首頁
1
最新消息
2
產品快報
3
整合深度學習技術,Sophos無特徵碼防護系統新版問世4
顥弘科技股份有限公司 302 新竹縣竹北市成功十二街20號9樓
當企業在公有雲環境建置多種應用系統時,若要及早掌控當中發生的資安威脅態勢,Check Point推出了CloudGuard Log.ic的雲端服務,能夠直接分析相關的事件記錄,找出異常。  雲端安全防護近來成為網路安全設備廠商所極力發展的領域,例如,Check Point在去年2月推出CloudGuard系列解決方案,當時先發表了原名為vSEC的CloudGuard IaaS,另一套CloudGuard SaaS原本預計在第二季上市,但直到11月才宣布全面供應;以次世代防火牆著稱的Palo Alto,今年5月底也發表Prisma系列的雲端安全解決方案,當中包含了Prisma Access、Prisma Public Cloud、Prisma SaaS,以及VM系列的次世代防火牆產品。  巧的是,隔沒幾週,Check Point推出了一套雲端原生的威脅防護和安全智慧解決方案,稱為CloudGuard Log.ic,號稱能夠讓用戶在租賃的公有雲環境當中,查看每個資料流,並且稽查、追蹤相關的軌跡,以便掌握在雲端存放的資料及執行的活動,加速整體資安鑑識與調查的流程。  這套新發表的雲端服務,讓人聯想到Check Point在去年併購的Dome9,該公司旗下有一套資安威脅情報服務Magellan,主打脈絡感知(Context-Aware)的特色,操作介面也和目前的CloudGuard Log.ic相當類似,不過,根據我們向Check Point詢問的結果,他們表示,CloudGuard Log.ic在正式推出之前,的確暫時用過Magellan這個稱呼,不過,當他們在修正所有功能之後,重新思考服務的命名,而決定取為Log.ic,因此,CloudGuard Log.ic和Dome9是不同的產品。  話雖如此,從目前看到的CloudGuard Log.ic網頁操作介面來看,左上角顯示的品牌圖示,標明的是Check Point CloudGuard Dome9。  從目前Check Point主打的功能來看,CloudGuard Log.ic可以有效偵測雲端服務的異常活動,阻擋威脅與入侵行為,並且呈現具有豐富脈絡關係的圖解,協助調查公有雲基礎架構下的資安突發事件。  這套雲端防護服務是如何運作?它的核心是一套功能相當豐富的引擎,能夠從多種事件記錄來源,去執行資料的核對與整理,舉例來說,在 AWS的環境下,可接收Virtual Private Cloud(VPC)服務的網路流向記錄(VPC Flow Logs),以及CloudTrail(專司AWS帳戶治理、法規遵循、操作過程稽核與風險稽核的服務),能從流向記錄、負載平衡器,以及其他雲端原生的服務元件裡面,取得豐富的資訊,讓IT人員能夠掌握更多關於執行期間的事件細節,更精確地理解整個環境的現況變化,進而施行更為嚴格的資安政策。  未來CloudGuard Log.ic會支援其他公有雲服務嗎?Check Point表示,微軟Azure已經在他們規畫的藍圖當中。  除了收集與分析租戶在公有雲環境的事件記錄,CloudGuard Log.ic也能整合Check Point網路威脅情報平臺ThreatCloud(不需額外付費),從這裡獲得惡意IP位址清單,而能預防進階威脅。基本上,ThreatCloud目前存放了非常多的入侵指標(IOC),收集到的惡意雜湊值、網站及命令與控制中心(C&C)的位址,已經超過7.5億筆資料,而提供的行為特徵數量也高達1千1百多萬個,本身也引用了十多種外部的威脅情報餵送機制,並且經由Check Point本身的人工智慧引擎,執行整併、驗證的程序,以便降低誤判率。  在CloudGuard Log.ic匯集、處理資料之後,資安團隊與DevOps團隊能夠運用這套解決方案,縮短相關作業的時間,迅速完成突發事件的因應、威脅獵捕的執行、既有資安政策的審視等工作,並且能橫跨多個雲端服務使用者帳戶強制施行控管原則。  在雲端服務環境當中,用戶對於使用者、群組、角色所配置的屬性,CloudGuard Log.ic也會予以分析,以便後續進行追蹤,不論是跨網域的聯邦性事件(federated events),或是組態變更,都能逐一查明,並且交互關連到個體或角色上。  此外,CloudGuard Log.ic還能將這些處理妥當的資料記錄流,透過自身的連接器,轉換成具有高度脈絡關係的JSON格式,餵送到第三方廠商的安全資訊事件管理系統(SIEM),像是Splunk、ArcSight。  整合到第三方廠商的安全資訊事件管理系統(SIEM),像是Splunk、ArcSight、LogRythm,讓這些產品執行更進階的調查,使得用戶能從生命週期相當短暫的資料當中,挖掘出關鍵情報,並且培養安全態勢感知的能力。  若希望系統能主動提報具有意義的事件、狀態統計,以及流量分布,用戶也可以自行訂定條件與內容傳送排程,即可定期收到報告──可透過電子郵件的形式,或經由ServiceNow、PagerDuty、Jira等IT服務管理平臺來發送。  既然察覺了資安威脅,就要儘快著手處理與復原,CloudGuard Log.ic也支援自動矯正的機制,這裡使用了一種無伺服器框架,稱為CloudBot,僅需一個按鍵的部署方式,就能夠在接收到惡意活動的特定警示之後,讓整個列管的網路環境,依照預先設定的反應方式,自動觸發相關的矯正功能,例如,執行存取隔離,或是先套上標記,以利後續的調查。產品資訊Check Point CloudGuard Log.ic●原廠:Check Point●可分析的資料類型:AWS(VPC Flow Logs、CloudTrail、AWS Inspector)、網路威脅情報feeds(Check Point ThreatCloud)、IP位址信譽資料庫、地理位置資料庫●整合SIEM的作法:提供JSON格式的資料 http://www.howhung.com.tw/hot_322039.html Check Point推雲端情資分析,幫企業找出公有雲環境威脅 2020-11-30 2021-11-30
顥弘科技股份有限公司 302 新竹縣竹北市成功十二街20號9樓 http://www.howhung.com.tw/hot_322039.html
顥弘科技股份有限公司 302 新竹縣竹北市成功十二街20號9樓 http://www.howhung.com.tw/hot_322039.html
https://schema.org/EventMovedOnline https://schema.org/OfflineEventAttendanceMode
2020-11-30 http://schema.org/InStock $NT 0 http://www.howhung.com.tw/hot_322039.html

