Sangfor Engine Zero

Engine Zero คืออะไร?

ความเป็นมา

ซอฟต์แวร์ที่เป็นอันตรายหรือมัลแวร์ต่างเป็นภัยร้ายที่ก่อให้เกิดอันตรายต่อข้อมูล อุปกรณ์ และผู้คน ไวรัส เวิร์ม และสปายแวร์ล้วนแต่เป็นภัยคุกคามที่อันตรายต่อความปลอดภัยของคุณและธุรกิจของคุณและจะมีการแพร่กระจายอย่างรวดเร็ว ในช่วงไม่กี่ปีที่ผ่านมา การโจมตีส่วนใหญ่เกิดขึ้นผ่านโปรแกรม Ransomware และ Cryptojacking อันโด่งดัง ซึ่งทำให้เกิดความเสียหายมากมายทางด้านทรัพย์สิน

เมื่อมัลแวร์ทำงานได้ยอดเยี่ยมแล้ว คุณต้องจัดการกับมันได้ยอดเยี่ยมเช่นกัน ระบบรักษาความปลอดภัยแบบเดิม ๆ และโปรแกรมป้องกันไวรัสนั้นระบุถึงชนิดของมัลแวร์ที่มีอยู่ได้สำเร็จ แต่ไม่สามารถป้องกันระบบจากภัยคุกคามใหม่ ๆ แฮกเกอร์มักจะสร้างมัลแวร์รูปแบบใหม่ ๆ ออกมา หรือใช้ประโยชน์จากเทคนิค Zero-day ที่มีประสิทธิภาพเพื่อโจมตีคุณและธุรกิจของคุณ คุณจะป้องกันภัยคุกคามที่พัฒนาอย่างต่อเนื่องนี้ได้อย่างไร? คำตอบคือ คุณต้องพัฒนาตามให้ทัน!

 

ภาพรวมนวัตกรรม

เทคโนโลยีปัญญาประดิษฐ์ช่วยให้ Sangfor สามารถพัฒนาเครื่องมือตรวจจับมัลแวร์ภายในองค์กรเพื่อป้องกันภัยคุกคามได้ทั้งที่รู้จักและไม่รู้จักได้ ทีมวิจัยและพัฒนาและการรักษาความปลอดภัยที่ทุ่มเทของเรา ซึ่งประกอบด้วยนักวิทยาศาสตร์ นักวิเคราะห์ และนักวิจัยด้านความปลอดภัยซึ้งได้พัฒนาและปรับปรุงเครื่องมือนี้อย่างต่อเนื่องร่วมกับหนึ่งในความก้าวหน้าทางเทคโนโลยีที่น่าตื่นเต้นที่สุดในยุคของเรา นั่นคือ AI

“Engine Zero” สร้างขึ้นเพื่อให้แน่ใจว่าภัยคุกคามจะเป็นศูนย์ และจะไม่ส่งผลกระทบต่อเครือข่ายของคุณ รวมถึงช่วยให้การป้องกันช่องโหว่ Zero-day ที่สมบูรณ์แบบและครบถ้วน Engine Zero เป็นเพียงหนึ่งในเครื่องมือตรวจสอบมัลแวร์จำนวนมากที่ฝังอยู่ในโซลูชันการรักษาความปลอดภัยเครือข่าย โซลูชันรักษาความปลอดภัยเครื่องปลายทางและแพลตฟอร์มคลาวด์ Neural-X ของ Sangfor

 

วิธีการแบบดั้งเดิม

 

Signature Based Detection

มักใช้โปรแกรมป้องกันไวรัสแบบเก่าที่อาศัยค่าแฮช (MD5) ของไฟล์ที่เป็นอันตรายที่รู้จักทั้งหมดจะถูกคำนวณและจัดเก็บไว้ในฐานข้อมูลแอนตี้ไวรัส ทุกครั้งที่มีการตรวจสอบไฟล์ที่น่าสงสัย MD5 จะถูกคำนวณและเปรียบเทียบกับไฟล์อื่นๆ ที่มีอยู่ในฐานข้อมูลของแอนตี้ไวรัส แม้ว่าวิธีนี้จะมีประสิทธิภาพ รวดเร็ว และผ่านการทดสอบในอุตสาหกรรมแล้ว แต่ก็ต้องอัพเดทฐานข้อมูลขนาดใหญ่ของตัวอย่างมัลแวร์ที่รู้จักทุกวัน ซึ่งมักจะเป็นหลายร้อยเมกะไบต์ และอัปเดตอุปกรณ์ปลายทางในทุกๆวัน  แม้ว่าการรักษาอย่างต่อเนื่องนี้ยังคงมีประโยชน์และมีประสิทธิภาพในการต่อสู้กับมัลแวร์ที่รู้จัก แต่ก็ยังใช้ไม่ได้ผลกับมัลแวร์ที่กลายพันธุ์อื่น ๆ และมัลแวร์ที่มีการพัฒนาอย่างรวดเร็ว

