距離現在一年多前(2016年9月),Sophos推出了Intercept X,這是一套專門防護漏洞濫用攻擊與勒索軟體的產品,能在已經安裝各種廠牌防毒軟體的個人電腦使用,到了今年初,Intercept X終於發布了後繼版本2.0,首度納入整合深度學習技術的惡意軟體偵測引擎,並且增加、更新漏洞濫用攻擊防護的相關功能,提升減緩主動式敵對攻擊(Active Adversary Mitigations)的能力。

而且在支援的作業系統平臺上,Intercept X從原本以Windows為主要保護的端點環境,新版開始擴及macOS。

若要確認Sophos Intercept X是否已經啟用深度學習的技術,我們可以從Sophos Central的Admin Dashboard網頁管理介面當中,點選左側主選單「組態」下面的政策,然後到右側詳細畫面當中,選擇「設定」,接下來即可看到深度學習的啟用選項,就像上圖這樣。

全面採用深度學習,提升未知惡意軟體偵測能力

以深度學習的應用而言,Intercept X新版採用了類神經網路技術,可以透過經驗學習,建立觀察行為與惡意軟體之間的交互關連性,進而快速、精準偵測所存取的檔案內容,確認是否具有惡意或是潛在無用軟體(PUA),並且導入了誤判抑制(False Positive Suppression)功能,可自動執行,;若出現這樣的情況,系統即可在這些檔案開始執行之前,予以自動判定與隔離,而不需要掃描、比對特徵碼,導致系統效能與整體管理機制受到影響。

對於監控的應用程式,Intercept X的深度學習技術會區分為三類:惡意軟體、潛在的無用軟體、合法軟體,也就是界定出黑、灰、白等三種應用程式名單。

應用了深度學習技術,系統仍會誤判(False Positive,FP),而為了要設法降低這類情況的發生,Sophos加入了誤判抑制機制,他們在Vimeo網路視訊平臺所發布的相關影片當中,更進一步介紹了裡面的三種抑制方法,以及針對惡意軟體與潛在無用軟體進行誤判排除的流程。

基本上,Intercept X採用的深度學習技術,搭配了SophosLabs提供的延伸訓練資料集,能夠辨識重要的屬性,因此,單靠這套系統本身,就能區隔惡意與正常檔案的差異。這套資料集所需要的儲存空間也很小,低於20 MB,而且不需要經常更新。

同時,SophosLabs會運用新收集,以及先前所不曾接觸的惡意軟體範例,持續訓練資料模型,同時監控決策有效性的分界範圍。

一般而言,若在威脅防禦機制當中使用機器學習,通常會運用特定的變數,像是檔案大小、壓縮層級,來預測檔案的惡意程度,能夠辨識出屬性與分類是否為惡意或正常,而且持續學習,以便正確辨識惡意軟體。

Sophos認為,只靠幾種變數是不夠的,當人工智慧可以看到更多屬性,對於預測惡意檔案的能力就越豐富。

因此,相較之下,傳統機器學習的作法,就會顯得落後,因為它無法處理大量變數,而難以趕上當前網路威脅的發展,就算要這麼做,往往需要更多的儲存空間與運算能力,才能達到目的。

而Intercept X運用的深度學習模型,能夠處理來自多個分析層級的資料,就像腦神經一般,分析不同輸入資料特性之間的關係,自動揭露資料的最佳組合與運用方式,並提出預測性推論。這種方式能夠快速、精確地處理數千萬個資訊點, 而不會讓使用者系統效能陷入泥淖。

強化漏洞濫用行為的防護能力

對於漏洞濫用的預防,Intercept X現在可減緩惡意處理程序的影響,例如,能夠偵測遠端反射式DLL注入(這種手法因為可在系統執行的處理程序之間遊走不定,因而難以偵測),以及處理程序執行權限擅自提升的可疑狀況。

這是Intercept X特有的根本原因分析功能,在先前版本就已經提供,在圖像化的關係呈現上,新版除了能夠突顯檔案、處理程序、登錄機碼、網路連線的部份,似乎增加了標籤顯示的項目。

 

提供防禦主動敵對攻擊的方法

在因應主動敵對攻擊減緩的作法上,Sophos在Intercept X提供了幾種保護機制,例如,能夠對於存放在記憶體、系統登錄、儲存裝置的認證密碼、雜湊值等身分資訊,提供預防受到竊取的機制,阻止Mimikatz這類惡意程式的密碼偷取行為。

另一種防護則是,則是針對程式碼未用記憶體空間(Code cave),以及非同步程序呼叫(APC)遭到濫用的狀況,提供偵測。以Code cave的偵測而言,Intercept X能夠監督部署到其他應用程式的程式碼存在狀態,以免遭到惡意程式潛入合法應用、長期佔用,而能迴避防毒軟體的過濾。

至於APC濫用防護機制的提供,則與AtomBombing這類程式碼注入的伎倆有關,因為,近期許多惡意軟體的大量散布,都運用了上述作法來發動間接攻擊,像是WannaCry、NotPetya等,都是典型的例子,透過這些非同步呼叫,促使另一支處理程式來執行惡意程式碼。

在應用程式保護上,這一版的Intercept X也針對網頁存取的部分,提供進階功能。像是,新增的瀏覽器行為鎖定,可預防瀏覽器端檢視網頁內容,趁機在個人電腦端執行惡意的PowerShell程式碼。

Sophos在此提供的另一層防護,則是針對HTML應用程式(HTA)的鎖定。若是瀏覽器載入了這類應用程式,Intercept X也會如同上述瀏覽器防護的作法,套用鎖定機制來減緩威脅發生的狀況。

產品資訊

Sophos Intercept X 2.0
●原廠:Sophos(02)7709-1980
●建議售價:每人每年2,208元(未稅)
●作業系統需求:Windows 7、8.0、8.1、10(32和64位元),macOS
●硬體需求:記憶體1GB、硬碟空間1GB
●主要防護:防漏洞濫用攻擊、減緩主動式敵對攻擊、防護勒索軟體攻擊(CryptoGuard、WipeGuard)、鎖定應用程式、整合深度學習
●延伸防護:分析感染根本原因、整合Sophos Clean清除工具、支援Synchronized Security Heartbeat協同防護

【註:規格與價格由廠商提供,因時有異動,正確資訊請洽廠商】


Advertisement

更多 iThome相關內容