Comprender y operar Sophos Firewall Zero-Day Protection
Sophos Firewall Zero-Day Protection analiza descargas sospechosas y archivos adjuntos de correo electrónico a través de SophosLabs Intelix. El firewall envía archivos apropiados y riesgosos al servicio en la nube, donde el aprendizaje automático, la reputación, el análisis de espacio aislado y la investigación de amenazas trabajan juntos. El objetivo no es sólo bloquear el malware conocido, sino también clasificar mejor los archivos nuevos o inusuales.
Es importante para los administradores: Zero-Day Protection no reemplaza las reglas limpias, la protección web, la protección del correo, TLS Inspection, el registro o la protección de endpoints. La función es un módulo adicional de protección y análisis. Es particularmente útil cuando los archivos ingresan a la red a través de descargas web o archivos adjuntos de correo electrónico y las firmas clásicas aún no brindan una decisión clara.
¿Qué artículo de protección encaja?
Zero-Day Protection responde principalmente a la pregunta de cómo se analizan los archivos sospechosos. Dependiendo del problema, la mejor forma de empezar es con el acceso web, el flujo de correo, los ataques a la red, el tráfico cifrado o la evaluación:
- Compruebe descargas sospechosas o archivos adjuntos de correo electrónico con Intelix: Este artículo.
- Programar categorías web, grupos de URL, búsqueda segura o reglas de descarga: Sophos Firewall Configurar protección web con políticas web.
- Hacer visible el tráfico HTTPS y planificar excepciones de forma limpia: Inserte Sophos Firewall TLS Inspection correctamente.
- Distribuir certificado CA para escaneo HTTPS a clientes: Sophos Firewall Instalar certificado CA para escaneo HTTPS.
- Verificar el tráfico de correo electrónico en modo MTA y operar la protección de correo: Sophos Firewall Configurar la protección de correo en modo MTA.
- Bloquear exploits y patrones de ataque en el tráfico de red: Sophos Firewall Configure IPS y pruébelo de forma segura.
- Manejar IP, dominios o URL maliciosos a través de listas IoC: Sophos Firewall Configurar fuentes de amenazas y operarlas de forma segura.
- Clasificar evaluación NDR, Active Threat Response, XDR, MDR o SIEM: Sophos Firewall NDR y Active Threat Response funcionan.
- Seguimiento de caídas o bloqueos inesperados: Sophos Firewall Analizar paquetes descartados.
Esta separación evita falsas expectativas: Zero-Day Protection evalúa archivos, pero no reemplaza una política web, ni IPS, ni planificación de retransmisión de correo ni evaluación de registros central. La mejor protección sólo se produce cuando las capas de archivos, web, correo, red y registro encajan.
Donde ayuda Zero-Day Protection en la práctica
Zero-Day Protection es particularmente relevante en estos escenarios:
- Los usuarios descargan archivos ejecutables, archivos o documentos de Internet.
- Los archivos adjuntos de correo electrónico deben revisarse más de cerca antes de su entrega o publicación.
- Un expediente aún no se conoce claramente, pero parece sospechoso.
- Una descarga no sólo debe escanearse localmente, sino también monitorearse en una zona de pruebas.
- Un incidente de seguridad debe evaluarse mejor mediante un informe detallado.
La característica encaja bien con un modelo de seguridad por niveles: Reglas del cortafuegos limita el tráfico permitido, TLS Inspection hace que el tráfico web cifrado sea más auditable, Web Protection y Mail Protection evalúan el contenido, y Zero-Day Protection complementa estos controles con análisis en la nube e informes de espacio aislado.
Requisitos y límites
Zero-Day Protection solo funciona de manera útil si las políticas y módulos de protección relevantes están activos. Una regla Permitir pura sin perfiles de seguridad adecuados no proporciona la misma protección. Por lo tanto, dependiendo del área de aplicación, debe planificar conscientemente la protección web, la protección del correo, el análisis de malware, SSL/TLS Inspection y el registro.
Límites importantes en funcionamiento:
- El firewall no envía todos los tipos de archivos a Intelix, sino principalmente tipos de archivos peligrosos.
