正如評(píng)估基于云云端點(diǎn)安全功能系列上下文的第一部分所介紹的那樣,與內(nèi)部部署的端點(diǎn)安全服務(wù)相比���,基于云的端點(diǎn)安全服務(wù)要顯得稚嫩得多�。因此���,在評(píng)估��、選擇和實(shí)施這樣一個(gè)基于云的端點(diǎn)安全服務(wù)之前���,需要有一個(gè)IT安全組織來仔細(xì)考慮其需求。
隨著我們繼續(xù)對(duì)基于云端點(diǎn)安全服務(wù)的探討���,我們將介紹一下廠商們?nèi)绾翁峁┒它c(diǎn)安全服務(wù)功能�����,具體將基于Tolly Group近期使用的使用體驗(yàn)�,主要涉及五家知名云計(jì)算安全廠商���,根據(jù)其提供的服務(wù)而構(gòu)建原型部署���。
云端點(diǎn)安全:管理高層
部分基于云的端點(diǎn)安全服務(wù)允許有多個(gè)管理用戶����,然后是控制某些管理團(tuán)隊(duì)的高層����,但并不是所有的都是如此。一些端點(diǎn)安全服務(wù)甚至允許“只讀”管理員角色����,這個(gè)角色只可以監(jiān)控端點(diǎn)安全但無法改變���。
對(duì)于任何最小型的企業(yè)客戶來說�����,管理上的靈活性和粒度是重要的元素���。如果你的企業(yè)希望能夠根據(jù)不同的端點(diǎn)集群向不同的人授權(quán)管理責(zé)任,那么一定要向你的潛在服務(wù)廠商確認(rèn)這一點(diǎn)����。
當(dāng)然���,真正重要的是管理員能夠使用端點(diǎn)客戶端做到些什么。我們來看看一些不同的功能以便于確定端點(diǎn)管理的深度�。
云端點(diǎn)安全:策略(組)控制
端點(diǎn)運(yùn)行一般都遵循在策略配置文件中所定義的規(guī)則。在我們的研究中���,我們?cè)噲D使用如下屬性構(gòu)建一個(gè)策略:每隔四個(gè)小時(shí)更新簽名文件�、每天執(zhí)行一次全面掃描以及設(shè)定一個(gè)特定文件/文件夾免受反惡意軟件工具的掃描�。讓人感到驚奇的是,并不是所有的云端點(diǎn)安全服務(wù)會(huì)允許策略的所有這些屬性都是可被配置的����。例如,一個(gè)服務(wù)不會(huì)允許對(duì)簽名文件的更新頻率進(jìn)行任何修改或任何的例外���。其他廠商的產(chǎn)品就不支持對(duì)默認(rèn)策略的修改功能�,表現(xiàn)得好像它們不知道默認(rèn)策略是具有只讀屬性一樣����。因此,如果你希望能夠做出如前所述的改變��,那么你將需要?jiǎng)?chuàng)建一個(gè)自定義的策略�。
反惡意軟件系統(tǒng)的工作就是要在已知的威脅危害到端點(diǎn)之前檢測(cè)和隔離它們�����。一般情況下��,這些威脅都是由安全管理員進(jìn)行隔離并審查的�。經(jīng)審查�,管理員通常會(huì)刪除實(shí)際的威脅并排除所有的誤報(bào),以便于使這些文件不會(huì)在之后的掃描中被錯(cuò)誤地隔離����。令人驚訝的是,并不是本次評(píng)估范圍內(nèi)的所有端點(diǎn)安全服務(wù)的反惡意軟件功能都提供了這個(gè)功能����。一些安全服務(wù)只是簡(jiǎn)單地把文件檢測(cè)為病毒而移除它們���。這可能是很多企業(yè)需共同面對(duì)的問題���。
同樣地,讓我們看看��,當(dāng)一個(gè)被誤判為病毒的文件被隔離時(shí)����,管理員可以采取哪些措施�����。因?yàn)�,有一些服?wù)甚至都沒有提供隔離功能�����,這樣管理員根本就是巧婦難為無米之炊�����。其中�,只有一個(gè)服務(wù)允許管理員自動(dòng)在白名單中添加誤報(bào)文件。對(duì)于另一個(gè)服務(wù)來說��,防止誤報(bào)的唯一方法是回到端點(diǎn)策略生效的源頭�,然后手動(dòng)編輯策略新增一條白名單記錄。(如果管理員需要處理大量的誤報(bào)�,那么雖然這不是一個(gè)很大的工作量,但也肯定是一個(gè)不小的困擾��。)
