新的端点安全工具针对零日攻击

传统的杀毒软件并不能很好地作为抵御终端攻击的唯一防线。传统的AV厂商已经学到了一些东西新把戏并提供一些固体特性大多数企业需要更多。他们想要一种终端产品，可以防止零日攻击，他们想要更主动。我们考察了两种相对较新的产品，炭黑(现在归Bit9所有)和Cylance Protect。两者都旨在从不同的、更完整的角度保护端点。阅读完整的审查。

如果您有一个混合的端点包，或者如果您有使用嵌入式OSs的端点，Carbon Black是有意义的，因为它提供了一个比Cylance Protect更以网络为中心的端点视图。通过Web浏览器访问管理控制台，它有三个主要界面:摘要仪表板、用于调查感染的一系列搜索工具以及一系列响应和补救工具。指示板是三种工具中最没用的，您在其中花费的时间也很少。

如果您有一个强大的桌面管理组织和基础设施，那么保护可能更有吸引力。Cylance Protect是令人印象深刻的，在多大程度上它实际上可以阻止二进制文件在你的电脑上执行。这两种产品从非常不同的角度对待终端保护。假设您的网络最终将被渗透，Carbon Black的重点是修复错误。“保护”则相反:他们试图在一开始就阻止不好的东西进入。这是Cylance Protect仪表盘:

Carbon Black的客户端状态屏幕显示特定端点发生的情况，以及它是否有任何总体问题，以及它最后一次签入中央服务器的时间。Carbon Black拥有运行在Linux和Mac OS终端以及Windows客户机上的代理。

代理有两个功能:首先作为数据收集者，所以你可以通过“看录像”来了解当恶意软件感染你的电脑时发生了什么。第二，作为远程控制连接器，这样您就可以在补救期间接管PC。

Cylance保护端点状态屏幕显示每个受保护的端点，以及在其上运行的内容，以及最后一次与中央控制台通信的时间。Cylance将它接触到的每个二进制文件都视为零天，并以极大的热情操作每个文件和进程。它有Windows和Mac OS的代理，Android和Linux也在开发中。

Carbon Black的核心是它的观察列表——这是您设置检测策略的地方。为此，您首先设置一系列“watchlist”条件，这些条件指定过去被发现具有威胁的特定进程。这可能包括从浏览器中运行可执行文件、从AppData本地目录访问二进制文件、从Notepad等不寻常位置生成的子进程，或直接从USB u盘运行某些内容。惟一的问题是，在搜索二进制文件或进程时，要在另一个屏幕上添加Watchlist项。

如果您希望达到特定级别，则保护策略设置需要配置许多项。Protect的工作流程如下。如果恶意软件试图入侵你的电脑，它会被扫描，看看它的行为，看看Protect是否已经看到过这些。如果是新的代码，样本会被送到Cylance总部，由Cylance称之为Infinity的大型存储库协助分析。在那里，它会被归类，如果发现了新的恶意软件，它就会被注意到，这样其他人就不会与它的恶作剧相冲突。Infinity拥有一系列api，可以连接数百个安全源，以跟踪当前的恶意软件趋势。这是用户无法访问的。

在顶部是炭黑隔离对话框，通过该对话框，pc可以与网络隔离，但仍在安全管理人员的控制下。

在底部，保护的应用程序控制功能，允许您冻结一个状态的PC在特定时刻，以防止任何修改文件或运行的进程。

一旦你发现自己被感染了，你有几种方法可以补救。只需点击一下，就可以防止某个特定的哈希进程或二进制文件在网络上的所有pc上运行。更重要的是，你可以将电脑设置为锁定模式，限制其外部网络通信。这仍然允许你通过炭黑代理与PC交互，在这里你可以到一个远程命令行，杀死进程或删除特定文件或转储文件，以查看其十六进制代码内容。“实时控制”是这个工具的秘密武器的本质，对IT经理来说很有价值。

一个不错的功能是，一旦你确信电脑没有被感染，你就可以锁定它，这样你就不能对电脑进行任何更改或添加任何尚未存在的可执行程序。Cylance将此称为“应用程序控制”，它也被设置为保护策略的一部分。这很好，是一个不同的角度从碳黑的程序，隔离PC从整个网络。这里我们看到一个屏幕显示了威胁细节和Cylance表现如何。