- Muchos tipos de archivos no peligrosos, por ejemplo los formatos de imagen típicos, no se envían para su detonación.
- Las excepciones pueden excluir archivos del análisis y así reducir el efecto protector.
- El análisis de la nube requiere conectividad a los servicios de Sophos y puede retrasar las descargas.
- Compartir antes de que se complete el análisis puede exponer contenido malicioso.
- Zero-Day Protection no reemplaza la detección y respuesta de endpoints, ni MDR ni respuesta limpia a incidentes.
Si el firewall ve poco porque HTTPS no está descifrado o las reglas se ejecutan sin perfiles de seguridad, Zero-Day Protection también permanece restringido. El artículo Sophos Firewall Registros: ¿Qué función escribe en qué registro? ayuda con la asignación de registros y módulos.
Activar en reglas de firewall
Para descargas web no basta con que Zero-Day Protection esté licenciado en general. La regla de firewall adecuada debe captar realmente el tráfico web y activar las opciones necesarias de Web Scanning.
La ruta típica es:
Rules and policies > Firewall rules
En la regla cliente-Internet afectada se debería comprobar:
- Source zone, Source network, Destination zone y Services coinciden con el tráfico de prueba.
- Log firewall traffic está activo.
- En Web filtering hay seleccionada una Web Policy adecuada.
- Scan HTTP and decrypted HTTPS está activo.
- Use zero-day protection está activo.
- Para descargas HTTPS, TLS Inspection está planificada y funciona para el tráfico de prueba.
- QUIC/HTTP/3 no evita la ruta de inspección HTTPS esperada.
- Web Exceptions no saltan accidentalmente Malware-Scanning, Policy Check o Zero-Day-Protection analysis.
Esto no garantiza que cada descarga aparezca en la vista de Zero-Day Protection. Archivos conocidos, tipos de archivo poco críticos o descargas fuera de la ruta inspeccionada pueden evaluarse antes de otra forma. Para la aceptación no basta con revisar la casilla; hay que poder seguir una descarga concreta en Log Viewer, Web log, SSL/TLS-inspection log y Downloads and attachments.
Importante: Scan HTTP and decrypted HTTPS analiza HTTP y tráfico HTTPS ya descifrado. La opción no activa automáticamente el descifrado HTTPS. En setups DPI hacen falta reglas adecuadas en Rules and policies > SSL/TLS inspection rules; en el camino Web Proxy es relevante Decrypt HTTPS during web proxy filtering. Sin esa visibilidad, Zero-Day Protection ve menos en descargas cifradas aunque la regla de firewall parezca correcta.
Dónde entra en vigor Zero-Day Protection
Zero-Day Protection no debe verse de forma aislada. La función sólo resulta relevante si un archivo realmente pasa por una ruta de protección adecuada.
Caminos típicos:
- Descarga web: Antes deben aplicarse la regla de firewall adecuada, Web Protection, Scan HTTP and decrypted HTTPS, Use zero-day protection y, con HTTPS, a menudo TLS Inspection. Puede consultarse Web log, SSL/TLS-inspection log y la vista Downloads and attachments.
- Adjunto de correo electrónico: El flujo de correo debe pasar por protección de correo, política de archivos adjuntos adecuada y verificación de malware. Puede controlar los registros de correo, la cuarentena y la vista de descargas y archivos adjuntos.
- Estado de publicación o error: El informe aún no está completo o el análisis falló. Luego cuentan el proceso de liberación, el contexto del usuario, el hash y otros registros.
- Sin visibilidad: El tráfico no pasa por la ruta de protección o el tipo de archivo no es relevante. Luego, primero verifique la regla del firewall, la política, TLS, el flujo de correo y el tipo de archivo.
Para las descargas web, lo primero que importa es si el Política web correcto está activo en la regla de firewall. Para los archivos adjuntos de correo electrónico, el flujo de correo debe ejecutarse a través de Protección de correo en modo MTA o una ruta verificada comparable. Si solo una regla de permiso normal permite el tráfico, no debe esperar un análisis completo del archivo por parte de Zero-Day Protection.
