Aller au contenu
Avanet

Comprendre et exploiter Sophos Firewall Zero-Day Protection

Sophos Firewall Zero-Day Protection analyse les téléchargements suspects et les pièces jointes aux e-mails via SophosLabs Intelix. Le pare-feu envoie les fichiers appropriés et risqués au service cloud, où l’apprentissage automatique, la réputation, l’analyse sandbox et la recherche sur les menaces fonctionnent ensemble. L’objectif n’est pas seulement de bloquer les malwares connus, mais aussi de mieux classer les fichiers nouveaux ou inhabituels.

C’est important pour les administrateurs : Zero-Day Protection ne remplace pas les règles propres, la protection Web, la protection du courrier, TLS Inspection, la journalisation ou la protection des points de terminaison. La fonction est un module supplémentaire de protection et d’analyse. Cela est particulièrement utile lorsque les fichiers entrent sur le réseau via des téléchargements Web ou des pièces jointes à des e-mails et que les signatures classiques ne fournissent pas encore de décision claire.

Quel article de protection convient ?

Zero-Day Protection répond principalement à la question de savoir comment les fichiers suspects sont analysés. Selon le problème, la meilleure façon de commencer est de commencer par l’accès au Web, le flux de messagerie, les attaques réseau, le trafic chiffré ou l’évaluation :

Cette séparation évite les fausses attentes : Zero-Day Protection évalue les fichiers, mais elle ne remplace pas une politique Web, pas d’IPS, pas de planification de relais de courrier et pas d’évaluation centrale des journaux. La meilleure protection ne se produit que lorsque les couches de fichiers, Web, messagerie, réseau et journalisation s’intègrent ensemble.

Où Zero-Day Protection aide dans la pratique

Zero-Day Protection est particulièrement pertinent dans ces scénarios :

  • Les utilisateurs téléchargent des fichiers exécutables, des archives ou des documents depuis Internet.
  • Les pièces jointes des e-mails doivent être vérifiées plus attentivement avant leur livraison ou leur libération.
  • Un dossier n’est pas encore clairement connu, mais semble suspect.
  • Un téléchargement doit non seulement être analysé localement, mais également surveillé dans un bac à sable.
  • Un incident de sécurité doit être mieux évalué à l’aide d’un rapport détaillé.

La fonctionnalité s’intègre bien dans un modèle de sécurité à plusieurs niveaux : Règles de pare-feu limite le trafic autorisé, TLS Inspection rend le trafic Web chiffré plus vérifiable, Web Protection et Mail Protection évaluent le contenu, et Zero-Day Protection complète ces contrôles avec des analyses cloud et des rapports sandbox.

Exigences et limites

Zero-Day Protection ne fonctionne utilement que si les modules et politiques de protection appropriés sont actifs. Une règle d’autorisation pure sans profils de sécurité appropriés n’offre pas la même protection. En fonction du domaine d’application, vous devez donc planifier consciemment la protection Web, la protection du courrier, l’analyse des logiciels malveillants, SSL/TLS Inspection et la journalisation.

Limites importantes en fonctionnement :

  • Le pare-feu n’envoie pas tous les types de fichiers à Intelix, mais principalement les types de fichiers à risque.
  • De nombreux types de fichiers non dangereux, par exemple les formats d’image typiques, ne sont pas envoyés pour détonation.
  • Des exceptions peuvent exclure des fichiers de l’analyse et ainsi réduire l’effet protecteur.
  • L’analyse cloud nécessite une connectivité aux services Sophos et peut retarder les téléchargements.
  • Le partage avant la fin de l’analyse peut exposer du contenu malveillant.
  • Zero-Day Protection ne remplace pas la détection et la réponse des points finaux, pas de MDR et pas de réponse propre aux incidents.

Si le pare-feu voit peu de choses parce que HTTPS n’est pas déchiffré ou que les règles s’exécutent sans profils de sécurité, Zero-Day Protection reste également restreint. L’article Sophos Firewall Journaux : quelle fonction écrit dans quel journal ? aide à l’affectation des journaux et des modules.

Où Zero-Day Protection prend effet

Zero-Day Protection ne doit pas être considéré isolément. La fonction ne devient pertinente que si un fichier passe effectivement par un chemin de protection approprié.

