Shopping Cart

No hay productos en el carrito.

Sophos Firewall – ¿Cómo funciona Zero-Day Protection?

Zero-Day Protection es un módulo de seguridad para Sophos Firewall diseñado para proteger contra amenazas desconocidas hasta ahora. Este módulo utiliza tecnologías avanzadas de sandboxing para ejecutar y analizar archivos sospechosos en un entorno seguro y aislado. Esto permite detectar y repeler las amenazas antes de que puedan causar daños. Zero-Day Protection proporciona una capa adicional de protección y es especialmente valiosa en un momento en que se explotan rápidamente vulnerabilidades nuevas y desconocidas hasta ahora.

En este artículo te explicamos cómo funciona la Zero-Day Protection, qué formatos de archivo son compatibles y qué pasos se dan para detectar y neutralizar una amenaza potencial.

1. Detección y reenvío

Cuando un archivo entra en tu red, ya sea a través de una descarga o como archivo adjunto de un correo electrónico, Sophos Firewall lo reconoce automáticamente. No importa si se trata de un archivo conocido o desconocido. En cuanto reconoce el archivo, el cortafuegos lo reenvía a SophosLabs Intelix, el servicio en la nube de Sophos, para su posterior análisis.

Requisitos

Licencia: hay que asegurarse de que Web Protection o Email Protection tienen licencia para Sophos Firewall, ya que estos módulos son necesarios para analizar correctamente el archivo.

Tamaño del archivo: El archivo debe ser inferior a 10 MB para ser procesado por Zero-Day Protection.

Formatos de archivo compatibles: Sólo algunos formatos de archivo son compatibles con Zero-Day Protection. Estos incluyen, entre otros

  • Archivos ejecutables (.exe, .dll)
  • Documentos (PDF, formatos de Microsoft Office como .docx, .xlsx)
  • Archivos (ZIP, RAR, 7-Zip)
  • Scripts (JavaScript, VBScript)
  • Otros formatos como archivos JAR, BAT, RTF y LNK.
  • Archivo 7-Zip
  • Archivo ACE
  • Archivo ARJ
  • BZIP2 comprimido
  • Comprimido GZIP
  • CD-ROM ISO 9660
  • Archivo LHA 1.x y 2.x
  • Archivo del Gabinete Microsoft
  • Archivo TAR
  • Archivo POSIX TAR
  • Archivo RAR
  • XZ Comprimido
  • Archivo ZIP
  • Java (archivos JAR)
  • Documentos de Office (formatos OLE y XML abierto)
  • Documentos PDF
  • PE (32 y 64 bits, EXE y DLL)
  • Documentos RTF
  • Scripts JavaScript (JS/JSE/WSF), Script Visual Basic (VBS/VBE)
  • Lote Windows /Archivos BAT/
  • Atajos de Windows (archivos LNK y URL)

Puedes encontrar más información aquí: KB de Sophos: Zero-Day Protection o Preguntas frecuentes sobre Zero-Day Protection de Sophos

En cuanto se cumplen estos requisitos, el archivo se envía a SophosLabs Intelix para su análisis posterior.

2. Análisis de SophosLabs Intelix

En cuanto Sophos Firewall reconoce un archivo como apto para el análisis, se carga en la nube de Sophos, donde comienza el proceso de análisis. SophosLabs Intelix utiliza aprendizaje automático, sandboxing e investigación de amenazas para analizar el archivo en busca de riesgos potenciales. El archivo se ejecuta en un entorno aislado que simula diferentes sistemas operativos para garantizar que se prueba en condiciones realistas sin poner en peligro tu sistema.

Centros de datos disponibles:

  • Asia-Pacífico (Sidney, Tokio)
  • Europa (Fráncfort, Londres)
  • Estados Unidos

Si no se selecciona una región concreta, el sistema utiliza el centro de datos más cercano en función del tiempo de latencia.

3. Análisis del sandbox

La primera herramienta de análisis que se utiliza es el aprendizaje automático. SophosLabs Intelix utiliza varios modelos para evaluar las propiedades y la reputación global del archivo. El archivo se compara con millones de archivos seguros y maliciosos conocidos para determinar su malicia potencial.

Tras esta evaluación, el archivo se somete a un análisis sandbox que utiliza técnicas dinámicas y estáticas. Se supervisa el acceso a los archivos, la manipulación de la memoria y el registro y las actividades de red. Además, se utiliza el aprendizaje profundo para la detección de exploits y CryptoGuard para identificar el comportamiento del ransomware. Este paso protege la red de amenazas de día cero como el ransomware y los ataques dirigidos.

Mientras se ejecuta en el sandbox, Sophos supervisa continuamente varios parámetros para detectar comportamientos potencialmente maliciosos. Entre ellos se incluyen:

  • Actividades inesperadas en la red
  • Manipulación del sistema operativo
  • Intentos de acceder a datos sensibles
  • Autorreplicación u otros comportamientos típicos de los virus

Este minucioso proceso de análisis puede durar varios minutos, por lo que la descarga puede retrasarse hasta 15 minutos hasta que finalice el análisis.

Además del análisis técnico del archivo, SophosLabs Intelix realiza un análisis de reputación. Este análisis evalúa lo extendido que está el archivo y cómo lo han tratado otras soluciones de seguridad en el pasado. Esto ayuda a evaluar mejor el riesgo.

