什么是端点安全?| 端点保护

端点安全是保护台式电脑、笔记本电脑和智能手机等端点设备免受攻击和数据泄露的过程。

学习目标

阅读本文后,您将能够:

  • 描述为什么端点安全对组织来说很重要
  • 说明端点保护解决方案的主要功能
  • 了解端点安全和网络安全之间的关系

复制文章链接

什么是端点安全?

端点安全或端点保护是防御端点(即连接到网络的设备,如笔记本电脑和智能手机)免受攻击的过程。端点安全还可能涉及阻止危险的用户行为,这些行为可能导致端点设备遭到入侵或感染恶意软件

组织可以利用端点保护软件执行安全策略、检测攻击、阻止正在进行的攻击以及防止数据丢失。由于端点连接到企业内部网络,端点保护也是网络安全的一个重要组成部分

端点保护有很多方面,因为威胁可能来自不同的地方。常见的端点威胁载体*包括:

  • 通过 Web 浏览器进行漏洞利用
  • 通过电子邮件进行社会工程攻击,导致用户打开恶意文件或链接
  • 遭入侵的 USB 设备
  • 来自共享文件驱动器的威胁
  • 使用不安全的应用程序

端点保护以前的重点是使用反恶意软件或反病毒软件来检测和预防恶意软件,但如今它已经扩展到还需解决这些其他威胁载体。

*在安全行业,“威胁载体”指的可能产生攻击的来源或渠道。

端点安全是如何工作的?

端点安全软件使用以下两种模式之一:

客户端-服务器模式中,软件在中央服务器上运行,客户端软件安装在连接到网络的所有端点上。客户端软件跟踪端点设备上的活动和潜在威胁,并向中央服务器报告。通常情况下,客户端软件可以在需要时隔离或消除活动威胁——例如,通过卸载或隔离端点上的恶意软件,或阻止端点访问网络。

软件即服务 (SaaS) 模式中,云提供商托管和管理端点软件。SaaS 端点软件具有比客户端-服务器模式更容易扩展的优势,云计算服务通常也是如此。基于 SaaS 的端点软件还可以向端点发送更新,并从端点接收警报,即使它们没有连接到公司网络。

典型的端点安全功能包括:

  • 反恶意软件:反恶意软件或反病毒软件是端点安全最重要的组成部分之一,可以检测设备上是否存在恶意软件。一旦检测到,可以采取一些行动:反恶意软件可以提醒中央服务器或 IT 团队存在感染、可以尝试在受感染的端点上隔离威胁、可以尝试删除或卸载恶意文件,或者可以将端点与网络隔离以防止横向移动
  • 加密:加密是对数据进行扰乱以使其在没有正确的解密密钥的情况下无法读取的过程。对端点设备的内容进行加密,可以在设备遭到入侵或被盗时保护端点上的数据。端点安全可以加密端点上的文件,也可以加密整个硬盘。
  • 应用程序控制:应用程序控制允许 IT 管理员决定员工可以在端点上安装哪些应用程序。

什么是反恶意软件或反病毒软件?

反恶意软件(或反病毒软件)长期以来一直是端点保护的一个重要方面。反恶意软件使用四种主要方法检测恶意软件:

  • 签名检测:签名检测会扫描文件,并将其与已知恶意软件数据库进行比较。
  • 试探性检测:试探性检测会分析软件的可疑特征。与签名检测不同,这种方法可以识别以前没有被发现和分类的恶意软件。然而,试探性检测也可能导致误报,即普通软件被错误地识别为恶意软件的情况。
  • 沙盒:在数字安全中,“沙盒”是一个与计算机或网络的其他部分隔离的虚拟环境。在沙盒内,反恶意软件可以安全地打开和执行潜在的恶意文件,看看它们是做什么的。任何执行恶意操作的文件(如删除重要文件或联系未经授权的服务器)都会被识别为恶意软件。
  • 内存分析:无文件恶意软件在设备的预装软件上运行,但不存储文件。可以通过分析端点内存来检测无文件恶意软件。

什么是端点检测和响应 (EDR)?

端点检测和响应 (EDR) 是端点安全产品的一个重要类别,用于监控端点和网络上的事件。EDR 产品的功能各不相同,但都能够收集有关端点上活动的数据,以帮助安全管理员识别威胁。大多数还可以在检测到威胁后可以阻止威胁。

为什么端点保护对企业和大型组织很重要?

对于个人消费者来说,端点保护很重要,但通常不需要专门的端点安全软件。许多消费者的操作系统自带基本的安全保护措施(如反恶意软件),用户可以遵循某些最佳做法,以保持他们的电脑、智能手机和互联网活动受到保护。

对于企业来说,端点安全是一个较大的问题,对于那些必须管理数百或数千台员工端点设备的企业而言尤其如此。一个不安全的端点可能是攻击者试图闯入原本安全的企业网络的一扇门。连接到一个网络的端点越多,引入该网络的潜在漏洞就越多——就像路上的汽车越多,司机犯错并导致事故的可能性就越大一样。

此外,一次成功的攻击对企业的潜在影响可能是巨大的,会导致业务流程中断、机密数据丢失或声誉受损。

使得端点成为诱人目标的另一个原因是,它们可能难以保持安全。IT 团队不能定期直接访问员工使用的计算机,也不能访问员工的个人设备,如笔记本电脑和智能手机。通过要求在连接到网络的设备上安装端点保护软件,IT 部门可以远程管理和监控这些设备的安全。

随着过去十年中自带设备 (BYOD) 环境的增加,保护端点设备变得更具挑战性。连接到每个网络的设备数量以及设备的种类都在增加。网络上的端点很可能不仅包括个人智能手机和平板电脑,还包括物联网 (IoT) 设备,这些设备运行着各种各样的软件和硬件(了解有关 IoT 安全性的更多信息)。

端点安全与网络安全有何关系?

端点安全是保持网络安全的一部分,因为不安全的端点为攻击者提供了一个可以利用的网络薄弱点。但是,网络安全还包括保护和保障网络基础设施、管理网络、云和互联网访问,以及大多数端点安全产品没有涵盖的其他方面。

如今,端点和网络安全之间的界限越来越模糊。许多组织正在转向零信任网络安全模型,该模型假设任何端点设备都可能构成威胁,并且必须经过验证才能连接到内部资源——即时是 SaaS 应用程序也是如此。使用这样的模型,端点安全态势对于允许网络和云访问变得很重要。

要了解有关零信任的更多信息,请参阅什么是零信任网络?或者了解 Cloudflare One,该产品在一个零信任平台上组合网络和安全服务。