 

YARA Type Script Engine

สคริปต์นี้จะทำการตรวจสอบไฟล์/ไดเร็กทอรีที่ต้องสงสัยและจับคู่กับไฟล์ตามที่กำหนดในกฎ YARA กับ แนวทางของ YARA จะทำงานได้ดีกว่า AV ในแง่ของการครอบคลุมตระกูลมัลแวร์ที่มากกว่า แต่ก็ยังตรวจพบมัลแวร์ที่สร้างขึ้นใหม่ได้ไม่ดีนัก

 

การดำเนินการเสมือนจริง/แซนด์บ็อกซ์ 

การดำเนินการแบบเสมือนจริงและการทำแซนด์บ็อกซ์เป็นกระบวนการในการทำลายมัลแวร์ภายในสภาพแวดล้อมเสมือนที่มีการควบคุมและตรวจสอบพฤติกรรมการดำเนินการภายหลัง ลักษณะของมัลแวร์ทำให้เกิดความท้าทายหลายประการต่อวิธีนี้ มัลแวร์ฉลาดพอที่จะทำการจดจำวิธีดังกล่าวได้ เมื่ออยู่ในสภาพแวดล้อมแซนด์บ็อกซ์ และเรียนรู้ที่จะหลีกเลี่ยงมันในอนาคตถ้าแซนด์บ็อกซ์ไม่ได้ซ่อนอยู่ (ซึ่งโดยปกติแล้วจะไม่ได้ซ่อนอยู่) ความท้าทายอีกประการหนึ่งของการทำแซนด์บ็อกซ์ก็คือการตรวจสอบ ซึ่งจะต้องใช้เวลานานและมักจะไม่ถูกนำไปใช้ในวงกว้าง ในทุกส่วนของเครือข่าย หรือแม้แต่ในหลาย ๆ องค์กร จึงทำให้มัลแวร์สามารถรอดพ้นไปได้

 

มันทำงานอย่างไร

Engine Zero ได้รับการออกแบบโดยดุษฎีบัณฑิต นักวิทยาศาสตร์และนักวิเคราะห์ด้านความปลอดภัยและแฮ็กเกอร์ด้านความปลอดภัยหลายสิบคน Engine Zero จะรวมไฟล์ที่น่าสงสัยทั้งหมดเอาไว้ โดยแบ่งประเภทของไฟล์ที่พบออกเป็นฟีเจอร์ต่าง ๆ ทุกคนเห็นตรงกันว่า Machine Learning จะช่วยเพิ่มศักยภาพของวิธีที่เราใช้ปกป้องเครื่อง และยอมรับว่าเทคโนโลยีจะยังคงก้าวหน้าต่อไป และ Engine Zero จะใช้เทคนิคที่มีประสิทธิภาพและน่าทึ่งมากมายเหล่านี้ได้อย่างไร

จากการศึกษาวิจัยด้านความปลอดเกี่ยวกับลักษณะของมัลแวร์ภัยอย่างมุ่งมั่นมาหลายปี Sangfor ได้พัฒนารูปแบบการเรียนรู้ภายใต้การดูแล เพื่อฝึกอบรม และรับรองความถูกต้องของแบบจำลองนี้ จากนั้นเราได้ใช้ตัวอย่างมัลแวร์หลายสิบล้านตัวอย่าง พร้อมกับใช้ความสามารถด้านปัญญาประดิษฐ์ขั้นสูงเพื่อให้เครื่องของเราทำงานและสอนตัวเองได้ อันเป็นการขยายขีดความสามารถในการค้นหามัลแวร์และตระกูลมัลแวร์ที่ไม่เป็นที่รู้จัก

