This is the Trace Id: 330361276681993aa604defe0833c31a
跳转至主内容 Microsoft Defender Microsoft Entra Microsoft Intune Microsoft Purview 智能 Microsoft Security Copilot 副驾驶® Microsoft Sentinel 查看所有产品 AI 支持的网络安全 云安全 数据安全与治理 标识和网络访问 隐私和风险管理 AI 安全性 中小型企业 统一安全运营 零信任 价格 服务 合作伙伴 为什么选择 Microsoft 安全 网络安全意识 客户案例 安全性 101 产品试用 行业认可 安全响应中心 Microsoft 安全博客 Microsoft 安全活动 Microsoft 技术社区 文件 技术内容库 培训和认证 Microsoft Cloud 合规性计划 Microsoft 信任中心 服务信任门户 Microsoft 安全未来计划 业务解决方案中心 连络销售人员 开始免费试用 Microsoft 安全 Azure Dynamics 365 Microsoft 365 Microsoft Teams Windows 365 Microsoft AI Azure Space 混合现实 Microsoft HoloLens Microsoft Viva 量子计算 教育 汽车 金融服务 政府 医疗保健 制造业 零售业 查找合作伙伴 成为合作伙伴 合作伙伴网络 Microsoft Marketplace 软件公司 博客 Microsoft Advertising 开发人员中心 文档 活动 许可 Microsoft Learn Microsoft Research 查看站点地图
安全 101

什么是终结点安全性以及终结点安全性为何重要?

网络中的每台设备都可能成为攻击者的入口。终结点安全性就会确保这些入口不会变成敞开的门。
两个人在办公室的台式电脑前一起工作,查看屏幕上的内容。

终结点是新式网络中最常受到攻击的表面。了解终结点安全的工作原理,以及出现故障时所面临的问题,是构建更强大的安全态势的第一步。

关键要点

  • 保护终结点是强大、可复原的网络安全状况的基础。
  • 终结点安全性是一种超越防病毒软件的分层规则。
  • 合适的终结点安全解决方案可以降低风险、加快响应并增强合规性。

终结点安全基础知识详解

每次设备连接到你的网络时,都会带来生产力、协作和攻击的机会。那么终结点安全保护到底是什么? 它是一种保护这些连接点免受未经授权的访问、恶意软件和可能导致数据窃取的攻击的做法。

这种安全方式会监控、管理并保护访问你网络的设备,确保每台设备在连接前后都符合组织的安全标准。

什么是终结点?

终结点是指任何连接到网络并与网络交换信息的物理设备。其中包括一些显而易见的设备,例如:

  • 笔记本电脑和台式计算机。
  • 智能手机和平板电脑。
  • 服务器和工作站。
  • 虚拟机。

但它也包括越来越多不那么显眼的设备,例如物联网 (IoT) 硬件。构成物联网环境的摄像头、智能音箱、恒温器和其他联网设备,在组织评估其安全态势时往往不易被注意到。

谁需要终结点安全性?

简短的答案是:任何具有网络的组织。无论你运营的是全球企业还是区域性业务,连接到你网络的每台设备都可能成为漏洞。而且,随着远程和混合办公成为常态,任何一家公司的终结点管理数量都已大幅增加。

为什么终结点是主要攻击目标

终结点之所以对攻击者有吸引力,主要有两个关键原因。首先,它们通常存在于传统网络外围之外,这使得它们更难受到监视和防御。其次,它们在很大程度上依赖于用户行为,而用户(甚至是有意为之的用户)会犯错。单击恶意链接或未修补的操作系统可能是攻击者所需的全部内容。

这种暴露面会因组织所管理的端点种类繁多而进一步加剧。每种设备类型、操作系统和访问模式都会带来各自的潜在弱点。

终结点安全性与更广泛的安全性

终结点安全并不是孤立运行的。它是更广泛的深层防御安全策略的一层,还包括网络安全标识管理云安全性。当这些层协同工作时,组织就能获得所需的可见性和控制力,在威胁升级之前检测并响应。

端点安全如何阻止威胁站稳脚跟

终结点安全性是一组协调的功能,可跨整个威胁生命周期协同工作。目标不仅是阻止威胁在落地前到达,还要发现漏网之鱼,并在出现问题时快速响应。

预防、检测和响应

可以将终结点安全性分为三个阶段:

