写在前面

继续主要能力安全防护的瞎白活。与入侵检测不一样的是安全防护更多是筑好高墙静静等待，当然简单高效的防护措施是必不可少的。

安全防护

将防御措施从粗粒度的、静态的检测和防护转移到更细粒度的、关注用户的、系统的以及各种资产的动态防护和自动化响应上是目前看到的一个趋势。我是想把用各种库的特征值或静态规则匹配方式的内容都归结到安全防护里来，但是前面入侵检测里其实也包括这些内容所以我就列了以下内容，有待商榷。

防病毒

AV不用多说了已经叱咤江湖很多年，在我不知道计算机网络这事以前我就已经用过kill了，目前还是各种合规要求里不可或缺的内容。自从360免费了个人版以后，杀毒这事就慢慢的淡出了我的视野，原因也简单貌似免费以后就没什么需要查杀处理的病毒了。

曾经的案例：永恒之蓝在国内开始爆发的时候任何一家杀软企业都搞不定，过了许久出了专杀工具，但问题是，专杀工具负责的是哪个用于检测传播到你PC上的恶意文件，如果你在杀软界面上看到了对应的记录说明什么？说明已经可以成功的入侵到你的机器上并有了system权限，它只不过用哪个权限给你发了哪个文件并被杀软检测到了而已，攻击你的人完全可以传个别的什么文件过来执行，没必要非勒索你。这就是为啥永恒之蓝已经过去很久了你还能在许多机器上看到他们的痕迹，比如利用哪个漏洞传过来的盗号木马拉、各种蠕虫还能看到广告什么的。

杀软的好处就是相对还是快、简单，它能直接肯定的告诉你哪个文件是有问题的具体病毒分类、名称啥的都直给。问题就是它只能告诉你它知道的，这些内容还有误报和漏报，直面对一个个文件，一搞无文件攻击、免杀木马、APT啥的就结束了。另一个就是库的大小问题，本地库搞太大占用存储空间就多，检测效率就低，库搞太小检测内容就太少漏报就会更多，有的厂商开始通过更新包控制库的大小和内容，比如将用的少的特征替换成新的，好几年前的替换成最新的，你要提覆盖率达不到百分之多少那就让你看我云端实时给你准备的超级大库，本地把握不了的你发我这云查杀。NGAV之后不知道还能不能再来个啥进化扭转下。

微隔离

端点的访问控制，目前叫这个名字的都会感觉比叫主机防火墙来的高级，确实~按字面理解也是微隔离的功能更为强大，主机防火墙再咋说也就是防火墙的能力。我会再开一期单独记录下我的微隔离认识。

主机WAF

为啥列了这个内容主要还是觉得目前针对WEB安全的内容着实很多，不把WAF什么的能力搬到端点上来我觉得不合适。云主机、虚拟机作为WEB服务器你再搞个网络WAF做防护明显不够level，不够灵活。之前看到过嵌入java等程序的WEB安全检测方法感觉还挺好，但是没过2年现在也逐渐销声匿迹了应该是不好使，不过这不妨碍端点上WEB安全能力的发展，我觉得会有个什么玩意挺身而出，希望不是铁盒子WAF移植就好。

主机审计

审计能力不用多说，除了本身的用处、合规啥的要求以外，在端点安全对接其他SOC、态势感知什么的时候多输出一些元数据以提供更立体的分析内容也是极好的。审计所有命令行是不是有端点堡垒机的感觉了，其他内容稍微发散点应该还能变出其他功能来。

黑白名单

黑白名单，简单、粗暴、高效，可以把你在端点上看到的东西都弄个黑白名单来管理，看到什么就能列什么。文件分黑白、签名分黑白、行为分黑白、进程调用关系你都能列个黑白表更别说网络访问了。

文件监测

类似于网页防篡改的功能，防护么作为计算机文件还是最重要的必经有用的东西都在文件里。演化演化是不是能变成数据检测和响应的内容，数据的产生、处理、存储的主要锚地还是端不是么。

准入控制

准入控制也是存在了很久的端点安全功能了，不用多说好多家都有类似功能。

传统的基于特征库检测手段，主要是识别和阻断已知威胁的防护功能。安全防护功能基于已知的、静态的检测手段占用更少的开销，不需要多维度、多数据源的采样、分析就能够对大部分已知风险威胁进行检测，同时对资产提供保护。