Grazie al Deep Learning, più efficace rispetto al Machine Learning tradizionale, Sophos Intercept X vanta i più alti tassi di rilevamento delle minacce e il più ridotto numero di falsi positivi sul mercato della sicurezza degli endpoint di nuova generazione
Sophos lancia la nuova versione di Intercept X dotata di rilevamento del malware ottimizzato dalla rete neurale del deep Learning. L’ultima versione della soluzione di protezione degli endpoint di nuova generazione include nuove funzionalità di mitigazione degli attacchi, lockdown avanzato delle applicazioni e una migliore protezione dai ransomware garantendo standard di rilevamento delle minacce e prevenzione mai raggiunti prima.
Il Deep Learning, evoluzione del Machine Learning, rende disponibile un modello di rilevamento altamente scalabile in grado di analizzare e apprendere l’intero panorama visibile delle minacce. Con la capacità di processare centinaia di milioni di campioni, il Deep Learning è in grado di fornire previsioni più accurate rispetto al Machine Learning tradizionale, in modo rapido e con un tasso minore di falsi positivi.
“I modelli di Machine Learning tradizionali si basano su parametri che vengono impostati dagli esperti di analisi delle minacce e ciò implica che siano influenzati dal fattore umano. Inoltre, più dati vengono aggiunti, più tali modelli diventano complessi e pesanti e di conseguenza lenti e macchinosi. Non va inoltre sottovalutato l’elevato tasso di falsi positivi che li caratterizza e che costringe gli IT manager a dedicare tempo per tentare di determinare se si tratti realmente di malware oppure no” spiega Tony Palmer, Senior Validation Analyst dell’Enterprise Strategy Group (ESG). “Al contrario, la rete neurale del Deep Learning che caratterizza il nuovo Intercept X è stata sviluppata per imparare dell’esperienza, creando correlazioni tra il comportamento osservato e il malware. Queste correlazioni permettono un elevato tasso di accuratezza nell’individuazione di malware esistenti e di malware zero-day e un tasso di falsi positivi sensibilmente ridotto. L’analisi svolta dall’ESG Lab rileva che questo modello è facilmente scalabile, e che più dati integra più diventa intelligente. Ciò permette di utilizzare una rilevazione del malware aggressiva senza penalizzare le prestazioni amministrative o di sistema “.
Questa nuova versione di Sophos Intercept X è caratterizzata inoltre da importanti innovazioni per quanto riguarda la lotta al ransomware, la prevenzione degli exploit e la mitigazione di attacchi hacker come quelli mirati al furto di credenziali. Il sensibile miglioramento della soluzione anti-malware ha infatti portato i cybercriminali a concentrarsi sempre di più sul furto di credenziali per potersi poi muovere legittimamente all’interno di sistemi e reti; Intercept X rileva e previene questo comportamento. Reso disponibile attraverso la piattaforma di gestione basata su cloud Sophos Central, Intercept X può essere installato contestualmente al software di sicurezza degli endpoint pre-esistente di qualsiasi fornitore, incrementando immediatamente la protezione degli endpoint. Se utilizzato con Sophos XG Firewall, Intercept X mette inoltre a disposizione funzionalità di sicurezza sincronizzata che ottimizzano ulteriormente la protezione.
“La protezione predittiva è il futuro della sicurezza informatica. Sophos ha compiuto un enorme passo avanti integrando le reti neurali del Deep Learning all’interno del suo prodotto leader nella protezione dai ransomware e dagli exploit, Intercept X,” commenta Dan Schiappa, Vice President Senior e General Manager of Products di Sophos. Prevedere e dunque essere in grado di proteggersi dal prossimo attacco sconosciuto invece di aspettare che colpisca cambierà il modo in cui l’IT di ogni azienda proteggerà i propri utenti e le proprie risorse. Intercept X può portare la protezione più avanzata di nuova generazione a qualsiasi organizzazione, indipendentemente dalla loro strategia attuale “.
Questa tendenza viene confermata anche dal report ESG Lab Validation, ogni azienda dovrebbe presumere di essere sempre sotto l’attacco di minacce informatiche. In una recente ricerca ESG, più di un quarto degli interlocutori aziendali intervistati ha affermato che oggi l’analisi e le operazioni di cybersecurity siano rese più complesse a causa dei rapidi cambiamenti nel panorama delle minacce. (Cybersecurity Analytics and Operations in Transition, luglio 2017.)
Le nuove caratteristiche di Intercept X includono:
Rilevamento del malware grazie al Deep Learning
- Il modello basato sul Deep Learning individua i malware conosciuti e sconosciuti e le Applicazioni Potenzialmente Indesiderate (PUA) prima che vengano avviate, senza fare affidamento sulle signature.
- Tale modello occupa meno di 20MB e gli aggiornamenti richiesti sono saltuari
Mitigazione degli attacchi attivi
Protezione dal furto di credenziali: prevenire il furto di password di autenticazione e informazioni hash dalla memoria, registro e archiviazione persistente, come accaduto nel caso di attacchi come Mimikatz.
- Rilevazione della tecnica di code cave: rileva la presenza di codice arbitrario in un’altra applicazione, spesso utilizzata per la persistenza e l’elusione antivirus
- Protezione APC: rilevazione dell’abuso di APC (Asynchronous Procedure Calls) spesso sfruttato come parte della tecnica di iniezione codice AtomBombing e, più recentemente, utilizzato come metodo di diffusione del worm WannaCry e NotPetya via EternalBlue e DoublePulsar (gli hacker abusano di queste chiamate per far sì che sia un altro processo ad eseguire il codice dannoso)
Nuove tecniche di prevenzione degli exploit
- Migrazione dei processi malevoli: rileva la tecnica di “remote reflective DLL injection” utilizzata dagli hacker per spostarsi tra i processi in esecuzione sul sistema.
- Processo di escalation dei privilegi: evita che un processo a basso privilegio si trasformi in un processo a più alto privilegio, una tattica utilizzata per ottenere un elevato accesso al sistema.
Lockdown delle applicazioni migliorata
- Lockdown del comportamento del browser: Intercept X previene l’uso dannoso di PowerShell dai browser come blocco del comportamento di base
- Lockdown dell’applicazione HTA: verranno applicate alle applicazioni HTML caricate dal browser gli stessi blocchi come se fossero un browser.