1. 预防阻止已知威胁到达设备。通过阻止恶意文件、限制未经授权的应用程序以及在事件发生之前强制实施安全策略,终结点安全性可以快速消除威胁。

2. 检测会在威胁没有在前端被拦截时启动。通过实时监控和 行为分析,端点安全工具会持续观察设备上的活动,寻找偏离既定模式的行为。这有助于识别可疑活动,这些活动原本可能不会被注意到,包括新型或此前未见过的攻击技术。

3. 响应会形成闭环。 当威胁被确认后,终结点安全功能可通过隔离受影响的设备、标记可疑进程,并向安全团队提供调查和采取行动所需的信息,来支持快速遏制和修复。

策略强制执行和设备控制

除了响应威胁,终结点安全还在维护健康的安全基线方面发挥主动作用。这包括强制执行配置标准、控制哪些设备可以访问网络,以及限制可移动介质或未经授权外设的使用。这可确保每台设备持续符合安全标准,而不只是在加入时符合。

与标识、网络和云安全性集成

现代终结点安全解决方案旨在与身份管理系统、网络安全工具和云安全平台共享信号并协调响应。当身份系统中的警报由可疑登录尝试触发时,这些上下文信息可以影响终结点安全工具在设备侧的响应,反之亦然。这可让安全团队更全面地了解其环境,从而减少攻击者经常查找和利用的盲点。

核心组件

强大终结点安全计划的基础构件

最有效的终结点安全解决方案由多个互补组件组成,每个组件都针对设备保护的不同方面。它们共同构成了分层防御。
防病毒软件和反恶意软件
杀毒和反恶意软件可在恶意软件造成损害之前将其检测并删除。传统杀毒软件依赖已知威胁特征,而现代解决方案使用行为分析和机器学习来捕获通过网络钓鱼攻击传播的勒索软件等威胁。
终结点检测和响应 (EDR)
EDR 平台不仅会进行预防,它们会持续监控终结点活动并记录行为数据,因此安全团队可以快速了解并控制威胁 - 包括那些劫持合法系统工具或窃取凭据以规避传统检测的威胁。
扩展检测和响应 (XDR)
XDR 通过从网络、标识和云数据拉取信号来构建 EDR,以跨多个基础结构层创建威胁的统一视图。Microsoft Defender XDR 将此跨域可见性整合在一起,以便安全团队能够更快、更有效地响应。
修补程序和漏洞管理
未打补丁的软件是导致端点遭到入侵最常见、也最可预防的原因之一。补丁和漏洞管理工具可帮助组织识别差距、确定修复优先级,并在已知漏洞或零日漏洞被利用前应用更新。
设备管理和配置加固
保持设备安全配置同样重要,和监控威胁一样重要。设备管理工具可帮助组织强制执行基线安全配置并禁用不必要的功能,而配置加固可在攻击者利用之前缩小攻击面。
加密和数据保护
即使设备丢失、被盗或遭入侵,加密也有助于确保其上的数据仍然无法被未授权用户访问。终结点加密可保护静态和传输中的数据,增加一层关键防护,并与更广泛的数据安全策略相辅相成。
应用程序控制和允许列表
与其尝试阻止每个已知的恶意应用,不如采用允许列表模型:只允许经过批准的应用运行。这会显著降低未授权或恶意软件在设备上执行的风险,即使它设法绕过了其他防御。
实时监视
实时监视可让安全团队持续了解整个组织中的终结点活动,包括可能表明内部威胁的异常行为模式。组织不必在事后才发现入侵,而是可以在威胁升级之前检测并响应。
远程管理
随着分布式办公成为常态,远程管理和保护终结点的能力变得至关重要。远程管理功能可让 IT 和安全团队无论设备位于何处,都能推送更新、强制执行策略并响应事件。

为什么终结点安全是业务关键型投资

连接到公司网络的设备数量持续增长,安全团队需要防御的攻击面也在不断扩大。攻击者已经注意到这一点。现代威胁具有定向性、隐蔽性,并且越来越自动化,旨在逃避传统防御,并尽可能长时间潜伏在环境中。

远程和混合办公因素

远程和混合办公的转变从根本上改变了终结点安全的计算方式。员工现在会从家庭网络、咖啡馆和共享工作区连接到公司资源,而且通常使用公司管理的设备和个人设备混合办公。自带设备 (BYOD) 策略虽然实用且受欢迎,但也带来了额外复杂性,因为需要保护的设备范围扩大了,而且 IT 不一定能对这些设备保持完全控制。

应对失误带来的业务风险

终结点入侵的后果远不止直接的技术影响。经历严重终结点入侵的组织会面临一连串业务风险,包括:

