Sophos ha anunciado hoy el lanzamiento de Intercept X con detección de malware impulsado por Deep Learning basado en redes neuronales. Este nuevo sistema combina la mitigación de técnicas anti-hacking con el bloqueo avanzado de aplicaciones y mejora la protección contra el ransomware. De esta manera, la última actualización de la protección next-gen endpoint provee de un nivel de detección y defensa nunca visto.
El Deep Learning es la última evolución del Machine Learning y ofrece un modelo de detección escalable de forma masiva capaz de aprender del panorama de amenazas actual. Con capacidad para procesar cientos de millones de muestras, el Deep Learning puede hacer predicciones más precisas a un ritmo más rápido con muchos menos falsos positivos en comparación con el Maching Learning tradicional.
«Los modelos tradicionales de Machine Learning dependen de expertos en análisis de amenazas para seleccionar los atributos con los que preparar el modelo, agregando un elemento humano subjetivo. También se vuelven más complejos a medida que se agregan más datos, y estos modelos que llegan a ocupar varios gigabytes son engorrosos y lentos. Además, también pueden tener altas tasas de falsos positivos que reducen la productividad de TI a medida que los administradores intentan determinar qué es un malware y qué un software legítimo», explica Tony Palmer, senior validation analyst en Enterprise Strategy Group (ESG.), consultora especializada en TI. “En cambio, Intercept X y su modelo Deep Learning de redes neuronales está diseñado para aprender de la experiencia, creando correlaciones entre el comportamiento observado y el malware. Esta vinculación tiene como resultado una alta tasa de precisión tanto para el malware existente como el de día cero, y una menor tasa de falsos positivos. El análisis de ESG Lab revela que este modelo de red neuronal se escala fácilmente, y cuantos más datos tiene, más inteligente se vuelve. Esto permite una detección eficaz sin penalización administrativa o de rendimiento del sistema».
Esta nueva versión de Sophos Intercept X también incluye mejoras en la protección anti-ransomware, prevención de exploit y mitigación de técnicas anti-hacking, como la protección contra robo de credenciales. Con la mejora de los sistemas antimalware, los ataques se han centrado cada vez más en robar credenciales para acceder a los sistemas y redes como un usuario legítimo, e Intercept X detecta y evita este tipo de comportamientos. Implementado a través de la plataforma de gestión basada en la nube Sophos Central, Intercept X puede instalarse junto con el software de seguridad endpoint de cualquier proveedor, aumentando de inmediato la protección. Utilizado junto con Sophos XG Firewall, Intercept X introduce la seguridad sincronizada, para una protección única y mejorada.
«La protección predictiva es el futuro de la seguridad TI. Sophos ha dado un gran paso adelante al llevar el Deep Learning basado en redes neuronales a la industria, liderando la protección de anti-exploit y anti-ransomware con Intercept X», dice Dan Schiappa, senior vice president and general manager of products en Sophos. «Ser capaz de estar protegido contra el próximo ataque desconocido en lugar de estar esperando a que llegue, cambiará la forma en que las empresas protegen a sus usuarios y activos. Intercept X puede proporcionar la protección next-gen más avanzada a cualquier empresa, independientemente de su estrategia «.
Según el informe ESG Lab Validation, todas las empresas deberían asumir que siempre estarán en el punto de mira de un ciberataque. En esta investigación de ESG se preguntó cuáles eran las principales razones por las que las operaciones y análisis de ciberseguridad son más difíciles hoy en día, y más de una cuarta parte de los encuestado identificaron como la principal la dificultad el hecho de mantenerse al día cuando se viven constantes y rápidos cambios en el panorama de ciberamenazas.
Intercept X incluye estas nuevas características:
· Detección de malware con Deep Learning.
– El modelo Deep Learning detecta malware conocidos y desconocidos, así como aplicaciones potencialmente no deseadas (PUAs) antes de que se ejecuten sin depender de las firmas.
– Ocupa menos de 20Mb y no necesita de constantes actualizaciones.
· Mitigación de técnicas de adversario activo
– Protección contra el robo de credenciales: previene del robo de contraseñas almacenados en memoria, registro y almacenamiento persistente, que son aprovechados por aplicaciones como Mimikatz.
– Utilización de code cave: detecta la presencia del código añadido en aplicaciones conocidas, técnica utilizada para ganar persistencia y evitar detecciones de antivirus.
– Protección APC: detecta el uso de llamadas a ejecución de procesos asíncronos ( Asynchronous Procedure Calls – APC) que se suelen utilizar como parte de la técnica de inyección del código AtomBombing y, más recientemente, utilizadas como método de propagación del gusano WannaCry y el limpiador NotPetya a través de EternalBlue y DoublePulsar. Los ciberdelincuentes abusan de estas APC para conseguir otro proceso para ejecutar su código.
· Nuevas y mejores técnicas de prevención de exploits
Migración maliciosa de procesos. Detecta la infección DLL remota utilizada por los ciberdelincuentes para moverse entre los procesos que se ejecutan en el sistema.
– Escalada de privilegios. Evita que un proceso de bajo privilegio escale su nivel de privilegios, una táctica usada para obtener acceso al sistema.
· Application Lockdown mejorado
– Browser behavior lockdown. Intercept X previene las llamadas a PowerShell desde los navegadores, como técnica de control de comportamiento.
– HTA application lockdown. Las aplicaciones HTML cargadas por el navegador tendrán las mitigaciones de bloqueo aplicadas como si fueran un navegador.