Sophos Intercept X EDR：智能、简单的端点侦测与响应

根据Sophos对2018年网络威胁研究显示：黑客通过手动操作，逐步深入目标网络的“互动式攻击”日益流行。黑客们通过现成的Windows系统管理 工具 进入目标系统进行窃取敏感信息和进行网络勒索;通过流动的恶意软件感染手机、平板电脑和其他物联网设备并作为大型僵尸网络攻击的节点。这使终端检测与响应(EDR)成为更为必要和关键的防御措施。

然而这对企业来说并不是一件容易的事，“在端点上的防病毒软件报告出一个病毒，但IT主管并不知道它从哪里来，对整个系统的影响是什么，同样不知道如何处理它;每天产生的大量威胁，有的只需要做正常的维护，有的则需要认真分析和根据经验再决定下一步的处理措施。这很大程度上依赖IT主管的专业水平和丰富的经验;还有一些意外的反应则需要更多的人力和时间来应对处理。 Intercept X Advanced 新增的EDR将与SophosLabs的研究数据库相连，利用人工智能的技术侦测、发现、预警、处置这些网络威胁，通过完整地还原整个攻击链，让管理员能够快速响应威胁，整个处理过程更加简单。”Sophos大中华区的董事总经理潘自强这样表示。

(Sophos大中华区的董事总经理潘自强)

经过30年的积累，SophosLabs拥有了数以亿计的分析样本。“并且我们每天追踪、分析400000个独特且前所未见的恶意软件攻击，持续搜寻创新的攻击模式与网络犯罪技术，利用深度神经网络技术在3-5分钟就可以反馈出IT主管所提交的威胁处于怎样安全的等级。“Sophos华北区销售工程师杨帆表示，“安全防护不仅需要IT主管的经验，我们还给他提供了很好的工具，EDR能完整地重现整个攻击链，根据智能分析告诉你可以文件来自哪里，会影响到哪些文件。以前没有这样的工具IT主管很难分析这些文件到底将如何处理，我们到底要删除还是保留。“

(恶意程序攻击链)

利用可视化的危险警示让管理更为简单。通过一个一目了然的界面，将这个威胁的”画像“呈现在IT主管面前：内网出现了哪些可疑的程序，这个程序是更加接近已知的恶意程序还是更加接近于已知无风险的程序。并且通过无签名、未知的包、微小代码段、无图标、使用加密等多个维度来分析这个程序所处的风险等级。并且EDR监管内网所有程序与已知超过5200万的无风险程序和6100万个已知恶意程序代码相似度的描述。这些都增加了IT主管对所运行的应用程序的风险的快速评估。

(应用程序风险“画像”)

对于一个威胁处理也更为简单，只要通过一个按钮就可以处置，在程序违规操作前停止该程序。降低了整个内网的威胁风险。“这样降低了对IT主管在安全技术上的依赖，即使们的技术水平各有不同，都可以通过SophosLabs轻易获取第一手的数据，通过SaaS形式交付，突破了传统的边界，使得你的电脑或者移动设备在任何地方，只要能上网都是可控可管，并以实时确定自己的系统是否受到攻击，以及攻击的类形。”杨帆这样表示。

这对中小企业是个尤为重要的有利因素。企业不必花大量财力去请昂贵的安全专业人士，通过SophosLabs的知识积累来弥补企业人力、能力上的不足。“原来大型企业才能用到的端点防护产品现在20-30人的企业也能用起来。”潘自强表示，“为了扩大Intercept X Advanced EDR的覆盖面，将进一步贾青合作伙伴特别是对总代理的投入，并且欢迎更多的渠道合作伙伴的加入。”