端点安全简介

您好，
我
是系统解决方案部门的川。

一年即将结束。
不久前，信息技术振兴院（IPA）发布了《2024年信息安全白皮书》
。https://www.ipa.go.jp/publish/wp-security/2024.html

或许是由于生成式人工智能的兴起，勒索软件和复杂的日语网络钓鱼攻击在今年显得尤为复杂。
我们似乎正在进入一个企业和个人比以往任何时候都更需要提升安全意识的时代。

在本文中，我们将解释终端安全产品，可以说它是安全的基础。

什么是终端安全？

顾名思义，端点安全指安装在终端设备（例如电脑和智能手机）上的
，用于保护这些设备免受恶意软件和其他威胁的侵害。
（它有时也称为端点保护。）虽然它也被称为防病毒软件或其他一些更广泛的名称，但这些通常指的是同一款产品。

基本功能

虽然其功能一直在不断升级，但基本概念和行为始终保持不变。
通常情况下，它会扫描设备，检测出被认为危险的文件，然后隔离或删除这些文件以保护设备。
软件供应商数不胜数，其中不乏海外厂商，但它们的基本工作原理都与上述描述类似。
然而，如今我们看到一些供应商试图通过集成人工智能或沙盒功能，或者添加完全不同的增值功能来脱颖而出。

扫描功能

此程序会扫描您电脑上的所有文件，以检查是否存在任何潜在威胁。
通常，用户可以根据设置选择隔离或删除文件。
扫描过程可能会因您电脑和其他系统的负载而有所不同。

【定时扫描】
此方法是指在特定时间、星期几或其他固定日期执行扫描。
由于可以在用户不操作设备时进行，因此不太可能干扰日常工作。

【实时扫描】
顾名思义，此功能会实时扫描设备上的文件，跟踪文件操作。
常见的做法是列出每个文件的唯一哈希值，以便查看文件更改时的差异。虽然
实时扫描比计划扫描更快捷，但该过程会持续运行，容易导致设备负载增加。

【完整扫描/快速扫描】
此方法可以扫描整个设备，也可以仅扫描文件流量高或容易遭受可疑文件入侵的特定目录。
完整扫描耗时较长，但非常彻底。根据您的使用情况，通常建议定期进行快速扫描，每月进行一次完整扫描。
此外，用户还可以通过设置仅扫描特定目录。

检测原理

扫描过程中使用的检测机制因软件而异，但最常见的是静态扫描。
大多数广为人知的恶意软件样本由各个供应商收集。
文件都有一个称为哈希值的唯一字符串，基本上，通过比较该值来确定文件是否为目标文件。
（参考：https://www.trendmicro.com/vinfo/jp/security/definition/hash-values

这项功能通常签名文件”、“模式文件”或“定义文件被称为
该列表每日更新，在某些情况下，供应商甚至每隔几个小时就会更新一次，以便快速应对新型恶意软件。
然而，最近与该列表不匹配的文件数量有所增加，仅靠模式文件不足以应对这些文件而导致用户受到影响的案例也在不断增多。

关于沙盒功能

这就是沙箱功能的用武之地。
日语中它指的是沙箱，但这个功能会在虚拟内存中执行潜在的恶意软件文件，并在它们表现出可疑行为时将其删除。
由于它会观察行为，行为检测因此也称为
（它的名字似乎来源于在公园沙箱里玩耍的场景。）
最近，我们看到一些产品通过集成大数据和人工智能功能来提高沙箱的准确性，从而在众多产品中脱颖而出。

关于假阳性

这类产品常见的问题是误报。
例如，如果办公文档文件中包含宏，则该文件可能被错误地识别为可疑活动并被隔离/删除。
为避免这种情况，您可以将该文件添加到例外列表中，或者将文件的保存目录本身也列入例外。

关于EDR产品

另一种产品虽然略有不同，但与之类似，那EDR（端点检测与响应）就是
与 EPP（端点保护平台，即端点安全）在文件下载过程中检测并清除恶意软件不同，EDR 产品旨在采取被动措施。
例如，在恶意软件感染之后，其主要功能是恢复设备，例如将 PC 回滚到感染前的状态。

终端产品的重要性

正如IPA白皮书所述，勒索软件近年来呈上升趋势。Emotet勒索软件虽然活动有所减少，但仍然活跃。
（参考：https
）虽然多层次的防御策略至关重要，但我认为第一步是部署终端安全产品。

完全的