Mit der Veröffentlichung von Sophos Intercept X 2 sind mit Deep Learning und Active Adversary Mitigations* neue Module bereitgestellt worden. Diese werden jedoch nicht mit einem automatischen Upgrade in der Basisrichtlinie aktiviert!
Um die Vorteile dieser Module nutzen zu können, müssen sie sich als Administrator in Sophos Central anmelden und die Basisrichtlinie, bzw. ihre selbsterstellte Richtlinie zum Schutz vor Bedrohungen anpassen. Dazu setzen Sie den Status des Deep Learning Moduls von „Sophos Managed (Aus)“ auf „Ein“.
Im Anschluss ändern Sie bitte auch beim Active Adversary Mitigations Modul von „Sophos Managed (Aus)“ auf „Selbst eingeben“.
Active Adversary Mitigation
Unter Active Adversary Mitigation versteht man neue Möglichkeiten zur Schwächung von aktiven Angreifern. Sophos Intercept X 2 bietet dazu folgende Möglichkeiten:
- Schutz vor Diebstahl von Anmeldedaten – Verhindert den Diebstahl von Authentifizierungspasswörtern sowie Hash-Informationen aus dem Speicher, der Registry oder der Hard Disk
- Code-Cave-Nutzung – Entdeckt Code, der in eine andere Anwendung geschrieben wurde, was häufig genutzt wird, um länger auf dem System zu bleiben oder Antivirus zu umgehen
- APC-Schutz – Entdeckt den Missbrauch von Application Procedure Calls (APC), was häufig als Teil einer Atom Bombing Code Injection benutzt wird oder aktueller auch als eine Methode um den WannaCry-Wurm und den NotPetya-Wiper via EternalBlue und DoublePulsar zu verteilen. Angreifer können diese Calls missbrauchen, um andere Anwendungen dazu zu bringen, ihren Code auszuführen.
- Verbesserter Anwendungs-Lockdown
- Browserverhaltens-Lockdown – Intercept X verhindert die böswillige Nutzung der PowerShell durch Browser, als grundlegenden Verhaltens-Lockdown
- HTA-Anwendungs-Lockdown – Intercept X verhindert das Austauschen von Anwendungsprüfer-DLLs, welche dem Angreifer erlauben würden, Antivirus und normales Prozessstartverhalten zu umgehen.
Wichtiger Hinweis:
Es kann vorkommen, dass die Deep Learning Engine selbstgeschriebene Programme entfernt!
Für weitere Informationen und Rückfragen stehen wir ihnen gern zur Verfügung.