Chemins typiques :

  • Téléchargement Web : La règle de pare-feu appropriée, la protection Web, l’analyse des logiciels malveillants et, pour HTTPS, souvent TLS Inspection doivent être mises en place au préalable. Vous pouvez consulter le journal Web, le journal d’inspection SSL/TLS et la vue des téléchargements et des pièces jointes.
  • Pièce jointe à un e-mail : Le flux de courrier doit passer par la protection du courrier, une politique de pièce jointe appropriée et une vérification des logiciels malveillants. Vous pouvez contrôler les journaux de courrier, la quarantaine et l’affichage des téléchargements et des pièces jointes.
  • Statut de version ou d’erreur : Le rapport n’est pas encore terminé ou l’analyse a échoué. Ensuite, le processus de publication, le contexte utilisateur, le hachage et les autres journaux comptent.
  • Aucune visibilité : Le trafic ne passe pas par le chemin de protection ou le type de fichier n’est pas pertinent. Vérifiez ensuite d’abord la règle de pare-feu, la politique, TLS, le flux de messagerie et le type de fichier.

Pour les téléchargements Web, la première chose importante est de savoir si le bon Politique Web est actif dans la règle de pare-feu. Pour les pièces jointes aux e-mails, le flux de messagerie doit effectivement s’exécuter via Protection du courrier en mode MTA ou un chemin vérifié comparable. Si seule une règle d’autorisation normale autorise le trafic, vous ne devez pas vous attendre à une analyse complète des fichiers de Zero-Day Protection.

Flux d’analyse

1. Détection sur le pare-feu

Un fichier passe à travers le pare-feu via un téléchargement ou sous forme de pièce jointe à un e-mail. Si la politique, le type de fichier et le contexte correspondent, le fichier est marqué pour Zero-Day Protection. Les fichiers connus et clairement classifiés peuvent être évalués au préalable par d’autres modules de protection.

2. Remise à SophosLabs Intelix

Les fichiers éligibles sont envoyés à un service Intelix SophosLabs via une connexion cryptée. Là, le fichier est non seulement vérifié par rapport à des modèles connus, mais est également évalué à l’aide de plusieurs niveaux d’analyse.

3. Apprentissage automatique et réputation

SophosLabs Intelix évalue les caractéristiques, la structure, la réputation globale et la similarité avec des fichiers bons ou malveillants connus. Ceci est particulièrement utile pour les nouveaux fichiers qui n’ont pas encore été largement diffusés.

4. Analyse du bac à sableL’analyse Sandbox examine le fichier dans un environnement isolé. L’évaluation combine l’analyse dynamique et statique, l’apprentissage en profondeur, la détection d’exploits, CryptoGuard et la surveillance des activités de fichiers, de stockage, de registre et de réseau. Pour les administrateurs, le terme marketing est moins important que la question : qu’essayait réellement de faire le fichier ?

5. Décision et rapport

À la fin, il y a une note, par exemple propre, probablement propre, suspect, malveillant ou PUA. En fonction du résultat, le fichier est libéré, bloqué ou reste visible avec un état d’erreur ou d’analyse. Le rapport permet de justifier clairement une version, un blocage ou d’autres mesures de réponse à un incident.

Lire correctement les rapports

L’aperçu se trouve dans Sophos Firewall sous Monitor & analyze > Zero-day protection > Downloads and attachments. Vous pouvez y voir les données d’activité sur les téléchargements suspects et les pièces jointes aux e-mails, l’état de l’analyse, les détails du rapport et les options de partage.

Un rapport peut contenir, entre autres, les domaines suivants :

  • Détails du téléchargement : Source, timing et utilisateur concerné.
  • Résumé d’analyse : Évaluation globale du dossier.
  • Analyse de l’apprentissage automatique : Fonctionnalités, structure et évaluation du ML.
  • Analyse de la réputation : Évaluation basée sur la distribution mondiale.
  • Résultats de la détonation : Comportement du fichier lors de l’exécution du bac à sable.
  • Analyse complète du dossier : Signatures, certificats, ressources, importations et exportations.
  • Rapport VirusTotal : situation de détection externe supplémentaire.

Lorsqu’il s’agit d’un fichier suspect, vous ne devez pas vous contenter de regarder son statut final. La source, l’utilisateur, le nom du fichier, l’URL cible, le comportement du processus, l’activité du réseau et si d’autres systèmes ont vu le même téléchargement sont également pertinents. Si cela entraîne un incident, le rapport doit être fusionné avec les journaux des points finaux, de la messagerie, du Web et du pare-feu.

Processus pour les rapports suspects

Une attaque de protection Zero Day doit être traitée comme un petit cas de sécurité, et non comme un pur bloc de filtre Web.