  • 数据丢失,以及因未能保护敏感信息而可能面临的监管处罚。
  • 受影响的系统被下线以进行调查和修复,从而导致运营中断。
  • 声誉受损,可能削弱客户信任并影响长期收入。
  • 勒索软件 付款和恢复成本可能会达到数百万,甚至对于中型组织也是如此。

采取恰当措施的好处

投资终结点安全不仅仅是为了避免不良后果。成熟的终结点安全计划可带来切实收益,增强整体 安全状况,包括:

  • 通过持续监视和主动威胁防护降低入侵风险。
  • 更快的检测和响应,在出现问题时限制公开窗口。
  • 提高对环境中每台设备的可见性,包括远程和移动终结点。
  • 通过在整个设备群中保持一致的安全控制和可供审计的记录,提升合规性。
  • 通过及早发现威胁,在其升级为高成本事件之前降低运营和财务影响。

在整个终结点环境中培养更好的习惯

仅靠技术无法承担终结点安全的全部责任。最有效管理终结点安全的组织,会将合适的工具与一致的实践结合起来,在每一层降低风险。这些都是值得做好基础工作的要点。

执行零信任原则

零信任基于一个简单的前提:无论是否位于网络边界内,都不应默认信任任何用户、设备或应用。每个访问请求都应基于标识、设备运行状况和上下文持续验证。

让设备始终保持已打补丁并已更新

未打补丁的软件正是送给攻击者的礼物。在整个设备群中建立一致、自动化的修补节奏,可在已知漏洞被利用前将其修复,这也是安全团队回报率最高的投资之一。

实施最低特权访问

用户和应用只能访问完成工作实际所需的资源。最低权限访问可限制攻击者在入侵单个终结点后造成的损害,从而控制潜在 入侵的影响范围。

使用 MFA 和强身份控制

仅靠密码已不足以提供充分防护。多重身份验证 (MFA)添加了关键验证层,使攻击者更难使用被盗凭据。将 MFA 与强身份治理结合,可确保访问决策不只基于用户所知道的信息。

结合 EDR 和 XDR 持续监控

通过 EDR 和 XDR 平台进行持续监视,可让安全团队在早期发现威胁,并在损害扩散前作出响应。它还能帮助团队过滤告警噪音,并优先处理最重要的信号。与其依赖定期扫描或人工审查,不如通过持续监视确保可疑活动在接近实时的情况下被标记并调查。

在安全设备上训练员工使用

员工往往是终结点攻击中的第一接触点。定期的安全意识培训可帮助用户识别钓鱼尝试,了解安全浏览习惯,并知道当出现可疑情况时该怎么做。

终结点安全的发展方向,以及它对你的意义

终结点安全也在不断演进。随着威胁形势不断变化,组织环境日益复杂,用于保护终结点的工具和策略也在快速演进。

由 AI 驱动的威胁检测

AI 在终结点安全中的作用越来越重要,尤其是在威胁检测和响应方面。安全团队正在使用由 AI 驱动的工具,以远超人工方法的效率处理和分析海量终结点数据,发现原本可能被忽视的模式和异常。安全分析师仍然掌控全局,AI 则充当倍增器,帮助他们更高效地工作并更快地响应。

零信任采用

零信任已从流行词变成主流实践,而终结点安全是实现它的核心。验证设备运行状况、执行最小权限访问,以及持续重新评估信任信号,都依赖强大的终结点可见性和控制能力。随着越来越多的组织正式采用零信任策略,终结点安全计划也越来越多地从一开始就内置零信任原则。

终结点、标识和云安全的融合

终结点、标识和云安全之间的边界正变得越来越模糊。攻击者经常在这些领域之间串联技术,先入侵终结点窃取凭据,再使用这些凭据横向移动到云环境中。作为回应,安全平台正在趋于融合,将终结点、标识和云信号整合在一起。这些统一的检测和响应工作流缩小了攻击者过去常利用的各安全领域之间的空隙。

行为分析

行为分析正成为现代终结点安全的基石。行为分析不会只依赖已知威胁签名,而是为用户和设备建立正常活动基线,并标记可能表明威胁的偏差。这种方法对无文件 恶意软件内部威胁等高级攻击尤其有效,因为这类攻击可能没有明显的恶意文件或签名可供检测。随着攻击技术变得越来越隐蔽,行为分析只会在有效的终结点防御中占据更核心的位置。

为你的需求选择合适的终结点安全解决方案

终结点安全早已超越传统防病毒,而终结点安全管理也是如此。如今的组织有多种解决方案可供选择,而合适的组合取决于你的环境规模和复杂度、风险状况,以及安全团队的运作方式。

