简单的端点安全故事

大家好
，
我是系统解决方案部的 Kawa。

今年只剩下一点时间了。
不久前，IPA发布了《信息安全白皮书2024》。
https://www.ipa.go.jp/publish/wp-security/2024.html

也许由于生成式人工智能的兴起，勒索软件和复杂的日本网络钓鱼似乎变得更加复杂，尤其是今年。
我觉得现在是一个无论是企业还是个人都需要进一步提高安全素养的时代。

在本文中，我们将解释端点安全产品，这可以被认为是安全的基础知识。

什么是端点安全？

顾名思义，端点安全安装在端点（即 PC 和智能手机等设备）上的软件，
以保护它们免受恶意软件等危险。
*也称为端点保护。它还有各种各样的其他名称，例如防病毒软件，但它们通常指的是同一产品。

关于基本功能

尽管功能随着时间的推移而升级，但基本思想和行为保持不变。
通常，它会扫描设备，检测被视为危险的文件，并隔离或清除文件以保护设备。
软件厂商不计其数，包括海外的产品，但基本上都是上述的表现。
如今，我们可以看到他们试图通过配备人工智能或沙盒功能，或者通过提供完全不同的附加值来使自己脱颖而出。

扫描功能

它会扫描您电脑上的所有文件以查明它们是否危险。
在大多数情况下，用户可以根据用户设置选择隔离或清除文件。
扫描有多种行为，具体取决于 PC 上的负载等。

[计划扫描]
这是一种在固定日期和时间（例如特定时间段、星期几或时间）进行扫描的方法。
这可以在用户不操作设备时完成，因此不太可能干扰日常工作。

【实时扫描】
实时调查设备上的文件，真正跟踪文件操作。
一种常见的行为是列出每个文件的唯一哈希值，以查看进行更改时的差异。
虽然它比计划扫描更即时，但由于该进程一直在运行，因此往往会导致设备负载。

[全面扫描/快速扫描]
这是一种检查整个设备或仅检查文件频繁出入/可疑文件容易进入的部分目录的方法。
全面扫描需要时间，但很可靠。这取决于您如何使用它，但我认为通常的做法是每月执行一次快速扫描和一次完整扫描。
还有一种方法可以使用用户设置仅扫描特定目录。

关于检测机制

扫描过程中的检测机制因软件而异，但最常见的是静态检查。
对于世界上广为人知的大多数恶意软件，样本都是由各个供应商收集的。
文件有一个称为哈希值的唯一字符串，基本上，文件是通过比较该值来确定的。
参考： //www.trendmicro.com/vinfo/jp/security/definition/hash-values

此功能通常称为“签名文件”、“模式文件”或“定义文件”，并且通常与通缉列表进行比较。
该列表每天都会更新，一些供应商每隔几个小时更新一次，因此他们可以快速响应新的恶意软件。
然而，最近，与此列表不匹配的文件流传的案例越来越多，而无法单独使用模式文件来应对损坏的案例也在增加。

关于沙箱功能

这就是沙盒功能被发明的原因。
在日语中，它指的是沙箱，这一种执行虚拟内存中可能是恶意软件的文件的功能，如果它们表现出可疑行为，则将其删除。
它也被称为
行为检测，因为它着眼于行为 （这个名字似乎来自于在公园里玩沙盘的形象。）
最近我们看到了一些产品，它们配备了大数据和人工智能功能，并通过提高沙盘准确性的技术来区别于其他产品.

关于误报

此类产品经常出现误报。
例如，如果在office文档文件中设置了宏，则可能会被错误地识别为可疑并可能被隔离/消毒。
要处理此行为，您可以将文件注册为例外或允许文件保存目录本身作为例外。

关于 EDR 产品

还有一个名为
EDR（端点检测和响应），有点不同但相似与 EPP（端点保护平台）相比， 被动措施。
例如，恶意软件感染后，主要功能是恢复设备，例如回滚PC的状态（恢复到感染前的状态）。

端点产品的重要性

正如IPA白皮书所述，勒索软件近年来呈上升趋势。此外，虽然前段时间有所放缓，但 Emotet 仍然活跃。
参考： https
基本思想是多层防御，在各个层面进行保护，但第一步是引入端点安全产品。

完全的