Processus pratique :

  1. Ouvrez le rapport et enregistrez l’état, le nom du fichier, la source, l’utilisateur, l’heure et la note.
  2. Vérifiez s’il s’agit d’un téléchargement Web, d’une pièce jointe à un e-mail ou d’un autre chemin.
  3. Comparez les journaux Web, de messagerie et de pare-feu pour la même période.
  4. Le cas échéant, vérifiez les événements de point de terminaison ou EDR pour le client concerné.
  5. Documentez le hachage, l’expéditeur, l’URL ou le domaine du fichier.
  6. Décidez s’il s’agit d’un faux positif, d’une attaque bloquée, d’un soupçon non résolu ou d’un incident.
  7. N’envisagez l’approbation que s’il existe une raison commerciale compréhensible.
  8. Documentez la décision et, si nécessaire, dérivez un groupe d’URL, une politique de messagerie, un flux de menaces ou une mesure de point de terminaison.

Lorsque plusieurs utilisateurs voient le même fichier ou domaine, une seule décision ne suffit souvent pas. Vous devez ensuite vérifier si un ajustement de la politique Web, une règle de politique de messagerie, une entrée dans le flux de menaces ou une réponse à un incident est nécessaire.

Partager des fichiersSophos Firewall permet le partage uniquement pour les fichiers ou les messages électroniques qui sont encore en cours d’analyse ou qui sont renvoyés avec un statut d’erreur. Une telle libération peut être nécessaire si un processus métier est bloqué. Cependant, cela ne convient pas comme solution de contournement normale.

Avant de publier, vous devez au moins vérifier :

  • La source est-elle fiable et attendue ?
  • L’utilisateur ou le service a-t-il été consulté sur le contexte ?
  • Existe-t-il un hachage, un nom de fichier ou un expéditeur qui peut être vérifié en plus ?
  • Existe-t-il des journaux de points de terminaison ou de messagerie pour le même processus ?
  • Le dossier peut-il être examiné dans un environnement isolé ou via un outil d’analyse distinct ?
  • Est-il documenté qui a décidé de le publier et pour quelle raison ?

⚠️ Le partage avant la fin de l’analyse peut entraîner le téléchargement ou la diffusion de contenu malveillant. Dans les environnements productifs, cette décision doit être documentée et non déléguée à la routine de premier niveau.

Pour les fichiers individuels, le billet de blog Avanet SophosLabs Intelix - L’outil de détection des cybermenaces peut vous aider. Cependant, cela ne remplace pas l’évaluation dans le contexte spécifique du réseau et de l’utilisateur.

Centre de données et protection des donnéesVous pouvez spécifier le centre de données pour l’analyse sous Monitor & analyze > Zero-day protection > Protection settings. Par défaut, Sophos Firewall choisit le centre de données le plus proche. Vous pouvez également choisir consciemment un centre de données.

Ce paramètre est particulièrement important si la protection des données, la résidence des données ou les réglementations internes jouent un rôle. Un changement de centre de données peut avoir un impact sur les analyses en cours. Par conséquent, le cadre ne doit pas être modifié au cours d’un cas d’analyse aiguë, mais doit être planifié et documenté.

Utilisez les exceptions avec précaution

Dans les paramètres de protection, vous pouvez exclure des types de fichiers de l’analyse de la protection Zero Day. La détection du type de fichier est basée sur l’extension du fichier et l’en-tête MIME. Les archives contenant des types de fichiers exclus peuvent également être exclues.

Les exceptions sont techniquement pratiques, mais importantes pour la sécurité. Chaque exception doit être clairement justifiée :

  • Quelle application ou processus crée les fichiers ?
  • Pourquoi l’analyse est-elle dérangeante ou inutile ?
  • Existe-t-il une exception plus étroite qu’un type de fichier entier ?
  • L’exception est-elle vérifiée régulièrement ?
  • Sait-on quel effet protecteur est perdu en conséquence ?Les exceptions générales concernant les archives, les scripts, les fichiers Office ou les fichiers exécutables doivent être évitées. Lorsque Zero-Day Protection perturbe un processus légitime, la première étape consiste souvent à vérifier la stratégie, le chemin source, la base d’utilisateurs concernée ou le déploiement alternatif.

Vérifiez régulièrement les approbations et les exceptions

Zero-Day Protection n’est pas seulement une fonction de mise sous tension. La valeur opérationnelle réelle apparaît lorsque les rapports, les approbations et les exceptions sont vérifiés régulièrement. Dans le cas contraire, les décisions risquées restent actives pendant longtemps, même si la raison commerciale initiale a disparu depuis longtemps.

Ces points sont particulièrement utiles pour la révision :

  • Fichier publié : Vérifiez la raison de la publication, l’utilisateur ou le service concerné, le hachage, la source du fichier, la date d’expiration et l’évaluation ultérieure.
  • Exception de type de fichier : Vérifiez l’application concernée, le propriétaire, la date de révision, l’alternative la plus proche et le risque pour les archives, les scripts ou les fichiers Office.
  • Statut d’erreur récurrente : Vérifiez la connectivité Sophos, la taille du fichier, le type de fichier, la politique, le centre de données et l’éventuel cas de support.
  • De nombreux appels provenant d’une seule source : Vérifiez la politique Web ou de messagerie, l’URL, l’expéditeur, le groupe d’utilisateurs, le flux de menaces, le groupe d’URL ou la liste de blocage.

