北京,2018年3月1日——网络和端点安全的全球领导厂商Sophos宣布推出Intercept X方案最新版本,新增由先进深度学习神经网络支持的恶意软件检测功能。这一最新版本的下一代端点保护方案结合了新的主动黑客攻击缓减、先进的应用程序锁定,以及增强型勒索软件防护等功能, 实现了前所未有的检测和预防能力。
深度学习是机器学习的最新进展,它提供了一个庞大的可扩展检测模型,能够学习所有观察到的威胁形势。与传统的机器学习相比,深度学习凭借其处理数以亿计样本的能力,以更快的速度、更少的误报率做出更准确的预测。
企业战略集团(ESG)高级认证分析师Tony Palmer解释道:“传统的机器学习模型依赖于专家威胁分析师来选择用于训练模型的属性,因而增加了主观的人为因素。随着添加的数据越来越多,模型也变得越来越复杂,成为繁琐而缓慢的千兆字节模型。这些模型的误报率也很高,管理员不得不亲自确定哪些是恶意软件,哪些是合法软件,从而降低了IT的工作效率。与此相反,Intercept X的深度学习神经网络让系统可以通过经验进行学习,从而在观察到的行为和恶意软件之间建立关联。这些关联性分析提高了对现有的和零日恶意软件检测的精确性,降低了误报率。ESG实验室的分析表明,这种神经网络模型很容易扩展,并且它得到的数据越多,模型就变得越智能。这样就可以主动进行检测,而且不会影响管理或者系统性能。”
这一新版本的Sophos Intercept X还包括防勒索软件和漏洞利用攻击防护,以及主动黑客攻击缓减等创新技术,例如凭证盗窃保护功能。随着反恶意软件的进步,攻击逐渐集中于盗窃凭证,目的是以合法用户身份在系统和网络中行动,而Intercept X可检测并预防此类事件发生。通过基于云的管理平台Sophos Central进行部署,Intercept X能够与任何厂商现有的端点安全软件一同安装,并即刻增加端点保护。当与Sophos XG防火墙一起使用时,Intercept X引入同步安全功能,进一步增加保护能力。
Sophos高级副总裁兼产品总经理Dan Schiappa表示:“预测性保护是IT安全的未来。将深度学习神经网络引入业界领先的漏洞利用和勒索软件保护产品Intercept X,是Sophos向前迈出的一大步。对未知攻击做出抵抗,而不是等待攻击的到来,这将改变每一家企业保护其用户和资产的IT运营方式。不论企业当前战略如何,Intercept X都能够给他们带来最先进的下一代保护功能。”
据ESG实验室认证报告,每家公司都应该假设它总是受到来自网络威胁的攻击。在最近的ESG研究中,当被问及网络安全分析和运营为何变得更加困难时,超过1/4的受访者表示很难跟上快速变化的威胁形势是主要原因。(转型中的网络安全分析和运营,2017年7月)。
Intercept X于2016年9月首次推出,已经广获全世界数以万计的企业中采用。参加了最新版本Intercept X的早期试用计划的客户和合作伙伴对新功能有以下评论:
Sophos的合作伙伴Networking Technologies and Support Inc.业务运营高级副总裁Mark Brandon表示:“Intercept X广受我们的客户欢迎。去年的勒索软件让大家最为头痛,我们曾采用传统的端点保护措施尽力去阻止它。Intercept X能够与任何厂商的端点保护方案一起安装意味着我们可以立即帮助那些希望我们能解决这一问题的企业。Intercept X简单高效,有利于我们成为客户信赖的合作伙伴。引入深度学习和其他增强功能也表明,Sophos正在引领这一市场,推出领先于网络威胁的创新技术。”
Sophos的合作伙伴Chess网络安全公司总经理James Miller表示:“Sophos继续推动IT安全领域的创新。我们看好同步安全的远景,我们的很多客户都很赞赏在解决方案中无须IT管理员干预的情况下自动检测和响应安全事件的能力。Intercept X将事件响应提升到了一个新水平并使Sophos吸引到新的目光,这些用户可能正在使用其他厂商的端点解决方案,但同时也需要立即得到能够抵抗零日威胁的保护。
Sophos的客户Strong & Hanni PC公司的技术服务主管Denney Fifield表示:“误报几乎和实际威胁一样耗费时间。在IT资源有限的情况下,我们希望能够集中精力保证业务高效运营,并且IT员工能够支持这个目标,而不是追风逐影。我们还没有遇到其他的产品能像Intercept X这样,由深度学习驱动,具有高检测率、低误报率。我们期待着在为公司全面部署这款产品。”
Sophos的客户Kimbolton学院的IT技术员Alex Bradshaw表示:“我们遭受了一次勒索软件攻击,结果我们停机了48小时,毫无工作效率可言。这给每天都离不开我们IT运营的教员和学生带来了压力和不便。之后,我们部署了Intercept X,只需要五分钟就能安装完毕,十分钟完成一次全面扫描。从那以后,我们再也没有受到勒索软件的影响。”
Sophos的客户布鲁克林教区的安全和信息官Gus Garcia表示:“Intercept X能够针对勒索软件和其他网络威胁进行最好的保护。现在,我们的用户保持了工作效率,当发生问题时,我再也不用派出技术人员去清理每个系统了。我告诉我的同事,一定要考虑Sophos,因为它很容易使用,便于管理,部署也很简单,而且的确奏效。”
Intercept X中的新产品特点包括:
深度学习恶意软件检测
·深度学习模型可在已知和未知的恶意软件以及潜在不需要的应用程序(PUA)执行前,无需依靠特征码对其进行检测。
·该模型不到20MB,无需经常更新。
主动攻击缓减
·凭证盗窃防护——防止窃取内存、注册表和永久存储中的验证密码和散列信息,而这些信息有可能被 Mimikatz 这类攻击利用。
·代码洞利用——检测出植入其他应用程序中的代码,这通常用于存留和反病毒程序
·APC保护——侦测异步程序调用(APC)的滥用,APC通常用在 AtomBombing 代码注入技术的一部分,而最近被用于通过 EternalBlue 和 DoublePulsar 传播 WannaCry 蠕虫和 NotPetya 清除软件(攻击者滥用这些调用来捕获其他进程,以此执行恶意代码)。
新的增强漏洞利用预防技术
·恶意进程迁移——检测攻击者使用的远程反射DLL注入方法,该方法在系统之间迁移运行的进程。
·进程权限提升——防止低权限进程被蓄意升级,这是一种用来获取更高系统访问权限的策略。
增强应用程序锁定
·浏览器行为锁定——Intercept X防止恶意使用浏览器的 PowerShell,以作为基本的行为锁定措施。
·HTA 应用程序锁定——浏览器加载的 HTML 应用程序将像浏览器一样应用锁定减缓。