Nový Sophos Intercept X přináší prediktivní ochranu využívající pokročilé hluboké učení

Technologie hlubokého učení je výrazně účinnější než tradiční strojové učení a Sophos Intercept X tak mezi produkty nové generace, které jsou určené pro ochranu koncových bodů, nabízí nejlepší možnou detekci i nižší míru falešně pozitivních zjištění.

Společnost Sophos, celosvětový lídr v oblasti ochrany sítí a koncových bodů, oznámila dostupnost svého produktu Intercept X, který pro detekci malware využívá neuronové sítě s technologií hlubokého učení. V kombinaci s dokonalejší ochranou proti ransomware a s novými mechanismy pro zmírňování dopadů hackerských útoků a pro pokročilé omezování aplikací přináší nejnovější verze ochrany koncových bodů dosud nevídanou úroveň detekce i prevence.

Hluboké učení je nejnovější evoluční stupeň strojového učení a přináší masivně škálovatelnou detekci, která se učí na celém dostupném spektru hrozeb. Díky svým schopnostem zpracovávat stovky miliónů vzorků může být technologie hlubokého učení – ve srovnání s tradičním strojovým učením – přesnější i rychlejší a také méně náchylnější na falešně pozitivní zjištění.

“Úspěšnost tradičních modelů strojového učení velmi silně závisí na výběru atributů použitých pro tréning a tím se do celého systémů vnáší vliv lidského faktoru. Přidáváním nových dat navíc složitost těchto modelů neustále roste, systémy opírající se o gigabajty dat jsou těžkopádné a pomalé. Problémem je i velká míra falešně pozitivních zjištění, díky kterým musí administrátoři posuzovat, zda je daný software legitimní nebo jde o malware. A důsledkem tohoto jejich vytížení je nižší produktivita IT oddělení,“ vysvětlil Tony Palmer, senior validation analyst společnosti Enterprise Strategy Group (ESG).

“Neuronová síť v Intercept X využívá technologii hlubokého učení, která je oproti tradičním modelům navržená tak, aby se učila na základě zkušeností a hledala vzájemné souvislosti mezi pozorovaným chováním a malware. Tyto korelace umožňují dosahovat vysoké přesnosti jak v případě identifikace již existujícího, tak i dosud nezveřejněného (zero-day) malware. Významným přínosem je i snížení výskytu falešně pozitivních zjištění. Analýza laboratoře ESG Lab potvrzuje snadnou škálovatelnost tohoto typu neuronové sítě i fakt, že čím více dat hluboké učení využívá, tím je výsledné řešení chytřejší. Výsledkem jsou iniciativní a svým způsobem agresivní mechanismy, které nemají negativní vliv na výkon organizace ani jejich systémů.“

Součástí nové verze Sophos Intercept X jsou inovace v oblasti boje proti ransomware i ochrany proti zneužívání zranitelností. Nechybí ani mechanismy pro aktivní boj s hackerskými pokusy, jako je například ochrana proti krádežím přihlašovacích údajů. Jde o důležitá vylepšení, protože právě krádeže identit jsou stále častějším nástrojem, který kybernetičtí zločinci využívají pro průnik do chráněné informační architektury, ve které se pak mohou pochybovat jako zcela legitimní uživatelé. Nový Intercept X umí tato podezřelá chování odhalit a předejít možným důsledkům. Intercept X lze nasadit prostřednictvím cloudové konzole Sophos Central, a to vedle jakékoli stávající softwarové ochrany koncových bodů – míru bezpečnosti tak lze zvýšit prakticky okamžitě. Při použití ve spojení s firewally Sophos XG přináší Intercept X výhody synchronizované ochrany , které ještě více posílí bezpečnost dané informační architektury.

“Budoucností IT bezpečnosti je prediktivní ochrana. A rozšířením našeho špičkového bezpečnostního produktu o neuronové sítě s technologií hlubokého učení jsme udělali obrovský krok vpřed,“ říká Dan Schiappa, senior viceprezident a produktový ředitel společnosti Sophos. “Schopnost chránit se před budoucími útoky namísto čekání na boj s důsledky změní charakter IT provozu v každé organizaci a zlepší ochranu všech zařízení i uživatelů. Intercept X může přinést nejmodernější ochranu nové generace do všech organizací, bez ohledu na jejich aktuální bezpečnostní strategii.“

Dle zprávy laboratoře ESG Lab by měla každá společnost předpokládat, že je v jakémkoli okamžiku pod probíhajícím kybernetickým útokem. Ve svém nedávném průzkumu zjišťovala společnost ESG hlavní důvody pro to, proč je dnes analýza kybernetických hrozeb a zajišťování ochrany provozu považována za náročnější úkoly, přičemž více než čtvrtina respondentů jako příčinu uvedla rychlé změny v oblasti počítačových hrozeb (zpráva Cybersecurity Analytics and Operations in Transition z července 2017).

