Sophos Intercept X深度学习技术预测安全

Sophos Intercept X新一代端点安全方案新增由先进深度学习神经网络赋予的恶意软件侦测能力，并结合了最新的主动黑客攻击缓减、进阶应用程序锁定，以及更强效的勒索软件防护，实现了前所未有的侦测和预防效能。

Enterprise Strategic Group(ESG)资深认证分析师Tony Palmer解释：「传统的机器学习模型单纯仰赖威胁分析专家选用的训练模型属性，因此有著主观的人为因素。随著加入的资料与日俱增，这些高达Gigabite的模型亦愈发复杂，导致运算过程繁琐且缓慢，甚至出现相当高的误报率，促使系统管理员不得不亲自确认哪里些是恶意软件，哪里些是合法软件，如此一来反而降低了IT部门的工作效率。Intercept X的深度学习神经网络则让系统从经验中学习，进而在观察到的行为和恶意软件之间建立关联。这些关联分析提高了其侦测现存以及零时差(Zero-day)恶意软件的准确性，大大减少误报。ESG实验室的分析亦表明，这种神经网络模型易于扩展，加上得到的资料越多就越具智能，故能主动进行侦测而不会加重管理工作或影响系统效能。」

Sophos Intercept X新版本还配备多项创新技术，包括防勒索软件和入侵攻击防护，以及凭证盗窃防护等主动黑客攻击缓减功能。目前黑客因应防恶意软件技术的改进，改为倾向窃取存取凭证，以利用合法使用者的身分在系统和网络中四处行动，而Intercept X能够侦测并预防这类事故发生。该方案可透过云端管理平台Sophos Central部署，与任何厂商现有的端点安全软件一同安装，立即加强端点保护。当与Sophos XG防火墙一并使用时，Intercept X还可以导入同步安全功能，进一步提升防护能力。

Intercept X的新功能包括：(一)深度学习恶意软件侦测—深度学习模型可在已知和未知的恶意软件以及「可能不需要应用程序 」(PUA) 执行前就对其进行侦测，无需比对特征码。该模型大小不到20MB，亦毋须经常更新。

(二)主动减缓攻击—程序码洞穴利用，侦测出植入于其它应用程序中的程序码，制止这种通常用于存留和防毒措施的手法。APC保护，侦测非同步程序呼叫(Asynchronous Procedure Call；APC)的滥用。APC通常用于AtomBombing程序码插入手法，而最近更被用于透过EternalBlue弱点和DoublePulsar工具传播WannaCry蠕虫与NotPetya清除软件(攻击者滥用这些呼叫来骗使其它处理程序执行恶意程序码)。

(三)更强力的最新入侵攻击防御技术—恶意处理程序呼叫，侦测攻击者用来调动于系统上运行处理程序之遥距反射DLL插入法。处理程序权限提升，防止低权限处理程序被蓄意升级这种扩大系统存取权的行为。

(四)增强应用程序锁定—浏览器行为锁定，Intercept X会阻止有人恶意使用浏览器的PowerShell，以作为基本的行为锁定措施。HTA应用程序锁定，由浏览器加载的HTML应用程序将如浏览器一样被施以锁定防护。