基于云的端点安全服务与企业内部安全服务相比远不够成熟,如何在经验和案例均不足的现阶段成功完成自己的云端安全服务?这是个困扰着很多CSO的问题。所谓知己知彼百战不殆,除了对自身的需求做一番仔细的考量外,另一方面就是搞清供应商的产品和服务了,双管齐下才能确保攻下云端安全服务这个碉堡。本文将进一步揭秘供应商端点安全服务中的各种缺失,为企业完善云端点安全提供“知彼”的途径,以便企业用户在选择云服务时少走弯路。
云端点授权需明确
某些云端点安全服务允许使用者创建多个管理用户,然后将不同企业部门的管理工作委托给特定管理员。某些安全服务甚至提供“只读”管理员角色,旨在帮助管理者在进行端点安全监控时确保其内容不变。
但是并非所有的供应商都能做到这一点,如果大家的企业希望将不同端点部门的管理职责委托给不同管理员,一定要向服务供应商核实是否提供此类功能。当然,最重要的是搞清楚管理员能对端点客户端进行哪些管理操控。
云服务策略配置有缺失
端点运行所遵循的规则通常由策略配置文件来定义。在研究中,我们试图建立一套具有以下属性的策略:每四小时更新一次签名文件、每天运行一次全局扫描并在反恶意软件扫描中排除特定文件/目录。令人惊讶的是,如此基本的策略配置属性居然都无法在全部五种云端点安全服务中实现。举例来说,某项服务不允许对签名文件的更新频率做出任何修改,也不允许设置扫描例外。另一家供应商的产品则将默认策略设为只读,因此所有其中不支持的功能就只有通过创建一套自定义策略才能实现——这也是我们达成上述属性需求的惟一途径。
反恶意软件系统的任务在于抢在威胁损害端点之前对其进行检测与隔离。通常情况下,威胁的隔离审查工作应该由管理员执行。经过审查流程,管理员往往会删除实际威胁并对错误警报结果予以放行,这样被一次误报的文件就不至于在未来的扫描中再次遭到拦截。令人惊讶的是(请原谅我们又惊讶了),并不是所有参与评测的端点安全服务中的反恶意软件都提供这项功能。某些只是简单将全部被检测为病毒的文件删除,这样粗暴的解决方式很可能给多数企业带来大麻烦。
同样地,我们也观察了管理员应当如何处理被误报为病毒且遭到隔离的文件。由于某些服务根本不提供警报内容管理功能,因此管理员根本无法对误报状况做出补救。只有一款产品允许管理员自动将误报项目添加至例外名单,其它几种产品只能通过手动方式添加例外项目,从而让误报对象继续正常运行。(虽然添加工作倒也不算复杂,但如果误报状况数量庞大,肯定会明显消耗管理员的时间与精力。)
云端点交互问题多
作为研究报告的最后一部分,我们审视了如何以各种方式与特定端点进行交互操作。
按需扫描触发机制:如果某个端点出现可疑行为或大量威胁,安全管理员必然希望为其设置一套按需扫描触发机制,从而在此类情况再次发生时改动进行处理。令人惊讶的是,五项评测服务中居然有一项完全不支持该功能。其它几项则只允许在组级别进行按需触发。因此,如果要对某个单独端点进行扫描,我们必须创建一个新组并将对应端点分配到该组当中,然后才能实现扫描触发。有鉴于此,我们不得不向供应商提出质疑:为什么不提供指向单一设备的选项?在现有方案下,管理员几乎不可能在无需手动操作的前提下实现自动扫描触发。
暂时禁用反恶意软件功能:需要暂时停用反病毒功能才能正常安装的程序倒不太多见,然而暂时叫停反恶意软件扫描工具确实能够简化端点的故障排查流程。因此,管理员当然希望能对端点上的反恶意软件功能随时进行开启及关闭。然而结果再次令人失望,五项评测服务对象中仅有一项能满足我们的要求。在其它服务方面,惟一停用反恶意软件扫描的方式就只有将其彻底卸载。这一状况很可能成为众多大型企业用户运营流程的绊脚石。
远程LAN唤醒:休眠系统通常会继续使用已经过期的签名文件,且未能及时更新操作系统及应用程序安全补丁。由于大多数系统会在启动时自动执行上述维护工作,因此休眠系统的唤醒机制也是一项非常实用的功能。LAN唤醒(简称WoL)功能会向LAN Mac地址发送一个名为“魔法包”的数据包,从而触发计算机的启动流程、触发网络中各设备的开机时序。
在我们此次研究的五款云端点服务方案中,只有一款提供WoL功能。也许其它反恶意软件供应商认为该功能对威胁检测流程并无积极意义,但它确实能在检测系统状态或确保系统拥有最新补丁与病毒签名方面起到重要作用。
总结:
虽然传统内部端点安全产品市场已经相当成熟,但云基础同类方案还显得非常青涩。由于主流供应商拿出的方案缺少众多相当基本的功能,企业用户恐怕需要对现有内部方案中的功能与云端点服务版本进行一一比照,从而找出必要但却尚处于缺失状态的项目。好消息是云服务供应商们能够更简便、更频繁地改进产品,因此客户的问题反馈应该能够很快在方案中得到体现——这也正是云机制的最大优势之一。
