什么是端点安全

端点安全是指保护计算机网络中的端点设备（如个人电脑、工作负载等）免受恶意软件、网络攻击和数据泄露等威胁的安全措施。它涉及到在端点设备上安装防病毒软件、防火墙、加密工具，以及实施访问控制、身份验证和数据保护等措施，以确保端点设备和其中存储的数据的安全性。端点安全的目标是保护端点设备免受恶意软件感染、防止出现未经授权的访问和数据泄露现象，从而保护整个网络的安全。

终端设备是网络攻击的主要目标：终端设备通常是网络攻击的入口，攻击者可以通过恶意软件、漏洞利用等方式入侵终端设备，从而获取敏感信息、控制设备或进一步渗透网络。保护终端设备的安全可以有效降低这些攻击的成功率。
数据泄露的风险：端点设备通常存储着大量敏感数据，如PC承载个人身份信息、商业机密，工作负载承载大量生产数据、业务数据等。如果端点设备被攻击或丢失，这些数据可能会被窃取或泄露，给个人和组织带来严重的损失并需要承担法律责任。端点安全可以帮助保护这些数据的机密性和完整性。
员工远程办公的普及：随着远程办公的普及，员工使用个人设备或移动设备访问企业网络的情况越来越多。这增加了网络攻击的风险，因为这些设备可能没有得到充分的安全保护。端点安全可以确保这些设备与企业网络的连接是安全的，防止恶意软件和攻击者入侵企业网络。
合规要求的需要：许多行业和法规对数据安全和隐私保护提出了严格的要求，如GDPR、HIPAA等。保护端点设备的安全是实现这些合规要求的重要一环，否则组织可能面临巨大的罚款和声誉损失。

恶意软件：包括病毒、木马、蠕虫、间谍软件等，这些恶意软件可以通过下载、电子邮件附件、恶意链接等方式感染终端设备，从而窃取敏感信息、控制设备或破坏系统。
零日漏洞利用：攻击者利用尚未被厂商修补的漏洞来入侵端点设备。这些漏洞可能存在于操作系统、应用程序或浏览器中，攻击者可以通过利用这些漏洞来获取系统权限或执行恶意代码。
社会工程攻击：攻击者通过欺骗、诱骗或伪装成可信实体的方式，诱使用户泄露敏感信息、安装恶意软件或执行其他危险操作。常见的社会工程攻击包括钓鱼邮件、钓鱼网站、电话诈骗等。
数据泄露和盗窃：端点设备上存储的敏感数据可能会被攻击者窃取或泄露，这可能导致个人隐私泄露、商业机密泄露或金融损失。
无线网络攻击：公共无线网络存在安全风险，攻击者可以通过中间人攻击、Wi-Fi钓鱼等方式窃取用户的敏感信息。
外部设备攻击：攻击者可以通过恶意USB设备、移动存储设备等方式感染端点设备，从而获取敏感信息或控制设备。
失窃或丢失：终端设备的失窃或丢失可能导致敏感数据的泄露，如果设备未加密或未设置远程擦除功能，攻击者可以轻易获取设备上的数据。
员工行为：员工的不慎操作、使用不安全的应用程序或共享敏感信息等行为可能导致终端设备的安全受到威胁。

AV（Antivirus）：主要依赖于特征库来检测计算机病毒，杀毒的能力完全取决于其拥有的特征库的更新程度。
NGAV（Next Generation Antivirus）：更多的高级特性来弥补传统杀软的不足，如更频繁的特征库更新，甚至开始引入机器学习和AI来识别恶意软件。
EPP（Endpoint Protection Platform）：不仅仅针对计算机，开始针对包括智能手机、平板电脑等在内的泛终端提供防护，使其免受网络威胁。
EDR（Endpoint Detection and Response）：是一种网络安全解决方案，专注于监控、检测和响应计算机端点（如桌面计算机、笔记本电脑、服务器等）上的潜在威胁和恶意活动。EDR系统通过收集和分析端点数据来发现异常行为、潜在攻击和漏洞利用。
NGEP（Next Generation Endpoint Protection）：EPP + EDR的结合，Gartner：EPP with EDR。集预防、防御、检测、响应为一体的新一代端点安全保护平台。

端点安全演进历程中，EPP和EDR都有着各自的不足之处：

EPP劣势：无法做到100%的防御，单步防御的机制导致误报高容易影响业务。并且攻击绕过后无法做到可见性，无法帮助溯源追踪与响应，也难以应对APT等高级攻击。

EDR劣势：高额的部署成本、运营成本和安全能力要求无法适用于缺乏IT安全团队的企业/组织；大部分威胁是高度自动化/工具化或少量人工参与的，EDR缺乏自动化防护能力，单靠EDR无法应对，给后端带来极大的运营负担，威胁响应往往滞后于威胁发生。

 

下一代端点安全（NGEP）的优势非常明显，它强调实现轻量级、自动化防护的EPP能力来建立精准的防御能力，过滤掉大部分攻击，剩余攻击可利用轻量EDR调查狩猎能力来补救。

未来，下一代端点安全将由AI引领安全效果革新，通过AI技术能力解决传统AV/EDR技术方案难以解决的问题。

 

• AI驱动未知威胁精准检测，深度防护变种勒索、0day攻击，解决传统特征库泛化能力差的问题
• AI驱动潜伏威胁定位和根除，解决传统查杀无结果、处置不干净问题
• AI驱动风险和事件智能分析，响应时间大幅缩短，降低人员精力的依赖