SOPHOS
พร้อมรับมือกับ Advanced Persistent Threats และ Ransomware
จุดเด่นที่สำคัญของ Enduser Protection คือ Malicious Traffic Detection ซึ่งเป็นระบบที่ใช้ตรวจจับการโจมตีแบบ APT และ Ransomware โดยเฉพาะ โดยอาศัยการตรวจจับทราฟฟิคติดต่อสื่อสารกันระหว่างมัลแวร์กับ C&C Server ยกตัวอย่างการตรวจจับ Cryptowall หนึ่งใน Ransomware ชื่อดัง
✔ เมื่อผู้ใช้งานกดลิงค์หรือรันแอพพลิเคชันบางอย่างที่ไม่สมควร ส่งผลให้แอพพลิเคชันแปลกปลอมถูกเพิ่มเข้าไปใน Startup Folder
✔ แอพพลิเคชันดังกล่าวเริ่มทำงาน และฝังตัวลงไปใน Explorer.exe ซึ่ง Threat Engine เริ่มตรวจสอบแอพดังกล่าวว่ามีอะไรผิดปกติหรือไม่ เช่น มีการสร้าง Process ใหม่ หรือแก้ไข Registry เป็นต้น
✔ Explorer.exe พยายามติดต่อกับ C&C Server เพื่อขอกุญแจในการเข้ารหัส ตรงจุดนี้ HIPS จะทราบทันทีว่า Explorer.exe มีพฤติกรรมที่ผิดปกติไปจากเดิม
✔ Malicious Traffic Detection ตรวจจับทราฟฟิคแปลกปลอมได้ จึงทำการบล็อกและกักกันอุปกรณ์ดังกล่าว แล้วแจ้งเตือนไปยังผู้ดูแลระบบ
✔ Enduser Protection ทำการคลีนมัลแวร์ และแชร์ข้อมูลทั้งหมดเข้าสู่ระบบ Threat Intelligence ในกรณีที่ใช้ Synchronized Security ก็จะมีการแชร์ข้อมูลไปยัง XG Firewall ในระบบ เพื่อบล็อกทราฟฟิคจาก C&C Server ด้วย