Sophos 宣布推出 Intercept X 新一代端點安全方案最新版本,新增由先進深度學習 (Deep Learning) 神經網路賦予的惡意軟體偵測能力,並結合了最新的主動駭客攻擊緩減、進階應用程式鎖定,以及更強效的勒索軟體防護,實現了前所未有的偵測和預防效能。
深度學習是機器學習的最新演進,利用可大規模擴展的偵測模型洞悉所有觀察得到的威脅形勢。與傳統的機器學習相比,深度學習可以處理數以億計樣本,使其得以更快的速度、更低的誤報率作出更準確的預測。
Enterprise Strategic Group (ESG) 資深認證分析師Tony Palmer解釋:「傳統的機器學習模型單純仰賴威脅分析專家選用的訓練模型屬性,因此有著主觀的人為因素。隨著加入的資料與日俱增,這些高達Gigabite的模型亦愈發複雜,導致運算過程繁瑣且緩慢,甚至出現相當高的誤報率,促使系統管理員不得不親自確認哪些是惡意軟體,哪些是合法軟體,如此一來反而降低了IT部門的工作效率。Intercept X的深度學習神經網路則讓系統從經驗中學習,進而在觀察到的行為和惡意軟體之間建立關聯。這些關聯分析提高了其偵測現存以及零時差 (Zero-day) 惡意軟體的準確性,大大減少誤報。ESG實驗室的分析亦表明,這種神經網路模型易於擴展,加上得到的資料越多就越具智慧,故能主動進行偵測而不會加重管理工作或影響系統效能。」
Sophos Intercept X新版本還配備多項創新技術,包括防勒索軟體和入侵攻擊防護,以及憑證盜竊防護等主動駭客攻擊緩減功能。目前駭客因應防惡意軟體技術的改進,改為傾向竊取存取憑證,以利用合法使用者的身分在系統和網路中四處行動,而Intercept X能夠偵測並預防這類事故發生。該方案可透過雲端管理平台Sophos Central部署,與任何廠商現有的端點安全軟體一同安裝,立即加強端點保護。當與Sophos XG防火牆一併使用時,Intercept X還可以導入同步安全功能,進一步提升防護能力。
Sophos資深副總裁兼產品總經理Dan Schiappa表示:「預測性防護是IT安全的未來發展方向。將深度學習神經網路導入業界領先的入侵攻擊和勒索軟體防護產品Intercept X,使Sophos又向前邁進了一大步。這種新技術徹底改變了IT部門保障系統使用者和公司資產的方法,讓企業能夠主動抵擋下一波未知攻擊。無論企業現時採取何種策略,Intercept X都能為其帶來最先進的新一代保護功能。」
據ESG實驗室認證報告指出,每家公司都應該假定自己經常受到網路威脅的攻擊。此外,ESG於2017年7月發表之《轉型中的網路安全分析和營運研究報告》亦顯示,有超過四分之一的受訪者認為,網路安全分析和措施執行之所以變得更具挑戰,主要是因為企業難以跟上威脅形勢的急速變化。
Intercept X初版於2016年9月推出,卓越效能早已獲世界各地數以萬計的企業肯定。參加Intercept X最新版本早期試用計畫之客戶和合作夥伴,對新功能則有著以下的評價:
Sophos合作夥伴Networking Technologies and Support Inc. 的業務營運資深副總裁Mark Brandon表示:「Intercept X廣受我們的客戶歡迎。事實上,傳統的端點保護措施根本不足以阻止去年讓人頭痛的勒索軟體攻擊,但Intercept X能夠與任何廠商的端點安全方案一起安裝,意味著我們可以立即幫那些求助企業解決難題。Intercept X簡單且高效率,有助我們成為客戶信賴的合作夥伴,促進業務增長。深度學習和其他增強功能亦彰顯出Sophos正以創新技術領先網路威脅,領導市場發展。」
Sophos的合作夥伴Chess CyberSecurity董事總經理James Miller說:「Sophos繼續推動IT安全的創新。我們看好同步安全的遠景,而且很多客戶都十分讚賞Intercept X不用IT系統管理員介入也能自動偵測和應付安全事故的能力。有些正使用其他廠商的端點解決方案企業也急欲抵抗零時差威脅,因此Intercept X不僅將事件回應效率提升到一個新水平,亦使Sophos吸引到這批企業垂青。」
Sophos客戶Strong & Hanni PC公司的技術服務總監Denney Fifield指出:「誤報幾乎和實際威脅一樣耗費時間。在IT資源有限的情況下,我們希望能夠集中精力確保業務高效營運,而IT員工亦可全力支援目標達成,免致浪費時間在捕風捉影上。我們還沒有發現有其他方案能如Intercept X般由深度學習驅動,提供高偵測率與低誤報率,因此我們期待為公司全面部署這款產品。」
Sophos客戶Kimbolton School IT技術員Alex Bradshaw坦言:「我們遭受一次勒索軟體攻擊,導致系統停頓了48小時以待修復,因此該段期間毫無生產力;這當然給每天都依賴IT營運的師生帶來了壓力和不便。之後,我們部署了Intercept X,它不僅只需五分鐘就安裝完畢,還可以十分鐘完成一次全面掃描,而我們再也再沒有受到勒索軟體的影響。」
Sophos客戶紐約布魯克林教區的安全和資訊總監Gus Garcia表示:「Intercept X能夠針對勒索軟體和其他網路威脅提供最佳保護。現在,我們的使用者可藉此確保工作效率,而當出現問題時,我再也不用派遣技術人員去整頓每個系統。我告訴同事們一定要深入了解Sophos這個方案,因為它實在易用且便於管理,部署也非常簡單,最重要的是的確有效。」
Intercept X的新功能包括:
深度學習惡意軟體偵測
‧深度學習模型可在已知和未知的惡意軟體以及「可能不需要應用程式 」(PUA) 執行前就對其進行偵測,無需比對特徵碼。
‧該模型大小不到20MB,亦毋須經常更新。
主動減緩攻擊
‧ 憑證盜竊防護—防止有人竊取記憶體、登錄檔和永久儲存系統中的授權密碼和雜湊資訊,以免這些資料被Mimikatz這類攻擊利用。
‧ 程式碼洞穴利用—偵測出植入於其他應用程式中的程式碼,制止這種通常用於存留和防毒措施的手法。
‧ APC保護—偵測非同步程序呼叫 (Asynchronous Procedure Call,簡稱APC) 的濫用。APC通常用於AtomBombing程式碼插入手法,而最近更被用於透過EternalBlue弱點和DoublePulsar工具傳播WannaCry蠕蟲與NotPetya清除軟體 (攻擊者濫用這些呼叫來騙使其他處理程序執行惡意程式碼) 。
更強力的最新入侵攻擊防禦技術
‧惡意處理程序呼叫—偵測攻擊者用來調動於系統上運行處理程序之遙距反射DLL插入法。
‧處理程序權限提升—防止低權限處理程序被蓄意升級這種擴大系統存取權的行為
增強應用程式鎖定
‧瀏覽器行為鎖定—Intercept X會阻止有人惡意使用瀏覽器的PowerShell,以作為基本的行為鎖定措施。
‧HTA應用程式鎖定—由瀏覽器加載的HTML應用程式將如瀏覽器一樣被施以鎖定防護。