距離Symantec Endpoint Protection(SEP)上次推出12.1版的重大更新,已有5年之久,這段期間,資安威脅情勢變化之繁複,早已不知凡幾。

而最新發表的SEP 14當中,特別強調提供的防護,是基於端點內部與雲端服務的人工智慧技術應用而成,將進階的機器學習技術(Advanced Machine Learning,AML),以及減緩記憶體濫用攻擊傷害(Memory Exploit Mitigation)的功能,融合到用戶端電腦所部署的單一代理程式上,並以此提供多層次保護,例如分析檔案的靜態屬性、動態行為,以及在Symantec全球情報網路的信譽評等,進而協助端點電腦阻擋進階威脅。

以新增加的AML技術而言,它是在端點電腦上運作的機器學習引擎,能夠根據靜態屬性資料分析,而偵測出惡意程式,並在這些處理程序處於預先執行階段時,協助SEP發現它們,因此能阻止大量已知與未知惡意程式。

AML引擎也能與Symantec雲端即時威脅情報相互合作,以便降低誤判,從而提供更好的防護效果。

而另一個減緩記憶體濫用攻擊的功能,在SEP的使用介面上,稱為一般程式漏洞防護(Generic Exploit Mitigation),可針對典型的軟體應用程式,提供預防通用型漏洞攻擊的行為。該功能是與SEP的入侵預防(intrusion prevention)安裝在一起,能保護Java漏洞攻擊、記憶體堆疊噴濺攻擊(heap spray)、結構異常處理覆寫(Structured Exception Handling Overwrite Protection,SEHOP)。

SEP實施的這種漏洞保護,主要根據入侵預防政策當中的應用程式清單,套用在指定的軟體上,SEP會在線上更新防護資料時,一併下載這份清單。

另外,SEP 14也能存取Symantec本身維護的惡意程式威脅雲端情報服務,經由這套Intelligent Threat Cloud Service,可將病毒特徵碼放在雲端,因此用戶端電腦所下載保存的相關定義檔,也隨之大幅瘦身,所占用的儲存空間與網路頻寬,縮減至先前版本的3成。

同時,SEP本身還具備了聯合威脅情資管理機制,這部分主要整合了兩家資安公司的安全監控能力──Symantec本身及今年併購的網路安全設備大廠Blue Coat。

提供API整合,也是SEP 14相當特別的部分。管理主控臺Symantec Endpoint Protection Manager包含一套REST API,能夠連接其他系統,例如,在多個地點,可以同時管理數千臺採用不同作業系統的端點電腦;或者,能在Symantec另一套端點防護系統Advanced Threat Protection(ATP)當中,在不需登入Symantec Endpoint Protection Manager主控臺的狀況下,也能從那邊進行維運管理作業。

產品資訊

Symantec Endpoint Protection 14
●原廠:Symantec(02)8726-2000
●建議售價:廠商未提供
●用戶端作業系統支援:Windows(Vista - 10, Server 2008 - 2016)、Mac(OS X 10.9 - 10.11、macOS 10.12)、Linux(CentOS 6U4/6U5、RHEL 6U2 - 6U8/7 - 7.2、SLES / SLED 11 SP1 - 11 SP3) 
●管理伺服器作業系統支援:Windows Server 2008 - 2016

【註:規格與價格由廠商提供,因時有異動,正確資訊請洽廠商】

 


Advertisement

更多 iThome相關內容