Vai al contenuto

Server Threat Protection: Intercept X Advanced

Se si è in possesso di una licenza Intercept X Advanced for Server, nel criterio di protezione contro le minacce verranno visualizzate ulteriori opzioni, oltre a quelle standard della Protezione per server.

Protezione runtime

Per poter utilizzare alcune opzioni, occorre iscriversi al Programma di accesso in anteprima (Early Access Program, EAP).

La Protezione runtime protegge i sistemi contro le minacce, rilevando comportamenti o traffico sospetti o malevoli nei computer endpoint.

  • Proteggi i file di documento da ransomware (CryptoGuard): Questa opzione serve a difendere i file di documento dalle categorie di malware che agiscono limitando l'accesso ai file ed esigendo il pagamento di un riscatto per il rilascio delle informazioni. È anche possibile proteggere i computer a 64 bit contro ransomware eseguito da un percorso remoto. È possibile selezionare l'azione che si desidera eseguire se viene rilevato ransomware. È presente l'opzione di terminare eventuali processi di ransomware in esecuzione, oppure di isolare qualsiasi processo di ransomware per impedire che scriva sul file system.
  • Proteggi contro ransomware che attacca il record di avvio principale: Questa opzione serve a proteggere il computer dai ransomware che cifrano il record di avvio principale (impedendo quindi l’avvio) e dagli attacchi di formattazione dell’hard disk.
  • Proteggi funzioni critiche nei browser Web (Safe Browsing): Questa opzione protegge i browser web dagli exploit del malware.
  • Attenua exploit in applicazioni vulnerabili: Questa opzione difende le applicazioni più esposte agli exploit da parte del malware. È possibile selezionare i tipi di applicazioni da proteggere.
  • Impostazioni avanzate dell'attenuazione degli exploit:

    • Impedisci furto delle credenziali: Questa opzione impedisce il furto delle password e delle informazioni sull'hash da memoria, registro di sistema e hard disk.
    • Impedisci utilizzo dei code cave: Questa opzione rileva il codice malevolo che è stato inserito in un'altra applicazione legittima.
    • Impedisci violazione delle APC: Questa opzione impedisce agli attacchi di utilizzare le chiamate di procedura delle applicazioni (Application Procedure Calls, APC) per eseguire il proprio codice.
    • Impedisci privilege escalation: Questa opzione impedisce agli attacchi di passare da processi dotati di privilegi bassi a processi con privilegi più elevati per accedere ai sistemi. Si consiglia di testare queste impostazioni prima di applicare il criterio ai server.
  • Proteggi processi: Questa opzione aiuta a prevenire l’hijacking di applicazioni legittime da parte del malware. È possibile svolgere le seguenti azioni:

    • Proteggere i sistemi dagli attacchi di sostituzione dei processi (attacchi di process hollowing).
    • Proteggere i sistemi dal caricamento di file .DLL da cartelle non attendibili.
  • Abilita branch tracing della CPU: il rilevamento di codice malevolo nella CPU è una funzionalità dei processori Intel che consente di monitorare l'attività del processore a scopo di rilevamento. Le nostre tecnologie supportano questa funzionalità sui processori Intel e nelle seguenti architetture: Nehalem, Westmere, Sandy Bridge, Ivy Bridge, Haswell, Broadwell, Goldmont, SkyLake e Kaby Lake.

    Non la supportiamo se è presente un hypervisor (legittimo) nel computer.

  • Protezione dinamica dello shellcode. Questa opzione rileva il comportamento tipico degli agenti di accesso remoto clandestini e impedisce ai cybercriminali di ottenere il controllo delle reti.

  • Convalida chiamante Protocollo CTF. Questa opzione intercetta e blocca le applicazioni che cercano di attaccare CTF tramite exploit.

    Esiste una vulnerabilità in un componente di Windows, noto semplicemente come “CTF”, che è presente in tutte le versioni a partire da Windows XP. Permette a cybercriminali non autorizzati e senza privilegi di amministrazione di assumere il controllo di qualsiasi processo Windows, comprese le applicazioni eseguite in una sandbox.

  • Impedisci sideload di moduli non sicuri. Questa opzione impedisce il sideload da parte di un’applicazione DLL dannosa che si spaccia per un’ApiSet Stub DLL.

    Le ApiSet Stub DLL sono DLL che svolgono il ruolo di proxy per mantenere la compatibilità tra le applicazioni meno recenti e le versioni più recenti dei sistemi operativi. I cybercriminali possono collocare ApiSet Stub DLL dannose nei sistemi, per manipolare questa funzionalità o per bypassare il blocco rimozione e terminare la protezione antimalware.

  • Proteggi i cookie del browser con l’accesso tramite autenticazione a fattori multipli (MFA). Questa opzione impedisce alle applicazioni non autorizzate di decifrare la chiave AES utilizzata per cifrare i cookie dell’autorizzazione a fattori multipli (Multi-Factor Authentication, MFA).

  • Rilevamenti di runtime su Linux: questa opzione offre visibilità su runtime e rilevamento delle minacce per i workload dei server e i container Linux. Questi avvisi possono essere gestiti nel Centro di analisi delle minacce di Sophos Central Admin.

    Per utilizzare questa opzione occorre una licenza Intercept X Advanced for Server with XDR o una licenza MTR per Server.

Deep Learning

Il deep learning sfrutta tecnologie avanzate di machine learning per rilevare le minacce. È in grado di identificare malware noto e precedentemente sconosciuto, nonché applicazioni potenzialmente indesiderate, senza utilizzare firme.

Correzione

  • Abilita creazione di grafici delle minacce: I casi di minacce permettono di indagare sulla catena di eventi relativi a un attacco di malware, identificando le opportunità di migliorare la sicurezza.