Flujo de análisis
1. Detección en el firewall
Un archivo atraviesa el firewall mediante una descarga o como archivo adjunto de correo electrónico. Si la política, el tipo de archivo y el contexto coinciden, el archivo se marca como Zero-Day Protection. Los archivos conocidos y claramente clasificados pueden ser evaluados previamente por otros módulos de protección.
2. Entrega a SophosLabs Intelix
Los archivos elegibles se envían a un servicio Intelix SophosLabs a través de una conexión cifrada. Allí el archivo no sólo se compara con patrones conocidos, sino que también se evalúa utilizando varios niveles de análisis.
3. Aprendizaje automático y reputación
SophosLabs Intelix evalúa las características, la estructura, la reputación global y la similitud con archivos buenos o maliciosos conocidos. Esto es particularmente útil para archivos nuevos que aún no se han visto ampliamente.
4. Análisis de Sandbox
El análisis Sandbox examina el archivo en un entorno aislado. La evaluación combina análisis dinámico y estático, Deep Learning, detección de exploits, CryptoGuard y monitorización de actividades de archivo, memoria, registry y red. Para los administradores, el término de marketing es menos importante que la pregunta: ¿qué intentó hacer realmente el archivo?
5. Decisión e informe
Al final hay una clasificación, por ejemplo, limpio, probablemente limpio, sospechoso, malicioso o PUA. Dependiendo del resultado, el archivo se libera, se bloquea o permanece visible con un estado de error o análisis. El informe ayuda a justificar claramente una liberación, un bloqueo o pasos adicionales de respuesta a incidentes.
Leer informes correctamente
La descripción general se puede encontrar en Sophos Firewall en Monitor & analyze > Zero-day protection > Downloads and attachments. Allí puede ver datos de actividad sobre descargas sospechosas y archivos adjuntos de correo electrónico, el estado del análisis, detalles del informe y opciones para compartir.
En la lista no conviene buscar solo por nombre de archivo. Son útiles los filtros por periodo, usuario, origen, estado y componente. Técnicamente, los eventos de Zero-Day Protection aparecen en reports y Syslog como un Log Type propio; según la ruta, el componente es Web o Mail, y los subtypes pueden ser Allowed, Denied o Pending. Esto facilita la correlación con SIEM o Central Reporting.
Mediante Detection Status se obtiene una vista breve del avance del análisis. Para una valoración completa, abrir View report o Show report en lugar de leer solo la fila de la lista. Especialmente con Pending, estados de error o una approval posterior, el report detallado es la base de la decisión.
Un informe puede contener, entre otras, estas áreas:
- Detalles de la descarga: Fuente, momento y usuario afectado.
- Resumen del análisis: Evaluación global del expediente.
- Análisis de aprendizaje automático: Características, estructura y evaluación de ML.
- Análisis de reputación: Evaluación basada en distribución global.
- Resultados de la detonación: Comportamiento del archivo durante la ejecución del sandbox.
- Análisis completo de archivos: Firmas, certificados, recursos, importaciones y exportaciones.
- Informe VirusTotal: situación de detección externa adicional.
Cuando se trata de un archivo sospechoso, no deberías fijarte únicamente en el estado final. También son relevantes la fuente, el usuario, el nombre del archivo, la URL de destino, el comportamiento del proceso, la actividad de la red y si otros sistemas han visto la misma descarga. Si esto resulta en un incidente, el informe debe combinarse con los registros de endpoints, correo, web y firewall.
Proceso para informes sospechosos
Un impacto de protección de día cero debe tratarse como un pequeño caso de seguridad, no como un bloqueo de filtro web puro.
Proceso práctico:
- Abra el informe y registre el estado, nombre del archivo, fuente, usuario, hora y calificación.
- Compruebe si se trata de una descarga web, un archivo adjunto de correo electrónico u otra ruta.
- Compare los registros web, de correo y de firewall durante el mismo período de tiempo.
- Si está presente, verifique los eventos de endpoint o EDR del cliente afectado.