传统防病毒与下一代防病毒

传统防病毒软件通过将文件与已知恶意签名数据库进行匹配来检测威胁。它是一项基础能力,但仅靠它已远远不够。下一代防病毒 (NGAV) 在此基础上增加了行为分析、机器学习和基于云的威胁情报,以发现不匹配任何已知签名的威胁。对如今大多数组织来说,NGAV 是终结点防护的最低可行起点。

终结点检测和响应 (EDR)

EDR 平台提供持续监视、威胁检测和调查功能,这些功能远远超出了仅防病毒可以提供的功能。当检测到威胁时,EDR 工具可为安全团队提供取证数据,帮助他们了解发生了什么、影响范围有多大,以及需要修复什么。Microsoft Defender for Endpoint 是领先的 EDR 平台,它将深度设备可见性与由 AI 驱动的威胁检测和自动响应功能结合在一起,帮助安全团队更快、更有把握地采取行动。

扩展检测和响应 (XDR)

XDR 将 EDR 的可见性扩展到更广泛的安全环境中,整合来自标识、网络、电子邮件和云源的信号,为安全团队提供跨多个领域威胁的统一视图。这种跨领域关联有助于缩短调查时间,并提高响应准确性。Microsoft Defender XDR 将终结点、标识、电子邮件和云应用防护整合到一个统一的集成平台中,让检测和响应复杂的多阶段攻击变得更容易。

移动设备管理 (MDM) 和统一终结点管理 (UEM)

随着设备群越来越多样化,从单一平台管理和保护终结点的需求变得越来越重要。MDM 解决方案专注于移动设备,而 UEM 平台则将这一管理能力扩展到所有终结点类型,包括台式机、笔记本电脑、移动设备和 IoT 硬件。Microsoft Intune 是一种基于云的 UEM 解决方案,可帮助组织跨平台管理和保护终结点,强制执行合规性策略,并支持零信任访问控制。

云交付的终结点保护

云交付的终结点防护平台相比传统本地解决方案有几个优势,包括:

  • 更快的威胁情报更新。
  • 更低的基础结构开销。
  • 更好地支持分布式员工。

由于威胁数据会在云中处理和共享,云交付解决方案可以更快、更一致地响应所有受保护设备上的新兴威胁。Microsoft Defender for Endpoint 采用云交付设计,可为组织提供企业级防护,而无需管理本地基础结构的复杂性。

常见问题解答

  • 终结点安全管理是监督和维护连接到网络的每台设备安全性的过程。它包括设备盘点、执行安全策略、管理修补程序,以及监视威胁。像 Microsoft Defender 这样的平台有助于在各种设备群中集中处理这些任务。有效的终结点安全管理也是零信任策略的基础,在授予对公司资源的访问权限之前,需要持续验证设备运行状况。
  • 终结点安全涵盖了广泛的工具和策略,包括:
    • 防病毒软件和反恶意软件。
    • 使用行为分析和机器学习的下一代防病毒 (NGAV)。
    • 用于持续监视和调查的终结点检测和响应 (EDR)。
    • 用于统一跨域可见性的扩展检测和响应 (XDR)。
    • 移动设备管理 (MDM) 和统一终结点管理 (UEM)。
    • 加密和数据保护工具。
    • 应用程序控制和允许列表。
    • 修补程序和漏洞管理
    • 云交付的终结点保护平台。
  • 连接到网络的任何设备都需要确保终结点安全性。其中包括笔记本电脑、台式机、工作站、服务器、智能手机、平板电脑和虚拟机。摄像头、智能音箱和恒温器等物联网设备也属于终结点,而且它们经常成为攻击目标,因为它们通常缺乏强大的安全控制。如果设备接入了你的网络,就可能被利用。
  • 防病毒只是其中一个组成部分,但终结点保护是一个更广泛的领域。传统防病毒使用威胁签名来检测已知恶意软件。终结点保护涵盖设备安全功能的完整范围,包括行为分析、实时监视、EDR、加密和补丁管理。防病毒是被动响应,而现代终结点保护则是持续性的,并旨在贯穿整个攻击生命周期捕获威胁。
  • 防火墙控制网络流量,并根据预定义规则允许或阻止连接。终结点安全侧重于保护设备本身,监视行为并检测可能已经越过网络边界的威胁。防火墙无法'抵御来自网络内部或通过已被入侵的用户帐户引入的威胁。终结点安全可以弥补这些缺口,让这两种方法结合起来比单独使用任何一种都更强大。

关注 Microsoft 安全