对10种高级终端防护产品进行广泛测试后，一系列业界趋势浮现出来：

1. 病毒签名已过时

近几年来，在网上充斥的几乎自动化的病毒构建包面前，为每个病毒赋予一个唯一签名的做法实在不够看。今天的很多高级终端防护产品，都利用报告最新攻击的安全新闻反馈，比如VirusTotal.com和其他信誉管理服务。有些产品，比如CrowdStrike，与大量安全和日志管理工具集成，以便在发现攻击趋势上更有效。

2. 跟踪可执行程序已成明日黄花

恶意软件早期，漏洞利用包通常都会在终端上留下某种载荷或残留：文件、注册表键什么的。后来，坏人也进修升级了，恶意进程运行在内存中，几乎追踪不到它们的活动，或者隐藏在PDF或Word文档中，要不干脆就强制用户浏览器访问包含有Java漏洞利用代码的钓鱼网站。

今天的黑客则更为高端，利用 Windows PowerShell 建立远程命令shell，传递文本命令，几乎不留痕迹地入侵终端。为有效应对这一新型入侵行为，今天的防护产品将目光放在了攻击者对终端的影响上：看有没有释放什么文件，包括乍看之下像是良性文本的文件；或者对Windows注册表有没有做什么修改。想找出这些并不容易，很多产品都专注于这一领域以防止坏人获取用户电脑的控制权。

3. 产品能否跟踪权限提升或其他凭证欺诈活动？

在安装SQL服务器或其他什么产品时，有时候会留下一些使用了默认设置的合法用户凭证，现代攻击者便会试图利用这些凭证渗透公司网络，然后再提升权限，成为域管理员或其他拥有更高网络权限的重要用户。

4. 内部人威胁愈加致命，封锁他们也变得更为艰难

传统杀毒防护产品不起作用的原因之一，便是因为攻击者可以从以前信任的终端，获取到公司内部网络的访问权，从而大搞破坏。要封锁此类行为，今天的工具需要映射内部或横向网络活动，追踪哪些PC被入侵，并在整个网络陷落前控制住局势。

5. 数据渗漏愈演愈烈

将私人用户数据或机密客户信息弄出公司网络就是所谓的数据渗漏。不用舍近求远，看看索尼或塔吉特，就知道EDR工具不得不处理的是什么了。能追踪这些渗漏的工具还更有用些。

6. 很多工具都采用大数据和云分析来追踪网络活动

传感器和代理如此紧凑的原因之一，是很多重要功能都放在云端，云端是实现大数据技术和数据可视化以发现并封锁潜在攻击的地方。SentinelOne和 Outlier Security 使用这些技术实时关联用户整个网络中的数据。

7. 攻击报告标准，比如CEF、STIX和OpenIOC，正被集成到今天的终端防护产品中

SentinelOne是例子之一。这是个颇受欢迎的发展，更多产品有望朝着这一方向前进。