释疑：SEP14到底比12.1强在哪里

SAL

SEP14到底比12.1强在哪里？

这是坛子里经常听到的问题，这个问题不好回答，如果非要官方回答，看这里：

What's new in Symantec Endpoint Protection 14
https://support.symantec.com/en_US/article.HOWTO125362.html

What's new in Symantec Endpoint Protection 14.0.1 (14 RU1)/14.1
https://support.symantec.com/en_US/article.HOWTO127189.html

头都炸了有木有！

什么Cloud,ATP,EDR,SDS......都什么鬼！

冷静，冷静，其实对咱们只使用杀毒功能的铁粉，大多数技术都是浮云，暂时可以忽略。

但以下两大类，才是真正有看头的:

1, 高级机器学习（AML） --- Bloodhound + 云大数据 + xxx高深技术的嫁接

Bloodhound, 老牌的技术， 老到大家都快遗忘了他的存在。
他是一种“启发式”(与静态病毒库相对)技术，针对程序的代码逻辑特征作判断，虽然在日常病毒的查杀里罕见踪影，但老铁粉肯定见过bloodhound.xxx（MBR, bootstring......）的查杀结果，这就是他的杰作。
在云概念（信誉，云定义...）爆发的今天，他终于不甘寂寞，加盟了“高级机器学习”的强大阵营！
高级机器学习很强大，因为他集成综合了多种技术的结果于一身； 高级机器学习也很“多愁善感”，因为他植根于“启发式”技术，有针对新样本的无情消灭，也有偶尔敏感的误判......
大家常说的B杀C杀，其实总结出来有以下几种：

Heur.AdvML.A 在Bloodhound或者SONAR在“歇斯底里”模式时开启，要是没连网(云)则误杀会相对严重。
Heur.AdvML.B 默认开启的机器学习结果，联网也会增加其准确度。
Heur.AdvML.C 启用云查询，比B杀猛，也是默认开启的。
Heur.AdvML.D 在PE类文件(portable executable)下载时触发，或者其被非PE文件运行时触发(比如脚本运行执行程序的情况)

要是你是破解软件的爱好者，那么以上四杀能郁闷的你怀疑人生。因此要不要开就是仁者见仁，智者见智。
但总体来说，在这个新病毒和高级可持续风险(APT)当道的今天，高级机器学习无异于让你多一层金钟罩。


2，内存漏洞利用缓解 (MEM)

相当咬嘴的名字，刚接触的人一脸蒙逼......

说白了，这个就是保证你的应用程序安全，防止有些病毒利用程序漏洞和绕开操作系统的安全框架的一种技术。

有些病毒在使用各种漏洞，玩完各种溢出，在堆栈上做完文章后，必然要插入运行的代码来完成感染----Shellcode......这就是勒索病毒，挖矿病毒现在常用的伎俩。

MEM技术能很大限度地防御此类恶心行为，还能加固系统本来日渐鸡肋的DEP,ALSR等技术，让病毒没有那么容易得逞。

那些藏匿于宏，脚本，powershell的病毒，瞬间失去了过河的桥梁，只能干着急。
和SONAR+云防护联合起来，就有点像赛门强大的HIPS Plus， 有木有？

具体提供的技术和防护，可以参考：

Symantec Endpoint Protection Memory Exploit Mitigation techniques
https://support.symantec.com/en_US/article.HOWTO127047.html



结语：

事实上，SEP客户端现在除了自身强大的防御引擎，还逐渐集成了与ATP，DCS等高级设备的联合功能，同时在管理端加入了云端管理的功能。

大赛门，正在下一盘大棋。