内容摘要：在互联网尚未普及的时代，机构唯一需要担心的就是内网中员工使用的办公电脑。而现在，远不只是在写字楼，员工会在机场、咖啡店、酒店办公，由于疫情时代，居家办公更是常态。与在公司内网上对终端进行保护相比，居家

在互联网尚未普及的何利好端护时代
，机构唯一需要担心的用人就是内网中员工使用的办公电脑。而现在，工智远不只是点防在写字楼
，员工会在机场
、何利好端护咖啡店 、用人酒店办公，工智由于疫情时代，点防居家办公更是何利好端护常态。

与在公司内网上对终端进行保护相比，用人居家办公的云计算工智终端面临的威胁完全不一样 。恶意软件泛滥的点防游戏设备  、连接互联网的何利好端护电视 、音箱、用人摄像头……这些智能设备的工智软件可能上一次更新是在几年前
，都与你的办公电脑处在同一个局域网 。

传统端点安全已失效

EDR(端点检测和响应)在这五年来 ，似乎一直都是终端安全的最优解。模板下载但问题在于，市面上的许多EDR仍然沿用传统的方法，严重依赖威胁情报和基于规则的响应。这意味着，只能看到攻击者已经干了什么 ，而不知道未来会发生什么。

网络攻击者越来越善于逃避基于规则的检测 。他们能够快速地关掉自己的域名 ，利用杀毒引擎平台测试自己的恶意软件 ，并使用雪鞋攻击(大量IP少量连接)将黑名单对恶意域名的高防服务器可见性降至最低，导致想维护一个包含最新信息的 、全面的威胁情报数据库变得更加困难。

两名希腊的安全研究人员对18种最流行的EDR和端点保护产品进行测试，结果只有两款产品能够完全覆盖测试所用的高级攻击手段
。

(测试报告：https://arxiv.org/pdf/2108.10422.pdf)

人工智能驱动的行为检测

以端点安全厂商Darktrace的自主响应工具Antigena为例 ，它并非通过检测已知的IOC来触发缓解规则，而是亿华云使用机器学习技术建立正常的网络流量和行为模型，然后实时监控网络，以发现与预期行为不同的任何偏差，即异常行为。如：

某用户访问一个陌生服务器
，并试图将文件上传到该服务器;一台本地机器与外部大量的地址通信 ，而且这些目的地之前从未联系过;一个几乎不发送邮件的域名给某位员工发邮件。

当发现可疑活动时，Antigena便会发出警告 ，也可以设置成主动模式 ，自动响应该异常行为 。免费模板而且
，它的自学习机制可以根据行为的严重程度采取不同程度的处置措施 ，从简单的隔离电子邮件到把终端和整个网络隔离 。

终端上的轻量级代理

后疫情时代，居家办公已是常态。员工可能会将公司的数据下载到家中的计算机上，然后有意或无意地将这些数据存储到其他地方，比如公有云 。香港云服务器这种混合工作环境
，脱离了公司的网络监控视线，属于典型的网络安全盲区 。

为了填补这一盲点 ，无论是在办公室、商务旅行还是在家中，都要实现终端的可视性
。为此 ，Darktrace的端点检测和响应(EDR)产品包含了一个轻量级代理(cSensor)，可以在Windows 
、Mac或Linux系统上运行，在网络和通信级别执行异常行为的检测
，并分析终端设备上发生的情况。

例如
，一个新安装的应用程序正在与一个陌生的IP通信 ，或者某用户没有通过VPN连接到企业网络上的另一台设备。

cSensor还提供了额外的遥测功能 ，为Darktrace的其他产品提供了更多的上下文信息，帮助Antigena在更新网络流量的自学习语料库时，实时发现问题 。

例如 ，当收到一封请求银行交易的邮件时，基于cSensor提供的上下文信息
，Antigena的电子邮件产品能够识别这是否是一封来自陌生域名的发件 ，该域名是否是可疑的 ，以及是否要发出报警或做出阻拦。这一切都是在辅助训练Antigena的自主响应能力 。

监视断开连接的设备

cSensor为机构网络上运行的Darktrace实例建立了一个安全通道 ，当设备与网络断开连接时，可立即向后台发出警报，并依据安全管理平台(这里是指Darktrace的Enterprise Immune System)的情报采取相应行动 。

对于不具备7*24小时监控服务 ，但同时又有内部监管要求的组织来说，这是一个很好的使用案例 。cSensor能帮助Antigena检测设备上的员工行为是否安全，以它确保设备不会被滥用。

Antigena还能够通过网络流量来监控无cSensor的端点设备
，如传感器、智能灯泡、联网摄像头，甚至是工业控制系统和OT设备 。简而言之，可以监控任何连进网络的有IP地址的端点 。

端点安全的未来

端点安全未来会发生很大的变化，尤其是随着人们逐渐适应居家办公模式
，机构网络安全监管范围会扩大到家庭的网络设置。如，企业可能会要求将公司业务数据与家庭个人数据进行物理隔离 。这很可能意味着员工要有两个彼此隔离的无线网络 。

端点设备一直都是网络攻击最为常见的入口，云计算、万物互联和移动办公，更是令传统的网络边界防护手段失效。网络安全范式转换的时代已来临 ，在万物互联的数字世界，人工智能决定着未来攻防对抗的此消彼长 
。