Sophos Intercept X深度學習提供預測性防護功能
網絡防護公司Sophos 推出Intercept X下一代端點安全方案最新版本,新增由先進深度學習 (Deep Learning) 神經網絡賦予的惡意軟件檢測能力,並結合了嶄新的主動黑客攻擊緩減、進階應用程式鎖定,以及更強效的勒索軟件防護,實現了前所未有的檢測和預防效能。
深度學習是機器學習的最新演進,利用可大規模擴展的檢測模型洞悉所有觀察得到的威脅形勢。與傳統的機器學習相比,深度學習可以處理數以億計樣本,使其得以更快的速度、更低的誤報率作出更準確的預測。
Enterprise Strategic Group (簡稱ESG) 高級認證分析師Tony Palmer解釋:「傳統的機器學習模型靠威脅分析專家選擇用於訓練模型的屬性,因而添上主觀的人為因素。隨著加入的數據與日俱增,這些千兆位元模型亦愈發複雜,結果運算過程變得既繁瑣亦緩慢,甚至出現相當高的誤報率,使管理員不得不親自確認哪些是惡意軟件,哪些是合法軟件——這反而降低了IT部門的工作效率。Intercept X的深度學習神經網絡則讓系統從經驗中學習,進而在觀察到的行為和惡意軟件之間建立關聯。這些關聯分析提高了該方案檢測現存的以至零日 (Zero-day) 惡意軟件的準確性,大大減少誤報。ESG實驗室的分析亦表明,這種神經網絡模型易於擴展,加上它得到的數據越多就越具智慧,故能主動進行偵測而不會加重行政管理工作或影響系統性能。」
加強端點安全
Sophos Intercept X新版本還配備多項創新技術,包括防勒索軟件和漏洞利用防護,以及憑證盜竊防護等主動黑客攻擊緩減功能。目前黑客因應防惡意軟件技術的改進,改為傾向盜用存取憑證,以求合法用戶身份在系統和網絡中四竄行動,而Intercept X正好能偵測並預防這類事故發生。該方案可透過雲端管理平台Sophos Central部署,與任何廠商現有的端點安全軟件一同安裝,即時加強端點保護。當與Sophos XG防火牆一併使用時,Intercept X還會引入同步安全功能,進一步提升防護能力。
機器學習將成為主流
Sophos高級副總裁兼產品總經理Dan Schiappa表示:「預測性防護是IT安全的未來發展方向。將深度學習神經網絡引入業界領先的漏洞利用和勒索軟件防護產品Intercept X,使Sophos又向前邁進了一大步。這種新技術徹底改變了IT部門保障系統用戶和公司資產的方法,讓企業能夠主動抵擋下一波未知攻擊,毋須坐以待斃。無論企業現時採取何種策略,Intercept X都能為其帶來最先進的下一代保護功能。」
據ESG實驗室認證報告指出,每家公司都應該假定自己經常受到網絡威脅的攻擊。此外,ESG於2017年7月發表之《轉型中的網絡安全分析和營運研究報告》亦顯示,有超過四分之一的受訪者認為,網絡安全分析和措施執行之所以變得更具挑戰,主要是因為企業難以緊貼威脅形勢的急速變化。
Intercept X初版於2016年9月推出,卓越效能早已獲世界各地數以萬計的企業肯定。至於參加了是次Intercept X最新版本早期試用計畫之客戶和合作夥伴,對新功能有以下的評價:
Sophos合作夥伴Networking Technologies and Support Inc. 的業務營運高級副總裁Mark Brandon表示:「Intercept X廣受我們的客戶歡迎。事實上,傳統的端點保護措施根本不足以阻止去年叫大家極為頭痛的勒索軟件攻擊,但Intercept X能夠與任何廠商的端點安全方案一起安裝,意味著我們可以立即幫那些求助企業解決難題。Intercept X簡單高效,有助我們成為客戶信賴的合作夥伴,促進業務增長。深度學習和其他增強功能亦彰顯出Sophos正以創新技術在對抗網絡威脅上取得上風,領導市場發展。」
Sophos的合作夥伴Chess CyberSecurity董事總經理James Miller說:「Sophos繼續推動IT安全的創新。我們看好同步安全的遠景,而且很多客戶都十分讚賞Intercept X不用IT管理員干預也能自動偵測和應付安全事故。有些正使用其他廠商的端點解決方案企業也急欲抵抗零日威脅,因此Intercept X不僅將事件回應效率提升到一個新水平,亦使Sophos吸引到這批企業垂青。」
Intercept X的新功能包括:
深度學習惡意軟件偵測
- 深度學習模型可在已知和未知的惡意軟件以及「潛在不需要應用程式 」(PUA) 執行前就對其進行偵測,無需比對特徵碼。
- 該模型大小不到20MB,亦毋須經常更新。
主動緩和對手攻擊
- 憑證盜竊防護——防止有人竊取記憶體、登錄檔和永久儲存系統中的授權密碼和雜湊資訊,以免這些資料被Mimikatz這類攻擊利用。
- 代碼洞利用——檢測出植入於其他應用程式中的代碼,制止這種通常用於存留和反病毒措施的手法。
- APC保護——檢測異步程序呼叫 (Asynchronous Procedure Call,簡稱APC) 的濫用。APC通常用於AtomBombing代碼注入手法,而最近更被用於透過EternalBlue漏洞和DoublePulsar工具傳播WannaCry蠕蟲與NotPetya清除軟件 (攻擊者濫用這些呼叫來騙使其他進程執行惡意代碼) 。
更強效的嶄新漏洞利用防禦技術
- 惡意進程調用——偵測攻擊者用來調動於系統上運行進程之遙距反射DLL注入法。
- 進程權限提升——防止低權限進程被蓄意升級這種擴大系統存取權的伎倆。
增強應用程式鎖定
- 瀏覽器行為鎖定——Intercept X會阻止有人惡意使用瀏覽器的PowerShell,以作為基本的行為鎖定措施。
HTA應用程式鎖定——由瀏覽器加載的HTML應用程式將如瀏覽器一樣被施以鎖定防護。