Symantec Endpoint Protection、Sophos、Intel Security Threat Intelligence Exchange Advanced Threat Protection Global Threat Intelligence McAfee Endpoint Security Security Heartbeat Endpoint Security Sophos Syste 加密勒索軟體 端點安全

結合端點與防火牆 建立同步性安全架構

2016-07-07
近年來外部資安威脅轉向未知型攻擊,使得防毒引擎偵測率因此降低,Sophos技術經理詹鴻基認為,這是事實,但不代表不再需要防毒機制,即便是未知型攻擊程式被發現後,亦需納入特徵碼資料庫,才得以自動化方式快速過濾阻擋,而非把所有的可疑程式皆導向沙箱分析。
畢竟資安威脅防禦措施需逐層堆疊,擁有對抗大部分病毒的能力後,再增添運用新的技術、工具來強化,補足缺口,才是合理的作法。因此Sophos的產品發展方向是以單一代理程式為基礎,執行更多層面的偵測與抵禦。

▲ Sophos技術經理詹鴻基說明,當端點與防火牆得以透過Security Heartbeat溝通,防火牆即可得知端點環境的安全狀態,可事先在防火牆系統中設定僅允許被標示為綠色的端點連接DMZ區域,藉此防範橫向擴散等威脅。
Sophos架構的新一代端點防護平台System Protector,整合特徵碼比對引擎的Threat Engine、應用程式控管與追蹤、信譽評等、設備管控、Web Protection等機制。詹鴻基舉例,當使用者下載檔案後,會先通過平台上的防毒引擎檢查,若未發現威脅特徵碼,會再透過Live Protection上傳Hash值到雲端平台檢查,若同樣未發現威脅,還會透過主機入侵防禦監看檔案執行行為,若發現程式呼叫瀏覽器,疑似準備執行Call-back,則立即跳出警示,通知使用者該程式執行程序為異常,而非直接阻斷,以免誤判造成困擾;當惡意程式開始執行Call-back連線,亦可透過惡意流量偵測主動發現,確定是威脅行為時才會予以阻擋。

「我們是以單一引擎為核心,提供防毒、雲端資料庫比對、HIPS、惡意流量檢測等機制,可說較同類型方案整合更多查察機制。」詹鴻基強調。畢竟現代攻擊並非採以單一手法,端點的因應措施勢必也需要提升,透過整合不同領域的防禦能力,來降低可能造成的威脅。

此外,Sophos去年底透過收購取得的SurfRight,旗下針對勒索病毒設計的保護機制稱為CryptoGuard,也即將整合到Sophos端點防護平台。詹鴻基說明,未來只要在設定介面上勾選啟用後,就會自動套用勒索病毒防禦政策,不論是已知或未知型皆可辨識,其中未知的部份則是透過勒索病毒常見的行為模式主動偵測。

至於Sophos今年提出的同步性安全(Synchronized Security)架構,主要即是因應進階式攻擊大多採混合多項技術來發動,需由端點與閘道端共同聯合來抵禦,但企業端普遍遇到的狀況卻是各由不同廠商提供的技術平台,無法彼此溝通。而Sophos則同時擁有端點與防火牆產品技術,當防火牆偵測到惡意連線行為後,才得以直接通知防毒軟體執行檔案清除,如此建立的聯防架構,即使預算不多的中小企業,亦可有效降低資安威脅。


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!