“異常行為”如何尋？EDR“顯神威”

企業級用戶運維管理中普遍的安全隱患有：

·漏洞補丁更新不及時：當微軟發布Windows漏洞補丁后，總會有用戶更新不及時，而攻擊者即利用這段時間差來對尚未更新的用戶進行漏洞掃描進而進行攻擊。

·對勒索軟件檢測效果不明顯：特征庫對勒索軟件的檢測效果不明顯，攻擊者利用腳本工具對勒索軟件進行變更成為更多新的勒索軟件，而特征庫對此束手無策。

·虛擬機安全問題：在政企云環境下，部署虛擬機后，在不同的服務器內部也可以調用相同的業務系統，虛擬機分配管理上的混亂給企業各業務系統帶來較大風險。現在的云IDC中，往往并非單純的云架構而是混合形態。這就需要有許多不同的安全管理體系，導致了安全管理的混亂。

在過去十多年里，端點安全僅僅指的是殺毒軟件一種產品，從大的范疇講有兩種產品形態，在端點是殺毒軟件，在網絡邊界側則是防火墻。業內主要的廠商產品基本上都是沿著這兩條線來發展的。因此過去的終端安全主要是依靠殺毒軟件，當然也有一些準入產品。如今像殺毒軟件、防火墻這類的產品在實現形式上似乎有些落伍。例如殺毒軟件往往依賴于病毒庫，這就意味著廠商需要不斷地去擴展和更新自己的病毒庫。這在機制上講其實是被動的，只有企業受到攻擊后才能感知和捕獲，并將其特征放到病毒庫中，然后升級到殺毒軟件中并應用到用戶。但是對于像利用惡意軟件的變種、腳本化工具將惡意軟件加殼使其隨機產生新的惡意軟件等具有針對性的攻擊，傳統的安全產品是無法有效的防御的。……