Bloquear o desbloquear: En función de los resultados del análisis del sandboxing, el archivo se desbloquea o se bloquea. Si el archivo se clasifica como seguro, el usuario puede descargarlo inmediatamente. En caso contrario, se bloquea y se informa al administrador de la amenaza.

4. Elaboración de un informe

Una vez finalizado el análisis, se elabora un informe detallado que resume los resultados de las distintas fases del análisis. Este informe contiene información como

  • Detalles de la descarga: Origen del archivo, hora de la descarga y usuarios que descargaron el archivo.
  • Resumen del análisis: Una visión general del resultado global del análisis Zero-Day Protection, la clasificación del archivo (por ejemplo, limpio, sospechoso, malicioso) y una breve descripción de las amenazas detectadas.
  • Resultados del análisis de aprendizaje automático: Detalles para analizar las propiedades del archivo, la estructura y las combinaciones de características.
  • Resultados de la detonación de Zero-Day Protection: Información sobre las actividades que realiza el archivo, incluyendo capturas de pantalla y detalles sobre los procesos utilizados y la actividad del registro.
  • Análisis completo de archivos: Detalles exhaustivos de los archivos, incluyendo firmas, certificados utilizados, recursos a los que se ha accedido y funciones de importación/exportación.
  • Informe de VirusTotal: Número de entradas en la base de datos de VirusTotal y cuántos productos de detección de malware identifican el archivo como una amenaza.

Los administradores pueden ver los informes detallados del análisis de Zero-Day Protection en cualquier momento para comprender mejor el riesgo. También es posible liberar archivos o mensajes de correo electrónico que aún se estén analizando o en los que se haya producido un error. Sin embargo, se recomienda precaución en este caso, ya que compartir antes de que se haya completado el análisis alberga el riesgo de descargar contenido malicioso.

Probar archivos individuales

En la entrada del blog SophosLabs Intelix – La herramienta para detectar ciberamenazas, te explicamos cómo puedes comprobar también archivos individuales con la herramienta online Sophos Intelix.

FAQ

¿Qué es Sophos Zero-Day Protection?

Sophos Zero-Day Protection es un módulo de seguridad para Sophos Firewall diseñado para detectar y bloquear nuevas amenazas desconocidas hasta ahora.
Utiliza tecnologías avanzadas como el aprendizaje automático, el sandboxing y la investigación de amenazas para analizar y evaluar archivos y adjuntos de correo electrónico sospechosos.

¿Cómo funciona Zero-Day Protection?

En cuanto un archivo sospechoso o un adjunto de correo electrónico entra en la red, se envía a SophosLabs Intelix™ para su análisis.
Allí, el archivo se somete a un análisis de varias fases que incluye aprendizaje automático y sandboxing.
El sistema examina el archivo en busca de comportamientos sospechosos y lo bloquea si se clasifica como peligroso.

¿Qué tipos de archivos analiza Zero-Day Protection?

Zero-Day Protection analiza principalmente archivos ejecutables, scripts, documentos y archivos comprimidos. Esto incluye formatos como .exe, .dll, .pdf, .docx, .xlsx, .zip, .rar y muchos más. Sólo se analizan los archivos de menos de 10 MB.

¿Cómo se analizan los archivos sospechosos?

El análisis se realiza en varios pasos: En primer lugar, el motor antivirus analiza el archivo.
Si el archivo no contiene ninguna amenaza conocida, pero sigue pareciendo sospechoso, se envía a una caja de arena para su análisis posterior, donde se ejecuta en un entorno aislado y se supervisa en busca de comportamiento malicioso.

¿Cuánto tarda el análisis de Zero-Day Protection?

El análisis suele durar unos cinco minutos, pero puede tardar hasta diez dependiendo del tamaño del archivo y de la complejidad del análisis.
Para los archivos que ya han sido analizados, el tiempo de análisis puede ser inferior a un segundo gracias al almacenamiento en caché.

¿Se procesarán mis datos de forma segura?

Todos los archivos enviados a SophosLabs Intelix™ para su análisis se transmiten a través de una conexión SSL encriptada y se almacenan en los servidores de forma asimétricamente encriptada.
Los archivos sólo se descifran y procesan mientras dura el análisis.

¿En qué centros de datos se analizan mis archivos?

Puedes seleccionar el centro de datos en el que se analizan tus archivos.
Las regiones disponibles son Asia-Pacífico (Sidney, Tokio), Europa (Fráncfort, Londres) y Estados Unidos.
Si no seleccionas una región concreta, el sistema utilizará el centro de datos más cercano en función de la latencia.

¿Qué medidas de protección ofrece Zero-Day Protection contra el ransomware?

Zero-Day Protection incluye funciones de detección de ransomware, incluido el análisis dinámico que supervisa en tiempo real comportamientos sospechosos como el cifrado de archivos.
El sistema también utiliza CryptoGuard para detectar y detener los ataques de ransomware.

¿Es posible ver qué archivos han sido analizados por Zero-Day Protection?

Sí, hay un resumen especial en Sophos Firewall que muestra todos los archivos y adjuntos de correo electrónico que han sido analizados por Zero-Day Protection.
Aquí puedes ver informes con detalles del análisis y las calificaciones de seguridad correspondientes.