2022 年最佳托管端点保护和安全软件

也许您对端点保护有点厌烦。说实话，这看起来确实有点让人想起冷战。一方面是恶意软件生产者，基本上是坏人，他们努力改进他们的技术以发现和利用哪怕是最小的漏洞。另一方面是端点保护开发人员，他们也在不断努力，同时寻找更智能的方法来识别、阻止各种形式的恶意代码。冲突是一场永无止境的斗争，更糟糕的是，它主要是在幕后发生的。至少在可怕的事情发生之前这就是端点保护真正迅速变得令人兴奋的时候。但是，尽管那些日子在影响财富 500 强公司及其客户时往往会成为头条新闻，但永远不要忘记，中小型企业 (SMB) 也同样容易受到攻击，并容易受到同样的攻击和攻击。而且因为他们往往没有大型组织的安全预算，所以 SMB 实际上看起来更容易成为黑客的目标或容易实现的目标。这意味着 SMB 与企业一样需要复杂且响应迅速的端点保护，如果不是更需要的话 ## Bitdefender GravityZone 商业安全企业最适合高级威胁防护底线： Bitdefender GravityZone Business Security Enterprise 是比其 Premium 同类产品更强大的产品。将其出色的保护和补丁管理与先进的 EDR 功能相结合，使其很容易被预算充足的企业所接受优点 - 出色的未知威胁检测 - 良好的策略管理工具 - 沙盒分析器 - 可定制的仪表板 - 即使没有 EDR 的基本攻击取证缺点 - 难以理解的定价和计划 - 一些功能有陡峭的学习曲线 - 昂贵的 ## F-安全元素最适合设备管理底线： F-Secure Elements 存在一些问题，但与一流的定制、威胁检测以及端点检测和响应 (EDR) 功能相比，这些问题相对较小优点 - 良好的移动设备管理功能 - 出色的自定义配置文件和策略管理 - 出色的检测性能 - 捆绑补丁管理缺点 - 报告仍然有限 - EDR 具有昂贵的附加组件 ## Sophos 拦截 X 端点保护最适合企业端点保护底线： Sophos Intercept X Endpoint Protection 凭借更直观的界面、更新的威胁分析功能和出色的整体威胁检测，在今年保持了编辑选择评级优点 - 直观有效的威胁分析/EDR - 出色且快速的威胁检测 - 易于浏览的界面缺点 - 只能通过第三方供应商提供 - 不支持 Linux 工作站 ## 卡巴斯基端点安全云最适合低报告需求底线：卡巴斯基端点安全云 (ESC) 重新设计了界面并改进了关键 IT 功能，尤其是报告优点 - 攻击性恶意软件和病毒检测 - 良好的网络保护 - 出色的网络钓鱼检测 - 基于用户的安装在成本方面具有优势缺点 - 缺乏完整的 EDR 功能 - 端点检测和云可见性之间存在明显的滞后时间 |销售者||价格| |Kaspersky300 每年 10 个节点||查看（在新窗口中打开）| ## 微软 365 后卫最适合 Microsoft 365 客户底线： Microsoft 365 Defender 适用于知道如何解决其怪癖的 Microsoft 爱好者。如果你能在混乱的菜单中挣扎并且阅读门槛高，这里有很多力量，尽管你需要为此付出代价优点 - 包含在 Microsoft 365 中 - 强大的端点检测和响应 (EDR) 功能 - 出色的威胁分析和调查能力 - 升级以专业修复威胁 - 很多好的文档缺点 - 界面可能令人困惑 - 设置不直观 - 显着的学习曲线 - 昂贵的 ## 趋势科技企业安全无忧服务最适合基本的小型企业保护底线：趋势科技无忧企业安全服务在传统保护方式上提供了很多功能，但缺乏漏洞扫描和补丁管理等功能优点 - 包括更高定价层级的增强型威胁分析和 EDR - 优秀的检测能力 - 内置入侵防御规则缺点 - 尚不支持 macOS Monterey - 缺乏补丁管理 - 对非活动威胁的性能缓慢 ## Avast Business Antivirus Pro Plus 最适合使用大量桌面的企业底线： Avast Business Antivirus Pro Plus 非常易于使用，是小型企业的不二之选。但是，如果您的需求稍微高级一点，您可能会错过竞争对手提供的几个功能优点 - 出色的威胁检测能力 - 包括 VPN 和文件粉碎机 - 易于管理 - 包括基本遥控器缺点 - 没有移动设备管理 - 补丁管理需要单独的许可证 - 没有 EDR 功能 |销售者||价格| |AVAST||访问站点||查看（在新窗口中打开）| ## ESET Endpoint Protection 标准版最适合远程管理底线： ESET 在界面和可用性方面显着改进了其 SaaS 产品。