自由的代价是永远警惕。每个公司信息安全专业人员都要注意这句有名的不朽格言,因为在目前安全威胁不断变化的情况下,不允许人们有丝毫大意。安全计划需要足够强健和灵活,不需对每个新的威胁重新调整就能应付这样变化的环境。为了能成功地保护公司的数字资产,并确保工作人员可以安全高效地工作,安全团队不能固步自封。要实现最高的有效性,对构成安全计划的所有东西(人员,过程和技术),都需要不断地重新评估。本篇述评中,我将集中评估所有安全计划的一个支柱:端点保护。
我绝对不提倡一旦对端点保护厂商的绩效或能力不满就更换厂商,为改变而改变。这样的做法是不实用或不经济的。对这样的过程不应小视,因为你不光是在选择安全厂商;你也是在选择战略伙伴,这个伙伴在你的总体安全规划中起到重要作用。选择任何解决方案前,需要确定在端点保护解决方案要达到什么样的质量。我列出了几个关键方面,比较潜在的端点安全合作伙伴和评估改变的必要性时要牢记在心。
跨越基于签名的探测技术
目前恶意软件的发展如此之快,厂商们不可能只使用签名就唯一地识别这些威胁并提供保护。这种爆发式的增加速率,再加上恶意软件变异能力的增强,已经大大降低了签名探测的有效性和可持续性。正是由于业界不愿意抛弃基于签名的探测技术,才导致网络犯罪无法控制地增加和得手。与拥有创新恶意软件处理和公司端点和数据保护方法的厂商合作会更明智点。
文档和支持
文档和支持是经常被视为次要和不重要的两个方面。然而,具有良好文档的产品通常会比较容易部署,也使配置问题的错误处理更为容易(至少我个人的经验是这样)。另外,具有顶级的支持也是不可小视的问题,因为繁忙的安全管理员们不能有足够的时间在每次发生问题时都阅读Google。我们不能低估具有知识丰富的支持团队的重要性,人们可以联系他们快速地处理好有问题的部分。花费时间为其产品建立支持体系(通过容易理解的文档和优良的客户支持)的安全公司会是公司安全部门的绝佳战略伙伴。
额外的功能
越来越多的安全公司正在将其端点产品合并到一个套件中。这对公司安全团队有好处,因为它降低了总体拥有成本,减少了端点上需要安装的客户端数量,而且使管理、监测和部署都集中化。集中的监测对于安全管理员和分析员非常有价值,因为有了它,管理员和分析员们就可以迅速测量和评估公司端点当前的安全状态,而不需要把来自多个不同的系统的信息拼到一起(从而降低未发现潜在的安全事故的可能性)。通过拓宽端点保护的范围,使其诸如应用程序控制(白名单)、设备控制、主机侵入保护系统(集中进行行为监测),扩展功能防病毒,防间谍软件、防火墙、数据丢失保护和全盘加密这样的工具,我们就会大大降低端点给公司带来的总体风险。
明白局限性
当评估新的或替换的端点解决方案时,理解任一产品的局限性是最重要的注意事项。我们需要认识到,没有哪个解决方案会针对恶意软件或最新威胁实现100%的保护。一般说来,我们希望解决方案能保护员工生产效率不因恶意软件而降低,能降低清理染毒计算机所需的时间和资源量,并能确保所有关键业务数据都加密并受到良好保护。我们不能指望这些解决方案本身就能有效地抵挡潜藏的持续不断的威胁。它们只是整个安全系统中很小的一部分。
就我个人而言,我希望看到端点保护套件的使用情景上下文,以便能更好地探究和理解完整的威胁生命周期(恶意软件进入点是什么,它针对什么弱点),并能更好地与安全漏洞管理工具集成,从而更快地补救。如果我们能更好地理解防护失败之处,并获得更广泛的深入信息(问题是否严重,是否一次性事件),则这样的信息就能提供更实用的关于威胁的信息。