端点安全：为何只有检测率远远不够

　　首先，重要的是理解变化的安全环境。在这个不断变化的安全环境中，开放的网络和快速发展的威胁环境正在给IT部门提出新的和巨大的挑战。

　　消融的IT防线

　　保证一个企业网络的安全过去是比较容易的事情。企业网络是仅供内部人员使用的一个在物理上连接在一起的实体。桌面上一般没有网络浏览，数据仅通过可移动介质或者电子邮件发送。

　　今天，随着新技术和商业做法的流行企业网络的防线已经模糊不清了，我们曾经熟悉的企业网络正在消失。即时消息、IP电话、P2P文件共享软件以及无线和移动设备都提供了新的传输数据的方式。远程员工、商业合作伙伴和承包商都有网络接入权限。

　　这些变化满足了保持竞争力所需要的那些真正的商业需求，但是，这些变化也增加了恶意软件的风险以及通过不安全的硬件和没有监视的通讯频道感染网络的其它威胁。

　　安全威胁的变化性质

　　恶意软件现在是一个大生意。拥有大量IT资源的庞大的犯罪团伙已经取代了追求出名的少年成为了恶意软件的主要来源。这些犯罪团伙制造的威胁是不被人注意、悄悄地和有针对性的以避免引起受害人和安全厂商的注意。这些威胁并不破坏计算机或者删除文件，而是要窃取口令和金融信息。

　　此外，当前的威胁变化的频率非常快，以便避开检测。在2007年，风暴蠕虫出现了大约5万个变体。

　　恶意软件用来攻击的途径也在发生巨大变化。恶意软件的传播方式已经从利用电子邮件附件转向采用综合方式传播恶意软件。在2005年，44封电子邮件中就有一封电子邮件的附件携带被病毒感染的附件。在2007年，909封电子邮件中才有一封这种邮件。现在，攻击者利用几种不同的技术传播他们的恶意软件。

　　IT的变化

　　网络环境和速度的这些变化以及威胁的复杂性对于IT是一个新的重大挑战。需要的解决方案已经远远超过了定期安装最新的杀毒软件的范围。这些解决方案需要解决现在存在的更广泛的问题：

　　·更多的感染途径和更多类型的端点设备需要安全

　　·所有的端点计算机需要评估和控制

　　·需要监视遵守安全政策情况

　　·快速发展的零日威胁需要有效的先发制人的防御

　　这个问题的一个答案是购买多点解决方案。但是，总的来说，IT预算还不能提高到满足新的需求的程度。另一个缺点是点解决方案增加了拥有总成本，因为更多的安全解决方案意味着：

　　·更多的初次采购和创办成本

　　·较慢的网络

　　·更过的管理负担

　　·增加技术支持问题(特别是在解决方案出现问题时)

　　由于这个原因，从端点解决方案相更多的整合产品过渡的趋势日益增长。尽管如此，得到了来自“集成的解决方案”的“总体保护”，企业仍然受到感染。

　　那么，机构如何保证最佳的保护呢?

　　机构要问厂商六个重要的问题

　　要保证厂商现在不仅提供最佳的保护，而且还要做好最佳准备以解决机构以后将面临的IT挑战。有许多应该问的重要问题。

　　第一个问题

　　你的恶意软件检测能力好到什么程度?

　　完全可靠的恶意软件检测仍是购买端点安全解决方案决策的主要推动因素。

　　由于这些风险使机构不可能用真正的恶意软件来测试可能购买的解决方案，机构必须要要依赖人们对这种解决方案的口头评估以及独立测试机构提供的测试结果。

　　媒体经常报道恶意软件检测测试的消息，这些消息对于对比竞争的安全厂商的性能是非常有用的。然而，机构应该注意理解测试了什么和没有测试什么，使用了什么恶意软件收集技术，这个产品是在默认设置状态下使用的，还是在特殊设置情况下使用的。在拟定厂商的候选名单时，查看多次测试结果而不仅仅依靠一次测试结果也是非常重要的。

