端点安全

端点安全 是一套工具，可保护个人设备（笔记本电脑、台式机、服务器、手机、平板电脑）免受威胁。该类别已经历了三代：

• 防病毒 (AV) — 针对已知恶意软件的模式匹配
• EDR（端点检测和响应） — 行为分析以及遥测和事件响应
• XDR（扩展检测和响应） — EDR 与整个组织内的网络、身份、云和电子邮件信号

传统防病毒软件的限制

经典反病毒软件通过签名匹配来工作：根据已知恶意软件哈希值的数据库扫描文件，如果发现匹配则发出警报。这对于 2000 年代初的恶意软件非常有效——固定字符串二进制文件可以按预期传播。它的崩溃有两个原因：

• 多态恶意软件。现代攻击者不断重新编译或打包他们的工具。今天的变体的签名与明天的不匹配。
• 无文件攻击。 攻击越来越多地完全存在于内存中或使用内置操作系统工具（PowerShell、WMI、cmd.exe）。没有要扫描的文件。

基于签名的 AV 对当前攻击的捕获率很低 — 对于新威胁，捕获率通常低于 20%。作为对抗商品恶意软件的基准，它仍然很有用，但仅依靠它的任何人都已经落后了十年。

EDR 添加的内容

EDR 记录端点上每个进程的操作 - 进程创建、文件修改、网络连接、注册表编辑、命令行参数 - 并分析流中的可疑模式。检测是行为性的，而不是基于签名的：

• Office 进程使用编码参数生成 PowerShell
• cmd.exe 进行出站网络连接
• 以异常速度修改大量文件（勒索软件加密）
• 在凌晨 3 点从用户从未去过的国家/地区登录到服务帐户访问过
• 通过 WMI、PsExec、SMB

进行横向移动尝试当 EDR 检测到某些内容时，它可以隔离进程、将主机与网络隔离并向安全团队显示警报。记录的遥测数据让响应者可以回溯攻击：哪个进程产生了哪个、触及了哪些文件、到达了哪些 URL。无需进行内存转储或占用设备即可进行全面调查。

主要 EDR 产品

• CrowdStrike Falcon — 云原生，在企业中占据重要市场地位
• Microsoft Defender for Endpoint — 内置于 Windows，随 E5 免费提供许可
• SentinelOne — 率先自主响应（“AI 驱动”修复）
• Palo Alto Cortex XDR
• Sophos Intercept X
• VMware Carbon Black

随着 XDR 成为主导策略，市场在 2022-2025 年迅速整合。

XDR 在 EDR

XDR 之外添加的内容将端点信号与以下各项相关联：

• 网络检测 (NDR) —防火墙、代理和数据包捕获请参阅
• 身份信号 (ITDR) — Active Directory、SSO 日志、可疑登录
• 云工作负载遥测 — AWS、Azure、GCP 审核日志和运行时事件
• 电子邮件威胁数据 — 网络钓鱼活动、附件行为

该值存在于跨域相关性中：凌晨 3 点的单次登录是噪音；凌晨 3 点登录、创建邮箱规则、然后进行 S3 存储桶渗漏是一种攻击。 XDR 连接了各个工具遗漏的点。

消费者端点安全

好消息：消费者端点安全状况比几十年来更好。内置保护功能齐全：

• Windows Defender 随 Windows 10/11 一起提供，并与商业 AV 进行可靠的竞争。对于大多数家庭用户来说，这已经足够了。
• macOS XProtect、Gatekeeper、Notarization — Apple 针对未签名和已知恶意软件的分层防御。
• iOS/iPadOS — 沙箱加 App Store 审核意味着实际上没有传统的恶意软件库存市场iPhones.
• Chromebooks — 只读操作系统、验证启动、默认沙箱。 ChromeOS 的恶意软件问题已基本得到解决。

主要的消费者端点风险不再是恶意软件 - 它们是网络钓鱼、帐户接管和社会工程，端点安全性可以标记但无法自行阻止。

端点安全性仍然无法做到什么

• 防止不触及的攻击端点. 从攻击者的计算机远程使用的网络钓鱼密码永远不会登陆您的设备。
• 修复错误的配置。 暴露的管理界面或配置错误的云存储桶是 EDR 无法发现的漏洞。
• 停止国家级零日攻击。 APT 级对手专门编写工具来规避商业 EDR。有时他们会成功几个月。
• 更换补丁。 EDR可以检测漏洞利用，但补丁更重要。

端点安全是一个主要层，而不是整个堆栈。深度防御将其与网络控制、身份保护和配置卫生相结合。