相關連結:https://www.ithome.com.tw/review/121873

相隔1年多,Sophos發展的次世代端點防護軟體 Intercept X,今年推出2.0版,運用了深度學習技術,而能針對未知惡意軟體感染的檔案,提供更精準的偵測、判斷能力

距離現在一年多前(2016年9月),Sophos推出了Intercept X,這是一套專門防護漏洞濫用攻擊與勒索軟體的產品,能在已經安裝各種廠牌防毒軟體的個人電腦使用,到了今年初,Intercept X終於發布了後繼版本2.0,首度納入整合深度學習技術的惡意軟體偵測引擎,並且增加、更新漏洞濫用攻擊防護的相關功能,提升減緩主動式敵對攻擊(Active Adversary Mitigations)的能力。

而且在支援的作業系統平臺上,Intercept X從原本以Windows為主要保護的端點環境,新版開始擴及macOS。

若要確認Sophos Intercept X是否已經啟用深度學習的技術,我們可以從Sophos Central的Admin Dashboard網頁管理介面當中,點選左側主選單「組態」下面的政策,然後到右側詳細畫面當中,選擇「設定」,接下來即可看到深度學習的啟用選項,就像上圖這樣。

全面採用深度學習,提升未知惡意軟體偵測能力

以深度學習的應用而言,Intercept X新版採用了類神經網路技術,可以透過經驗學習,建立觀察行為與惡意軟體之間的交互關連性,進而快速、精準偵測所存取的檔案內容,確認是否具有惡意或是潛在無用軟體(PUA),並且導入了誤判抑制(False Positive Suppression)功能,可自動執行,;若出現這樣的情況,系統即可在這些檔案開始執行之前,予以自動判定與隔離,而不需要掃描、比對特徵碼,導致系統效能與整體管理機制受到影響。

