高级终端保护的7个趋势

经过对10款高端终端保护产品的广泛测试，我们确定了一系列广阔的行业趋势:

1.病毒信号已经过时了。由于过去几年互联网上充斥着近乎自动化的病毒构建工具包，创建一种具有独特签名的病毒是件轻而易举的事。相反，如今许多先进的终端保护产品都利用了报告最新攻击的安全新闻feed，如VirusTotal.com和其他声誉管理服务。有些，比如CrowdStrike，有一长串与安全和日志管理工具的集成，以使它们更有效地发现攻击趋势。

2.跟踪可执行程序是去年的事了。在以前的恶意软件时代，exploit通常会在端点上留下某种有效载荷或残留物:文件、注册表键或其他东西。然后，这些坏人就毕业了，只在记忆中运行他们的业务，几乎没有留下他们活动的痕迹，或者他们会隐藏在pdf或Word文档中，或者会强迫您的Web浏览器访问包含基于java的漏洞的钓鱼站点。

+端点测试:10个尖端工具，将终端安全提升到一个新的水平|如何购买终端安全产品+

今天的黑客已经变得更加老练了，他们使用Windows Powershell命令来设置远程命令shell，传递一些文本命令，并且在终端上不留下太多跟踪信息的情况下破坏计算机。为了有效地对抗这种新行为，今天的产品着眼于攻击者对端点的影响:它是否删除了任何文件，包括最初看起来无害的文本文件，或者对Windows注册表进行了任何更改?弄清楚这一点并不容易，许多产品都集中在这一领域，以防止坏人控制你的电脑。

3.产品能否跟踪特权升级或其他凭据欺骗?现代攻击者试图使用合法用户证书渗透您的网络，该证书使用您安装SQL Server或其他产品时的默认设置，然后升级为域管理员或其他具有更大网络权限的重要用户。

4.内部威胁更加有害，阻止它们变得更加引人注目。传统的反病毒保护失败的原因之一是攻击者可以访问您的内部网络，并从以前受信任的端点进行破坏。为了阻止这种行为，今天的工具需要映射内部或横向的网络移动，这样你就可以追踪到哪些电脑被破坏了，并在你的整个网络落入坏人之手之前消除它们。

5.数据泄露比以往任何时候都更流行。将私人用户数据或机密客户信息移出您的网络是当前的主要任务。只要看看索尼或塔吉特公司的例子，EDR工具现在必须处理。能够跟踪这些泄露的工具更有用。

6.许多工具正在使用大数据和基于云的分析来跟踪实际的网络行为。传感器和代理如此紧凑的原因之一是，大部分的重担都发生在云上，它们可以带来大数据技术和数据可视化，以识别和阻止潜在的攻击。SentinelOne和Outlier Security使用这些技术来实时关联网络中的数据。

7.攻击报告标准像CEF一样，STIX和OpenIOC也被集成到今天的终端产品中。SentinelOne就是一个例子。这是一个受欢迎的发展，希望更多的产品将朝着这个方向发展。