　　一个好的测试应该包括以下方面：

　　·On-access测试。这种测试是以随需应变的模式简单地扫描一套固定数量的恶意软件样本，不能准确地反映恶意软件的真实威胁或者采用运行时间分析或者HIPS(主机入侵防御系统)功能的解决方案的能力。

　　·数千个恶意软件样本。由于在2007年出现了500万个独特的恶意软件样本，少于1000个恶意软件样本的任何测试都可以认为在统计上是无效的。

　　·所有类型的恶意软件。分析一种恶意软件的测试，例如仅查看传统的病素，不能表明这种产品检测广泛的各种其它病毒的能力。例如，有些测试尽管包括了目前看到的大多数恶意软件，但是却不包含检测木马程序。

　　·漏报测试。大多数端点安全解决方案在特定的测试中都能够得到100分。重要的问题是这些解决方案同时不要把干净文件当成病毒。

　　·预先/零日攻击检测测试。威胁变化的性质使预先检测成为当前防御恶意软件的第一道防线，确保在厂商实验室的专家看到或者分析这种恶意软件之前就能够防御这种威胁。

　　·反应时间。用于防御具体病毒和其它恶意软件的特征仍是成功的防御的重要部分。厂商创建和发布病毒特征的速度是非常重要的。反应时间和预先检测的结合能够说明一个特定的解决方案将提供的真正保护。虽然没有任何一个测试组织是完美的，但是能够提供更全面的和有代表性的测试的组织包括AV-Test.org3、AV-Comparatives.org4、Virus Bulletin5、ICSA Labs6、Cascadia Labs7和West Coast Labs8。

　　第二个问题

　　你对所有的威胁来源有集成的可见能力吗?

　　混合威胁日益增多的应用显示了安全厂商拥有对垃圾邮件、病毒和基于网络的威胁的集成的可见性对于新出现的恶意软件做出迅速反应是多么重要。例如，没有反垃圾邮件能力的厂商将看不到用来传播指向恶意网站的链接的电子邮件。同样，没有网络监视能力，一家厂商就不能说明一个被感染的网站是何时建立的或者早期深入了解通过那个网站传播的新的恶意软件。由于每14秒钟就会出现一个被感染的网页，缺少这种可见性是很严重的。

　　即使这家厂商没有发现各种不同类型的威胁能力，集成的研究机构将向它提供支持。这些研究机构与厂商之间迅速和自动地交换信息以保证对所有新的威胁做出快速反应。

　　第三个问题

　　你的预防性零日攻击保护能力好到什么程度?

　　当前具有犯罪动机的、有针对性的和快速移动的威胁已经减少了安全厂商在这些攻击产生恶意影响之前做出反应的时间。威胁的数量之多使这个问题更加严重，因为安全厂商的研究实验室每年必须要防御成千上万的新威胁。这种大量的变化迅速的恶意软件需要对厂商没有看到或者分析过的软件提供预防性的零日攻击保护。

　　厂商需要提供下面两项功能

　　·执行前的分析。在这个文件运行以便发现恶意软件中常见的痕迹之前，检查文件的行为和特征。

　　·运行时保护，在文件和进程运行时分析文件的行为，检查可疑的行动。强大的预防性保护可减少研究实验室需要分析的威胁的数量，实现快速创建新的特征和提供必要的保护。

　　第四个问题

　　你的解决方案在我的整个网络中容易管理吗?

　　只有在整个网络上正确地配置、部署和更新，一个安全解决方案才能保护网络。因此，在评估过程中，安全解决方案的使用和管理的方便性应该同检测能力一样重点考虑。

　　大量的调查显示了很难管理的安全解决方案产生的安全漏洞。各种统计结果显示大约43%至84%大型企业在2005年至2006年受到了恶意代码感染，尽管这些企业百分之百地使用了杀毒解决方案。

　　同样，在用一个厂商的解决方案取代另一个厂商的解决方案的时候，一个机构在网络上发现大量的恶意软件是很常见的，这并不是因为早些时候的解决方案不能检测到这个恶意软件，而是因为这个机构没有让这个解决方案保持最新状态或者适当地进行管理。

