多年來(lái)，很多人認(rèn)為企業(yè)端點(diǎn)反惡意軟件沒(méi)有什么用：它不僅過(guò)于昂貴，而且經(jīng)常錯(cuò)過(guò)應(yīng)該抓住的已知惡意軟件，還無(wú)法檢測(cè)到從未出現(xiàn)過(guò)的惡意軟件。然而，目前幾乎所有企業(yè)都將端點(diǎn)防病毒軟件作為網(wǎng)絡(luò)必備的安全防護(hù)網(wǎng)。

那么，端點(diǎn)反惡意軟件的未來(lái)會(huì)怎樣呢？它會(huì)不斷發(fā)展和完善，還是被其他技術(shù)所取代？在本文中，我們將探討為什么企業(yè)端點(diǎn)反惡意軟件沒(méi)有以前那么有效；如何使用反病毒替代產(chǎn)品、技術(shù)或者做法來(lái)增強(qiáng)或者取代它；以及讓首席信息官了解企業(yè)端點(diǎn)防御需要重大戰(zhàn)略轉(zhuǎn)移。

為什么端點(diǎn)反惡意軟件失去效用

目前安全行業(yè)有很多人都在批評(píng)端點(diǎn)安全產(chǎn)品，因?yàn)檫@些產(chǎn)品在面對(duì)某些威脅時(shí)，已經(jīng)形同虛設(shè)，特別是零日攻擊。傳統(tǒng)反惡意軟件產(chǎn)品依賴于簽名和啟發(fā)式技術(shù)，而這些技術(shù)不能抓住每一個(gè)惡意軟件。惡意軟件從未見(jiàn)過(guò)的零日攻擊和反惡意軟件往往不會(huì)被檢測(cè)出來(lái)。

如果反惡意軟件即使是采用啟發(fā)式技術(shù)都不能阻止新出現(xiàn)的惡意軟件，那我們?yōu)槭裁催€要用它呢？企業(yè)辛辛苦苦地為端點(diǎn)反惡意軟件系統(tǒng)更新最新簽名，而這些軟件還無(wú)法檢測(cè)出通過(guò)這些它們的大量惡意軟件，這些系統(tǒng)的感知價(jià)值正在不斷下降。這是否意味著我們是時(shí)候該淘汰端點(diǎn)反惡意軟件了？

為什么企業(yè)仍然需要端點(diǎn)防病毒軟件

大部分公司仍然在廣泛使用端點(diǎn)安全軟件的最常見(jiàn)原因之一是合規(guī)問(wèn)題。例如，支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)（PCIDSS）和健康保險(xiǎn)流通與責(zé)任法案（HIPAA） 要求企業(yè)滿足某些信息安全基準(zhǔn)，并要求企業(yè)必須采取具體措施來(lái)確保小問(wèn)題不會(huì)暴露客戶、病人或者其他重要數(shù)據(jù)。

這些標(biāo)準(zhǔn)通常應(yīng)被視為信息安全的最低要求。真正有效的防御需要部署超出這些適用法規(guī)要求的技術(shù)和做法。不過(guò)，仍然有一些法規(guī)要求使用反惡意軟件，例如PCIDSS2.0特別指出“在所有易受惡意軟件感染的系統(tǒng)中，必須使用防病毒軟件”。這個(gè)標(biāo)準(zhǔn)的開(kāi)發(fā)人員知道惡意軟件編寫(xiě)者將繼續(xù)編寫(xiě)惡意代碼，所以反惡意軟件仍然是保護(hù)端點(diǎn)的一個(gè)重要防線，雖然它遠(yuǎn)遠(yuǎn)沒(méi)有100%的有效性。

替代端點(diǎn)保護(hù)的方法

上面我們談到了為什么端點(diǎn)保護(hù)軟件如此地低效以及為什么我們?nèi)匀恍枰鼈?，那么，我們?yīng)該怎么做呢？如果你的首席信息官明天來(lái)找你，并要求移除公司端點(diǎn)的所有反惡意軟件（順便說(shuō)一下，我并不推薦這種做法），這些有效的替代產(chǎn)品或者新興的防病毒方法是否能夠比反惡意軟件更好地保護(hù)企業(yè)的端點(diǎn)呢？

對(duì)于起步者來(lái)說(shuō)，創(chuàng)建一個(gè)針對(duì)用戶的可接受使用政策至少能夠幫助教導(dǎo)用戶應(yīng)該企業(yè)系統(tǒng)的行為操作。雖然這并不能阻止惡意軟件感染端點(diǎn)，但這可能會(huì)阻止用戶訪問(wèn)不可信的網(wǎng)站或者安裝某些應(yīng)用。部署這樣的政策并不需要花多少錢(qián)，即使這樣做只能減少1%的惡意軟件事件，這也將是值得的。

從系統(tǒng)的角度來(lái)看，端點(diǎn)安全計(jì)劃最重要的部分是硬化操作系統(tǒng)（典型的Windows系統(tǒng)）。為了限制惡意軟件感染的風(fēng)險(xiǎn)，請(qǐng)確保用戶被限制為本地管理員權(quán)限，鎖定所有來(lái)自工作站可移動(dòng)介質(zhì)，并保持用戶賬戶控制和Windows防火墻的開(kāi)啟和配置完畢。

端點(diǎn)應(yīng)用風(fēng)險(xiǎn)必須被最小化。對(duì)于起步者來(lái)說(shuō)，應(yīng)該移除未使用的服務(wù)和應(yīng)用，這能夠減少惡意軟件感染系統(tǒng)的方法。此外，保持應(yīng)用安裝了最新的補(bǔ)丁，這將幫助端點(diǎn)抵御利用新漏洞的最新威脅。獲取第三方補(bǔ)丁程序是端點(diǎn)抵御惡意軟件最重要的方面之一。

如果資金充裕的話，企業(yè)可以考慮網(wǎng)關(guān)安全設(shè)備，例如代理/web過(guò)濾器，或者反垃圾郵件或應(yīng)用程序防火墻。這些系統(tǒng)能夠在惡意軟件到達(dá)端點(diǎn)前阻止惡意軟件，減少了對(duì)端點(diǎn)反惡意軟件產(chǎn)品的依賴，這是一個(gè)好事情。

結(jié)論

有很多方法可以保護(hù)端點(diǎn)和加強(qiáng)端點(diǎn)以抵御威脅，但端點(diǎn)保護(hù)和端點(diǎn)強(qiáng)化只是保護(hù)企業(yè)端點(diǎn)的一部分。當(dāng)你與首席信息官談?wù)撻_(kāi)始戰(zhàn)略轉(zhuǎn)移以減少對(duì)反惡意軟件的依賴時(shí)，應(yīng)該從基本的開(kāi)始：僅依靠單一層的安全保護(hù)是糟糕的策略，最好是使用縱深防御的方法來(lái)抵御端點(diǎn)惡意軟件，或者其他威脅。雖然端點(diǎn)反惡意軟件還可能將繼續(xù)存在一段時(shí)間，現(xiàn)在是時(shí)候開(kāi)始過(guò)渡到其他防病毒技術(shù)和方法，以做好準(zhǔn)備應(yīng)付不斷增加的新惡意軟件和其他端點(diǎn)攻擊，這些是傳統(tǒng)防病毒軟件根本無(wú)法處理的。