Hogyan hozzuk ki a legtöbbet a Sophos XG tűzfalaiból – 4. rész

Zero-day fenyegetések és Ransomware elleni védelem

A „State of Ransomware 2020” felmérésben a résztvevő cégek több, mint fele nyilatkozott arról, hogy az elmúlt 12 hónapban ransomware támadás érte őket. Ebben a felmérésben 26 ország cégei vettek részt, így elég jól mutatja, hogy nagy szükség van mind a fejlett, nulladik napi támadások, mind a zsarolóvírusok idő előtti detekciójára és az ellenük való védekezésre

A Sophos XG v18-as firmware verzióját bemutató sorozat ezen, negyedik részében elsődlegesen a Zero-day és Ransomware elleni védelmi képességek bemutatására fogunk koncentrálni.

Xstream Threat Protection

Az utóbbi két posztban foglalkoztunk az Xstream architektúrával és annak Deep Packet Inspection részével, illetve a TLS forgalmat vizsgáló modullal és a Network Flow Fastpath-szal is, melyek a 18-as verziójú XG firmware fontos újításai. Ezen három modul mind fontos szerepet játszik a nulladik napi fenyegetések detekciójában és megállításában, ez a poszt viszont elsősorban a felhős Threat Intelligence és a Sandstorm sandbox megoldással foglalkozik.

Hogyan Működik?

Az új firmware verzió már rendelkezik gépi tanulás alapú (ML, Machine Learning) Threat Intelligence adatfolyammal, illetve a megújult Sophos Sandstorm Sandbox modullal, melyek kiegészítik egymást, hogy a lehető leghatékonyabban detektálják a nulladik napi fenyegetéseket. Mind a két képesség hátterét a SophosLabs Intelix adja, mely gépi tanulás segítségével képes évtizedek kutatási anyagát, illetve adatbázisok petabyte-jait átlátni, ezzel pedig következtetéseket vonni le a jövő fenyegetései kapcsán.

Amikor az XG tűzfal DPI (Deep Packet Inspection) motorja vírusellenőrzést futtat a hálózatba belépő fájlokon és futtatható állományt talál, időlegesen meggátolja a fájl továbbítását és elküldi a Sophos Intelix szolgáltatásnak, mely a felhőben mind statikusan, mind dinamikusan elemzi azt. Ezen elemzést eljuttatja a tűzfal kezelőinek és csak azon fájlokat engedi át, melyek deklaráltan megbízhatóak talál.

Az utolsó lépés az igazán fontos, mivel az átlagos tűzfalak már az analízis közben átengedik a fájlt, így pedig utat adhatnak egy esetleges fertőzésnek.

Nézzük meg bővebben, hogy mi történik ezen fájlokkal:

Threat intelligence analysis:

A threat intelligence modul több különböző algoritmus segítségével, statikusan vizsgálja a fájlt, hogy megállapítsa annak karakterisztikáit, tulajdonságait és reputációját. Minden egyes új fájlt többmillió meglévő, már ismert jó -és rosszindulatú állománnyal hasonlít össze a SophosLabs adatbázisában, hogy a fájl elindítása nélkül előzetes elemzést tudjon adni. Ez a módszer meglepően gyors és hatékony a különféle fenyegetések földerítésében, különösen akkor, ha olyan, nehezen elemezhető állományokról van szó, mint a jelszóvédett fájlok.

Sandstorm sandboxing analysis:

 

A Threat Intelligence folyamattal egyidőben az eszköz dinamikusan is elemzi a fájlt, egy felhős sandbox-környezetben. Mivel az eszköz felhő alapú, ezért nem szükséges hozzá semmilyen alkalmazást, szervert telepíteni és nincs hatással a tűzfal teljesítményére.

A kártevők viselkedés alapú azonosításának érdekében a SophosLabs olyan technológiákat integrált az új Sandstormba, melyek az iparág legújabb fejlesztéseit tükrözik. Ezen technológiák között van a mélytanulás, az exploit detection és a CryptoGuard, mely valós időben képes detektálni, ha egy zsarolóvírus megpróbál fájlokat titkosítani. A sandbox emellett monitorozza az összes fájl, memória, registry és hálózati aktivitást, illetve a különböző sandbox kikerülési technikákat. Jelenleg a Sophos XG az egyetlen tűzfal a világon, mely képes ötvözni a futás közbeni analízist a világ egyik legjobb fenyegetések elleni védelmével.

Az alábbi képeken látható az eszköz működés közben:

A sandboxolás különösen hatékony olyan esetekben, amikor alapesetben megbízható fájlokban bújnak meg a kártevők, mint például a makrózott dokumentumok, vagy alapesetben megbízhatónak ítélt fájlok, mint például a különféle alkalmazásfrissítések.

Hogyan lehet a legtöbbet kihozni az Xstream Threat Protectionből

Ahhoz, hogy a biztonsági elemek aktívak legyenek az alábbi feladatokat kell végrehajtani:

1, Licenszek ellenőrzése: a megfelelő védelemhez mind a Web Protection, mind pedig a Sandstorm Protection előfizetés szükséges. A Threat Intelligence analízis szolgáltatás része a Sandstorm licenszcsomagnak, így ha a tűzfal rendelkezik ezzel az előfizetéssel, már csak ezért is érdemes átállni v18-ra. A tűzfalon az „Administration” menüben lehet megtekinteni az aktuális licenszállapotot. Ha ez nem felel meg az elérni kívánt célokkal, érdemes fölkeresni a szervezet Sophos partnerét a bővítés kapcsán.

2, TLS inspection bekapcsolása: mivel az alkalmazások a hálózati streamekben keresnek rosszindulatú kódokat, így a titkosított forgalom vizsgálatát be kell kapcsolni., mivel jelenleg a forgalom elsöprő többsége titkosítva zajlik. A TLS inspectionről egy előző posztban már írtunk.

3, Védelem bekapcsolása a tűzfalszabályokban az alábbi képnek megfelelően:

Ezután a rövid beállítás után az eszköz képes lesz hatékonyan megvédeni a hálózatot a rosszindulatú kódoktól.

Az alábbi, angol nyelvű videón is megtekinthető a beállítás:

September 29th, 2020

Top