端点保护平台 (EPP) 是一种旨在检测和预防端点级别威胁的安全解决方案。
端点是连接到企业网络的“末端”设备,即接入点。这些设备包括计算机、平板电脑、智能手机、服务器和物联网设备。在现代企业环境中,由于 BYOD(自带设备)、远程工作、云化和物联网设备的激增,端点的种类和数量呈爆炸式增长。
钓鱼、恶意软件或利用过时软件中的漏洞等初始攻击媒介的目标。一旦受到攻击,端点便可用于在网络中横向移动、提升权限或窃取数据。端点数量的不断增加以及安全入侵的“潜力”使得传统的基于边界的安全措施变得不那么有效,并使 EPP 作为抵御各种威胁的第一道防线变得更加重要。
EPP 通常提供一系列功能,包括:
- 防病毒和反恶意软件保护- 防御已知病毒、蠕虫、木马和其他恶意软件。
- 防火墙——控制进出设备的网络流量以防止未经授权的访问。
- 入侵防御系统——识别并阻止表示威胁的行为,例如异常的数据传输或系统更改。
- 数据加密– 确保未经授权的用户无法读取数据。这对于保存敏感信息的设备尤其重要。
- 数据丢失预防——识别和保护敏感数据免遭未经授权的访问,并实施安全策略以防止数据泄露。
- 应用程序控制——防止未经授权或有危险的应用程序运行。
- 端点检测和响应 (EDR) – 一项更高级的功能,可持续监控和响应威胁。EDR 记录端点活动和事件,提供可用于了解违规范围并防止未来发生类似攻击的取证数据(见下文)。
在 EPP 中,这些技术由一个集中位置控制和监控。这让 IT 部门更容易管理它们,还能减少摩擦,从而改善安全状况并获得组织认可。
什么是端点?
端点是任何充当企业网络接入点的远程设备。端点与其所连接的网络进行通信。端点的示例包括:
- 计算机– 供员工使用的台式电脑和笔记本电脑
- 移动设备——用于个人和工作目的的智能手机和平板电脑
- 服务器– 作为接入点运行并向其他计算机或网络提供服务的服务器。
- 外围设备– 提供附加功能的设备,如打印机。
- 物联网设备——传感器、医疗设备、追踪器、智能相机等。
过去几年,使用的端点数量一直在增长。由于端点的脆弱性,这一趋势需要安全专业人员的关注和行动。
EPP 与 EDR 有何不同?
端点保护平台 (EPP) 和端点检测与响应 (EDR) 都是端点安全元素,但它们的用途不同,运作方式也略有不同。下面是它们的比较。
EPP 主要侧重于预防。它旨在阻止威胁执行并造成损害。这包括阻止已知恶意软件、阻止恶意 URL 以及防止利用已知漏洞。EPP 基于已知威胁和启发式方法的数据库运行。然而,虽然 EPP 对已知威胁有效,但它可能会对与任何现有签名不匹配的新未知威胁(零日威胁)产生不利影响。
另一方面,EDR 主要侧重于检测和响应。EDR 的运作方式是动态识别绕过初始防御的威胁、了解漏洞范围并做出响应以遏制和消除威胁。
为此,EDR 系统通常包括持续监控、威胁情报、行为分析(用于识别表明存在威胁的活动,例如异常数据移动或关键系统文件更改)和响应工具。当检测到潜在威胁时,EDR 会提供工具来调查、遏制威胁、隔离端点和恢复。EDR 会根据其收集和分析的数据不断发展。
EPP 和 EDR 相互补充。如果威胁绕过 EPP,EDR 可以检测、隔离并阻止它。
EPP 与 EDR:比较表
|
弹性聚丙烯 |
增强数据链路层 |
|
|
目的 |
预防 |
检测与响应 |
|
方法 |
已知威胁和启发式方法的数据库 |
行为分析、威胁情报和持续监控 |
|
响应能力 |
静态,提供针对已知威胁的一致防御级别 |
动态,适应网络上的新信息和活动 |
端点保护平台的优势
EPP 有助于维护网络的安全性和完整性。EPP 对安全和 IT 专业人员的主要好处包括:
全面防御恶意软件和攻击
EPP 旨在防止已知威胁渗透网络。通过维护大型威胁签名数据库并采用高级算法,它可以阻止大量攻击。这些攻击包括病毒、蠕虫、间谍软件等。因此,EPP 可以降低组织的安全风险。
满足监管合规要求
许多行业都受到法规的约束,这些法规要求一定程度的安全和数据保护。EPP 可以通过提供安全性和合规性管理功能来帮助组织满足这些要求。
可扩展性
随着组织的发展,其网络和端点数量也在增长。EPP 解决方案能够保护越来越多的设备,而不会显著增加复杂性或成本。
可视性和控制
EPP 通过单一系统提供对所有受保护端点的安全状态的可视性。这可以更好地控制网络并能够快速响应潜在问题。这种可视性还可以提供对安全状况的宝贵见解,并有助于以简化的方式做出明智的决策。
对远程和移动员工的支持
随着远程工作和移动设备使用的兴起,保护传统网络边界之外的端点是一项基本要求。无论端点位于何处,EPP 都可以提供保护。
将 EPP 与企业浏览器扩展结合使用
企业浏览器扩展程序可保护应用程序、数据和设备免受网络威胁和风险的影响,同时确保高质量的用户体验。通过直接集成到浏览器中,企业浏览器扩展程序可提供精细的可见性,以实现精确的风险检测。当检测到风险时,执行功能范围从禁用有风险的网页功能到终止整个网络会话。企业浏览器扩展程序在员工浏览互联网、使用托管和非托管设备以及访问已批准和未批准的SaaS 应用程序的组织中特别有效。
企业浏览器扩展是对 EPP 的补充,因为这些工具不涵盖浏览活动和安全性。EPP 最多使用本地 TLS 代理监控网络流量,将覆盖范围限制在 URL/主机名级别或基本 DNS 过滤。因此,EPP 无法确保防范威胁和风险,例如不在设备上的恶意软件、网络钓鱼、恶意应用内元素、浏览器扩展、浏览器配置、非托管设备、不知名 URL/主机名的敏感文件上传、敏感数据上传和下载。
EPP 和企业浏览器扩展程序结合起来,可以防御来自浏览器和任何其他地方对设备造成威胁的外部威胁。