北京，2018年3月1日——網(wǎng)絡(luò)和端點(diǎn)安全的全球領(lǐng)導(dǎo)廠(chǎng)商Sophos宣布推出Intercept X方案最新版本，新增由先進(jìn)深度學(xué)習(xí)神經(jīng)網(wǎng)絡(luò)支持的惡意軟件檢測(cè)功能。這一最新版本的下一代端點(diǎn)保護(hù)方案結(jié)合了新的主動(dòng)黑客攻擊緩減、先進(jìn)的應(yīng)用程序鎖定，以及增強(qiáng)型勒索軟件防護(hù)等功能， 實(shí)現(xiàn)了前所未有的檢測(cè)和預(yù)防能力。

深度學(xué)習(xí)是機(jī)器學(xué)習(xí)的最新進(jìn)展，它提供了一個(gè)龐大的可擴(kuò)展檢測(cè)模型，能夠?qū)W習(xí)所有觀(guān)察到的威脅形勢(shì)。與傳統(tǒng)的機(jī)器學(xué)習(xí)相比，深度學(xué)習(xí)憑借其處理數(shù)以?xún)|計(jì)樣本的能力，以更快的速度、更少的誤報(bào)率做出更準(zhǔn)確的預(yù)測(cè)。

[[221637]]

企業(yè)戰(zhàn)略集團(tuán)(ESG)高級(jí)認(rèn)證分析師Tony Palmer解釋道：“傳統(tǒng)的機(jī)器學(xué)習(xí)模型依賴(lài)于專(zhuān)家威脅分析師來(lái)選擇用于訓(xùn)練模型的屬性，因而增加了主觀(guān)的人為因素。隨著添加的數(shù)據(jù)越來(lái)越多，模型也變得越來(lái)越復(fù)雜，成為繁瑣而緩慢的千兆字節(jié)模型。這些模型的誤報(bào)率也很高，管理員不得不親自確定哪些是惡意軟件，哪些是合法軟件，從而降低了IT的工作效率。與此相反，Intercept X的深度學(xué)習(xí)神經(jīng)網(wǎng)絡(luò)讓系統(tǒng)可以通過(guò)經(jīng)驗(yàn)進(jìn)行學(xué)習(xí)，從而在觀(guān)察到的行為和惡意軟件之間建立關(guān)聯(lián)。這些關(guān)聯(lián)性分析提高了對(duì)現(xiàn)有的和零日惡意軟件檢測(cè)的精確性，降低了誤報(bào)率。ESG實(shí)驗(yàn)室的分析表明，這種神經(jīng)網(wǎng)絡(luò)模型很容易擴(kuò)展，并且它得到的數(shù)據(jù)越多，模型就變得越智能。這樣就可以主動(dòng)進(jìn)行檢測(cè)，而且不會(huì)影響管理或者系統(tǒng)性能。”

這一新版本的Sophos Intercept X還包括防勒索軟件和漏洞利用攻擊防護(hù)，以及主動(dòng)黑客攻擊緩減等創(chuàng)新技術(shù)，例如憑證盜竊保護(hù)功能。隨著反惡意軟件的進(jìn)步，攻擊逐漸集中于盜竊憑證，目的是以合法用戶(hù)身份在系統(tǒng)和網(wǎng)絡(luò)中行動(dòng)，而Intercept X可檢測(cè)并預(yù)防此類(lèi)事件發(fā)生。通過(guò)基于云的管理平臺(tái)Sophos Central進(jìn)行部署，Intercept X能夠與任何廠(chǎng)商現(xiàn)有的端點(diǎn)安全軟件一同安裝，并即刻增加端點(diǎn)保護(hù)。當(dāng)與Sophos XG防火墻一起使用時(shí)，Intercept X引入同步安全功能，進(jìn)一步增加保護(hù)能力。

Sophos高級(jí)副總裁兼產(chǎn)品總經(jīng)理Dan Schiappa表示：“預(yù)測(cè)性保護(hù)是IT安全的未來(lái)。將深度學(xué)習(xí)神經(jīng)網(wǎng)絡(luò)引入業(yè)界領(lǐng)先的漏洞利用和勒索軟件保護(hù)產(chǎn)品Intercept X，是Sophos向前邁出的一大步。對(duì)未知攻擊做出抵抗，而不是等待攻擊的到來(lái)，這將改變每一家企業(yè)保護(hù)其用戶(hù)和資產(chǎn)的IT運(yùn)營(yíng)方式。不論企業(yè)當(dāng)前戰(zhàn)略如何，Intercept X都能夠給他們帶來(lái)最先進(jìn)的下一代保護(hù)功能。”

據(jù)ESG實(shí)驗(yàn)室認(rèn)證報(bào)告，每家公司都應(yīng)該假設(shè)它總是受到來(lái)自網(wǎng)絡(luò)威脅的攻擊。在最近的ESG研究中，當(dāng)被問(wèn)及網(wǎng)絡(luò)安全分析和運(yùn)營(yíng)為何變得更加困難時(shí)，超過(guò)1/4的受訪(fǎng)者表示很難跟上快速變化的威脅形勢(shì)是主要原因。(轉(zhuǎn)型中的網(wǎng)絡(luò)安全分析和運(yùn)營(yíng)，2017年7月)。

Intercept X于2016年9月首次推出，已經(jīng)廣獲全世界數(shù)以萬(wàn)計(jì)的企業(yè)中采用。參加了最新版本Intercept X的早期試用計(jì)劃的客戶(hù)和合作伙伴對(duì)新功能有以下評(píng)論：

