Pular para o conteúdo

Proteção contra ameaças ao servidor: Intercept X Advanced

Se tiver uma licença do Intercept X Advanced for Server, você verá opções na sua política de proteção contra ameaças além das opções básicas do Server Protection.

Proteção em tempo de execução

Você deve participar do Early Access Program para usar algumas opções.

A proteção em tempo de execução protege contra ameaças por meio da detecção de comportamentos suspeitos ou mal-intencionados ou tráfego em computadores de ponto final (endpoints).

  • Proteger arquivos de documento de ransomwares (CryptoGuard): Esta opção protege arquivos de documento contra malwares que restringem o acesso a arquivos e depois exigem um pagamento para liberá-lo. Você também pode optar por proteger computadores de 64 bits contra ransomwares executados de um local remoto. Você pode escolher que ação quer tomar se um ransomware for detectado. Você pode encerrar quaisquer processos de ransomware que estejam em execução, ou pode impedir que processos de ransomware gravem no sistema de arquivos isolando-os.
  • Proteger contra ransomwares em registro mestre de inicialização: Protege o computador de ransomwares que encriptam registros mestres de inicialização (e impedem a inicialização) e de ataques que limpam o disco rígido.
  • Proteger funcionalidades críticas nos navegadores da web (Safe Browsing): Esta opção protege seus navegadores da web contra explorações por malware.
  • Mitigar explorações em aplicativos vulneráveis: Esta opção protege os aplicativos mais propensos a explorações por malwares. Você pode selecionar quais tipos de aplicativos proteger.
  • Configurações avançadas de mitigação de explorações de vulnerabilidades:

    • Prevenir roubo de credenciais: Esta opção impede o roubo de senhas e informações de hash da memória, registro ou disco rígido.
    • Prevenir utilização de code cave: Esta opção detecta códigos mal-intencionados que foram inseridos em outro aplicativo legítimo.
    • Prevenir violação APC: Esta opção impede que os ataques utilizem chamadas APC (Application Procedure Call) para executar seus códigos.
    • Prevenir escalonamento de privilégio: Esta opção impede que os ataques de escalonamento de processos de baixo privilégio para privilégios mais altos deem acesso aos seus sistemas. Recomendamos que você teste essas definições antes de aplicar a política aos seus servidores.
  • Proteger processos: Esta opção ajuda a impedir a intercepção de aplicativos genuínos por malwares.

    Você pode:

    • Proteger contra ataques de substituição de processo (ataques vazados ao processo).
    • Proteger contra o carregamento de arquivos .DLL de pastas não confiáveis.
  • Habilitar rastreio de filial de CPU: A detecção de código mal-intencionado na CPU é um recurso dos processadores Intel que permite rastrear a atividade de detecção do processor. Oferecemos suporte aos processadores Intel com as seguintes arquiteturas: Nehalem, Westmere, Sandy Bridge, Ivy Bridge, Haswell, Broadwell, Goldmont, SkyLake e Kaby Lake.

    Não haverá suporte se houver um hipervisor (legítimo) no computador.

  • Proteção dinâmica de shellcode. Esta opção detecta o comportamento de agentes de acesso remoto ocultos e impede que invasores obtenham controle de suas redes.

  • Validar o chamador do protocolo CTF. Esta opção intercepta e bloqueia aplicativos que tentam explorar o CTF.

    Uma vulnerabilidade em um componente do Windows, conhecida apenas como "CTF", presente em todas as versões anteriores ao Windows XP, permite que um invasor não administrativo e não autorizado sequestre qualquer processo do Windows, inclusive aplicativos executados em uma área restrita de sandbox.

  • Impedir o sideload de módulos desprotegidos. Esta opção impede que um aplicativo faça o sideload de uma DLL mal-intencionada que se faz passar por uma DLL ApiSet Stub.

    As DLLs ApiSet Stub são DLLs que servem como um proxy para manter a compatibilidade entre aplicativos mais antigos e versões mais recentes do sistema operacional. Os invasores podem colocar DLLs ApiSet Stub mal-intencionadas para manipular a funcionalidade, ou ignorar a proteção contra adulteração e encerrar a proteção antimalware.

  • Proteger cookies do navegador usados no início de sessão MFA. Esta opção impede que aplicativos não autorizados descriptografem a chave AES usada para criptografar cookies de autenticação multifator (MFA).

  • Detecções em tempo de execução Linux: Isso proporciona visibilidade em tempo de execução e detecção de ameaças em contêineres e cargas de trabalho de servidores Linux. Você pode gerenciar esses alertas no Centro de Análise de Ameaças no Sophos Central Admin.

    Você precisa de uma licença do Intercept X Advanced for Server with XDR ou Server MTR para usar essa opção.

Deep Learning

O deep learning utiliza um modelo de treinamento de máquina para detectar ameaças. Ele pode identificar malwares conhecidos e previamente desconhecidos e aplicativos potencialmente indesejados sem usar assinaturas.

Correção

  • Habilitar criação de Gráfico de Ameaça: Casos de ameaça permitem investigar a cadeia de eventos em um ataque de um malware e identificar áreas onde você pode melhorar a sua segurança.