從防護進階威脅的角度做好端點安全

最近幾年，對於防毒軟體能否確保自己電腦不受惡意程式侵襲的這件事，許多人有了疑慮，連資安廠商也高喊「防毒軟體已死」——這是2014年，時任Symantec資深副總裁Brian Dye接受華爾街日報的專訪所說的話，並表示防毒軟體只能抓到45％的網路攻擊。

後來，我們也聽聞有人激進地主張不需安裝防毒軟體，因為擋不住、抓不了。但無論如何，在個人電腦的使用上，面臨這樣險峻的情況，的確是讓人很不安，該如何是好？我們看到，市面上，開始出現一些新型態產品，強調有別於「傳統」防毒軟體。

對於這類型解決方案，市場研究機構Gartner在2013年首度提出「端點偵測與回應（Endpoint Detection and Response，EDR）」的命名，而在2015提供EDR產品的廠商，他們當時洋洋灑灑地列出了將近30家，一般企業較熟悉的資安公司有Check Point、Cisco、FireEye、Symantec、趨勢科技，另外，像是CrowdStrike、Digital Guardian、Fidelis Cybersecurity、Verint Systems等公司，臺灣現在也有代理商引進這些廠牌的產品。

不過，對許多企業用戶而言，仍未導入或接觸過EDR，對這類產品可能比較有點概念的部分在於，先前有些廠商，針對網路、電子郵件、端點電腦等層面，推出了防禦APT攻擊的解決方案，而且，部分產品就以此來命名，例如，Symantec在Advanced Threat Protection（ATP）當中，就有ATP:Endpoint來對應端點防護的部份；趨勢科技在Deep Discovery旗下，也推出Endpoint Sensor（DDES）；而另一家FireEye公司，原本就是專門防護APT攻擊的廠商，他們不只是針對網路、電子郵件、端點提供產品，也推出專攻行動應用、檔案系統與儲存的APT防禦系統，而在端點防護的部份，他們是以Endpoint Security HX系列的整合型應用設備對應。

因此，企業若有意評估這類端點防護的產品，目前市面上的廠牌選擇是相當豐富的。而且，就時機而言，這些廠商對於端點進階威脅防護產品的推動，今年的確比較積極，我們本身的產品報導，也因為原廠或代理商在臺舉辦的記者會或是主動聯繫，而陸續接觸到他們，像是Symantec、CrowdStrike，以及Palo Alto ，並透過產品快報的形式，對他們的EDR系統簡單介紹了功能與特色。

除了上述原因，年初我們針對使用者行為分析（User Behavior Analytics，UBA）類型的資安產品，所製作的內部存取行為監控系統採購大特輯，其實，也和端點安全防護有關，但UBA的解決方案著重在異常行為的分析，顯然較偏重在「偵測」，至於該如何「反應」則未多著墨。

這也讓我們思考，是否能在市面上，找到可兼顧兩者的端點資安防護產品來介紹。同時，藉此協助企業進一步了解這類解決方案的長處，使其能夠擁有足夠的防護能力，而不是眼錚錚看著傳統防毒軟體的惡意程式偵測率日益下滑，卻不知道可能有其他延伸或替代的作法，能夠予以補正。

所以，在近期的企業級端點進階威脅偵防系統採購大特輯，我們首度以EDR這類產品作為主角，尋找臺灣市面上合乎企業多人管理需求的解決方案，絕大多數都是知名的大型資安廠商，接下來，我們還會繼續介紹其他新創公司EDR產品，並且進一步探討次世代端點防護產品應有的特色。

值得注意的是，在我們目前所接觸到的EDR系統，幾乎清一色是針對個人電腦平臺，針對Windows作業系統的防護是已經具備的，然而，僅有少數產品支援macOS，至於行動裝置平臺的進階威脅防護，似乎還沒有廠商能推出針對這方面應用的產品，提供較為完備的作法，這樣的現況令人擔憂。