北京时间2018年3月1日,网络和端点安全的全球领导厂商Sophos (LSE:SOPH) 宣布推出Intercept X方案最新版本,新增由先进深度学习神经网络支持的恶意软件检测功能。这一最新版本的下一代端点保护方案结合了新的主动黑客攻击缓减、先进的应用程序锁定,以及增强型勒索软件防护等功能, 实现了超强的检测和预防能力。
深度学习是机器学习的最新进展,它提供了一个庞大的可扩展检测模型,能够学习所有观察到的威胁形势。与传统的机器学习相比,深度学习凭借其处理数以亿计样本的能力,以更快的速度、更少的误报率做出更准确的预测。
“传统的机器学习模型依赖于专家威胁分析师来选择用于训练模型的属性,因而增加了主观的人为因素。随着添加的数据越来越多,模型也变得越来越复杂,成为繁琐而缓慢的千兆字节模型。这些模型的误报率也很高,管理员不得不亲自确定哪些是恶意软件,哪些是合法软件,从而降低了IT的工作效率。”
“与此相反,Intercept X的深度学习神经网络让系统可以通过经验进行学习,从而在观察到的行为和恶意软件之间建立关联。这些关联性分析提高了对现有的和零日恶意软件检测的精确性,降低了误报率。ESG实验室的分析表明,这种神经网络模型很容易扩展,并且它得到的数据越多,模型就变得越智能。这样就可以主动进行检测,而且不会影响管理或者系统性能。”企业战略集团(ESG)高级认证分析师Tony Palmer对深度学习做了详细的解释。
Sophos中国区总经理钟明辉台上介绍Sophos公司的发展概况
这一新版本的Sophos Intercept X还包括防勒索软件和漏洞利用攻击防护,以及主动黑客攻击缓减等创新技术,例如凭证盗窃保护功能。随着反恶意软件的进步,攻击逐渐集中于盗窃凭证,目的是以合法用户身份在系统和网络中行动,而Intercept X可检测并预防此类事件发生。通过基于云的管理平台Sophos Central进行部署,Intercept X能够与任何厂商现有的端点安全软件一同安装,并即刻增加端点保护。当与Sophos XG防火墙一起使用时,Intercept X引入同步安全功能,进一步增加保护能力。
Sophos运维中心Intercept X产品界面
Intercept X系列产品于2016年9月首次推出,已经广获全世界数以万计的企业中采用。Sophos的合作伙伴、客户们对此产品给予了一致的好评。
Sophos高级副总裁兼产品总经理Dan Schiappa表示:“预测性保护是IT安全的未来。将深度学习神经网络引入业界领先的漏洞利用和勒索软件保护产品Intercept X,是Sophos向前迈出的一大步。对未知攻击做出抵抗,而不是等待攻击的到来,这将改变每一家企业保护其用户和资产的IT运营方式。”
Intercept X中的新产品特点包括:
深度学习恶意软件检测
深度学习模型可在已知和未知的恶意软件以及潜在不需要的应用程序(PUA)执行前,无需依靠特征码对其进行检测。
该模型不到20MB,无需经常更新。
主动攻击缓减
凭证盗窃防护——防止窃取内存、注册表和永久存储中的验证密码和散列信息,而这些信息有可能被 Mimikatz 这类攻击利用。
代码洞利用——检测出植入其他应用程序中的代码,这通常用于存留和反病毒程序
APC保护——侦测异步程序调用(APC)的滥用,APC通常用在 AtomBombing 代码注入技术的一部分,而最近被用于通过 EternalBlue 和 DoublePulsar 传播 WannaCry 蠕虫和 NotPetya 清除软件(攻击者滥用这些调用来捕获其他进程,以此执行恶意代码)。
新的增强漏洞利用预防技术
恶意进程迁移——检测攻击者使用的远程反射DLL注入方法,该方法在系统之间迁移运行的进程。
进程权限提升——防止低权限进程被蓄意升级,这是一种用来获取更高系统访问权限的策略。
增强应用程序锁定
浏览器行为锁定——Intercept X防止恶意使用浏览器的 PowerShell,以作为基本的行为锁定措施。
HTA 应用程序锁定——浏览器加载的 HTML 应用程序将像浏览器一样应用锁定减缓。