什麼是端點安全?| 端點保護

端點安全性是保護端點裝置(如桌上型電腦、筆記型電腦和智慧型手機)免受攻擊和資料外洩的程序。

學習目標

閱讀本文後,您將能夠:

  • 說明為什麼端點安全性對組織很重要
  • 說明端點保護解決方案的主要功能
  • 瞭解端點安全性與網路安全性之間的關係

相關內容


想要繼續瞭解嗎?

訂閱 TheNET,這是 Cloudflare 每月對網際網路上最流行見解的總結!

請參閱 Cloudflare 的隱私權政策,了解我們如何收集和處理您的個人資料。

複製文章連結

什麼是端點安全?

端點安全或端點保護是保護端點(連接到網路的裝置,例如筆記型電腦和智慧型手機)免受攻擊的過程。端點安全性還可能涉及封鎖可能導致端點裝置遭到入侵或感染惡意程式碼的危險使用者行為。

組織可以使用端點保護軟體來強制執行安全性原則、偵測攻擊、封鎖進行中的攻擊,以及防止資料遺失。由於端點會連接到內部企業網路,端點保護也是網路安全性的重要部分。

端點保護有很多方面,因為威脅可能來自各種不同的地方。常見的端點威脅媒介*包括:

  • 透過 Web 瀏覽器的漏洞利用
  • 透過電子郵件進行社交工程攻擊,導致使用者開啟惡意檔案或連結
  • 遭到入侵的 USB 裝置
  • 來自共用檔案磁碟機的威脅
  • 使用不安全的應用程式

端點保護以前的重點是使用反惡意程式碼或防毒軟體來偵測和預防惡意程式碼,但如今它已經擴展到還需解決這些其他威脅媒介。

*在安全產業中,「威脅媒介」指攻擊可能來自的來源或通道。

端點安全性如何運作?

端點安全性軟體使用以下兩種模式之一:

用戶端-伺服器模型中,軟體會在中央伺服器上執行,並在連接到網路的所有端點上安裝用戶端軟體。用戶端端點軟體會追蹤端點裝置上的活動和潛在威脅,並回報給中央伺服器。通常,用戶端軟體可視需要隔離或消除作用中威脅,例如解除安裝或隔離端點上的惡意程式碼,或阻止端點存取網路。

軟體即服務 (SaaS) 模型中,雲端提供者會代管並管理端點軟體。相比用戶端-伺服器模型,SaaS 端點軟體具有更容易擴充的優勢,就像雲端運算服務一樣。基於 SaaS 的端點軟體也可以向端點傳送更新並接收來自端點的警示,即使端點未連線至公司網路也是如此。

典型的端點安全性功能包括:

  • 反惡意程式碼:端點安全性、反惡意程式碼或防毒軟體最重要的元件之一,會偵測裝置上是否存在惡意軟體。一旦偵測到,可能會有許多種處理動作:反惡意程式碼可能會提醒中央伺服器或 IT 團隊存在感染,可能會嘗試隔離受感染端點上的威脅,可能嘗試刪除或解除安裝惡意檔案,或者也可能將端點與網路隔離以防止橫向移動
  • 加密:加密是對資料進行加擾的過程,如果沒有正確的解密金鑰,則無法讀取資料。加密端點裝置的內容可在裝置遭到入侵或實體遭竊時,保護端點上的資料。端點安全性可以加密端點或整個硬碟上的檔案。
  • 應用程式控制:應用程式控制可讓 IT 管理員判斷員工可在端點上安裝哪些應用程式。

什麼是反惡意程式碼或防毒軟體?

