抽絲剝繭!入侵路徑一目了然:深度學習 EDR 助你揪出安全風險
抽絲剝繭!入侵路徑一目了然:深度學習 EDR 助你揪出安全風險
正當大家享受著科技為企業所帶來的競爭優勢時,駭客亦看準機會針對企業發動各種攻擊!面對更創新的攻擊手法及安全風險,傳統防禦方案已失去應有效用,因此在本文中,我們將會與大家探討一下企業應如何面對?
現時惡意軟件泛濫,攻擊頻繁,還有大量攻擊工具於暗網橫行,IT主管經常要為公司是否受到攻擊、攻擊源自何處、該如何應對等棘手問題提心吊膽。然而,企業若欠缺有能力分析潛在威脅的資訊安全營運中心 (SOC) 或訓練有素的網絡安全專家,實在難以及時阻止網絡攻撃。故此端點偵測與回應 (EDR) 功能便變得不可或缺,尤其是對IT安全資源有限的企業而言。
傳統 EDR 方案:企業都難以應付
當提到 EDR,大家腦海中不禁會想到額外的人手以及專業的知識!是的,傳統的 EDR 方案往往依賴對 Log 的分析,而且很多時在搜尋工作之中,都是以 Historical Search(搜尋歷史記錄)為主,這將會對所得數據有所局限;而如果以傳統的 EDR 方案作進階的搜尋,例如 Proactive Search(主動搜尋),更需要聘請精通攻擊行為及工具的 Forensics 專家對攻擊行為進行匹配,搜尋潛藏公司網路的隱密惡意軟件,繼而快速應對。但是,這些專家薪金高昂而且非常渴市。
智能 EDR – AI 助力的新一代 EDR 方案
而新一代的 EDR 就將 AI 技術如深度學習,再配合風險防禦技術,從而簡化傳統 EDR 方案的複雜性,並最終節省額外聘請專家的開支。就以 Sophos EDR 方案為例,它利用經由數以億計惡意軟件樣本訓練的深度學習神經網絡,搜尋可疑的惡意代碼,以揪出前所未見威脅;這智能功能搭載在 Sophos 備受讚譽的Endpoint Protection和年初推出的深度學習 endpoint 防護方案Intercept X 上,可以說得上是新一代的 EDR 方案。盤點Sophos Intercept X Advanced with EDR的5大強勢功能:
1. 全面掌握安全現況
由於公司網絡系統存在著不少盲點,IT團隊未能自信十足摸清其安全狀況。比如你發現了可疑的執行檔並加以清除,但你會可能會懷疑它是否也在其他地方存在;而EDR就可指出在其他地方潛藏的相關可疑威脅,讓你決定進一步調查或行動。
2. 偵測走漏眼的網路攻擊
IT 團隊可利用 EDR 搜尋受感染指標 (IOCs) 以快速找出可能錯過的攻擊。而且能採用機器學習把可疑事件快速識別出來並評以威脅風險指數,自動提供風險處理優先次序建議。
Sophos Intercept X with EDR 能在網絡尋找 (IOCs)
3. 對可疑事故快速應變
IT 團隊平均花 3 小時去調查和回應入侵事故,而這方案可迅速隔離 endpoint 以防感染擴散;更提供指引式事件回應 (Guided incidence response) 建議,讓不同技術水平的 IT 管理員快速調查並應對事件。
4. 在不增加人手下導入專門智囊
有賴機器學習去整合深度安全知識及來自 SophosLabs 的威脅情報,它可代替 IT 人員進行不同分析,儼如雲集安全、惡意軟件、威脅情報分析師助力:採用深度學習辨識可疑事件並根據威脅指數編排回應行動優先序;對可疑檔案進行反向工程以詳細分析;IT 管理員可一鍵獲取 SophosLabs 每天追蹤分析 400,000 惡意軟件的研究成果,即時獲取第一手分析資料,助其判斷攻擊風險。
Machine learning 分析顯示出屬性,代碼相似度和檔案路徑
5. 輕易進行案件重演
當中的攻擊鏈可視化功能呈現整個攻擊鏈,同時亦可讓管理員即時作出反應,包括進行端點隔離、刪除並封鎖檔案以及建立法證快照。
網絡威脅實例具體呈現攻擊鏈,可互動查看詳細資訊
Sophos Senior Technology Solutions Director, APJ 韋頌修認為:「在當今複雜網絡世界,企業永遠不知何時會受到網絡攻擊,要有心理準備隨時迎戰;而且,攻擊會如流感病毒變種進化 – 企業必須在防禦方面趕上並超前網絡罪犯的步伐。另外,分析海量惡意軟件對IT經理構成巨大壓力,尤其對缺乏IT資源的中小企而言;幸運的是,EDR技術可為各規模的公司的防禦部署注入類似資安監控中心 (SOC) 的功能,快速揪出並攔截潛藏網路威脅。」
EDR 長知識深度文章
要跟上並超前日益複雜網絡攻擊的步伐,EDR 是 endpoint 防護上的必要的額外保護層。這文章深度剖析需要 EDR 的 5 大原因:
https://secure2.sophos.com/en-us/security-news-trends/whitepapers/gated-wp/sophos-edr-solution-brief.aspx?cmp=30902
要了解 Sophos 的 EDR 方案 Intercept X Advanced with EDR:
https://www.sophos.com/en-us/products/intercept-x.aspx#edr?cmp=30902
