隨著新冠病毒大流行遠(yuǎn)程辦公成為“新常態(tài)”,，以及網(wǎng)絡(luò)犯罪爆發(fā)式增長,，端點(diǎn)保護(hù)已成為企業(yè)在舊安全邊界消失時(shí),，抵御復(fù)雜的惡意軟件和防不勝防的零日威脅的第一道防線,。

　　雖然市場上的EDR/EPP端點(diǎn)安全產(chǎn)品非常豐富,，但是選擇適合企業(yè)的端點(diǎn)保護(hù)解決方案并不容易,，需要考慮多種因素,，例如EDR產(chǎn)品方案的適應(yīng)性、有效性,、擴(kuò)展性,、先進(jìn)性等。以下安全牛整理了數(shù)位國外網(wǎng)絡(luò)安全專家的見解,，希望能夠?qū)ψx者有所啟發(fā)或幫助,。

　　AT＆T網(wǎng)絡(luò)安全部門市場負(fù)責(zé)人Theresa Lanowitz

　　端點(diǎn)是企業(yè)的最高安全風(fēng)險(xiǎn)所在，尤其是考慮到COVID-19帶來的運(yùn)營虛擬化轉(zhuǎn)變,。隨著越來越多的惡意行為者利用能夠逃避傳統(tǒng)端點(diǎn)防護(hù)工具發(fā)起針對端點(diǎn)的新型攻擊,，組織必須尋求高級端點(diǎn)檢測和響應(yīng)（EDR）解決方案。

　　傳統(tǒng)上,，企業(yè)EDR解決方案成本高且復(fù)雜,，成功實(shí)施EDR的難度很大。盡管許多安全團(tuán)隊(duì)認(rèn)識到對EDR的需求,，但大多數(shù)企業(yè)沒有資源來管理獨(dú)立的端點(diǎn)安全解決方案,。

　　因此，在選擇EDR解決方案時(shí),，應(yīng)當(dāng)尋找用于威脅檢測,，事件響應(yīng)和合規(guī)性的統(tǒng)一解決方案并整合到組織的現(xiàn)有安全堆棧中，降低附加成本或復(fù)雜性至關(guān)重要,。好的端點(diǎn)解決方案,，可以幫助安全團(tuán)隊(duì)在同一個(gè)平臺上部署高級EDR以及許多其他基本安全功能，以提高安全性和網(wǎng)絡(luò)運(yùn)營效率。

　　總而言之,，組織選擇EDR解決方案的目標(biāo),，是讓安全團(tuán)隊(duì)能夠更快地檢測和響應(yīng)威脅，同時(shí)降低成本和復(fù)雜性,。

　　VMware Carbon Black網(wǎng)絡(luò)安全策略師Rick McElroy

　　隨著威脅形勢的不斷發(fā)展,，企業(yè)選擇EDR產(chǎn)品方案的過程中需要考慮許多因素。安全團(tuán)隊(duì)是要替換過時(shí)的惡意軟件防護(hù),？還是要實(shí)現(xiàn)全自動的安全操作流程,？以下是主要考慮因素：

　　·該平臺是否具有適合您IT環(huán)境的靈活性？端點(diǎn)的系統(tǒng)通常都是多樣化的,，因此EDR需要能支持多種操作系統(tǒng),。

　　·供應(yīng)商是否支持MITER ATT＆CK框架來測試和完善產(chǎn)品？企業(yè)需要測試安全技術(shù),，驗(yàn)證覆蓋范圍并確定其環(huán)境中的漏洞,，并實(shí)施緩解措施以減少攻擊面。

　　·與傳統(tǒng)的防病毒軟件相比,，它提供更深入的攻擊可見性嗎,？組織需要更深（豐富）的背景來做出預(yù)防、發(fā)現(xiàn)或響應(yīng)的決策,。

　　·該平臺是否在一個(gè)輕量化傳感器中提供多種安全功能？計(jì)算資源是昂貴的,，端點(diǎn)安全性工具應(yīng)盡可能不影響系統(tǒng)性能,。

　　·該平臺可大規(guī)模使用嗎？如果您的端點(diǎn)保護(hù)平臺不能集中分析數(shù)百萬個(gè)端點(diǎn)的行為,，那么它將無法發(fā)現(xiàn)正?；顒又械奈⑿〔▌觼斫沂竟簟?/p>

　　·供應(yīng)商的產(chǎn)品路線圖是否滿足組織的未來需求,？選擇任何工具都應(yīng)與團(tuán)隊(duì)的成長相匹配,，一個(gè)好的EDR產(chǎn)品方案能夠使用多年，并圍繞它建立自動化流程,。