反惡意程式碼(或防毒)軟體長期以來一直是端點保護的重要方面。反惡意程式碼使用四種主要方法偵測惡意程式碼。

  • 簽章偵測:簽章偵測會掃描檔案,並將其與已知惡意程式碼的資料庫進行比較。
  • 啟發式偵測:啟發式偵測分析軟體是否存在可疑特徵。與簽章偵測不同,此方法可以識別先前未發現和分類的惡意程式碼。但是,啟發式偵測也可能導致誤判,即將常規軟體錯誤地識別為惡意程式碼的情況。
  • 沙箱:在數位安全性中,「沙箱」是一種與電腦或網路的其他部分隔離的虛擬環境。在沙箱中,反惡意程式碼可以安全地開啟和執行潛在的惡意檔案,以查看它們的作用。任何執行惡意動作的檔案(例如刪除重要檔案或連絡未經授權的伺服器)都會被識別為惡意程式碼。
  • 記憶體分析:無檔案惡意程式碼會在裝置上預先安裝的軟體中執行,但不會儲存檔案。分析端點記憶體可偵測到無檔案惡意程式碼。

什麼是端點偵測與回應 (EDR)?

端點偵測與回應 (EDR) 是端點安全性產品的重要類別,可監控端點和網路上的事件。EDR 產品的功能各不相同,但所有產品都可以收集有關端點上活動的資料,以協助安全管理員識別威脅。大多數產品也可以在偵測到威脅後封鎖威脅。

為什麼端點保護對企業和大型組織很重要?

對於個別消費者而言,端點保護很重要,但通常不需要專用的端點安全性軟體。許多針對消費者的作業系統都已經安裝了基本的安全保護(例如防惡意程式碼),使用者可以採取某些最佳做法來保護他們的電腦、智慧型手機和網際網路活動。

對於企業來說,端點安全性是一個更大的問題,尤其是那些需要管理數百或數千個員工端點裝置的企業。對於試圖闖入其他安全公司網路的攻擊者而言,不安全的端點可能成為敲門磚。連接到網路的端點越多,引入該網路的潛在漏洞數就越多——就像道路上的車輛越多,駕駛員犯錯並導致事故的可能性就越大一樣。

此外,一次成功的攻擊對企業的潛在影響可能是巨大的,會導致業務流程中斷、機密資料遺失或聲譽受損。

使得端點成為誘人目標的另一個原因是,它們可能難以保持安全。IT 團隊無法定期直接存取員工使用的電腦,也無法存取員工的個人裝置,例如筆記型電腦和智慧型手機。透過要求在連接到網路的裝置上安裝端點保護軟體,IT 部門可以遠端管理和監控這些裝置的安全性。

隨著自攜裝置 (BYOD) 環境在過去十年來增加,保護端點裝置的安全變得更具挑戰性。連接到每個網路的裝置數量以及裝置種類都在增加。網路上的端點不僅包括個人智慧型手機和平板電腦,還包括物聯網 (IoT) 裝置,這些裝置可執行各種軟體和硬體(深入瞭解 IoT 安全性)。

端點安全性與網路安全性有何關聯?

端點安全性是保護網路安全的一部分,因為不安全的端點會在網路中提供可被攻擊者利用的弱點。但網路安全性也包括保護網路基礎結構、管理網路、雲端和網際網路存取,以及大多數端點安全性產品未涵蓋的其他方面。

如今,端點和網路安全性之間的界限變得模糊不清。許多組織正在轉向 Zero Trust 網路安全性模型,該模型假設任何端點裝置都可能會構成威脅,而且必須經過驗證才能連線到內部資源——即使是 SaaS 應用程式也是如此。使用這樣的模型,端點安全狀態對於允許網路和雲端存取變得非常重要。

端點安全性和 Zero Trust

在 Zero Trust 模型中,沒有任何端點會自動受到信任。Zero Trust 要求定期檢查每台裝置是否存在安全風險,通常是基於每個請求進行檢查。這可能涉及與端點安全性解決方案的整合,後者監控端點是否存在惡意程式碼或其他風險。一些 Zero Trust 廠商可能會原生提供這些功能。

這種方法意味著可能遭到入侵的端點裝置會與網路的其他部分迅速隔離,從而防止橫向移動。這種微分段的原則是 Zero Trust 安全性的核心方面。

要深入瞭解 Zero Trust ,請參閱什麼是 Zero Trust 網路?或者,瞭解 Cloudflare One,它將網路和安全服務結合到一個 Zero Trust 平台中。