选择云端安全服务不可轻视的三大细节

今天在Quora 上看到了一个很棒的问题，或许也是很多人心中的疑问：为什么这么多硅谷创业者在谈论自己的创业时喜欢用一种浮夸和好大喜功的方式？我觉得原问题戾气有点重，所以根据提问者的语境做了点修改：为什么创业者总喜欢谈一些宏大的理想？

先看看提问者的问题描述：

Mailbox CEO Gentry Underwood 在TechCrunch 上发表了一篇文章：“我们反思inbox ，认为这是一个巨大的机会和雄心勃勃的挑战——值得付以鲜血、汗水、泪水，建立一个创业公司，或许有一天还能在这个世界留下我们的印迹。”不止一个Underwood ，在硅谷你能听到很多类似内容的不同形式的夸夸其谈，构成以“酷”著称的加州文化。为什么这么多创业者需要或渴望用这种荒谬的形式来谈论自己的创业呢？为什么不只是说“我们想在一个广阔的市场，做一个好的产品，解决一些重要的问题，吸引大量的用户并且赚很多钱”？在东海岸的创业者就是这么说的——如果你通过一个邮箱应用说什么“在世界留下痕迹”，人们会认为你刚吸了大麻。

一位连续创业者回答了这个问题：

是这样，你没得选择。你没法一个人或者在真空创业，你需要鼓励别人加入你，跟随你，去做一些平凡的工作，去修正别人的bug ，去对抗残酷的竞争，而不只是加入Google、Facebook 或者别的热门公司。你需要说服公关和博主来报道你们，而他们需要一些至少有趣的素材。你需要说服合作伙伴和早期的顾客与你一同冒险，他们需要一个值得信任的理由。如果你不能画一个远见和机遇的大饼（尽管那不是你的真实想法），那么你也无法跨出第一步。有人缘是不足以获取1 亿美元的收入的，或许，你还需要“酷”起来（作者配图是本文题图）。

这么看，创业是如此的残酷。这使我想起苹果的“think different”广告，或许真正的创业者可能更深有体会：While some see them as the crazy ones, we see genius.Because the people who are crazy enough to think they can change the world, are the ones who do.

现实是，疯狂的人毕竟少数，也正因为此，他们才显得如此卓尔不群。

基于云的端点安全服务与企业内部安全服务相比远不够成熟，如何在经验和案例均不足的现阶段成功完成自己的云端安全服务?这是个困扰着很多CSO的问题。

所谓知己知彼百战不殆，除了对自身的需求做一番仔细的考量外，另一方面就是搞清供应商的产品和服务了，双管齐下才能确保攻下云端安全服务这个碉堡。

在云端安全三大注意事项：部署、警报与报告一文中，我们已经做了初步阐释，而本文将进一步揭秘供应商端点安全服务中的各种缺失，为企业完善云端点安全提供“知彼”的途径，以便企业用户在选择云服务时少走弯路。还是以Tolly集团最近发布的原型部署机制体验报告为基础，依然是来自五大知名云服务供应商的服务产品，真相如下，给CSO们提个醒，选产品一定要在下面的细节擦亮眼睛：

云端点授权需明确

某些云端点安全服务允许使用者创建多个管理用户，然后将不同企业部门的管理工作委托给特定管理员。某些安全服务甚至提供“只读”管理员角色，旨在帮助管理者在进行端点安全监控时确保其内容不变。

但是并非所有的供应商都能做到这一点，如果大家的企业希望将不同端点部门的管理职责委托给不同管理员，一定要向服务供应商核实是否提供此类功能。当然，最重要的是搞清楚管理员能对端点客户端进行哪些管理操控。

云服务策略配置有缺失

端点运行所遵循的规则通常由策略配置文件来定义。在研究中，我们试图建立一套具有以下属性的策略：每四小时更新一次签名文件、每天运行一次全局扫描并在反恶意软件扫描中排除特定文件/目录。令人惊讶的是，如此基本的策略配置属性居然都无法在全部五种云端点安全服务中实现。举例来说，某项服务不允许对签名文件的更新频率做出任何修改，也不允许设置扫描例外。另一家供应商的产品则将默认策略设为只读，因此所有其中不支持的功能就只有通过创建一套自定义策略才能实现——这也是我们达成上述属性需求的惟一途径。

反恶意软件系统的任务在于抢在威胁损害端点之前对其进行检测与隔离。通常情况下，威胁的隔离审查工作应该由管理员执行。经过审查流程，管理员往往会删除实际威胁并对错误警报结果予以放行，这样被一次误报的文件就不至于在未来的扫描中再次遭到拦截。令人惊讶的是(请原谅我们又惊讶了)，并不是所有参与评测的端点安全服务中的反恶意软件都提供这项功能。某些只是简单将全部被检测为病毒的文件删除，这样粗暴的解决方式很可能给多数企业带来大麻烦。

同样地，我们也观察了管理员应当如何处理被误报为病毒且遭到隔离的文件。由于某些服务根本不提供警报内容管理功能，因此管理员根本无法对误报状况做出补救。只有一款产品允许管理员自动将误报项目添加至例外名单，其它几种产品只能通过手动方式添加例外项目，从而让误报对象继续正常运行。(虽然添加工作倒也不算复杂，但如果误报状况数量庞大，肯定会明显消耗管理员的时间与精力。)

云端点交互问题多

作为研究报告的最后一部分，我们审视了如何以各种方式与特定端点进行交互操作。

按需扫描触发机制：如果某个端点出现可疑行为或大量威胁，安全管理员必然希望为其设置一套按需扫描触发机制，从而在此类情况再次发生时改动进行处理。令人惊讶的是，五项评测服务中居然有一项完全不支持该功能。其它几项则只允许在组级别进行按需触发。因此，如果要对某个单独端点进行扫描，我们必须创建一个新组并将对应端点分配到该组当中，然后才能实现扫描触发。有鉴于此，我们不得不向供应商提出质疑：为什么不提供指向单一设备的选项?在现有方案下，管理员几乎不可能在无需手动操作的前提下实现自动扫描触发。

暂时禁用反恶意软件功能：需要暂时停用反病毒功能才能正常安装的程序倒不太多见，然而暂时叫停反恶意软件扫描工具确实能够简化端点的故障排查流程。因此，管理员当然希望能对端点上的反恶意软件功能随时进行开启及关