Sophos Intercept X深度學(xué)習(xí)技術(shù)預(yù)測(cè)安全

Sophos Intercept X新一代端點(diǎn)安全方案新增由先進(jìn)深度學(xué)習(xí)神經(jīng)網(wǎng)絡(luò)賦予的惡意軟件偵測(cè)能力，并結(jié)合了最新的主動(dòng)黑客攻擊緩減、進(jìn)階應(yīng)用程序鎖定，以及更強(qiáng)效的勒索軟件防護(hù)，實(shí)現(xiàn)了前所未有的偵測(cè)和預(yù)防效能。

Enterprise Strategic Group(ESG)資深認(rèn)證分析師Tony Palmer解釋：「?jìng)鹘y(tǒng)的機(jī)器學(xué)習(xí)模型單純仰賴威脅分析專家選用的訓(xùn)練模型屬性，因此有著主觀的人為因素。隨著加入的資料與日俱增，這些高達(dá)Gigabite的模型亦愈發(fā)復(fù)雜，導(dǎo)致運(yùn)算過程繁瑣且緩慢，甚至出現(xiàn)相當(dāng)高的誤報(bào)率，促使系統(tǒng)管理員不得不親自確認(rèn)哪里些是惡意軟件，哪里些是合法軟件，如此一來反而降低了IT部門的工作效率。Intercept X的深度學(xué)習(xí)神經(jīng)網(wǎng)絡(luò)則讓系統(tǒng)從經(jīng)驗(yàn)中學(xué)習(xí)，進(jìn)而在觀察到的行為和惡意軟件之間建立關(guān)聯(lián)。這些關(guān)聯(lián)分析提高了其偵測(cè)現(xiàn)存以及零時(shí)差(Zero-day)惡意軟件的準(zhǔn)確性，大大減少誤報(bào)。ESG實(shí)驗(yàn)室的分析亦表明，這種神經(jīng)網(wǎng)絡(luò)模型易于擴(kuò)展，加上得到的資料越多就越具智能，故能主動(dòng)進(jìn)行偵測(cè)而不會(huì)加重管理工作或影響系統(tǒng)效能?！?/p>

Sophos Intercept X新版本還配備多項(xiàng)創(chuàng)新技術(shù)，包括防勒索軟件和入侵攻擊防護(hù)，以及憑證盜竊防護(hù)等主動(dòng)黑客攻擊緩減功能。目前黑客因應(yīng)防惡意軟件技術(shù)的改進(jìn)，改為傾向竊取存取憑證，以利用合法使用者的身分在系統(tǒng)和網(wǎng)絡(luò)中四處行動(dòng)，而Intercept X能夠偵測(cè)并預(yù)防這類事故發(fā)生。該方案可透過云端管理平臺(tái)Sophos Central部署，與任何廠商現(xiàn)有的端點(diǎn)安全軟件一同安裝，立即加強(qiáng)端點(diǎn)保護(hù)。當(dāng)與Sophos XG防火墻一并使用時(shí)，Intercept X還可以導(dǎo)入同步安全功能，進(jìn)一步提升防護(hù)能力。

Intercept X的新功能包括：(一)深度學(xué)習(xí)惡意軟件偵測(cè)—深度學(xué)習(xí)模型可在已知和未知的惡意軟件以及「可能不需要應(yīng)用程序 」(PUA) 執(zhí)行前就對(duì)其進(jìn)行偵測(cè)，無需比對(duì)特征碼。該模型大小不到20MB，亦毋須經(jīng)常更新。

(二)主動(dòng)減緩攻擊—程序碼洞穴利用，偵測(cè)出植入于其它應(yīng)用程序中的程序碼，制止這種通常用于存留和防毒措施的手法。APC保護(hù)，偵測(cè)非同步程序呼叫(Asynchronous Procedure Call；APC)的濫用。APC通常用于AtomBombing程序碼插入手法，而最近更被用于透過EternalBlue弱點(diǎn)和DoublePulsar工具傳播WannaCry蠕蟲與NotPetya清除軟件(攻擊者濫用這些呼叫來騙使其它處理程序執(zhí)行惡意程序碼)。

(三)更強(qiáng)力的最新入侵攻擊防御技術(shù)—惡意處理程序呼叫，偵測(cè)攻擊者用來調(diào)動(dòng)于系統(tǒng)上運(yùn)行處理程序之遙距反射DLL插入法。處理程序權(quán)限提升，防止低權(quán)限處理程序被蓄意升級(jí)這種擴(kuò)大系統(tǒng)存取權(quán)的行為。

(四)增強(qiáng)應(yīng)用程序鎖定—瀏覽器行為鎖定，Intercept X會(huì)阻止有人惡意使用瀏覽器的PowerShell，以作為基本的行為鎖定措施。HTA應(yīng)用程序鎖定，由瀏覽器加載的HTML應(yīng)用程序?qū)⑷鐬g覽器一樣被施以鎖定防護(hù)。