为什么端点不应完全依赖扫描？

几十年来，杀毒软件无疑一直是保护 端点的默认解决方案。大多数防病毒解决方案都会扫描端点，将文件与已知威胁的签名数据库进行交叉比对。虽然扫描技术足以识别已知威胁，但却无法跟上当今针对端点的高级威胁。以下是扫描不应成为保护端点安全的第一道防线的四个主要原因。

1. 依赖签名数据库

在当前的威胁环境下，恶意软件会以惊人的速度变化，这意味着签名数据库需要持续更新最新签名，以避免过时。与扫描一样，这些更新也会降低系统性能。反病毒解决方案通常允许用户将更新安排在更方便的时间，但这可能会使数据库长期处于过期状态，在此期间，威胁很容易绕过并躲过扫描仪的检测。

2.只识别已知威胁

扫描仪只能扫描样本的已知信息。任何未知的东西，如零日威胁或多态恶意软件，都不会被发现。攻击者通常会对现有威胁稍作修改，从而绕过扫描引擎的检测，产生多态恶意软件或变种。这些变种需要全新的签名才能被检测到，使扫描仪失去作用。创建新签名需要大量人力，而且无法跟上攻击者修改威胁的速度。

3.性能影响

反病毒解决方案会定期扫描恶意文件或威胁，而不管当时的系统活动如何。这会消耗大量资源，占用磁盘空间，降低设备运行速度。为了尽量减少影响，用户通常会绕过或重新安排扫描，改变扫描频率，或完全停用杀毒软件。虽然任何这些操作都可以暂时避免性能下降，但它们会使系统容易受到恶意软件的攻击，而以前的扫描可能没有检测到这些恶意软件。此外，定期扫描会增加遗漏扫描间隙引入系统的恶意软件的风险。

4.静止文件不被视为威胁

恶意文件在执行之前不会对系统构成实际威胁。反病毒解决方案会扫描潜在的恶意文件，大大影响了搜索对系统没有威胁的东西的性能。

最好的端点安全解决方案采用多种方法预防恶意软件，既能防范不断变化的威胁，又能解决防病毒扫描仪提出的问题，而所有这些都不依赖签名。它们可以与基于云的威胁分析服务集成，预防已知、未知和零时差威胁，在恶意软件活跃时就将重点放在恶意软件上，而不是为休眠活动消耗系统资源。

当识别到恶意软件时，基于云的服务会自动创建并向所有受保护的端点共享预防措施。这可确保端点能够防止已知或新发现的恶意软件，而无需定期更新。不过，安全小组仍可根据合规性或安全保证的需要，选择性地扫描恶意软件文件。

XDR, 即扩展检测和响应，是一种创新的端点安全方法。XDR 可以收集几乎所有数据，如网络、云和端点数据，它认识到在孤立的孤岛中调查威胁是无效的。XDR 系统利用机器学习、分析和自动化将这些来源拼接在一起并从中获得洞察力，与孤立的安全工具相比，提高了安全可视性和工作效率。其结果是简化和加快了调查工作，缩短了发现、威胁追踪、调查和应对任何形式威胁所需的时间。

要了解有关 Cortex XDR 的更多信息，Cortex XDR 是业界首个 XDR 平台，可整合来自任何来源的数据以阻止现代攻击，请访问 产品页面。