端点保护平台(EPP)是部署在端点设备上以抵御威胁的综合安全解决方案。

让我们定义一个端点保护平台

EPP解决方案通常是云管理的，并利用云数据来协助进行高级监控和远程修复。EPP解决方案采用广泛的安全功能，但基本包括：

端点保护平台是端点安全的最新发展。它们的开发是为了识别可以绕过传统端点安全的攻击者，并帮助整合复杂的安全堆栈。整合带来了改进的数据共享——这改进了可用于检测可疑行为的分析。它还显着简化了安全操作。

端点保护平台的另一个重要优势是迁移到云端。云原生EPP能够使用单个轻量级代理来监控所有端点。此外，可以收集和使用的数据远远超出了单个公司的端点。可以吸收说明攻击者策略的全局共享数据，以改进对攻击者行为的检测。

在研究“端点保护平台的关键能力”时，Gartner强调了基于云的EPP的重要性，并指出：“与传统的本地部署相比，基于云的EPP解决方案提供更快的价值实现时间、更低的管理成本和更敏捷的产品改进部署。”

在Gartner最新的端点保护平台魔力象限中，Gartner认为EPP正在不断发展，以提供“自动化、协调的事件调查和违规响应”。并建议安全和风险管理领导者“确保他们的EPP供应商发展得足够快，以跟上现代威胁。”

除了IR，基于云的端点保护平台使实时行为分析成为可能。最先进的EPP利用事件流处理（与信用卡欺诈检测中使用的技术相同）来转变端点安全性。这允许检测攻击者表现出的行为，他们故意试图“看起来正常”以隐藏他们的策略。如今，VMwareCarbonBlackCloud是唯一一个利用事件流处理的端点保护平台，并且已经展示了在发生渗漏之前检测攻击者的卓越结果。

攻击者如何规避传统端点安全

端点保护平台开发背后的主要动机是攻击者更容易使用传统解决方案避开SecOps团队。从根本上说，攻击者已经超越了传统端点安全的能力，现在能够在网络中长时间不被发现。

攻击者绕过传统端点安全的五种方式

无文件勒索软件——无需检测和阻止文件，用于交付勒索软件的无文件技术在很大程度上不受传统端点安全的干扰。根据SecureWorld的网络安全报告，与2018年下半年相比，2019年上半年无文件攻击增加了18%。只有使用EPP，您才能跟踪行为以找到提醒您注意无文件攻击方法的模式。

可用的新攻击技术——高级攻击技术已被网络犯罪分子窃取或开发，可供出售或仅作为互联网和暗网上的开源软件。使用这些脚本和策略可以让攻击者的活动“看起来很正常”并隐藏在网络中。

多个数据源——传统的端点安全解决方案与安全堆栈的其余部分相对隔离运行。这意味着它需要多个系统来查看单个端点的活动，并在调查期间跟踪整个网络中的任何可疑活动。端点保护平台提供单一的“真相”来源，将来自整个平台的所有安全解决方案的数据结合起来，以提供轻松的数据访问和警报调查。

过滤的端点数据——许多端点安全解决方案根据已知的行为模式和IOC过滤掉被认为与威胁无关的端点数据。现在攻击者拥有更先进的技术，他们依靠端点数据过滤来过滤掉他们的活动。这意味着SecOps看不到新的模式。当您持续捕获端点活动数据时，您可以看到这些新技术并预测新威胁。

行业脉搏：安全专家对端点保护平台的见解

分析师和安全专家一致认为，EPP是保护网络免受高级威胁的最佳方式。Gartner和Forrester都通过Gartner端点保护平台魔力象限和ForresterWave端点安全套件涵盖了这一解决方案领域。EPP的验证来自Forrester所做的ROI分析。Forrester的端点保护平台总体经济影响研究发现，七家迁移到EPP的公司的平均投资回报率为204%。这相当于三年内平均节省210万美元。

以下是转向端点保护平台的安全专家对EPP价值的评价：

节省大量时间

“我现在有能力让24/7SOC立即识别出现的任何问题并采取行动，而无需在白天/晚上的所有时间与我的团队联系。”

–CozyLavalle，IT基础设施经理，ProgressResidential

单一管理平台

“可用的IR和威胁搜寻功能使我们的团队能够快速、果断地采取行动，同时受益于单一管理平台下的基于云的控制台。这对球队来说是一个改变游戏规则的人。”

–EricSamuelson，Lithium高级IT经理

紧跟威胁

“[EPP]正是企业在面对当今最大的网络威胁时保持连续性所需要的。借助[EPP]，我们能够快速调查、响应并删除我们过时的AV解决方案。”

–StevenLentz，CISO，三星美洲研究部

答案？行为异常的识别

网络犯罪分子非常成功地使用恶意软件来实现他们的目标，原因很简单，大多数传统的防病毒工具都使用静态分析作为主要的安全策略。这些工具只能识别已知样本——而今天，随着新恶意软件每天的快速发展，其中大部分现在都以未知文件的形式出现。攻击者使用各种技术（如打包或压缩）来更改恶意软件的各个方面，使其看起来与已知威胁不同。因此，攻击很容易绕过防病毒防御。

这就是下一代端点安全和行为分析的用武之地。关于恶意软件的好消息是，它在系统或设备中的运行方式最终将与正常的用户行为不同。因此，随着大数据和机器学习对异常的关注，潜在的恶意软件可以被识别为不正常的和潜在的恶意软件。