Intercept X de Sophos evoluciona con protección predictiva y aprendizaje profundo
Detección de malware con tecnología deep learning neural networks fue integrada a la solución de protección Intercept X. En combinación con la mitigación de hackers, el bloqueo de aplicaciones y la protección de ransomware, esta última versión brinda niveles inéditos de detección y prevención, a decir de la marca.
El aprendizaje profundo o deep learning es el último avance del machine learning, ofrece un modelo de detección escalable de forma masiva, capaz de aprender todo el panorama de amenazas observables. Con la capacidad de analizar cientos de millones de atributos, el aprendizaje profundo puede hacer predicciones precisas a un ritmo rápido con muchos menos falsos positivos en comparación con el aprendizaje automático tradicional, explicó el desarrollador.
Asimismo refirió que a medida que ha mejorado el antimalware, los ataques se han centrado cada vez más en robar credenciales para moverse por los sistemas y redes como un usuario legítimo, pero Intercept X detecta y evita este comportamiento. Se implementa a través de la plataforma de administración basada en la nube Sophos Central, y puede instalarse junto con el software de seguridad de endpoints existente de cualquier proveedor, aumentando la protección de endpoints y aprovechando la seguridad sincronizada cuando se usa con XG Firewall. Las nuevas funciones incluyen:
Deep learning malware detection
–Detecta el nuevo malware y aplicaciones potencialmente no deseadas, antes de que se ejecuten sin depender de las firmas.
–El modelo es menor a 20mb y requiere actualizaciones poco frecuentes
Mitigaciones adversas activas
–Protección de robo de credenciales: prevención del hurto de contraseñas de autenticación e información de hash de la memoria, registro y disco duro, que son aprovechados por ataques como mimikatz.
–Uso de code cave: detecta la presencia de código implementado en otra aplicación.
–Protección APC: detecta abusos en asynchronous procedure call (APC), que a menudo se usan como parte de la técnica de inyección del código atom bombing y más recientemente como método de propagación del gusano wannaCry y notPetya, a través de EternalBlue y DoublePulsar.
Técnicas de prevención de exploits
–Migración de procesos maliciosos: detecta una inyección DLL reflectante remota, utilizada por adversarios para moverse lateralmente entre los procesos que se ejecutan en el sistema.
–Escalada de privilegios de proceso: esto evita que un proceso de bajo privilegio se escale a uno más alto, una táctica que a menudo usa un adversario activo para obtener derechos de acceso al sistema.
Bloqueo de aplicaciones
–Bloqueo del comportamiento del navegador: evita el uso malintencionado de powerShell de los navegadores como bloqueo de comportamiento básico.
–Bloqueo de la aplicación HTA: las aplicaciones HTML cargadas por el navegador tendrán las mitigaciones de bloqueo aplicadas como si fueran un navegador.
De acuerdo con Dan Schiappa, vicepresidente senior y gerente general de Productos en Sophos, la protección predictiva es el futuro de la seguridad de TI. “Ser capaz de escudarse contra el siguiente ataque desconocido en lugar de esperar a que llegue, cambiará la forma en que se pueden defender las operaciones de TI en todas las organizaciones. La protección contra ataques de día cero no tiene por qué ser difícil y compleja.aplicación HTA puede brindar la protección de próxima generación más avanzada a cualquier organización, independientemente de su estrategia actual”, puntualizó el directivo.
