端點安全

端點安全 是一套工具，可保護個人裝置（筆記型電腦、桌上型電腦、伺服器、手機、平板電腦）免受威脅。此類別已經歷了三代：

• 防毒 (AV) — 針對已知惡意軟體的模式匹配
• EDR（端點檢測和回應） — 行為分析以及遙測和事件響應XPLZ12PLZ1457142121 月）與整個組織內的網路、身分、雲端和電子郵件訊號

傳統防毒軟體的限制

經典防毒軟體透過簽名匹配來工作：根據已知惡意軟體哈希值的資料庫掃描文件，如果發現匹配則發出警報。這對於 2000 年代初期的惡意軟體非常有效——固定字串二進位檔案可以按預期傳播。它的崩潰有兩個原因：

• 多態惡意軟體。 現代攻擊者不斷重新編譯或打包他們的工具。今天的變體的簽名與明天的不匹配。
• 無檔案攻擊。 攻擊越來越完全存在於記憶體中或使用內建作業系統工具（PowerShell、WMI、cmd.exe）。沒有要掃描的文件。

基於簽章的 AV 對目前攻擊的捕獲率很低 — 對於新威脅，捕獲率通常低於 20%。作為對抗商品惡意軟體的基準，它仍然很有用，但僅依靠它的任何人都已經落後了十年。

EDR 新增的內容

EDR 記錄端點上每個進程的操作 - 進程建立、檔案修改、網路連線、登錄編輯、命令列參數 - 並分析流中的可疑模式。檢測是行為性的，而不是基於簽名的：

• Office 進程使用編碼參數生成 PowerShell
• cmd.exe 進行出站網路連接
• 以異常速度修改大量文件（勒索軟體加密）XPLZ46PLZ444771PLZZ417 707 707 707 帳號。
• 透過 WMI、PsExec、SMB

進行橫向移動嘗試當 EDR 偵測到某些內容時，它可以隔離進程、將主機與網路隔離並向安全團隊顯示警報。記錄的遙測資料讓回應者可以回溯攻擊：哪個進程產生了哪一個、觸及了哪些檔案、到達了哪些 URL。無需進行內存轉儲或占用設備即可進行全面調查。

主要 EDR 產品

• CrowdStrike Falcon — 雲端原生，在企業中佔據重要市場地位
• Microsoft Defender for EndpointX 13
• Microsoft Defender for EndpointX.免費提供許可
• SentinelOne — 率先自主回應（「AI 驅動」修復）
• Palo Alto Cortex XDR
XPLZ73 Black

隨著 XDR 成為主導策略，市場在 2022-2025 年迅速整合。

XDR 在 EDR

XDR 之外新增的內容將端點訊號與下列各項相關聯：

• 網路偵測 (NDR) — 71、代理與資料包擷取防火牆、代理和資料包Directory、SSO 日誌、可疑登入
• 雲端工作負載遙測 — AWS、Azure、GCP 審核日誌和運行時事件
• 電子郵件威脅資料 —網路釣魚活動、附件行為

該值存在於跨域相關性中：凌晨 3 點的單次登入是雜訊；凌晨 3 點登入、建立郵箱規則、然後進行 S3 儲存桶滲漏是一種攻擊。 XDR 連接了各個工具遺漏的點。

消費者端點安全

好消息：消費者端點安全狀況比幾十年來更好。內建保護功能齊全：

• Windows Defender 隨 Windows 10/11 一起提供，並與商業 AV 進行可靠的競爭。對於大多數家庭用戶來說，這已經足夠了。
• macOS XProtect、Gatekeeper、Notarization — Apple 針對未簽署和已知惡意軟體的分層防禦。
• iOS/iPadOS — 沙箱加 App Store 審核意味著實際上沒有傳統的惡意軟體庫存市場iPhones.
• Chromebooks — 只讀作業系統、驗證啟動、預設沙箱。 ChromeOS 的惡意軟體問題已基本解決。

主要的消費者端點風險不再是惡意軟體 - 它們是網路釣魚、帳戶接管和社會工程，端點安全性可以標記但無法自行阻止。

端點安全性仍然無法做到什麼

• 防止不觸及的攻擊端點. 從攻擊者的電腦遠端使用的網路釣魚密碼永遠不會登陸您的裝置。
• 修復錯誤的設定。 暴露的管理介面或配置錯誤的雲端儲存桶是 EDR 無法發現的漏洞。
• 停止國家級零日攻擊。 APT 級對手專門編寫工具來規避商業 EDR。有時他們會成功幾個月。
• 更換補丁。 EDR可以偵測漏洞利用，但修補程式更重要。

端點安全是一個主要層，而不是整個堆疊。深度防禦將其與網路控制、身分保護和配置衛生相結合。