它也提供了高级别的保护，但一些挥之不去的 UI 怪癖可能会使其比某些竞争对手更具挑战性优点 - 大大改进的用户界面 - 各种各样的详细报告 - 易于使用的远程管理 - 无插件网络钓鱼保护缺点 - 用户界面可能不一致且过于复杂 - 价格昂贵，EDR 需要昂贵的升级 - 低迷的检测率 ## Vipre 端点安全云最适合多种设备类型底线：对于需要既易于使用又经济实惠的产品的企业，Vipre Endpoint Security Cloud 非常适合，只要您不需要高级威胁分析或端点检测和响应 (EDR) 功能优点 - 简单的策略定义和管理 - 包括入侵检测系统 (IDS) - 出色的检出率 - 包括 VPN 和身份盗用监控缺点 - 没有 EDR 功能 - 许多功能仅适用于 Windows |销售者||价格| |VIPRE||访问网站||查看（在新窗口中打开）| ## WatchGuard 熊猫自适应防御 360 最佳安全策略底线：最近被 WatchGuard 收购的 Panda Adaptive Defense 360 仍然具有出色的威胁防护和易于部署的特点优点 - 严密、严肃的安全模型 - 攻击指标功能有助于在攻击发生之前发现它们 - 数据保护功能有助于合规 - 可配置的入侵检测缺点 - 报告功能有限 - 倾向于产生误报 - 对基于脚本的攻击不太有效 ## 什么是托管端点保护解决方案？托管端点保护解决方案相当于一个企业级防病毒和反恶意软件平台，它们完全托管在云中。这意味着管理员登录到 Web 控制台以执行扫描、注册用户、管理许可证和执行其他日常管理任务以及报告。这是一种自然演变，因为云托管安全服务的好处实在太多，不容忽视坚持使用老式端点保护套件意味着 IT 必须在本地创建基于服务器的后端，然后将扫描软件和代理部署到他们想要手动保护的每台设备，同时负责扫描引擎更新。与云托管服务相比，大多数令人头疼的问题都由服务提供商承担。后端完全由供应商管理，您的用户可以自动获取他们的设备软件和更新，同时向 IT 提供任何异常、问题和威胁的清晰报告。云甚至可以帮助供应商部署更先进的解决方案来应对更棘手的威胁所有这些工具面临的挑战是不断变化的网络安全威胁格局。他们需要准确地找出什么是恶意的并对其进行压制，而不是过多地标记以致于保护业务实际上会使它陷入停顿。这是一个很难解决的问题，因为恶意可能是一件非常模糊的事情。因此，误报是一个持续存在的问题，处理它们是开发人员如何区分他们的产品和竞争市场份额的主要方面之一这就是云的优势所在近年来证明是一个福音。任何托管端点保护解决方案都将至少有一部分整体架构驻留在云端。随之而来的是在服务器端利用大数据科学和高级分析的能力。这让服务提供商可以构建可以显着提高检测率的机器学习 (ML) 模型，这在供应商不得不依赖客户的本地计算能力时几乎无法实现。虽然基于签名的检测肯定仍然在清除领域中发挥重要作用，但机器学习是我们大多数供应商看到未来发展的方向，我们在今年的测试中看到了这方面的巨大进步。我们的评论清楚地表明 ML 是今年最热门的安全组件，推动了许多最新功能，尤其是基于行为的检测。虽然这些引擎仍然可以被愚弄，但这正在迅速变得更加困难尽管如此，通过适当的调整，恶意软件开发人员仍然能够巧妙地伪装他们的恶意负载并偷偷通过 IT 部门的防御。糟糕的应用程序使用各种技巧来实现这一目标，从数字伪装一直到社会工程。因此，在决定端点保护解决方案之前进行尽职调查至关重要。为了解决这个问题，本综述对 10 位顶级端点保护厂商进行了评估。首先，我们从 IT 专业人员的角度检查部署和管理功能，然后我们执行一套由四部分组成的检测测试，以了解这些工具如何相互匹配## 我们如何测试托管端点保护解决方案随着威胁和对策的不断发展，测试端点保护已成为一件棘手的事情。我们看到供应商部署的 ML 算法非常擅长找出已知问题，这使得使用已知的恶意软件批次成为一种象征性的姿态。大家都做好了准备，那么到底能有多大的效果呢？好吧，这当然是为每个供应商建立能力基准的必要测试，但这也是采取多管齐下的方法来测试这些解决方案的一个很好的理由作为根据经验，任何组织防御链中最薄弱的安全环节始终是在那里工作的人员。因此，PCMag 实验室首先测试网络钓鱼检测。有时，阻止攻击的最快方法就是简单地阻止用户交出他们的凭据，即使他们这样做是无辜的。为此，我们利用了一个名为 PhishTank(Opens in a new window) 的网站，该网站发布了一个不断增长的经过验证的网络钓鱼网站列表。我们随机选择 10 个仍然活跃的站点，并将它们用作晴雨表来检查网络钓鱼检测在我们的测试候选者中的工作情况。我们只是使用运行候选人软件的测试机导航到所有十个站点并记录发生的情况另一种非常流行的攻击媒介是诱骗用户下载看似合法的应用程序，然后将其用于恶意目的，甚至只是等待一段时间，表现正常，然后引爆某种恶意负载。能够深入了解可能携带流氓代码的应用程序必须是任何成功的端点保护解决方案的重点关注领域。