賽門鐵克整併Blue Coat後,首度產品更新,在最新本的企業防毒產品SEP 14版引進機器學習技術,也可以透過API和閘道端產品做整合,

圖片來源: 

iThome

資安公司賽門鐵克在併購網路安全公司Blue Coat後,於日前正式推出新版的企業防毒Symantec Endpoint Security(簡稱SEP),距離之前在2011年5月推出SEP 12.1版的重大更新,就一直沒有最新的企業防毒版本出現。臺灣賽門鐵克首席技術顧問張士龍表示,這次推出的企業防毒,可以分成用戶端的SEP 14,以及針對中小企業推出的SEP Cloud,企業用戶必須採購兩套不同授權,而SEP 14新版最大特色在於引進機器學習的技術,大幅提升針對未知病毒的偵測能力;SEP Cloud則首度新增行動裝置控管和ISB控管功能。

新版防毒引進機器學習功能,強化與閘道端產品整合

張士龍表示,SEP 14和SEP 12.1.x版最大的差異在於,可以從防護層面、效能和整合三個面相來看。在防護面,新版比舊版新增3個特色,第一個特色就是,新版本引進了機器學習的技術,可以針對未知病毒做更有效率的偵測。他進一步指出,賽門鐵克具有大量的網路威脅情報,像是在全球157個國家所監控的端點裝置就有1.75億個,並且有5千7百萬個攻擊偵測器和9大網路安全威脅應變中心,有豐富的網路安全情資作為機器學習的分析基礎,把每一個好檔案和壞檔案找出155個不同屬性,就可以針對同一個惡意軟體家族的變種病毒進行防護。

此外,張士龍表示,SEP 14第二個特色就是,新增小型輕量級的沙箱功能,可以偵測加殼(Pack)過的惡意程式,並在記憶體模擬移除加殼程式後的執行過程,確認該加殼程式是否就是惡意程式。他認為,一般的資安產品很難判別已經加殼的程式好壞,但是透過這種在記憶體中執行的輕量級沙箱功能,可以做到快速模擬解殼程式的行為,因為暫存在記憶體中,也不會妨礙整體的產品效能。

他指出,新版產品第三個特色就是,可以減緩記憶體攻擊威脅。他進一步表示,過去的產品仍以特徵碼作為主要偵測惡意程式的基礎,但是在現在零時差漏洞數量日益增多且修補曠日廢時的前提下,賽門鐵克針對每一個應用程式加上一個dll檔案做行為偵測,只要出現不符合該應用程式應該有的行為,就會進行阻擋,像是,打開Word檔案應該只有Winword.exe可以執行,如果有其他的123.exe想要開啟Word檔案,透過這個功偵測和阻擋功能,就可以禁止123.exe打開Word檔案。如果和SEP內建的ISP(進階側側防禦)功能整合在一起,也可以做到Java漏洞防護、記憶體堆疊噴濺攻擊(Heap Spray),以及避免結構異常處理覆寫(SEHOP)的錯誤。

在效能面,張士龍表示,新版SEP 14大幅改變過往仰賴特徵碼做惡意程式辨識的偵測方式,端點可以透過偵測使用者行為的方式結合機器學習的功能,跟SEP 12版相比,也減少本地端70%的特徵碼的下載,因為更多資訊可以透過雲端查詢,也增加15%的雲端掃描效能。

至於整合面的提升,目前可以做到SEP 14透過API和閘道端的資安產品做整合,讓閘道端偵測到的資訊,可以立即傳送端點,大幅提昇SEP 14縱深防禦的功能。張士龍則說:「這個API整合功能,對企業的幫助最大。」目前首先釋出賽門鐵克Secure Web Gateway的API,也有其他透過合作夥伴針對其他廠牌的閘道端產品,利用API做整合的案例。

雲端防毒新增行動裝置與USB控管功能

此次賽門鐵克推出新版的企業防毒也有雲端版產品SEP Cloud,張士龍認為,除了提供一個雲端版的管理介面(SEP Manager,簡稱SEPM)外,更重要的特色在於,將企業員工的行動裝置納入控管,包含Android和iOS裝置。他也說,透過雲端管理介面,可以在20分鐘內完成對企業員工裝置控管的設定。

再者,電腦端有許多惡意程式是透過隨身碟交叉感染,張士龍表示,SEP Cloud產品中,也特別控管電腦端的USB埠,可以做到禁止企業內,使用USB做資料存取,也減少USB惡意程式蔓延的機會。而這些資安政策,也可以和企業內的AD授權做整合,或者是透過Group Policy將相關的資安政策適用到全公司。

目前,賽門鐵克SEP Cloud的計價方式有兩種,以人數為訂閱模式,每個使用者建議售價為49美元,若是以伺服器作為計價基礎,每個伺服器定價38美元。

熱門新聞

Advertisement