Cato TP Anti-Malware功能說明

發布日期:2024/04/29

CATO Anti-Malware Policy?

CATO TP(Threat prevention)授權中包含Anti-Malware…等的網路流量偵測功能,也就是網路偵測和回應NDR,這次我們將先說明CATO的Anti-Malware如何協助客戶迅速阻止惡意程式。

Anti-Malware Policy概述

CATO反惡意軟體安全策略提供兩層保護,阻止惡意檔案進入您的網路;這兩層包含Anti-Malware和Next Generation (NG) Anti-Malware engines,兩個層都會掃描來自於廣域網路WAN和Internet流量中的檔案。

  • Anti-Malware反惡意軟體層:在這層將根據已知檔案特徵碼和啟發式分析來防禦惡意軟體威脅。
  • NG 反惡意軟體引擎是第二層:這層採用AI機器學習惡意軟體偵測技術,並使用預測模型將檔案分類為良性、可疑或惡意。NG引擎將掃描檔案並尋找指示檔案是否惡意的特徵。這些模型能夠偵測未知的零時差惡意軟體

Anti-Malware反惡意軟體引擎

反惡意軟體引擎掃描每個下載的檔案用以取得唯一特徵碼,並將該特徵碼與已知惡意檔案的資料庫進行比較。這個資料庫每30分鐘更新一次。同時還採用啟發式heuristic分析跟已知病毒進行比較。如果與病毒的程式碼匹配,則該檔案被識別為惡意檔案。該層是針對惡意軟體的主要威脅防護。

Next Generation (NG) Anti-Malware engines反惡意軟體引擎

SentinelOne NG反惡意軟體引擎來提供第二層威脅防護 ; 這部分採用人工智慧模型來偵測可移植執行檔、PDF和Microsoft Office文件中的威脅。AI模型是透過由惡意軟體資料庫中的數百萬個惡意軟體樣本中提取特徵,然後使用監督式機器學習(Supervised Machine Learning,SML)來識別和關聯良性和惡意檔案的不同特徵。這個引擎採用這個模型來識別未知檔案中的相似特徵,這些特徵被分類為:

  • 惡意檔案Malicious file - 肯定是惡意軟體
  • 可疑檔案Suspicious file - 懷疑是惡意軟體,偵測置信度較低
  • 良性文件Benign file - 包含安全文件的特徵,很可能不是惡意軟體

說明 

  1. NG反惡意軟體引擎的 AI 模型可以偵測未知的惡意軟體。但在很少數情況下,可能會產生誤報並阻止合法文件。使用者可以自行建立例外規則允許存取和下載文件。
  2. 監督式機器學習(Supervised Machine Learning,SML)是機器學習的一個主要分支,用於從標記數據中學習並做出預測。在監督式學習中,模型通常通過使用帶有輸入和對應輸出(也稱為標籤)的訓練數據集進行訓練。模型的目標是從這些已知的輸入和輸出對之間學習模式和關係,以便對於未見過的數據進行預測或分類。。
  • 本節介紹使用預設策略時防惡意軟體和 NG 防惡意軟體保護層如何掃描檔案。預設策略會掃描所有下載的文件,並阻止任何被歸類為惡意或可疑的文件。當使用Anti-Malware掃描文件,預設策略會掃描所有下載的文件,並阻止任何被歸類為惡意或可疑的文件。如果檔案下載請求被阻止,則會忽略請求並產生一個事件event。反惡意軟體和NG 反惡意軟體引擎掃描 HTTP、HTTPS 和 FTP 流量。

當使用者嘗試下載文件的工作流程範例:

  1. 使用者啟動由Internet或廣域網路WAN下載檔案。
  2. Anti-Malware反惡意軟體層掃描檔案並使用檔案特徵碼和啟發式分析來確定檔案是惡意的還是良性的。
    • 如果該檔案是惡意的,則會被封鎖、刪除,並產生一個事件。而阻止的頁面會顯示在使用者的 Internet 瀏覽器中。
    • 如果文件是良性的,則將其發送到下一層。
  3. NG 反惡意軟體層掃描檔案並使用 AI 模型將檔案分類為惡意可疑良性
    • 如果檔案是惡意或可疑的,則會被封鎖、刪除並產生事件。阻止頁面顯示在使用者的 Internet 瀏覽器中。
    • 如果檔案是良性的,則允許使用者繼續使用它,並產生一個判定為乾淨的事件。

完美整合後的反惡意軟體掃描不會對使用者體驗造成明顯的延遲。終端使用者可即刻下載乾淨的檔案。

有關反惡意軟體支援的文件的資訊

反惡意軟體層支援的最大檔案大小為 20 MB並支援掃描以下文件類型:

  • APK
  • Archives (ZIP, 7ZIP, TGZ, RAR, ARJ, ARC, ZOO)
  • BAT
  • BIN
  • CAB
  • Calendar (ICS, IFB, iCalendar)
  • CMD
  • CRX
  • CSV
  • DEB
  • DLL
  • DMG
  • EXE
  • FLASH (SWF)
  • Fonts (EOT, WOFF, WOFF2)
  • HTA
  • JAVA (JAR, CLASS)
  • MACH-O
  • Microsoft Office (DOC, DOCx, PPT, PPTx, XLS, XLSx)
  • MS-Access (ACCDB)
  • MSI
  • OFT
  • PDF
  • PKG
  • PS1
  • PY
  • RTF
  • SH
  • SVG
  • Torrent
  • VB-Scripts

NG 反惡意軟體層支援的最大檔案大小為 10 MB並支援掃描下列檔案類型:

  • EXE, MacOS, BIN, MSI, ZIP, TAR, RAR
  • OLE (.doc, .ppt, .xls)
  • OpenXML (.docx, .pptx, .xlsx)
  • Win32 portable executable

 

資料來源:FB官網

返回上一頁