Sophos Intercept X byl představen v září 2016 a od té doby jeho vysokou kvalitu ověřily po celém světě již desítky tisíc organizací. Zákazníci i partneři, kteří se v případě nejnovější verze Sophos Intercept X účastnili programu předběžného zpřístupnění Early Access Program, nové funkce a vlastnosti komentovali takto:

“Intercept X je u našich zákazníků velmi úspěšným produktem,“ uvedl Mark Brandon, senior viceprezident pro podnikatelské aktivity ve firmě Networking Technologies and Support Inc., která je partnerem společnosti Sophos. “Ransomware loni působil opravdu velké starosti a my jsme se jej snažili zastavit pomocí tradičních mechanismů pro ochranu koncových bodů. Možnost instalovat Intercept X vedle bezpečnostního řešení jakékoli značky chránícího právě koncová zařízení pro nás znamenala, že jsme mohli okamžitě pomoci všem firmám, které za námi přicházely s prosbou o řešení problému s ransomware. Intercept X je jednoduchý a vysoce efektivní produkt, který nám pomáhá v rozvoji našeho podnikání a díky kterému jsme pro naše zákazníky skutečně důvěryhodným partnerem. Rozšíření o hlubokého učení a další vylepšení jsou důkazem vedoucí pozice společnosti Sophos i jejích schopností přicházet s inovativními technologiemi, díky kterým si můžeme udržet náskok před kybernetickými hrozbami.“

“Sophos celou oblast IT bezpečnosti neustále inovuje a zdokonaluje,“ řekl James Miller, ředitel firmy Chess Cybersecurity, která je partnerem společnosti Sophos. “Věříme v budoucnost synchronizované ochrany a mnozí naši zákazníci oceňují právě schopnost automatické detekce i reakce na bezpečnostní incidenty bez zásahu administrátorů. Intercept X nabízí řešení zcela nové úrovně a zpřístupňuje technologie společnosti Sophos novému okruhu zákazníků, kteří využívají pro ochranu koncových bodů produkty třetích stran a současně ale potřebují okamžitě zajistit ochranu před dosud nezveřejněnými hrozbami.“

„Řešení falešně pozitivních zjištění bývá časově stejně náročně, jako kdyby šlo o skutečnou hrobu,“ konstatoval Denney Fifield, ředitel pro oblast technických služeb ve firmě Strong & Hanni PC, která je zákazníkem společnosti Sophos. “Pokud máte omezené IT zdroje, musíte svoji pozornost zaměřit na efektivní fungování organizace a na to, aby pracovníci IT oddělení podporovali naplnění podnikatelských cílů. A nikoli tedy na pronásledování stínů. Nepodařilo se nám najít žádný jiný produkt, který by se mohl pochlubit tak přesnou detekcí s nízkou míru omylů jako Intercept X, který se nyní může opřít o technologii hlubokého učení. Těšíme se na to, až tento nový produkt nasadíme napříč celým naším prostředím.“

Mezi nové funkce a vlastnosti Intercept X patří:

Detekce malware pomocí strojového učení

Hluboké učení umí odhalit známý i dosud neznámý malware i potenciálně nežádoucí aplikace ještě před jejich spuštěním, a to bez využívání identifikačních vzorů

Model si vystačí s méně než 20 MB a nevyžaduje časté aktualizace dat

Aktivní opatření

Ochrana před krádeží přihlašovacích údajů – nový Intercept X zabraňuje zjišťování hesel a dalších přihlašovacích informací z paměti, registrů i úložišť a předchází tak mechanismům, které využívá například nástroj Mimikatz.

Zjišťování přítomnosti cizích programových částí propašovaných do jiných aplikacích, což je technika využívaná pro přetrvávající hrozby a vyhýbání se antivirovým kontrolám.

Ochrana před zneužitím APC (Application Procedure Calls), tedy před útoky typu AtomBombing a mechanismy šíření, které byly využité například u hrozeb WannaCry a NotPetya. Útočníci tato volání zneužili prostřednictvím exploitů EternalBlue a DoublePulsar a mohli tak škodlivý kód provést pomocí jiného procesu.

Nové a vylepšené techniky proti zneužívání zranitelností

Ochrana před migracemi škodlivých procesů, která detekuje vzdálené zneužívání dynamických knihoven, tedy techniky pro přesouvání mezi procesy běžícími na konkrétním systému.

Ochrana před zvyšováním oprávnění, která brání tomu, aby neprivilegované procesy získaly přístup k chráněným částem systému.

​
Pokročilejší omezování aplikací

Omezování aplikací na úrovni prohlížeče, které brání nežádoucímu spouštění příkazů PowerShell

Omezování HTA aplikací, které brání nežádoucímu chování stejně, jako by šlo o prohlížeč