原生端點檢測和響應(yīng)（EDR）功能，將在整個殺傷鏈中提供可見性和檢測，以提供威脅防護。此外，“安全衛(wèi)生第一”的方法將幫助您在威脅周期的早期識別出最關(guān)鍵的風(fēng)險區(qū)域。