我们专注于每个候选人如何执行此类分析，如何报告这些结果，可以采取哪些对策以及他们可能有多容易被打败我们还确保每个候选人熟悉当前的威胁形势。我们通过针对运行候选人保护客户端的测试系统抛出一个新的已知恶意软件数据库来做到这一点。到目前为止，我们还没有测试过一个系统，该系统不能检测到至少 80%，通常更多，这些已知的恶意软件变体。但是，有时可能会有延迟，直到系统能够发挥其最佳水平，这对潜在买家来说很重要。此外，某些系统依赖于等到恶意软件执行后才对其进行标记，然后仅旨在清理混乱。还有一些人依靠纯基于签名的检测算法和 ML 来找出共性。这些方法中的每一种，甚至是明智的组合，都意味着不同程度的成功，买家总是希望检测和清洁的百分比尽可能高并尽早我们更高级的测试旨在了解系统是否可以使用浏览器或 Microsoft Windows 漏洞进行渗透，以及主动攻击者破坏系统的难易程度。我们通过直接在我们的测试系统上放置恶意可执行文件来完成第一部分，以查看端点保护软件的反应。我们还启用了一个具有特定（且有效）的基于浏览器的漏洞的网站，并针对我们的测试系统启动了该漏洞我们使用测试系统的远程桌面协议 (RDP) 密码，并假设它已通过暴力攻击泄露。然后通过 RDP 将各种恶意软件样本下载到系统中。此过程在很大程度上依赖于 Metasploit(Opens in a new window) 框架和 Veil 3.1 框架来生成和编码攻击。检测引擎流行的速度是这里最重要的指标，因为在野外，这些类型的攻击可能会在一段时间内未被发现。虽然我们发现大多数系统会在执行时捕获它们，但有些系统会允许该过程持续一段令人不安的时间。我们根据系统受到损害时可能造成的损害程度进行评分。我们还尝试删除文档、更改系统文件，甚至卸载或禁用防病毒包 ## 其他主要功能原始保护潜力当然是端点保护解决方案的关键购买指标，但还有其他功能需要考虑。首先，对移动设备的支持是一项关键功能，即使我们去年测试托管端点保护解决方案时，我们也确实发现今年这种趋势仍在继续。确保您选择的保护套件可以保护您组织稳定的所有设备可能意味着必须学习多种工具并为其付费与能够从单个控制面板查看您公司的端点安全健康状况之间的区别。要寻找的移动功能不仅包括可以安装在 Google Android 和 Apple iOS 上的代理，还包括基本的移动设备管理 (MDM) 功能，例如自动设备注册、远程加密策略实施和远程设备擦除补丁管理是这批保护产品中另一个重要的组成部分。许多由恶意软件引起的问题是因为恶意软件利用了未打补丁的系统上留下的漏洞。 Microsoft Windows 可能是这里最常被提及的罪魁祸首，但实际上补丁漏洞发生在所有类型的系统上，您的端点保护解决方案应该解决这个问题。现在尤其如此，因为 Microsoft 大多强制用户自动更新其补丁。这在用户中产生了一种错误的安全感，他们认为只要 Windows 自动安装更新，他们就是安全的。但实际上，无数其他应用程序经常未打补丁，而坏人经常使用其中一个或多个应用程序来制造同样多的混乱仅仅知道补丁存在是向企业所有者传达危险并允许补丁过程的第一步，该过程不仅需要包括下载补丁，还包括首先测试然后才部署它。能够从 Web 控制台部署和回滚这些补丁是任何企业都应该具备的能力，无论您是将其作为端点解决方案的一部分还是作为单独的补丁管理工具获取另一个关键能力，也是我们在测试中非常重视的能力，是策略管理。为大型或小型用户组或设备设置自定义策略的能力不仅是一个有用的工具，而且在用户通常使用多个设备（甚至是他们自己的设备）来完成工作的时代实际上是必需的。高级用户和开发人员可能需要更多的操作余地，而标准最终用户可能会被更严格地锁定。有一个干净的方法来做到这一点不仅是一种管理乐趣，而且通常是避免未来重大噩梦的唯一方法 ## 在你的环境中评估最后，虽然我们认为我们的测试方法是合理的，但我们希望根据第三方资源的结果来验证结果。今年，主要是 AV Comparatives(Opens in a new window) 和他们 2019 年的测试结果。将我们的结果与 AV Comparatives 的结果进行比较，使我们能够添加额外的比较点，以更好地从多个角度展示产品。它也是对我们结果的独立验证，包括可用性、检测准确性、误报、性能等因素对于正在寻找新的或更新的端点保护解决方案的企业来说，所有这些加起来就是一个极好的购买指南。但是，阅读本指南不应该是您研究的终点。缩小选择范围后，确定最适合贵公司的解决方案意味着在您自己的环境中评估解决方案。这意味着始终寻找能够启动评估期的产品是个好主意，无论是在与销售人员交谈之后还是只是使用供应商网站上的免费下载链接 *（编者注：Vipre 归 PCMag 的母公司 Ziff Davis 所有