Sophos - Intercept X Endpoint & for server 版本
Sophos Intercept X 次世代端點防護方案
Sophos將勒索軟體阻於門外
Sophos Intercept X ,是全新的無特徵碼型防入侵程式技術,專為阻擋勒索軟體以及APT先進持續性攻擊所設計。這個新一代的端點安全產品可阻擋零時差惡意軟體、未知惡意軟體變種和隱匿性的攻擊,並具備先進的防勒索軟體功能,可在數秒內偵測出過去未曾發現的勒索軟體。Sophos Intercept X 可與任何廠商現有的端點安全軟體一起運作,在惡意程式碼執行前加以阻擋,以提升端點保護能力。
Sophos Intercept X 結合了 3 個 IT 系統管理員期望在新一代端點保護上看到的重要安全元件。
1.無特徵碼的威脅和入侵程式偵測:防惡意軟體和防駭客防禦,無須掃描檔案即可阻擋零時差、未知和常駐在記憶體中的攻擊和威脅變種
2.CryptoGuard (勒索加密防護):這項防勒索軟體的創新技術可識別和攔截惡意的加密活動、在勒索軟體鎖定和癱瘓系統前加以阻擋,還能將遭到惡意加密的檔案回復到攻擊前的狀態
3.Root Cause Analysis (事件原因分析):對攻擊事件進行 360 度虛擬分析,顯示攻擊來源、受影響的項目、受到阻擋之處,以及防範未來遭到類似攻擊的建議動作
Sophos Intercept X 是 Sophos 同步安全性策略的核心元件,可啟用 Security Heartbeat (安全訊號) 來和 Sophos 的新一代 XG Firewall 與 SafeGuard Encryption 解決方案共用威脅情報,對攻擊進行經過協調且自動化的回應。該產品可由 Sophos Central 雲端管理主控台安裝與管理,讓系統管理員可以控制和調整設定、指派授權,以及新增端點和追蹤所有活動。此外,單一介面的儀表板專為 Sophos 合作夥伴設計,可顯示所有可用的 Sophos Central 服務,除可為客戶提供更高等級的保護,還能為合作夥伴帶來額外的獲利機會。
ESG 資深研究室分析師 Tony Palmer 表示:「根據 ESG 研究,許多企業已經廣泛使用進階的防禦產品,如新一代防毒,更打算輕鬆地轉型到進階型的偵測和回應。但是,許多企業根本缺乏能有效執行這些工作的適當安全分析技能或員工,因為它們都存在著網路安全技術不足的問題。透過 Intercept X,Sophos 提供了一個達成進階保護和回應的捷徑,同時將其對專屬安全顧問的需求減至最低。ESG Lab 認為,Sophos Intercept X 取得了長足的進步,可以填補起在全球許多企業中仍然存在著的端點安全缺口。」
參與公開測試方案的客戶和合作夥伴都體驗過 Sophos Intercept X 的新一代防護功能,包括能幾乎立即識別並阻擋惡意加密活動,並防止攻擊擴散到整個網路,將勒索軟體造成的影響降到最低。當威脅被遏阻後,受影響的檔案可以回復到遭受攻擊前的狀態,節省下可觀的時間、資源和金錢。
Sophos Intercept X 於2018年進一步向真 AI 出發外,亦配備了多項新技術,包括防勒索軟件和漏洞利用防護,以及憑證盜竊防護等主動黑客攻擊緩減功能。目前黑客因應防惡意軟件技術的改進,改為傾向盜用存取憑證,以求合法用戶身份在系統和網絡中四竄行動,而 Intercept X 便針對有關方面提供防禦能力。
該方案可透過雲端管理平台 Sophos Central 部署,與任何廠商現有的端點安全軟件一同安裝,即時加強端點保護。當與 Sophos XG 防火牆一併使用時,Intercept X 更會引入同步安全功能,進一步提升防護能力。
Intercept X 的功能,包括:深度學習惡意軟件偵測、主動緩和對手攻擊、更強的漏洞利用防禦技術、增強應用程式鎖定
深度學習惡意軟件偵測(Deep Learning)
-深度學習模型可在已知和未知的惡意軟件以及「潛在不需要應用程式」(PUA) 執行前就對其進行偵測,無需比對特徵碼。
-該模型大小不到 20MB,亦毋須經常更新。
主動緩和對手攻擊(ACTIVE ADVERSARY MITIGATIONS)
-憑證盜竊防護:防止有人竊取記憶體、登錄檔和永久儲存系統中的授權密碼和雜湊資訊,以免這些資料被 Mimikatz 這類攻擊利用。
-代碼漏洞利用:檢測出植入於其他應用程式中的代碼,制止這種通常用於存留和反病毒措施的手法。
-APC 保護:檢測異步程序呼叫 (Asynchronous Procedure Call,簡稱 APC) 的濫用。APC 通常用於 AtomBombing 代碼注入手法,而最近 更被用於透過 EternalBlue 漏洞和 DoublePulsar 工具傳播 WannaCry 蠕蟲與 NotPetya 清除軟件 (攻擊者濫用這些呼叫來騙使其他進程執行惡意代碼) 。
更強的漏洞利用防禦技術(EXPLOIT PREVENTION)
-惡意進程調用:偵測攻擊者用來調動於系統上運行進程之遙距反射 DLL 注入法。
-進程權限提升:防止低權限進程被蓄意升級這種擴大系統存取權的伎倆。
增強應用程式鎖定(APPLICATION LOCKDOWN)
-瀏覽器行為鎖定:Intercept X 會阻止有人惡意使用瀏覽器的 PowerShell,以作為基本的行為鎖定措施。
-HTA 應用程式鎖定:由瀏覽器加載的 HTML 應用程式將如瀏覽器一樣被施以鎖定防護。
SOPHOS Intercept X 亦提供 for Server 版本,其具備以下功能:
1.端點偵測與響應(EDR):透過強大的搜尋與遠端回應功能,將威脅獵捕與IT安全操作提高到新的層級。
2.擴展式偵測與響應(XDR):超越server,加入跨產品數據庫增加可視性。
3.抵擋勒索款體:文件保護,恢復文件,行為分析,阻止勒索軟體與引導紀錄的攻擊。
4.深度學習技術:內建的AI能夠檢測已知與未知的惡意軟體,不透過特徵碼亦可判斷。
5.防禦漏洞:可阻止用來分發惡意軟體,盜取憑證與逃避漏洞的攻擊技術。
6.威脅回應:由威脅獵捕人員與專家組成的團隊協助解決威脅。
7.雲端安全狀態管理:偵測可疑事件與不安全設備,同時可監測相關配置。
8.鎖定server:阻止未經授權的程序在server上運作,如果嘗試修改文件則會收到通知。
9.可部署在任意位置:可在保護雲端虛擬機或是混合的雲端環境中的windows與Linux部署。