對於監控的應用程式,Intercept X的深度學習技術會區分為三類:惡意軟體、潛在的無用軟體、合法軟體,也就是界定出黑、灰、白等三種應用程式名單。

應用了深度學習技術,系統仍會誤判(False Positive,FP),而為了要設法降低這類情況的發生,Sophos加入了誤判抑制機制,他們在Vimeo網路視訊平臺所發布的相關影片當中,更進一步介紹了裡面的三種抑制方法,以及針對惡意軟體與潛在無用軟體進行誤判排除的流程。

基本上,Intercept X採用的深度學習技術,搭配了SophosLabs提供的延伸訓練資料集,能夠辨識重要的屬性,因此,單靠這套系統本身,就能區隔惡意與正常檔案的差異。這套資料集所需要的儲存空間也很小,低於20 MB,而且不需要經常更新。

同時,SophosLabs會運用新收集,以及先前所不曾接觸的惡意軟體範例,持續訓練資料模型,同時監控決策有效性的分界範圍。

一般而言,若在威脅防禦機制當中使用機器學習,通常會運用特定的變數,像是檔案大小、壓縮層級,來預測檔案的惡意程度,能夠辨識出屬性與分類是否為惡意或正常,而且持續學習,以便正確辨識惡意軟體。

Sophos認為,只靠幾種變數是不夠的,當人工智慧可以看到更多屬性,對於預測惡意檔案的能力就越豐富。

因此,相較之下,傳統機器學習的作法,就會顯得落後,因為它無法處理大量變數,而難以趕上當前網路威脅的發展,就算要這麼做,往往需要更多的儲存空間與運算能力,才能達到目的。

而Intercept X運用的深度學習模型,能夠處理來自多個分析層級的資料,就像腦神經一般,分析不同輸入資料特性之間的關係,自動揭露資料的最佳組合與運用方式,並提出預測性推論。這種方式能夠快速、精確地處理數千萬個資訊點, 而不會讓使用者系統效能陷入泥淖。

強化漏洞濫用行為的防護能力

對於漏洞濫用的預防,Intercept X現在可減緩惡意處理程序的影響,例如,能夠偵測遠端反射式DLL注入(這種手法因為可在系統執行的處理程序之間遊走不定,因而難以偵測),以及處理程序執行權限擅自提升的可疑狀況。

這是Intercept X特有的根本原因分析功能,在先前版本就已經提供,在圖像化的關係呈現上,新版除了能夠突顯檔案、處理程序、登錄機碼、網路連線的部份,似乎增加了標籤顯示的項目。

 

提供防禦主動敵對攻擊的方法

在因應主動敵對攻擊減緩的作法上,Sophos在Intercept X提供了幾種保護機制,例如,能夠對於存放在記憶體、系統登錄、儲存裝置的認證密碼、雜湊值等身分資訊,提供預防受到竊取的機制,阻止Mimikatz這類惡意程式的密碼偷取行為。

另一種防護則是,則是針對程式碼未用記憶體空間(Code cave),以及非同步程序呼叫(APC)遭到濫用的狀況,提供偵測。以Code cave的偵測而言,Intercept X能夠監督部署到其他應用程式的程式碼存在狀態,以免遭到惡意程式潛入合法應用、長期佔用,而能迴避防毒軟體的過濾。

至於APC濫用防護機制的提供,則與AtomBombing這類程式碼注入的伎倆有關,因為,近期許多惡意軟體的大量散布,都運用了上述作法來發動間接攻擊,像是WannaCry、NotPetya等,都是典型的例子,透過這些非同步呼叫,促使另一支處理程式來執行惡意程式碼。

在應用程式保護上,這一版的Intercept X也針對網頁存取的部分,提供進階功能。像是,新增的瀏覽器行為鎖定,可預防瀏覽器端檢視網頁內容,趁機在個人電腦端執行惡意的PowerShell程式碼。

Sophos在此提供的另一層防護,則是針對HTML應用程式(HTA)的鎖定。若是瀏覽器載入了這類應用程式,Intercept X也會如同上述瀏覽器防護的作法,套用鎖定機制來減緩威脅發生的狀況。

上一個 回列表 下一個