在哪里检测恶意软件

　　大多数业内人士已经习惯认为反恶意软件需要直接在终端设备上运行。基于合规要求，很多企业被迫采用这种部署模式，即在每个Windows设备上运行反恶意软件。随着Mac和Linux加速进入企业桌面和数据中心，反恶意软件也需要考虑这些平台的恶意软件检测。但是要记住，Mac OS X和Linux的底层架构能够比Windows XP更好地阻止恶意软件。

　　虚拟化的出现让选择最佳反恶意软件技术更加复杂化。考虑一下，如果虚拟设备上运行的每个客户机运行一个反恶意软件代理，你将需要在相同硬件上反反复复运行相同的代码，这违背了虚拟化的目的。所以，反恶意软件供应商现在优化其引擎来运行在单个客户机（或在管理程序内），并与虚拟化环境通信以确保虚拟机资源得到优化。

　　回到尽可能阻止恶意文件靠近外围的想法，反恶意软件应该被部署在更靠近入口点的位置–在企业外围或者云服务内。检查恶意软件最方便的地方是在web或者电子邮件安全网关或者云服务。由于电子邮件和Web仍然是主要攻击对象，通常这都是第一个部署的位置。

　　还有一些新的设备，我们一直称其为基于网络的恶意软件检测，这种检测方法查看所有进入的网络流量，并对进入网络的文件进行分析，这与我们上面描述端点部署类似—确保具有攻击特征的文件无法进入。

处理办法

　　当你发现恶意文件时应该怎么做？这时候，你需要结合其他已经部署的系统/控制。所以你寻找的最佳反恶意软件技术需要能够与这些系统或设备互操作，因为你的网络设备需要阻止/隔离可能被感染的设备。你还需要确保警报发送到报告控制界面，反恶意软件管理系统、SIEM/日志管理产品、或帮助台系统来启动修复过程。

　　尽管你付出了最大努力来进行检测，但如果你遭受恶意软件感染，通常最佳反恶意软件技术都有清理设备的功能。在控制界面中，你只需要点击一个按钮，设备就会被修复。随着恶意软件变得更加复杂和“恶毒”，清理成了一场必败之仗。恶意攻击者都会设法留下一些恶意软件的残存来确保再次感染。所以，企业应该反复进行清理。你明明可以进行多次清理，为什么只清理一次呢？

　　因此，我们现在建议重新镜像被感染的设备。虽然这种方法通常会导致数据丢失，并且给用户带来不便，但鉴于再次感染的高风险，我们认为确保恶意软件已被根除更加重要。