Engine Zero ไม่ใช่การป้องกันเดียวในกลุ่มผลิตภัณฑ์ความปลอดภัยของ Sangfor อันรวมไปถึงเกตเวย์เชื่อมต่อเครือข่ายการป้องกันอุปกรณ์ปลายทาง และการรักษาความปลอดภัยบนคลาวด์ การป้องกันอื่น ๆ รวมถึงความสามารถในการตรวจจับภัยคุกคามแซนด์บ็อกซ์และบอตเน็ต สิ่งเหล่านี้ล้วนทำงานร่วมกันเพื่อครอบคลุมในการตรวจจับมัลแวร์ 

 

engine-zero-inspection-efficiency-and-performance

 

ข้อดีของ Engine Zero

 

  • แม่นยำ: ในการทดสอบล่าสุด อัตราการตรวจจับมัลแวร์ของเราได้คะแนนสูงสุดในแง่ของความแม่นยำ ซึ่งเหนือกว่าผู้ให้บริการรายอื่น รวมถึงทางเลือกแบบโอเพ่นซอร์ส 
  • รวดเร็ว: Engine มีประสิทธิภาพและใช้ทรัพยากรน้อยมาก ทำให้สามารถตรวจสอบมัลแวร์บนเกตเวย์เครือข่ายได้เร็ว โดยมีผลกระทบต่อประสิทธิภาพในระดับต่ำมาก 
  • ความครอบคลุม: ความครอบคลุมการโจมตีที่เป็นที่รู้จักและช่องโหว่ zero-day  เครื่องมือของเราที่เปิดตัวไปเมื่อเดือนมิถุนายน 2017 ได้พิสูจน์แล้วว่าสามารถตรวจจับมัลแวร์ที่มีชื่อเสียงได้ในระดับสูง เช่น แรนซัมแวร์ BadRabbit ซึ่งพบครั้งแรกในเดือนตุลาคม 2017 โดยไม่เคยปรากฎรูปแบบเช่นนี้มาก่อน

 

 

Engine Zero Validation: การป้องกันแรนซัมแวร์ที่ไม่ตรงกัน

 

engine-zero-picture-1

engine-zero-picture-2

engine-zero-picture-3

 

ในขณะที่ผู้โจมตีที่ได้รับการว่าจ้างได้ทำการพัฒนาและปรับใช้แรนซัมแวร์ที่มีความซับซ้อนมากขึ้นเรื่อย ๆ ความสามารถ AI ขั้นสูงของ Engine Zero ได้พิสูจน์แล้วว่า โซลูชันนี้มีประสิทธิภาพสูงเมื่อเทียบกัน ยิ่งอัตราความสำเร็จของเราสูงขึ้น แฮกเกอร์ก็ยิ่งต้องทำงานหนักขึ้นเพื่อสร้างตัวโจมตีที่มีความหลากหลาย ซึ่งมีลักษณะเฉพาะหรือรูปแบบต่าง ๆ ของมัลแวร์ที่เป็นที่รู้จักเป็นมาและวิวัฒนาการของแรนซัมแวร์ 

คลิกที่นี่เพื่อเรียนรู้เพิ่มเติมเกี่ยวกับความเป็นมาและวิวัฒนาการของแรนซัมแวร์ 

 

Engine Zero และ Ransomware

การฝึกฝนภายใต้การดูแลของ Engine Zero และ AI ได้พิสูจน์แล้วว่าสามารถป้องกันแรนซัมแวร์ได้ดีที่สุด:

 

  • ความสามารถในการปรับตัว: แสดงให้เห็นถึงการต่อสู้กับแรนซัมแวร์ที่รู้จัก และไม่รู้จักอย่างครอบคลุมที่สุด แม้ว่าจะไม่มีการฝึกฝนมาก่อนก็ตาม (ตัวอย่าง: BadRabbit)           
  • ความแม่นยำ: ในการทดสอบตัวอย่างแรนซัมแวร์ 60,000 ครั้งล่าสุด Engine Zero ได้คะแนนสูงสุดในบรรดาโซลูชันที่มีความคล้ายคลึงกัน   
  • ความเร็ว: ลูกค้าที่ใช้ Next-Generation Application Firewall (NGAF) ของเราสามารถใช้ Engine Zero เพื่อตรวจจับแรนซัมแวร์ได้แบบเรียลไทม์