Sophos Intercept X深度學習技術預測安全

Sophos Intercept X新一代端點安全方案新增由先進深度學習神經網路賦予的惡意軟體偵測能力，並結合了最新的主動駭客攻擊緩減、進階應用程式鎖定，以及更強效的勒索軟體防護，實現了前所未有的偵測和預防效能。

Enterprise Strategic Group(ESG)資深認證分析師Tony Palmer解釋：「傳統的機器學習模型單純仰賴威脅分析專家選用的訓練模型屬性，因此有著主觀的人為因素。隨著加入的資料與日俱增，這些高達Gigabite的模型亦愈發複雜，導致運算過程繁瑣且緩慢，甚至出現相當高的誤報率，促使系統管理員不得不親自確認哪些是惡意軟體，哪些是合法軟體，如此一來反而降低了IT部門的工作效率。Intercept X的深度學習神經網路則讓系統從經驗中學習，進而在觀察到的行為和惡意軟體之間建立關聯。這些關聯分析提高了其偵測現存以及零時差(Zero-day)惡意軟體的準確性，大大減少誤報。ESG實驗室的分析亦表明，這種神經網路模型易於擴展，加上得到的資料越多就越具智慧，故能主動進行偵測而不會加重管理工作或影響系統效能。」

Sophos Intercept X新版本還配備多項創新技術，包括防勒索軟體和入侵攻擊防護，以及憑證盜竊防護等主動駭客攻擊緩減功能。目前駭客因應防惡意軟體技術的改進，改為傾向竊取存取憑證，以利用合法使用者的身分在系統和網路中四處行動，而Intercept X能夠偵測並預防這類事故發生。該方案可透過雲端管理平台Sophos Central部署，與任何廠商現有的端點安全軟體一同安裝，立即加強端點保護。當與Sophos XG防火牆一併使用時，Intercept X還可以導入同步安全功能，進一步提升防護能力。

Intercept X的新功能包括：(一)深度學習惡意軟體偵測—深度學習模型可在已知和未知的惡意軟體以及「可能不需要應用程式 」(PUA) 執行前就對其進行偵測，無需比對特徵碼。該模型大小不到20MB，亦毋須經常更新。

(二)主動減緩攻擊—程式碼洞穴利用，偵測出植入於其他應用程式中的程式碼，制止這種通常用於存留和防毒措施的手法。APC保護，偵測非同步程序呼叫(Asynchronous Procedure Call；APC)的濫用。APC通常用於AtomBombing程式碼插入手法，而最近更被用於透過EternalBlue弱點和DoublePulsar工具傳播WannaCry蠕蟲與NotPetya清除軟體(攻擊者濫用這些呼叫來騙使其他處理程序執行惡意程式碼)。

(三)更強力的最新入侵攻擊防禦技術—惡意處理程序呼叫，偵測攻擊者用來調動於系統上運行處理程序之遙距反射DLL插入法。處理程序權限提升，防止低權限處理程序被蓄意升級這種擴大系統存取權的行為。

(四)增強應用程式鎖定—瀏覽器行為鎖定，Intercept X會阻止有人惡意使用瀏覽器的PowerShell，以作為基本的行為鎖定措施。HTA應用程式鎖定，由瀏覽器加載的HTML應用程式將如瀏覽器一樣被施以鎖定防護。