SOPHOS
จุดเด่นที่สำคัญของ Enduser Protection
คือ Malicious Traffic Detection ซึ่งเป็นระบบที่ใช้ตรวจจับก
ารโจมตีแบบ APT และ Ransomware โดยเฉพาะ โดยอาศัยการตรวจจับทราฟฟิคต
ิดต่อสื่อสารกันระหว่างมัลแ
วร์กับ C&C Server ยกตัวอย่างการตรวจจับ Cryptowall หนึ่งใน Ransomware ชื่อดัง
เมื่อผู้ใช้งานกดลิงค์หรือร
ันแอพพลิเคชันบางอย่างที่ไม
่สมควร ส่งผลให้แอพพลิเคชันแปลกปลอ
มถูกเพิ่มเข้าไปใน Startup Folder
แอพพลิเคชันดังกล่าวเริ่มทำงาน และฝังตัวลงไปใน Explorer.exe ซึ่ง Threat Engine เริ่มตรวจสอบ แอพดังกล่าวว่ามีอะไรผิดปกต
ิหรือไม่ เช่น มีการสร้าง Process ใหม่ หรือแก้ไข Registry เป็นต้น
Explorer.exe พยายามติดต่อกับ C&C Server เพื่อขอกุญแจในการเข้ารหัส ตรงจุดนี้ HIPS จะทราบทันทีว่า Explorer.exe มีพฤติกรรมที่ผิดปกติไปจากเ
ดิม
Malicious Traffic Detection ตรวจจับทราฟฟิคแปลกปลอมได้ จึงทำการบล็อกและกักกันอุปก
รณ์ดังกล่าว แล้วแจ้งเตือนไปยังผู้ดูแลร
ะบบ
Enduser Protection ทำการคลีนมัลแวร์ และแชร์ข้อมูลทั้งหมดเข้าสู
่ระบบ Threat Intelligence ในกรณีที่ใช้ Synchronized Security ก็จะมีการแชร์ข้อมูลไปยัง XG Firewall ในระบบ เพื่อบล็อกทราฟฟิคจาก C&C Server ด้วย