現時企業部署端點檢測及回應(Endpoint Detection and Response;EDR)方案時,難題之一是架設過程需要消耗過多人力資源,但往往得不到合理投資回報,客戶亦未必可即時了解自己是否正受攻擊。
【精選文章】數據保安:機械學習大對決
以英國為基地的 Sophos,早前更新「Intercept X Advanced with EDR」方案,以保護為基礎出發。該公司亞太及日本區高級技術方案總監韋頌修指出,很多企業已有架設 EDR 的認識或基礎,但融入大數據的監察與管理概念未必是好事,因為一般 SIEM(保安資訊和事件管理)平台,傳統上會收集大量網絡活動資料,分析關連關係(co-related)活動,某程度上會為保安管理帶來「雜音」。
減少誤報機會
【精選文章】香港入侵事故去年增 55%
「Intercept X Advanced with EDR」技術方向之一,為加強數據篩選的程序,大大減少系統的分析工作與誤報機會。韋頌修表示,該公司亦有參與其他保安方案商、甚至是 HKCERT(香港電腦保安事故協調中心)等聯合警報平台,一旦出現新的大型惡意軟件或系統漏洞爆發,也能即時回應與保護運算平台。
【精選文章】勒索軟件愈演愈烈 即時分析深層數據封包
融合機械學習
針對惡意軟件的分析方面,以往廠商多數以黑盒(Black Box)作封閉分析與主動封阻決策,對用戶而言完全沒有能見度可言。韋頌修指出,新 EDR 方案已有改善,更舉例指現時平台已開放更多 Sophos Lab 的研究數據供企業存取,當中更融合機械學習(Machine Learning)演算法,開放資料讓用戶了解在目前企業運算平台之內,出現可疑活動的機會率,甚至讓他們決定即時封阻,以至傳送到 SophosLabs 再作研究。
假如確認為惡意軟件(Malware)個案,韋頌修強調 Sophos EDR 必定即為用戶封阻,而決定開放取存分析數據的自由度,是因為目前包括勒索軟件(Ransomware)在內的變種情況太快,希望在自由度與控制之間,為企業 IT 保安管理帶來選擇。
【精選文章】網絡攻防戰:AI人工智能 vs 黑客
Source:ezone.hk