　　·該平臺是否具有開放的API,？安全團(tuán)隊(duì)希望（未來）將端點(diǎn)與SEIM、SOAR平臺和網(wǎng)絡(luò)安全系統(tǒng)集成,。

　　Commvault金屬產(chǎn)品與工程副總裁David Ngo

　　由于COVID-19大流行,，數(shù)以百萬計(jì)的人轉(zhuǎn)為遠(yuǎn)程辦公，員工在家工作時(shí)使用的筆記本電腦甚至是家用電腦端點(diǎn)特別容易丟失或者泄露數(shù)據(jù),。

　　對于企業(yè)而言,，選擇一種強(qiáng)大的端點(diǎn)保護(hù)解決方案比以往任何時(shí)候都更為迫切和重要，該解決方案應(yīng)當(dāng)能夠：

　　·降低丟失數(shù)據(jù)的風(fēng)險(xiǎn)。好的EDR解決方案應(yīng)當(dāng)能夠在一天中多次運(yùn)行自動備份,，以確保最新數(shù)據(jù)得到保護(hù),，并提供安全功能，例如地理位置定位和遠(yuǎn)程擦除丟失或被盜的筆記本電腦,。備份數(shù)據(jù)與源數(shù)據(jù)的隔離還可以提供針對勒索軟件的額外保護(hù),。此外，異常檢測功能可以識別異常文件訪問模式發(fā)出攻擊警報(bào),。

　　·實(shí)現(xiàn)快速恢復(fù),。如果端點(diǎn)受到威脅，該解決方案應(yīng)通過提供元數(shù)據(jù)搜索以快速識別備份數(shù)據(jù)來加快數(shù)據(jù)恢復(fù),。對于該解決方案而言,，提供多個(gè)粒度還原選項(xiàng)（包括時(shí)間點(diǎn)、異地還原和跨OS還原）以滿足不同的恢復(fù)需求也很重要,。

　　·減輕用戶和IT人員的管理負(fù)擔(dān),。具有靜默安裝和備份功能的端點(diǎn)解決方案不需要最終用戶采取任何措施，也不會影響他們的生產(chǎn)力,。該解決方案還應(yīng)允許用戶和員工從支持瀏覽器的設(shè)備隨時(shí)隨地訪問備份數(shù)據(jù),，并使員工自己搜索和還原文件成為可能。

　　CrowdStrike公共部門副總裁James Yeager

　　選擇端點(diǎn)保護(hù)（EPP）解決方案為其業(yè)務(wù)尋求最佳防護(hù)的決策者應(yīng)當(dāng)意識到,，傳統(tǒng)的端點(diǎn)安全解決方案通常無效,，使組織極易受到破壞，同時(shí)給安全團(tuán)隊(duì)和用戶帶來沉重負(fù)擔(dān),。

　　由本地體系結(jié)構(gòu)設(shè)計(jì)的舊版端點(diǎn)安全工具無法實(shí)現(xiàn)現(xiàn)代EPP解決方案中提供的功能,，例如實(shí)時(shí)收集數(shù)據(jù)，長期存儲并及時(shí)分析,。通過將威脅遙測數(shù)據(jù)存儲在云中,，EPP方案可以快速搜索PB級數(shù)據(jù)，從而為任何托管系統(tǒng)上運(yùn)行的活動收集上下文歷史數(shù)據(jù),。

　　企業(yè)還需要警惕那些宣稱能提供“云端防護(hù)”的（舊產(chǎn)品）改裝產(chǎn)品,。簡而言之，這些“新瓶裝舊酒”的改裝產(chǎn)品無法匹敵云原生解決方案的性能,。企業(yè)購買此類過時(shí)安全產(chǎn)品存在風(fēng)險(xiǎn),，因?yàn)檫@些工具無法擴(kuò)展以滿足當(dāng)今分布式勞動力不斷增長的需求。

　　此外,，全面了解企業(yè)的威脅狀況和整體IT衛(wèi)生狀況是構(gòu)筑有效的端點(diǎn)安全壁壘的基礎(chǔ),。在利用機(jī)器學(xué)習(xí)的安全堆棧中實(shí)現(xiàn)云原生端點(diǎn)檢測和響應(yīng)（EDR）功能，將在整個(gè)殺傷鏈中提供可見性和檢測,，以提供威脅防護(hù),。此外,，“安全衛(wèi)生第一”的方法將幫助您在威脅周期的早期識別出最關(guān)鍵的風(fēng)險(xiǎn)區(qū)域。