基于云的端点安然办事与企业内部安然办事比拟远不敷成熟,如安在经验和案例均不足的现阶段成功完成本身的云端安然办事?这是个困扰着良多CSO的标题问题。
所谓良知知彼百战百胜,除对本身的需求做一番细心的考量外,另外一方面就是弄清供给商的产品和办事了,摆布开弓才能确保攻下云端安然办事这个碉堡。
在云端安然三大年夜寄望事项:摆设、警报与陈述一文中,我们已做了初步阐释,而本文将进一步揭秘供给商端点安然办事中的各类缺掉,为企业完美云端点安然供给“知彼”的路子,以便企业用户在选择云办事时少走弯路。仍是以Tolly集体比来发布的原型摆设机制体验陈述为根本,仍然是来自五大年夜驰名云办事供给商的办事产品,***以下,给CSO们提个醒,选产品必然要鄙人面的细节擦亮眼睛:
云端点授权需明白
某些云端点安然办事承诺利用者成立多个治理用户,然后将不合企业部门的治理工作拜托给特定治理员。某些安然办事乃至供给“只读”治理员角色,旨在帮忙治理者在进行端点安然监控时确保其内容不变。
可是并不是所有的供给商都能做到这一点,假定大年夜家的企业希看将不合端点部门的治理职责拜托给不合治理员,必然要向办事供给商核实是不是供给此类功能。当然,最首要的是弄清晰治理员能对端点客户端进行哪些治理操控。
云办事策略建设出缺掉
端点运行所遵守的法则凡是由策略建设文件来定义。在研究中,我们试图成立一套具有以部属性的策略:每四小时更新一次签名文件、每天运行一次全局扫描并在反歹意软件扫描中解除特定文件/目次。令人诧异的是,如斯根基的策略建设属性竟然都没法在全数五种云端点安然办事中实现。举例来讲,某项办事不承诺对签名文件的更新频率做出任何点窜,也不承诺设置扫描例外。另外一家供给商的产品则将默许策略设为只读,是以所有此中不撑持的功能就只有经由过程成立一套自定义策略才能实现——这也是我们达成上述属性需求的唯一路子。
反歹意软件系统的任务在于抢在威胁侵害端点之前对其进行检测与隔离。凡是环境下,威胁的隔离审查工作应当由治理员履行。颠末审查流程,治理员常常会删除实际威胁并对弊端警报成果予以放行,如许被一次误报的文件就不至于在将来的扫描中再次遭到反对。令人诧异的是(请谅解我们又诧异了),其实不是所有介入评测的端点安然办事中的反歹意软件都供给这项功能。某些只是简单将全数被检测为病毒的文件删除,如许粗莽的解决编制很可能给大都企业带来***烦。
一样地,我们也不雅察了治理员该当若何措置被误报为病毒且遭到隔离的文件。因为某些办事底子不供给警报内容治理功能,是以治理员底子没法对误报状况做出解救。只有一款产品承诺治理员主动将误报项目添加至例外名单,其它几种产品只能经由过程手动编制添加例外项目,从而让误报对象继续正常运行。(当然添加工作倒也不算复杂,但假定误报状况数量复杂年夜,必定会较着耗损治理员的时候与精力。)
云端点交互标题问题多
作为研究陈述的最后一部门,我们核阅了若何故各类编制与特定端点进行交互把持。
按需扫描触发机制:假定某个端点呈现可疑行动或大年夜量威胁,安然治理员必定希看为其设置一套按需扫描触发机制,从而在此类环境再次产生时改动进行措置。令人诧异的是,五项评测办事中竟然有一项完全不撑持该功能。其它几项则只承诺在组级别进行按需触发。是以,假定要对某个伶仃端点进行扫描,我们必需成立一个新组并将对应端点分派到该组傍边,然后才能实现扫描触发。有鉴于此,我们不克不及不向供给商提出质疑:为甚么不供给指向单一设备的选项?在现有方案下,治理员几近不成能在无需手动把持的前提下实现主动扫描触发。
临时禁用反歹意软件功能:需要临时停用反病毒功能才能正常安装的法度倒不太多见,但是临时叫停反歹意软件扫描东西确切可以或许简化端点的故障排查流程。是以,治理员当然希看能对端点上的反歹意软件功能随时进行开启及封锁。但是成果再次令人掉看,五项评测办事对象中独一一项能知足我们的要求。在其它办事方面,唯一停用反歹意软件扫描的编制就只有将其完全卸载。这一状况很可能成为浩繁大年夜型企业用户运营流程的绊脚石。
长途LAN唤醒:休眠系统凡是会继续利用已颠末时的签名文件,且未能及时更新把持系统及利用法度安然补丁。因为大年夜大都系统会在启动时主动履行上述保护工作,是以休眠系统的唤醒机制也是一项很是合用的功能。LAN唤醒(简称WoL)功能会向LAN Mac地址发送一个名为“魔法包”的数据包,从而触发计较机的启动流程、触发收集中各设备的开机时序。
在我们此次研究的五款云端点办事方案中,只有一款供给WoL功能。或许其它反歹意软件供给商觉得该功能对威胁检测流程并没有积极意义,但它确切能在检测系统状况或确保系统具有最新补丁与病毒签名方面起到首要感化。
总结:
当然传统内部端点安然产品市场已相当作熟,但云根本同类方案还显得很是青涩。因为主流供给商拿出的方案贫乏浩繁相当根基的功能,企业用户生怕需要对现有内部方案中的功能与云端点办事版本进行一一对比,从而找出需要但却尚处于缺掉状况的项目。好动静是云办事供给商们可以或许更精练、更频繁地改进产品,是以客户的标题问题反馈应当可以或许很快在方案中获得表现——这也恰是云机制的最大年夜优势之一。