Sophos的合作伙伴Networking Technologies and Support Inc.業(yè)務(wù)運(yùn)營(yíng)高級(jí)副總裁Mark Brandon表示：“Intercept X廣受我們的客戶(hù)歡迎。去年的勒索軟件讓大家最為頭痛，我們?cè)捎脗鹘y(tǒng)的端點(diǎn)保護(hù)措施盡力去阻止它。Intercept X能夠與任何廠(chǎng)商的端點(diǎn)保護(hù)方案一起安裝意味著我們可以立即幫助那些希望我們能解決這一問(wèn)題的企業(yè)。Intercept X簡(jiǎn)單高效，有利于我們成為客戶(hù)信賴(lài)的合作伙伴。引入深度學(xué)習(xí)和其他增強(qiáng)功能也表明，Sophos正在引領(lǐng)這一市場(chǎng)，推出領(lǐng)先于網(wǎng)絡(luò)威脅的創(chuàng)新技術(shù)。”

Sophos的合作伙伴Chess網(wǎng)絡(luò)安全公司總經(jīng)理James Miller表示：“Sophos繼續(xù)推動(dòng)IT安全領(lǐng)域的創(chuàng)新。我們看好同步安全的遠(yuǎn)景，我們的很多客戶(hù)都很贊賞在解決方案中無(wú)須IT管理員干預(yù)的情況下自動(dòng)檢測(cè)和響應(yīng)安全事件的能力。Intercept X將事件響應(yīng)提升到了一個(gè)新水平并使Sophos吸引到新的目光，這些用戶(hù)可能正在使用其他廠(chǎng)商的端點(diǎn)解決方案，但同時(shí)也需要立即得到能夠抵抗零日威脅的保護(hù)。

Sophos的客戶(hù)Strong & Hanni PC公司的技術(shù)服務(wù)主管Denney Fifield表示：“誤報(bào)幾乎和實(shí)際威脅一樣耗費(fèi)時(shí)間。在IT資源有限的情況下，我們希望能夠集中精力保證業(yè)務(wù)高效運(yùn)營(yíng)，并且IT員工能夠支持這個(gè)目標(biāo)，而不是追風(fēng)逐影。我們還沒(méi)有遇到其他的產(chǎn)品能像Intercept X這樣，由深度學(xué)習(xí)驅(qū)動(dòng)，具有高檢測(cè)率、低誤報(bào)率。我們期待著在為公司全面部署這款產(chǎn)品。”

Sophos的客戶(hù)Kimbolton學(xué)院的IT技術(shù)員Alex Bradshaw表示：“我們?cè)馐芰艘淮卫账鬈浖?，結(jié)果我們停機(jī)了48小時(shí)，毫無(wú)工作效率可言。這給每天都離不開(kāi)我們IT運(yùn)營(yíng)的教員和學(xué)生帶來(lái)了壓力和不便。之后，我們部署了Intercept X，只需要五分鐘就能安裝完畢，十分鐘完成一次全面掃描。從那以后，我們?cè)僖矝](méi)有受到勒索軟件的影響。”

Sophos的客戶(hù)布魯克林教區(qū)的安全和信息官Gus Garcia表示：“Intercept X能夠針對(duì)勒索軟件和其他網(wǎng)絡(luò)威脅進(jìn)行最好的保護(hù)。現(xiàn)在，我們的用戶(hù)保持了工作效率，當(dāng)發(fā)生問(wèn)題時(shí)，我再也不用派出技術(shù)人員去清理每個(gè)系統(tǒng)了。我告訴我的同事，一定要考慮Sophos，因?yàn)樗苋菀资褂茫阌诠芾?，部署也很?jiǎn)單，而且的確奏效。”

Intercept X中的新產(chǎn)品特點(diǎn)包括：

深度學(xué)習(xí)惡意軟件檢測(cè)

·深度學(xué)習(xí)模型可在已知和未知的惡意軟件以及潛在不需要的應(yīng)用程序(PUA)執(zhí)行前，無(wú)需依靠特征碼對(duì)其進(jìn)行檢測(cè)。

·該模型不到20MB，無(wú)需經(jīng)常更新。

主動(dòng)攻擊緩減

·憑證盜竊防護(hù)——防止竊取內(nèi)存、注冊(cè)表和永久存儲(chǔ)中的驗(yàn)證密碼和散列信息，而這些信息有可能被 Mimikatz 這類(lèi)攻擊利用。

·代碼洞利用——檢測(cè)出植入其他應(yīng)用程序中的代碼，這通常用于存留和反病毒程序

·APC保護(hù)——偵測(cè)異步程序調(diào)用(APC)的濫用，APC通常用在 AtomBombing 代碼注入技術(shù)的一部分，而最近被用于通過(guò) EternalBlue 和 DoublePulsar 傳播 WannaCry 蠕蟲(chóng)和 NotPetya 清除軟件(攻擊者濫用這些調(diào)用來(lái)捕獲其他進(jìn)程，以此執(zhí)行惡意代碼)。

新的增強(qiáng)漏洞利用預(yù)防技術(shù)

·惡意進(jìn)程遷移——檢測(cè)攻擊者使用的遠(yuǎn)程反射DLL注入方法，該方法在系統(tǒng)之間遷移運(yùn)行的進(jìn)程。

·進(jìn)程權(quán)限提升——防止低權(quán)限進(jìn)程被蓄意升級(jí)，這是一種用來(lái)獲取更高系統(tǒng)訪(fǎng)問(wèn)權(quán)限的策略。

增強(qiáng)應(yīng)用程序鎖定

·瀏覽器行為鎖定——Intercept X防止惡意使用瀏覽器的 PowerShell，以作為基本的行為鎖定措施。

·HTA 應(yīng)用程序鎖定——瀏覽器加載的 HTML 應(yīng)用程序?qū)⑾駷g覽器一樣應(yīng)用鎖定減緩。