简单的端点安全故事

您好，
我
是系统解决方案部门的川。

今年只剩下几天了。
不久前，IPA发布了《2024年信息安全白皮书》
。https://www.ipa.go.jp/publish/wp-security/2024.html

或许是由于生成式人工智能的兴起，今年的网络攻击复杂性显著增加，出现了用日语编写的勒索软件和复杂的网络钓鱼诈骗。
我们似乎正在进入一个企业和个人都需要进一步提升安全意识的时代。

在本文中，我们将解释终端安全产品，可以说它是安全的基础。

什么是终端安全？

顾名思义，端点安全是
安装在终端设备（例如电脑和智能手机）上的软件，
用于保护这些设备免受恶意软件和其他威胁的侵害 *它也被称为端点保护。此外，它还有许多其他名称，例如防病毒软件，但这些名称通常指的是同一款产品。

基本功能

尽管功能随着时间推移不断升级，但其基本概念和行为始终保持不变。
通常情况下，它会扫描设备，检测被认为危险的文件，然后隔离或删除这些文件以保护设备。
市面上有无数的软件供应商，包括海外产品，但它们的工作原理通常与上述描述一致。
最近，我们看到越来越多的厂商试图通过集成人工智能和沙盒功能，或提供完全不同的附加价值来脱颖而出。

扫描功能

它会扫描您电脑上的所有文件，并检查是否存在任何风险。用户
通常可以根据设置选择隔离或删除文件。
扫描过程会根据您电脑的负载情况而有所不同。

【定时扫描】
这是一种在特定时间、星期几或特定时间间隔进行扫描的方法。
由于它可以在用户不操作设备时执行，因此不太可能干扰日常工作。

【实时扫描】
顾名思义，实时扫描会实时检查设备上的文件，跟踪文件操作。
一种常见的做法是列出每个文件的唯一哈希值，并在文件发生更改时检查差异。这种方式
比计划扫描更快捷，但由于该过程持续运行，很容易给设备带来负担。

【全盘扫描/快速扫描】
此方法会扫描整个设备，或仅扫描文件传输频繁/存在可疑文件的目录。
全盘扫描耗时较长，但结果可靠。根据您的使用习惯，通常的做法是定期执行快速扫描，每月执行一次全盘扫描。
此外，用户还可以通过设置仅扫描特定目录。

检测原理

扫描过程中使用的检测机制因软件而异，但最常见的是静态检测。
世界上大多数广为人知的恶意软件都有来自不同厂商的样本。
文件都有一个称为哈希值的唯一字符串，基本上就是通过比较该值来确定文件是否为相关文件。
参考： https

此功能通常被称为
签名文件”、“模式文件”或“定义文件该列表每日更新，一些供应商甚至每隔几小时就更新一次，以便快速应对新的恶意软件。
然而，目前流传的恶意软件中，与该列表不匹配的文件数量有所增加，仅靠模式文件不足以解决问题的案例也越来越多，导致用户成为受害者。

关于沙盒功能

这就是沙箱功能诞生的原因。它
在日语中意为“沙箱”，但实际上，该功能会在虚拟内存中运行疑似恶意软件的文件，并在它们表现出可疑行为时将其移除。
由于它会观察行为，因此也称为
行为检测（显然是源于在公园沙坑中玩耍的场景）
近年来，我们看到一些产品配备了大数据和人工智能功能，以及能够提高沙箱检测精度的技术，这些都使它们与其他产品区别开来。

关于假阳性

此类产品误报的情况很常见。
例如，如果办公文档文件中包含宏，则可能会被错误地识别为可疑活动并被隔离或删除。
为了解决此问题，您可以将该文件注册为例外，或者将文件所在的目录添加到例外列表中。

关于EDR产品

另一种类似但性质略有不同的产品是
EDR（端点检测与响应） 与 EPP（端点保护平台，或端点安全）在文件下载时检测并清除恶意软件不同，EDR 产品事后应对措施。
例如，其主要功能是在恶意软件感染后恢复设备，例如将电脑回滚到感染前的状态。

终端产品的重要性

正如IPA白皮书所述，近年来勒索软件的激增尤为显著。此外，尽管与之前相比有所放缓，但Emotet勒索软件仍然活跃。
参考链接： https
基本方法是实施多层防御，在各个层面提供保护，但我认为第一步是部署终端安全产品。

完全的