為了區隔新世代端點防護平台,Sophos自2016年提出Intercept X新品牌,增添人工智慧與深度學習演算技術,發展至2018年3月已正式發佈2.0版本。日前則更進一步發布Intercept X Advanced with EDR,正式納入端點偵測與回應(EDR)機制,基於單一引擎實作,以降低中小企業進入門檻。
Sophos大中華區董事總經理潘自強表示,Sophos自1985年創立以來,至今已有33年歷史,擅長於端點與網路安全防護。解決方案發展理念是以降低資安複雜度為宗旨,用最簡單的方式快速部署保護措施,在歐美地區累積的企業客群主要為5,000名員工的中型企業,完全仰賴通路把解決方案推向市場。
除了自主研發,亦透過併購手段擴展整合式架構,例如2011年收購德國Astaro防火牆廠商、2014年再收購取得Cyberoam等,以提供完整解決方案,為端點、網路、雲端應用環境建置保護機制。2017年收購Invincea取得深度學習演算技術後,目前在Intercept X 2.0版已可應用人工智慧來輔助Sophos Central雲端服務建立單一控管平台,讓防火牆與端點安全引擎彼此互動,一旦發現端點出現惡意程式,即主動觸發通知防火牆執行隔離。
從偵測、保護延伸到調查與回應
 |
| ▲ Sophos大中華區董事總經理潘自強指出,過去的端點安全防護必須在發生資安事件時,設法即時偵測發現並予以阻擋,如今則可善用現代化工具,經由事前健康檢查先一步發現病徵並予以處置,達到預防的功效。 |
用以協助資安專家執行事件調查與回應而生的EDR方案,Sophos亞太區及日本區技術方案高級總監韋頌修觀察,發展初期主要為新創公司所研發設計,不僅必須在端點額外安裝代理程式才有能力蒐集取得資料,並非IT管理者普遍能接受的作法;況且多數必須搭配建置大數據平台運行關聯式分析,部署門檻較高,產出的數據還得交由資安專家判讀,如此才可以發揮EDR實際效益。
隨著技術持續發展、解決方案日漸成熟,對於IT規模不大,缺乏專屬資安人員的企業環境,如今也可藉由Sophos在EPP平台上增添的EDR機制,來建立資安事件調查與回應工作流程,以掌握攻擊活動的行徑,判別優先處理順序,有效阻止感染範圍持續擴大。Intercept X Advanced with EDR運行方式是先由Intercept X第一道防線執行過濾,確認未潛藏已知威脅後,資料才會進入分析階段,減少EDR運作負擔。「把EDR技術內建到Intercept X方案中,有助於強化EPP的偵測、保護、回應能力。」韋頌修強調。
對於台灣眾多的中小企業而言,往往缺少投入內部培養專業人力與採購各式各樣工具的預算,萬一不幸遭遇攻擊,具備EDR能力的Intercept X,可提出資安事件摘要,並且依據重要性排定優先順序,加速IT管理者排除問題。至於觸發資安事件的惡意程式分析,以往需要專家才能釐清進入點、利用管道、Payload樣式、目的性等資訊,如今亦可藉由自動化工具來輔助,進而整合外部威脅情資,全面性地偵查。
威脅搜索解析風險情資細節
大數據分析如今已是資安領域不可或缺的能力,主要仰賴建置在雲端的Sophos Central統一控管介面來運行,毋須龐大的系統建置,不僅可監看網路行為活動,亦可藉此執行威脅獵捕(Threat Hunting)。
若接收到國家或產業級的電腦緊急應變小組(CSERT)發布國際間出現最新攻擊警訊,並且提供威脅指標值,此時IT管理者可執行Sophos Central操作介面上提供的威脅搜索(Threat Searches)機制,藉此判斷執行回應措施。
韋頌修進一步提到,2019年即將發布的新版本,最大特點是納入人工智慧輔助分析,屆時可依據威脅指標的風險等級給予評分,自動排序高優先處理的事件,提升IT管理者維運效率。針對威脅情報分析,Sophos Central平台不僅可提供詳盡描述偵測攔阻的事件資訊,同時也包含攻擊手法的行為模式與真正目的。當IT管理者接收到信譽評等分數偏低的檔案時,可透過Hash值詢問雲端平台,運行機器學習分析來取得更多該檔案之所以被列為高風險的資訊。
「事實上,端點安全引擎本就是實作機器學習或深度學習技術來執行偵測,用戶無從得知分析與判斷的準則,如今透過Sophos Central雲端平台服務,以圖形化方式呈現,即可掌握更多解析的細節,以便於制定精準的應變程序。」韋頌修說。
依據Threat Cases建議引導處置
引導IT管理者回報資安事件亦可說是Intercept X的重要特性之一。多數IT管理者即使在控管平台上收到告警指出端點遭受入侵,通常也無法快速地掌握攻擊活動的行徑,包含滲透成功的源頭、採用的手法、橫向移動的範圍等資訊。「Sophos設計的Intercept X端點安全保護解決方案,目的是協助IT管理者提高事件調查與分析的效率,釐清入侵活動的根本原因與行為軌跡,進而辨識利用來滲透的惡意程式,才得以執行阻擋。」
近期推出包含EDR功能的Intercept X Advanced,將根本原因分析機制再強化為威脅案例(Threat Cases),設計以拓樸圖方式說明攻擊入侵的端點、執行程序、夾帶的病毒,觸發執行阻斷同時發出告警,並提出應該採取行動的建議步驟,例如執行隔離、搜尋、清除等動作。不需要聘請外部資安專家,IT管理者在單一控管平台上點選執行程序,即可自動回應處置。
對於多數的中小企業而言,威脅案例內建的執行回應措施就已足夠。當然IT管理者仍舊得判斷,若偵測到的攻擊手法是利用PowerShell發動,屬於作業系統內建的核心功能無法停止該執行緒正常運行,可轉向辨識高風險的文件檔,並且予以隔離處置。同時可搭配運用Sophos Security Heartbeat同步安全技術,呼叫閘道端的Sophos XG Firewall新世代防火牆隔離高風險的端點,以避免橫向擴散大幅感染更多端點。
尤其是面對SamSam這類針對性勒索軟體,最新發布的《SophosLabs 2019年網路威脅報告》已追蹤統計獲利高達650萬美元,如此非法暴利勢必吸引更多犯罪者模仿,一旦單點被突破,恐遭成企業財務損失。此時基於Security Heartbeat同步安全技術所建構的聯合防禦網,將有機會阻止勒索軟體大幅擴散,讓風險降到最低程度。