云端點(diǎn)安全:管理每個(gè)端點(diǎn)
在我們研究的最后一部分中,我們將看看我們是如何以幾種方法與特定端點(diǎn)進(jìn)行交互的�����。
觸發(fā)按需掃描:如果一個(gè)端點(diǎn)正表現(xiàn)出異常行為或表現(xiàn)出大量的威脅�����,那么安全管理員將肯定能夠針對(duì)特定端點(diǎn)觸發(fā)一次按需掃描�。令人奇怪的是,在我們?cè)u(píng)估的服務(wù)中竟然有一個(gè)服務(wù)根本沒有提供這個(gè)功能�����。而其中另一個(gè)服務(wù)只允許在組層次上進(jìn)行按需掃描����。因此,如果需要對(duì)某一單個(gè)端點(diǎn)進(jìn)行掃描��,那么就必須創(chuàng)建一個(gè)新的組并把該端點(diǎn)重新分配給這個(gè)組���,之后才能觸發(fā)掃描。我們不得不質(zhì)疑����,為什么廠商無法為單一設(shè)備提供這樣一個(gè)簡(jiǎn)單的掃描功能�?我們很難想象��,管理員將不得不執(zhí)行某些層次上的手動(dòng)干預(yù)操作�����。
暫時(shí)性禁用反惡意軟件功能:在進(jìn)行某些應(yīng)用程序的安裝時(shí)����,安裝程序會(huì)要求暫時(shí)地禁用反惡意軟件以便于安裝完成,這一情況是非常普遍的�。同樣,如果反惡意軟件掃描程序可以暫時(shí)性地被移除�,那么針對(duì)一個(gè)端點(diǎn)的某些類型的故障排除工作就能夠被大大簡(jiǎn)化。因此��,有人就會(huì)希望在端點(diǎn)上有一個(gè)禁用/啟用反惡意軟件的管理功能��,以便于實(shí)現(xiàn)更廣泛的可用性���。再想想�����,在我們研究對(duì)象的五家廠商的服務(wù)中�����,只有一個(gè)服務(wù)提供了這個(gè)功能��。而對(duì)于剩余的幾個(gè)服務(wù)���,禁用反惡意軟件掃描功能的唯一方法似乎就是卸載之����。對(duì)于眾多企業(yè)來說���,這可能就是一個(gè)主要的實(shí)施瓶頸了���。
通過局域網(wǎng)的遠(yuǎn)程喚醒:通常來說,休眠系統(tǒng)會(huì)因?yàn)楹灻募^期而結(jié)束休眠并進(jìn)行操作系統(tǒng)和應(yīng)用程序的安全補(bǔ)丁升級(jí)�����。由于大多數(shù)系統(tǒng)在開機(jī)上電后都是自動(dòng)運(yùn)行該維護(hù)程序的���,所以喚醒休眠系統(tǒng)這一功能是非常有用的。局域網(wǎng)喚醒(WoL)功能中有一個(gè)被稱為“魔術(shù)包”的數(shù)據(jù)包被發(fā)送至局域網(wǎng)MAC地址,并觸發(fā)電腦的開機(jī)程序�。該功能可通過網(wǎng)絡(luò)觸發(fā)開機(jī)順序信號(hào)。
在我們的研究范圍內(nèi)��,五家云端點(diǎn)安全服務(wù)廠商中只有一家提供了WoL功能�。也許其他的反惡意軟件廠商并沒有將其視作與威脅檢測(cè)過程相關(guān)的功能,但當(dāng)檢查系統(tǒng)狀態(tài)和/或確定系統(tǒng)是否有最新補(bǔ)丁和病毒簽名時(shí)��,這個(gè)功能肯定是很有用的�。
結(jié)論
傳統(tǒng)內(nèi)部端點(diǎn)安全產(chǎn)品市場(chǎng)是一個(gè)成熟的市場(chǎng),而基于云的同類產(chǎn)品市場(chǎng)則更顯稚嫩��。隨著一些主要廠商推出的產(chǎn)品甚至都缺失了一些基本的功能����,企業(yè)需要驗(yàn)證他們所需的功能是否確實(shí)都存在于他們視野中的云計(jì)算廠商產(chǎn)品中。好消息是��,云計(jì)算服務(wù)廠商可以輕易并頻繁地改進(jìn)升級(jí)他們的產(chǎn)品�����,因?yàn)楫吘顾麄兪窃谠朴?jì)算中
