为什么端点不应完全依赖扫描?

几十年来,杀毒软件无疑一直是保护 端点的默认解决方案。大多数防病毒解决方案都会扫描端点,将文件与已知威胁的签名数据库进行交叉比对。虽然扫描技术足以识别已知威胁,但却无法跟上当今针对端点的高级威胁。以下是扫描不应成为保护端点安全的第一道防线的四个主要原因。

 

1. 依赖签名数据库

在当前的威胁环境下,恶意软件会以惊人的速度变化,这意味着签名数据库需要持续更新最新签名,以避免过时。与扫描一样,这些更新也会降低系统性能。反病毒解决方案通常允许用户将更新安排在更方便的时间,但这可能会使数据库长期处于过期状态,在此期间,威胁很容易绕过并躲过扫描仪的检测。

获取《XDR 入门指南

 

2.只识别已知威胁

扫描仪只能扫描样本的已知信息。任何未知的东西,如零日威胁或多态恶意软件,都不会被发现。攻击者通常会对现有威胁稍作修改,从而绕过扫描引擎的检测,产生多态恶意软件或变种。这些变种需要全新的签名才能被检测到,使扫描仪失去作用。创建新签名需要大量人力,而且无法跟上攻击者修改威胁的速度。

 

3.性能影响

反病毒解决方案会定期扫描恶意文件或威胁,而不管当时的系统活动如何。这会消耗大量资源,占用磁盘空间,降低设备运行速度。为了尽量减少影响,用户通常会绕过或重新安排扫描,改变扫描频率,或完全停用杀毒软件。虽然任何这些操作都可以暂时避免性能下降,但它们会使系统容易受到恶意软件的攻击,而以前的扫描可能没有检测到这些恶意软件。此外,定期扫描会增加遗漏扫描间隙引入系统的恶意软件的风险。

 

4.静止文件不被视为威胁

恶意文件在执行之前不会对系统构成实际威胁。反病毒解决方案会扫描潜在的恶意文件,大大影响了搜索对系统没有威胁的东西的性能。

最好的端点安全解决方案采用多种方法预防恶意软件,既能防范不断变化的威胁,又能解决防病毒扫描仪提出的问题,而所有这些都不依赖签名。它们可以与基于云的威胁分析服务集成,预防已知、未知和零时差威胁,在恶意软件活跃时就将重点放在恶意软件上,而不是为休眠活动消耗系统资源。

当识别到恶意软件时,基于云的服务会自动创建并向所有受保护的端点共享预防措施。这可确保端点能够防止已知或新发现的恶意软件,而无需定期更新。不过,安全小组仍可根据合规性或安全保证的需要,选择性地扫描恶意软件文件。

XDR, 即扩展检测和响应,是一种创新的端点安全方法。XDR 可以收集几乎所有数据,如网络、云和端点数据,它认识到在孤立的孤岛中调查威胁是无效的。XDR 系统利用机器学习、分析和自动化将这些来源拼接在一起并从中获得洞察力,与孤立的安全工具相比,提高了安全可视性和工作效率。其结果是简化和加快了调查工作,缩短了发现、威胁追踪、调查和应对任何形式威胁所需的时间。

要了解有关 Cortex XDR 的更多信息,Cortex XDR 是业界首个 XDR 平台,可整合来自任何来源的数据以阻止现代攻击,请访问 产品页面