多年来,很多人认为企业端点反恶意软件没有什么用:它不仅过于昂贵,而且经常错过应该抓住的已知恶意软件,还无法检测到从未出现过的恶意软件。然而,目前几乎所有企业都将端点防病毒软件作为网络必备的安全防护网。
那么,端点反恶意软件的未来会怎样呢?它会不断发展和完善,还是被其他技术所取代?在本文中,我们将探讨为什么企业端点反恶意软件没有以前那么有效;如何使用反病毒替代产品、技术或者做法来增强或者取代它;以及让首席信息官了解企业端点防御需要重大战略转移。
目前安全行业有很多人都在批评端点安全产品,因为这些产品在面对某些威胁时,已经形同虚设,特别是零日攻击。传统反恶意软件产品依赖于签名和启发式技术,而这些技术不能抓住每一个恶意软件。恶意软件从未见过的零日攻击和反恶意软件往往不会被检测出来。
如果反恶意软件即使是采用启发式技术都不能阻止新出现的恶意软件,那我们为什么还要用它呢?企业辛辛苦苦地为端点反恶意软件系统更新最新签名,而这些软件还无法检测出通过这些它们的大量恶意软件,这些系统的感知价值正在不断下降。这是否意味着我们是时候该淘汰端点反恶意软件了?
大部分公司仍然在广泛使用端点安全软件的最常见原因之一是合规问题。例如,支付卡行业数据安全标准(PCIDSS)和健康保险流通与责任法案(HIPAA) 要求企业满足某些信息安全基准,并要求企业必须采取具体措施来确保小问题不会暴露客户、病人或者其他重要数据。
这些标准通常应被视为信息安全的最低要求。真正有效的防御需要部署超出这些适用法规要求的技术和做法。不过,仍然有一些法规要求使用反恶意软件,例如PCIDSS2.0特别指出“在所有易受恶意软件感染的系统中,必须使用防病毒软件”。这个标准的开发人员知道恶意软件编写者将继续编写恶意代码,所以反恶意软件仍然是保护端点的一个重要防线,虽然它远远没有100%的有效性。
上面我们谈到了为什么端点保护软件如此地低效以及为什么我们仍然需要它们,那么,我们应该怎么做呢?如果你的首席信息官明天来找你,并要求移除公司端点的所有反恶意软件(顺便说一下,我并不推荐这种做法),这些有效的替代产品或者新兴的防病毒方法是否能够比反恶意软件更好地保护企业的端点呢?
对于起步者来说,创建一个针对用户的可接受使用政策至少能够帮助教导用户应该企业系统的行为操作。虽然这并不能阻止恶意软件感染端点,但这可能会阻止用户访问不可信的网站或者安装某些应用。部署这样的政策并不需要花多少钱,即使这样做只能减少1%的恶意软件事件,这也将是值得的。
从系统的角度来看,端点安全计划最重要的部分是硬化操作系统(典型的Windows系统)。为了限制恶意软件感染的风险,请确保用户被限制为本地管理员权限,锁定所有来自工作站可移动介质,并保持用户账户控制和Windows防火墙的开启和配置完毕。
端点应用风险必须被最小化。对于起步者来说,应该移除未使用的服务和应用,这能够减少恶意软件感染系统的方法。此外,保持应用安装了最新的补丁,这将帮助端点抵御利用新漏洞的最新威胁。获取第三方补丁程序是端点抵御恶意软件最重要的方面之一。
如果资金充裕的话,企业可以考虑网关安全设备,例如代理/web过滤器,或者反垃圾邮件或应用程序防火墙。这些系统能够在恶意软件到达端点前阻止恶意软件,减少了对端点反恶意软件产品的依赖,这是一个好事情。
有很多方法可以保护端点和加强端点以抵御威胁,但端点保护和端点强化只是保护企业端点的一部分。当你与首席信息官谈论开始战略转移以减少对反恶意软件的依赖时,应该从基本的开始:仅依靠单一层的安全保护是糟糕的策略,最好是使用纵深防御的方法来抵御端点恶意软件,或者其他威胁。虽然端点反恶意软件还可能将继续存在一段时间,现在是时候开始过渡到其他防病毒技术和方法,以做好准备应付不断增加的新恶意软件和其他端点攻击,这些是传统防病毒软件根本无法处理的。