- Hash del archivo de documento, remitente, URL o dominio.
- Decidir si se trata de un falso positivo, un ataque bloqueado, una sospecha no resuelta o un incidente.
- Considere la aprobación únicamente si existe un motivo comercial comprensible.
- Documente la decisión y, si es necesario, obtenga un grupo de URL, una política de correo, una fuente de amenazas o una medida de punto final.
Cuando varios usuarios ven el mismo archivo o dominio, una sola decisión a menudo no es suficiente. Luego debe verificar si es necesario un ajuste de la política web, una regla de política de correo, una entrada de fuente de amenazas o una respuesta a incidentes.
Liberar archivos
Sophos Firewall permite liberar solo archivos o mensajes de correo electrónico que todavía se están analizando o han vuelto con un estado de error. Esta approval puede ser necesaria si un proceso de negocio está bloqueado. Como workaround normal, no es adecuada.
Antes de lanzarlo, al menos deberías comprobar:
- ¿La fuente es confiable y esperada?
- ¿Se consultó al usuario o departamento sobre el contexto?
- ¿Existe un hash, un nombre de archivo o un remitente que se pueda verificar adicionalmente?
- ¿Existen registros de puntos finales o de correo para el mismo proceso?
- ¿Se puede examinar el archivo en un entorno aislado o mediante una herramienta de análisis independiente?
- ¿Está documentado quién decidió publicarlo y por qué motivo?
⚠️ Compartir antes de que se complete el análisis puede resultar en la descarga o entrega de contenido malicioso. En entornos productivos, esta decisión debe documentarse y no delegarse a una rutina de primer nivel.
Para archivos individuales, la publicación del blog de Avanet SophosLabs Intelix - La herramienta de detección de ciberamenazas puede resultar útil. Sin embargo, esto no reemplaza la evaluación en el contexto específico de la red y del usuario.
Después de una approval, el análisis continúa. Esto es importante para la operación: un archivo liberado puede valorarse más tarde como sospechoso o malicioso. Por eso hay que revisar approvals posteriormente y, ante una mala valoración posterior, correlacionar de nuevo logs de endpoint, mail, web y firewall.
Centro de datos y protección de datos
Puede especificar el centro de datos para el análisis en Monitor & analyze > Zero-day protection > Protection settings. De forma predeterminada, Sophos Firewall elige el centro de datos más cercano. Alternativamente, puede elegirse conscientemente un centro de datos.
Esta configuración es particularmente importante si la protección de datos, la residencia de datos o las regulaciones internas juegan un papel. Un cambio en el centro de datos puede afectar el análisis continuo. Por lo tanto, el entorno no debe cambiarse durante un caso de análisis agudo, sino que debe planificarse y documentarse.
Utilice las excepciones con cuidado
En la configuración de protección puede excluir tipos de archivos del análisis de protección de día cero. La detección del tipo de archivo se basa en la extensión del archivo y el encabezado MIME. También se pueden excluir los archivos que contienen tipos de archivos excluidos.
Las excepciones son técnicamente prácticas, pero relevantes para la seguridad. Cada excepción debe tener una justificación clara:
- ¿Qué aplicación o proceso crea los archivos?
- ¿Por qué el análisis es inquietante o no útil?
- ¿Existe una excepción más limitada que un tipo de archivo completo?
- ¿Se comprueba periódicamente la excepción?
- ¿Se sabe qué efecto protector se pierde como resultado?
Deben evitarse excepciones amplias para archivos, scripts, archivos de Office o ejecutables. Cuando Zero-Day Protection interrumpe un proceso legítimo, el primer paso suele ser comprobar la policy, la ruta de origen, el grupo de usuarios afectado o una distribución alternativa.
Verifique las aprobaciones y excepciones con regularidad
Zero-Day Protection no es sólo una función de encendido. El valor operativo real surge cuando los informes, aprobaciones y excepciones se verifican periódicamente. De lo contrario, las decisiones arriesgadas permanecen activas durante mucho tiempo, aunque la razón comercial original haya desaparecido hace mucho tiempo.
