Sophos. Με ενισχυμένη προστασία έρχεται το Intercept X
Η Sophos ανακοίνωσε ένα νέο πρόγραμμα πρώιμης πρόσβασης (EAP, Early Access Program) που φέρνει ενισχύσεις στην προστασία του Intercept X συμπεριλαμβανομένης της προστασίας AMSI (Anti-Malware Scanning Interface) καθώς και της προστασίας ενάντια στην κακόβουλη δικτυακή κίνηση.
Το AMSI είναι ένα interface της Microsoft στο λειτουργικό σύστημα Windows 10, στο Windows Server 2016 ή σε νεότερες εκδόσεις του που επιτρέπει την σάρωση των αρχείων script ακόμα και όταν περιέχουν κωδικοποιημένο κώδικα ή και .NET 4.8 assemblies.
Τα scripts PowerShell που εμπεριέχουν obfuscated κώδικα είναι μία αρκετά κοινή μέθοδος που χρησιμοποιούν επιτιθέμενοι για να αποκτήσουν τον έλεγχο συστημάτων. Αξιοποιώντας το AMSI, το Intercept X είναι ακόμα καλύτερο στην ανίχνευση και στην αποτροπή τέτοιων επιθέσεων.
Το χαρακτηριστικό Malicious Network Traffic Protection, αλλιώς γνωστό και ως Intrusion Prevention System (IPS) σαρώνει την εισερχόμενη και εξερχόμενη κίνηση για κακόβουλα μοτίβα επίθεσης, με κανόνες που βασίζονται στην μεθοδολογία Snort. Κάτι τέτοιο αποτελεί σημαντική βοήθεια σε διάφορους τομείς, όπως για παράδειγμα, στην περίπτωση που ένας υπάλληλος πάρει μαζί του τον φορητό υπολογιστή του σε μία καφετέρια όπου δεν υπάρχει τείχος προστασίας. Σε αυτή τη περίπτωση το σύστημα IPS θα ανιχνεύσει και θα αποκλείσει τα όποια μοτίβα κακόβουλης κίνησης.
Η σάρωση επίσης της εξερχόμενης κίνησης θα βοηθήσει στην αποτροπή του λεγόμενου lateral movement από μία μολυσμένη συσκευή ή από μία συσκευή που βρίσκεται υπό τον έλεγχο των επιτιθέμενων για να σταματήσει την εξάπλωση της απειλής στο υπόλοιπο δίκτυο. Ορισμένοι επιτιθέμενοι στρέφονται σε πιο στοχευμένες και εκ φύσεως απρόβλεπτες χειροκίνητες δικτυακές τεχνικές hacking, με την χρήση brute force για να κερδίσουν έδαφος εντός του δικτύου και να χτυπήσουν από εκεί σαν να ήταν οι διαχειριστές του δικτύου (Lateral Movement, εντολές ή εργαλεία που χρησιμοποιεί ο επιτιθέμενος για να μετακινηθεί εσωτερικά στο δίκτυο με στόχο να υποκλέψει δεδομένα ή να γίνει domain admin).
Το πρόγραμμα πρώιμης πρόσβασης είναι «ανοικτό» τώρα και είναι διαθέσιμο σε όσους χρησιμοποιούν τα Intercept X Advanced και Central Endpoint Protection. Η υποστήριξη για το Intercept X for Server Advanced θα προστεθεί κατά τη διάρκεια του προγράμματος. Για να συμμετέχετε, επισκεφτείτε την κοινότητα της Sophos.