觀點

[專訪] 對抗未知威脅與勒索軟體 Sophos推Intercept X

2018 / 04 / 12
編輯部
[專訪]  對抗未知威脅與勒索軟體 Sophos推Intercept X

儘管全球資安意識逐年提升,企業與政府均逐年增加資安預算,但駭客攻擊手法持續進化下,世界各國仍然深受各類資安威脅所。以2017年WannaCry、GoldenEye勒索軟體為例,便是利用Windows 作業系統漏洞入侵,最終在超過100個國家中造成極為嚴重的災情,即便受害者已安裝各種資安設備,依然無法有效抑止災情發生。

日前Sophos公布一份針對2700多位IT決策者進行的端點安全現狀(The State of Endpoint Security Today) 調查報告,結果有超過54%受訪企業在2017年遭受過攻擊、且每家企業平均受到兩次攻擊,31%受訪者預計未來也會成為受害者。值得關注之處,有75%以上受訪企業已採用最新版的端點保護措施,但仍然無法有效勒索軟體入侵,顯見市面上既有防護機制存在許多盲點。

Sophos亞太區暨日本副總裁兼董事總經理Joergen Jakobsen說,勒索軟體主要是利用作業系統或應用程式的漏洞入侵,因此能夠規避資安防護設備的偵測。從我們調查報告顯示,有超過54%受訪組織欠缺防護漏洞的工具,甚至有2/3受訪者不了解何謂防護漏洞,才會演變出無法阻擋勒索軟體入侵的困境。在駭客攻擊手法日益複雜的狀況下,我們認為要對抗無所不在的資安威脅,唯有借重機器學習技術的協助,而新一代Sohops Intercept X是融入深度學習技術的端點防護解決方案,讓用戶端具備偵測未知威脅的能力,可讓企業免於包含勒索軟體在內的惡意程式威脅。

融入深度學習技術 判斷能力接近100%
過去考量到用戶端設備的運算能力問題,端點防護設備幾乎清一色採用特徵碼比對的技術,此種已使用20年以上的資安技術,儘管具備誤判率低於1/10000的優點,但是在惡意程式朝向變種發展的趨勢下,辨識率也已下滑到50%左右。許多業者為解決此問題,開始融入機器學習技術,可惜受限於技術上的限制,儘管辨識率大幅提升到75~80%左右,但誤判率亦達到1/100,反而徒增資安人員工作上的困擾。

相較之下,Sophos Intercept X具備惡意軟體偵測、入侵攻擊防禦、防勒索軟體、根本原因分析,以及 Sophos Clean等功能,在Deep Learning技術協助下,可在正確時間使用正確技術,阻止未知威脅入侵並拒攻擊者於門外。簡單來說,該套解決方案具備勒索軟體防護、弱點防護、惡意程式分析與移除等三大功能,堪稱是企業打造新一代防護機制的最佳首選。

Joergen Jakobsen解釋,一般資安業者使用的機器學習技術,通常會要求資料科學家識別要尋找的屬性,因此辨識模型會受限於選擇屬性和訓練資料有效性,以至於會發生辨識率與誤判率同步提高的窘境。相較之下,Sophos Labs使用深度學習神經網路進行訓練,無須特徵碼輔助,能以高準確度偵測出新的和未知的惡意軟體檔案,以及識別出可區分惡意軟體和良性檔案的重要屬性。

當該技術與Sophos Labs的大型訓練資料集相結合,可確保在良性檔案和惡意檔案之間建立準確且有效的決策分界。尤其該訓練模型小於 20MB,且不需要進行經常更新,因此當Sophos Intercept X完成部署,且經過數天的訓練之後,即可達成在誤判率低於1/10000狀態下,讓辨識率卻能夠大幅提升到98%,是傳統特徵比對、機器學習技術不及之處。

快速辨識勒索軟體 免於駭客組織威脅
誠如前述,企業遭受勒索軟體攻擊的總損失平均達13.3萬美元,其中包含贖金、停機、人力、設備和網路相關的成本,以及喪失商機等代價,有5%受訪企業更稱其總損失在130萬美元至660萬美元之間。只是在勒索軟體變形速度快的威脅下,多數企業至今仍然欠缺完善的防護機制,所幸前述擾人種種問題,現今均可透過Sophos Intercept X。

Joergen Jakobsen指出,Sophos Intercept X 是基於惡意行為分析阻止加密勒索行為,所以面對當今千變萬化的加密勒索軟體攻擊,主要是透過Cryptoguard技術達到阻斷加密勒索軟體的運作,以及恢復被加密的軟體。另外,該套軟體替能透過根本原因分析功能,顯示導致該次偵測的所有事件,以利整體資安政策的調整,進而建構對抗未知威脅的能力。

資料來源 SOPHOS提供