Estos puntos son particularmente útiles para la revisión:
- Archivo liberado: Verifique el motivo de la liberación, usuario o departamento afectado, hash, fuente del archivo, fecha de vencimiento y evaluación posterior.
- Excepción de tipo de archivo: Verifique la aplicación afectada, el propietario, la fecha de revisión, la alternativa más cercana y el riesgo de archivos, scripts o archivos de Office.
- Estado de error recurrente: Verifique la conectividad de Sophos, el tamaño y el tipo de archivo, la política, el centro de datos y el posible caso de soporte.
- Muchas visitas de una sola fuente: Verifique la política web o de correo, URL, remitente, grupo de usuarios, fuente de amenazas, grupo de URL o lista de bloqueo.
Una excepción no es una limpieza normal de las reglas del firewall. Dichas entradas deben tener un propietario, un motivo y una fecha de revisión. Para las versiones recurrentes, también debe comparar los registros de los terminales, el correo, la web y el firewall para que una única excepción no se convierta en una omisión permanente que pase desapercibida.
Solución de problemas
No hay entradas visibles
Si no aparecen entradas en Downloads and attachments, primero hay que verificar si el tráfico pasa realmente por la regla de firewall y el security profile adecuados. Para descargas web son relevantes sobre todo Scan HTTP and decrypted HTTPS y Use zero-day protection en la regla de firewall. En tráfico HTTPS, la falta de TLS Inspection puede explicar por qué el firewall ve menos contenido. Después se revisan los ajustes web, mail, malware y Zero-Day.
También hay que comprobar si una Web Exception excluye el tráfico relevante de Decryption, Malware and content scanning o Zero-Day Protection. Si aplica una excepción, la configuración de Zero-Day Protection puede parecer correcta y aun así no generar entrada.
Para pruebas no conviene crear expectativas falsas con archivos ya conocidos local o globalmente. Si Reputation u otro módulo ya clasifica claramente un archivo, no tiene que aparecer necesariamente un nuevo análisis Sandbox completo. Para pruebas de aceptación importan más periodo, cliente de prueba, Rule ID, URL, nombre de archivo y hash que una única descarga de navegador sin correlación de logs.
Las descargas tardan demasiado
Un análisis de zona de pruebas puede llevar tiempo. Si los usuarios suelen esperar largos periodos de tiempo, debería comprobar si se están analizando muchos archivos grandes o que cambian con frecuencia, si los procesos afectados son legítimos y si se justifica una excepción técnica limitada. Una desactivación general suele ser el primer paso equivocado.
Muchos falsos positivos
Para detectar falsos positivos recurrentes, verifique los detalles del informe, el origen del archivo, los hashes, la reputación, los usuarios afectados y la aplicación. Sólo cuando se comprenda el patrón se deben establecer excepciones. Para listas de bloqueo dinámicas y operaciones IOC, Sophos Firewall Configurar fuentes de amenazas y operarlas de forma segura es un tema relacionado.
Se ha solicitado una approval
Una approval debe tratarse como una decisión de seguridad. Si el área usuaria solo dice “urgente”, no basta. Se necesita origen, finalidad, archivo, usuario, evaluación de riesgo y una decisión documentada.
Lista de verificación operativa
- Zero-Day Protection Licencia y estado del módulo verificados.
- Políticas web y de correo controladas con malware y escaneo de seguridad.
- En reglas web de firewall se comprobaron Scan HTTP and decrypted HTTPS y Use zero-day protection.
- TLS Inspection planificado donde las descargas web deben verificarse con sensatez.
- Web Exceptions revisadas para evitar bypasses no intencionados de Zero-Day.
- Centro de datos elegido deliberadamente para análisis o documentado como estándar.
- No hay excepciones amplias de tipos de archivos sin propietario ni fecha de revisión.
- Vista de descargas y archivos adjuntos revisada periódicamente.
- Proceso de liberación definido para archivos analizados o incorrectos.
- Informes correlacionados con registros de endpoints, correo, web y firewall.
- Se tienen en cuenta Syslog, Central Reporting o SIEM para una trazabilidad más larga.