10个尖端工具，将终端安全提升到一个新的水平

简单的终端保护时代已经结束。恶意软件的扫描和筛选已经成为一个非常复杂的过程，而大多数传统的反恶意软件工具只能发现一小部分潜在的感染。

现在有许多先进的端点检测和响应(EDR)工具，都声称可以发现和阻止最微妙的攻击，甚至是那些不会留下很多指纹的攻击。

作为去年秋天我们写了一篇关于炭黑和氰的评论，有两种基本的方法:搜索(寻找一些奇怪的行为)和筛选和收集特定的趋势或活动(这源于传统的反病毒)。

+此包中的更多内容:高级终端保护的7个趋势|如何购买终端安全产品|十大先进的端点保护工具+

在这篇综述中，我们测试的10种产品超越了主动监控和端点保护，更密切地关注了威胁。他们在一个更大的生态系统中评估这些威胁，结合网络入侵检测的最佳方面，并检查每台计算机上的单个进程级别。当然，这是一个很高的要求。

这类产品的重要性可以从微软最新推出的Windows Defender Advanced Threat Protection中看出。在3月的RSA展会上宣布，它将慢慢向所有Windows 10用户推出(不管他们是否想要，多亏了Windows更新)。基本上，微软所做的就是把每个终端变成一个传感器，然后把这些信息发送到它的云检测服务Security Graph中。目前还没有发布任何补救功能。

除了微软，还有很多产品可供选择。我们研究了Outlier Security、Cybereason、Sentinel One、Stormshield SES、ForeScout抵消、Promisec PEM、CounterTack Sentinel、CrowdStrike Falcon主机、制导软件Encase和Comodo高级端点保护。(BufferZone、Deep Instinct、enSilo、Triumfant、ThreatStop和Ziften拒绝参与。)

最好的产品结合狩猎和采集方法,也看看发生了什么在您的网络,连接到各种安全事件源产生的内部系统和外部恶意软件收藏家,在线和离线工作在各种终端的操作系统和版本,以接近实时的和检查你的端点。

好消息是，随着这些EDR工具变得更加强大，放置在端点上的传感器或代理仍然较小，在系统CPU资源消耗方面也较低。同样令人印象深刻的是，其中三种产品——ForeScout、Outlier Security和Promisec——是无代理的。

正如您可能怀疑的那样，没有一种产品可以包揽一切。您将不得不做出妥协，这取决于您已经安装了哪些其他安全工具以及您的员工的技能水平。正因为如此，我们不能给每个产品打数字分数，也不能给总冠军颁奖。

以下是个人的评论：

Comodo高级端点保护v 5.1

科摩多高级端点保护（AEP）增长的公司的产品提供反恶意软件行出局。它配备了代理人（包括Windows，Mac和智能手机）的最广泛集合，支持Linux台式机在今年晚些时候推出。这就是所谓的Comodo一个全面的软件套件的一部分，但仍是单独出售。

它的消费者焦点显示:Comodo有最简单和最快的设置之一的任何产品我们看:你可以字面上在10分钟内启动和运行。它基于web的控制控制台的布局很简单，您需要完成的步骤的顺序显示在首页的右边，工作流步骤列在屏幕左侧的主菜单上。您可以批量设置端点，或者在安装代理后强制对它们安装MSI包。

也就是说，我们仍然需要一些帮助来让我们的第一次完全安装在Windows终端上正常工作。然而，这可能是因为日期/时间服务没有与VM上的Internet时间服务器正确同步。AEP发送的电子邮件中嵌入了几个安装在Windows或智能手机上的链接。一旦用户点击了适当的链接，安装过程就会很快进行，而且不会有太多操作员的干预。

AEP有两种不同的形式：作为在线服务或者在Windows服务器上运行的应用程序。对于后者，你会需要的各种组件，包括SQL Server和.NET Framework。一旦启动并运行，您通过Web浏览器访问其控制台。该功能是相同的是否开启或关闭的处所。

