Sophos - Intercept X Endpoint & for server 版本

Sophos Intercept X 次世代端點防護方案

Sophos將勒索軟體阻於門外

Sophos Intercept X ，是全新的無特徵碼型防入侵程式技術，專為阻擋勒索軟體以及APT先進持續性攻擊所設計。這個新一代的端點安全產品可阻擋零時差惡意軟體、未知惡意軟體變種和隱匿性的攻擊，並具備先進的防勒索軟體功能，可在數秒內偵測出過去未曾發現的勒索軟體。Sophos Intercept X 可與任何廠商現有的端點安全軟體一起運作，在惡意程式碼執行前加以阻擋，以提升端點保護能力。

Sophos Intercept X 結合了 3 個 IT 系統管理員期望在新一代端點保護上看到的重要安全元件。

1.無特徵碼的威脅和入侵程式偵測：防惡意軟體和防駭客防禦，無須掃描檔案即可阻擋零時差、未知和常駐在記憶體中的攻擊和威脅變種

2.CryptoGuard (勒索加密防護)：這項防勒索軟體的創新技術可識別和攔截惡意的加密活動、在勒索軟體鎖定和癱瘓系統前加以阻擋，還能將遭到惡意加密的檔案回復到攻擊前的狀態

3.Root Cause Analysis (事件原因分析)：對攻擊事件進行 360 度虛擬分析，顯示攻擊來源、受影響的項目、受到阻擋之處，以及防範未來遭到類似攻擊的建議動作

Sophos Intercept X 是 Sophos 同步安全性策略的核心元件，可啟用 Security Heartbeat (安全訊號) 來和 Sophos 的新一代 XG Firewall 與 SafeGuard Encryption 解決方案共用威脅情報，對攻擊進行經過協調且自動化的回應。該產品可由 Sophos Central 雲端管理主控台安裝與管理，讓系統管理員可以控制和調整設定、指派授權，以及新增端點和追蹤所有活動。此外，單一介面的儀表板專為 Sophos 合作夥伴設計，可顯示所有可用的 Sophos Central 服務，除可為客戶提供更高等級的保護，還能為合作夥伴帶來額外的獲利機會。

ESG 資深研究室分析師 Tony Palmer 表示：「根據 ESG 研究，許多企業已經廣泛使用進階的防禦產品，如新一代防毒，更打算輕鬆地轉型到進階型的偵測和回應。但是，許多企業根本缺乏能有效執行這些工作的適當安全分析技能或員工，因為它們都存在著網路安全技術不足的問題。透過 Intercept X，Sophos 提供了一個達成進階保護和回應的捷徑，同時將其對專屬安全顧問的需求減至最低。ESG Lab 認為，Sophos Intercept X 取得了長足的進步，可以填補起在全球許多企業中仍然存在著的端點安全缺口。」
 
參與公開測試方案的客戶和合作夥伴都體驗過 Sophos Intercept X 的新一代防護功能，包括能幾乎立即識別並阻擋惡意加密活動，並防止攻擊擴散到整個網路，將勒索軟體造成的影響降到最低。當威脅被遏阻後，受影響的檔案可以回復到遭受攻擊前的狀態，節省下可觀的時間、資源和金錢。

Sophos Intercept X 於2018年進一步向真 AI 出發外，亦配備了多項新技術，包括防勒索軟件和漏洞利用防護，以及憑證盜竊防護等主動黑客攻擊緩減功能。目前黑客因應防惡意軟件技術的改進，改為傾向盜用存取憑證，以求合法用戶身份在系統和網絡中四竄行動，而 Intercept X 便針對有關方面提供防禦能力。

該方案可透過雲端管理平台 Sophos Central 部署，與任何廠商現有的端點安全軟件一同安裝，即時加強端點保護。當與 Sophos XG 防火牆一併使用時，Intercept X 更會引入同步安全功能，進一步提升防護能力。

Intercept X 的功能，包括：深度學習惡意軟件偵測、主動緩和對手攻擊、更強的漏洞利用防禦技術、增強應用程式鎖定

深度學習惡意軟件偵測(Deep Learning)

－深度學習模型可在已知和未知的惡意軟件以及「潛在不需要應用程式」(PUA) 執行前就對其進行偵測，無需比對特徵碼。

－該模型大小不到 20MB，亦毋須經常更新。

主動緩和對手攻擊(ACTIVE ADVERSARY MITIGATIONS)

－憑證盜竊防護：防止有人竊取記憶體、登錄檔和永久儲存系統中的授權密碼和雜湊資訊，以免這些資料被 Mimikatz 這類攻擊利用。

－代碼漏洞利用：檢測出植入於其他應用程式中的代碼，制止這種通常用於存留和反病毒措施的手法。

－APC 保護：檢測異步程序呼叫 (Asynchronous Procedure Call，簡稱 APC) 的濫用。APC 通常用於 AtomBombing 代碼注入手法，而最近 更被用於透過 EternalBlue 漏洞和 DoublePulsar 工具傳播 WannaCry 蠕蟲與 NotPetya 清除軟件 (攻擊者濫用這些呼叫來騙使其他進程執行惡意代碼) 。

更強的漏洞利用防禦技術(EXPLOIT PREVENTION)

－惡意進程調用：偵測攻擊者用來調動於系統上運行進程之遙距反射 DLL 注入法。

－進程權限提升：防止低權限進程被蓄意升級這種擴大系統存取權的伎倆。

增強應用程式鎖定(APPLICATION LOCKDOWN)

－瀏覽器行為鎖定：Intercept X 會阻止有人惡意使用瀏覽器的 PowerShell，以作為基本的行為鎖定措施。

－HTA 應用程式鎖定：由瀏覽器加載的 HTML 應用程式將如瀏覽器一樣被施以鎖定防護。

SOPHOS Intercept X 亦提供 for Server 版本，其具備以下功能：

1.端點偵測與響應(EDR)：透過強大的搜尋與遠端回應功能，將威脅獵捕與ＩＴ安全操作提高到新的層級。

2.擴展式偵測與響應(XDR)：超越server，加入跨產品數據庫增加可視性。

3.抵擋勒索款體：文件保護，恢復文件，行為分析，阻止勒索軟體與引導紀錄的攻擊。

4.深度學習技術：內建的ＡＩ能夠檢測已知與未知的惡意軟體，不透過特徵碼亦可判斷。

5.防禦漏洞：可阻止用來分發惡意軟體，盜取憑證與逃避漏洞的攻擊技術。

6.威脅回應：由威脅獵捕人員與專家組成的團隊協助解決威脅。

7.雲端安全狀態管理：偵測可疑事件與不安全設備，同時可監測相關配置。

8.鎖定server：阻止未經授權的程序在server上運作，如果嘗試修改文件則會收到通知。

9.可部署在任意位置：可在保護雲端虛擬機或是混合的雲端環境中的windows與Linux部署。