　　除了提供网络的可见性之外，一些安全解决方案支持这种进一步的管理任务。这些解决方案能够自动识别安全软件或者政策已经过时的端点计算机，自动向登录网络的新的端点计算机安装杀毒软件。

　　其它解决方案也会通过让不能实现自动化的管理任务更容易和更迅速地执行来减轻管理负担。通过减少管理员理解和编写确定可疑行为的复杂规则的需求，这些产品有助于使网络更安全，让管理员把更多的时间用于其它IT事情上。

　　第五个问题

　　你的解决方案提供了什么增值功能?

　　制定应付威胁的IT预算的趋势并不能反应数量更多的和更复杂的威胁。增加更多的安全产品和IT人员对付这些额外的风险和保护日益开放的网络是不现实的。

　　因此，要问的一个重要问题是“这个厂商的安全解决方案会让我从现有的预算中得到更多的东西吗?”这个答案在于这个解决方案将如何成功地防御由用户行为和不良设置或者不遵守法规的计算机产生的新的威胁，特别是这个解决方案能够让机构在多大程度上控制谁和什么东西在网络上。

　　除了直接防御恶意软件之外，需要考察的功能还包括：

　　·限制使用合法的但是与业务无关的软件应用程序，如VoIP、即时消息和P2P软件。这类软件容易引起办公效率、技术支持和安全等问题。

　　·通过确保所有的计算机都遵守安全政策来减少病毒感染的风险，不仅包括这家公司拥有和例行性管理的那些计算机，而且还包括连接到这个网络的没有管理的那些客户的计算机。

　　·在系统连接到网络之前要对这些系统进行评估和认证，如确保这些系统安装并且正确设置了安全软件，操作系统和应用程序使用了最新的补丁。

　　除了防御恶意软件和控制应用程序与网络接入之外，一个端点安全解决方案还应该提供设备控制和数据泄漏保护功能。通过提供一些这种功能(如果不能提供全部功能的话)，一个优秀的端点安全解决方案将作为一个容易理解、部署和管理的产品减少金融、网络性能和管理成本，提高工作效率。

　　第六个问题

　　我能期待什么水平的技术支持?

　　厂商的支持是成功地实施端点保护的一个重要方面。虽然这很难测试，但是，在评估过程中需要考虑这个问题。

　　在安全软件许可证有效期内的各个时间都需要厂商的帮助。这些帮助有的与产品本身有关(如与部署、设置或者更新有关)，有的帮助是需要厂商对网络上出现的可疑文件进行分析。考虑到在有关问题解决之前可能会产生安全风险，重要的是理解厂商的技术支持政策，是每周7天每天24小时的技术支持标准，还是这种技术支持需要鹅外付费?

　　一些厂商将限制合同数量，也就是限制允许提出技术咨询的数量，这对于需要快速解决方案的地方是没有帮助的。有些厂商(特别是需要向大量的消费者用户提供技术支持的厂商)将使用现成的技术支持中心提供经济规模。但是，企业通常不喜欢这样的技术支持方式。

　　应该进一步进行调查的领域是集成的产品技术支持是什么。一个单项的技术支持分析能够解决这个厂商的全部产品的技术支持吗，或者不同的产品需要单独的耗费时间的谈判吗?

　　结论

　　检测恶意软件是任何端点安全解决方案的核心。全面发布的检测率是信息的合法来源。然而，良好的恶意软件检测率本身还不能保证最好的保护。最成功的解决方案应该是容易管理的、对零日攻击威胁提供事先的保护和提供其它安全功能的，如主机入侵防御体系(HIPS)、应用程序控制、防火墙和网络接入控制。这些功能应该是来自集成的全球研究试验室的每天24小时的威胁分析和来自跨产品专家的技术支持。通过对照这些原则评估潜在的产品，机构将要走很长的路才能保证选择正确的端点安全解决方案来防御当今快速发展的威胁和越来越多地开放网络环境。