Une exception n’est pas un nettoyage normal des règles de pare-feu. Ces entrées doivent avoir un propriétaire, un motif et une date de révision. Pour les versions récurrentes, vous devez également comparer les journaux des points de terminaison, de la messagerie, du Web et du pare-feu afin qu’une seule exception ne se transforme pas en un contournement permanent inaperçu.

Dépannage

Aucune entrée visibleSi aucune entrée n’apparaît sous Téléchargements et pièces jointes, vous devez d’abord vérifier si le trafic passe réellement par la règle de pare-feu et le profil de sécurité appropriés. Pour le trafic HTTPS, l’absence de TLS Inspection peut expliquer pourquoi le pare-feu voit moins de contenu. Vérifiez ensuite les paramètres Web, de messagerie, de logiciels malveillants et de jour zéro.

Les téléchargements prennent trop de temps

Une analyse sandbox peut prendre du temps. Si les utilisateurs attendent régulièrement pendant de longues périodes, vous devez vérifier si de nombreux fichiers volumineux ou changeant fréquemment sont analysés, si les processus concernés sont légitimes et si une exception technique étroite est justifiable. Une désactivation globale n’est généralement pas une bonne première étape.

Beaucoup de faux positifs

Pour les faux positifs récurrents, vérifiez les détails du rapport, la source du fichier, les hachages, la réputation, les utilisateurs concernés et l’application. Ce n’est que lorsque le modèle est compris que vous devez définir des exceptions. Pour les listes de blocage dynamiques et les opérations IOC, Sophos Firewall Configurer des flux de menaces et les exploiter en toute sécurité est une rubrique connexe.

La libération a été demandéeUne libération doit être considérée comme une décision de sécurité. Si le ministère se contente de signaler « urgent », cela ne suffit pas. Vous avez besoin d’une source, d’un objectif, d’un fichier, d’un utilisateur, d’une évaluation des risques et d’une décision documentée.

Liste de contrôle opérationnel

  • Zero-Day Protection Licence et statut du module vérifiés.
  • Politiques Web et de messagerie contrôlées par des analyses de logiciels malveillants et de sécurité.
  • TLS Inspection est prévu là où les téléchargements Web doivent être vérifiés judicieusement.
  • Data center volontairement choisi pour analyse ou documenté en standard.
  • Aucune exception générale de type de fichier sans propriétaire et date de révision.
  • La vue des téléchargements et des pièces jointes est vérifiée régulièrement.
  • Processus de libération défini pour les fichiers analysés ou incorrects.
  • Rapports corrélés aux journaux des points de terminaison, de la messagerie, du Web et du pare-feu.
  • Prise en compte de Syslog, Central Reporting ou SIEM pour une traçabilité plus longue.

FAQ

Que fait Sophos Firewall ?

Zero-Day Protection analyse les téléchargements suspects et les pièces jointes aux e-mails via SophosLabs Intelix. L’apprentissage automatique, la réputation et l’analyse sandbox sont combinés pour mieux détecter les menaces nouvelles ou inconnues.

Tous les fichiers sont-ils envoyés à Sophos ?

N° Sophos Firewall envoie principalement des types de fichiers à risque pour la détonation et l’analyse. De nombreux types de fichiers considérés comme non critiques ne sont pas envoyés. De plus, les administrateurs peuvent exclure des types de fichiers, ce qui peut réduire l’effet de protection.

Où pouvez-vous consulter les rapports de protection Zero Day ?

Les rapports peuvent être consultés à Monitor & analyze > Zero-day protection > Downloads and attachments. Là, vous pouvez vérifier l’état de l’analyse, les détails du rapport et l’état de la version.

Est-il autorisé de partager un fichier avant la fin de l’analyse ?

Techniquement, cela est possible sous certaines conditions. Il est risqué sur le plan opérationnel car il permet de télécharger ou de diffuser du contenu malveillant. La libération doit être documentée et n’avoir lieu qu’après examen.

Zero-Day Protection remplace-t-il la protection des points finaux ?

Non. Zero-Day Protection ajoute une protection Web, messagerie et pare-feu. La protection des points finaux, l’EDR, le MDR, la journalisation et la réponse aux incidents restent nécessaires car toutes les attaques ne transitent pas par un fichier analysé par le pare-feu.