AEP的传统结合“anti-virus-plus”产品的一个基本的移动设备管理器的智能手机集。大部分控制围绕建立一个传统的预防恶意软件产品,虽然还有很多其他的功能,包括一个基于主机的防火墙,一套策略自动移动任何未知的可执行文件或其他可疑文件到其基于云的沙箱来证明其出处,和一系列的基于主机的入侵预防规则。所有这些控件都包含在一系列基于web的策略菜单中，这些菜单可以组织到不同的策略组中。

还有两个补充服务:第一个是Viruscope，它自动分析正在运行的进程并记录它们的活动。你可以通过一些开关来开启这个功能。如果检测到以前没见过的东西——可能是恶意软件——它就会标记为未知，然后将文件发送到第二个名为Valkyrie的服务，这是科莫多的在线文件分析工具。

瓦尔基里会查看可疑的文件，并根据数十种不同的行为和其他分析(包括人的和机器的)对其进行评级。整个过程只需要不到一分钟的时间，但在标记误报方面对最终用户的影响最小。基本分析引擎包含在入门级订阅中。

对于智能手机，AEP提供基本的MDM服务：它会告诉你哪些应用程序安装在您的手机上（你可以去选择那些你不想让你的用户运行），软件和其他常规设置的版本。您可以远程擦除手机，重置其屏幕PIN，关闭相机，等几十个设置。如果你已经有了一个MDM或下载您的手机上的其他管理配置文件，您需要在安装AEP的配置文件之前将其删除。（这将是很好的从Comodo得到警告，当这种情况发生的。）

与其他一些产品的审查这里，它不允许你指定任何特定的安全饲料或日志文件。有一个“应用程序”选项卡上确实有一些作为IDP相同的角色：你可以白/黑名单的具体应用，排除特定的软件发行商和检查是否有文件被上传到Comodo的沙箱进行进一步的分析。

在设置/角色管理选项卡下，AEP拥有粒度角色的最大集合，允许您在30多个其他参数中启用全设备管理或设置对安全策略的只读访问。

在文件列表中有各种模板：Windows中，iOS和Android。Mac不完整的个人资料，但还应该有下一个版本。每个策略都有一系列的部分，如防病毒软件或文件分析，这反过来又都有自己的具体参数。当你构建你的政策，每个部分显示为横跨顶部的一栏上一个单独的标签，使其更容易找到并修改特定element.The Windows策略都比较齐全：智能手机的政策忽略了防火墙，IPS主机和其他sections that aren’t relevant to mobile devices.

AEP最大的弱点是它只有一些固定的报告:早期版本只有一份库存报告;这在最新版本中得到了增强。报告可以以Excel或PDF格式下载。

AEP不仅仅是用来搜索恶意软件的，它还是一个完整的补丁管理工具。在我们的示例Windows 7和10 VMs上，我们发现分别有370个和35个补丁可以将原来的安装升级到当前的补丁级别。您可以非常快速地按严重性(关键、重要或较低)对它们进行分组，并安装对您的操作最重要的组件。

有三种定价等级:基础级、高级级和白金级。基本层是免费的，并打算免费试用。这将打开一个基于云的管理控制台，允许您在30天内设置100个用户。在试用结束时，你每年为每个用户支付31美元到54美元不等的费用，就可以选择使用本地服务器。白金级包括Valkyrie，并在其自动化程序中增加了人工筛选。数量折扣和年折扣可以使价格大幅度降低。

CounterTacktack哨兵V5.5

哨兵执行您的端点收集的实时威胁分析。增加的转折是，它与各种大数据分析工具集成，满足其自身及第三方公司，并且几乎可以无限地定制，以安全饲料工作。

+ ALSO：端点安全连续+

Sentinel可以管理Linux和Windows端点，并支持范围广泛的端点，可以追溯到XP Service Pack 3，包括Windows服务器版本。他们正在为销售点和嵌入式系统开发传感器，并将在今年晚些时候为Mac OS提供支持。