Sophos Firewall v22 MR1: Panoramica e tutte le nuove funzionalità
Sophos Firewall v22 MR1 si basa sulla strategia secure-by-design introdotta con la v22 e la estende con una telemetria aggiuntiva, rilevamenti NDR curati dall’ambiente Taegis e alcuni miglioramenti dettagliati a VPN, SSO e storage. Inoltre, Sophos Firewall Config Studio V2 è uno strumento indipendente che semplifica notevolmente l’analisi e il confronto delle configurazioni.
Indice dei contenuti
Secure by design: sensore XDR Linux esteso
Con la versione 22, Sophos ha introdotto il sensore XDR Linux nel firewall per rilevare tempestivamente le manipolazioni del sistema, come i file di configurazione o i processi critici. SFOS v22 MR1 estende il sensore per riconoscere le shell interattive e le reverse shell. Se un attaccante tenta di stabilire una sessione di controllo sul firewall dopo un’intrusione, la comunicazione TCP o UDP associata al server di comando e controllo viene bloccata. Questo sensore è ora attivo anche su tutta la serie XGS, non più solo su singoli modelli.
Il rilevamento della shell inversa è uno standard da anni sugli endpoint. Il fatto che la stessa logica venga ora applicata anche al firewall stesso è logico e importante. Nel peggiore dei casi, un firewall compromesso è la chiave principale della rete: qualsiasi livello di rilevamento aggiuntivo direttamente sul dispositivo ha più senso di qualsiasi correlazione a valle.
NDR Active Threat Intelligence (iSensor IPS)
SFOS v22 MR1 integra la tecnologia IPS iSensor della piattaforma SecureWorks Taegis. I modelli di rilevamento curati in questo modo integrano il classico set di firme IPS con modelli orientati agli aggressori attivi nella rete, ovvero movimenti laterali, comunicazioni C2 e attività simili dopo un’intrusione iniziale.
Il set può essere attivato in Active Threat Response > NDR. Per rendere effettivi i nuovi rilevamenti, è necessario inserire la spunta corrispondente nelle impostazioni IPS delle regole del firewall. Per gli analisti XDR e MDR, questo significa un contesto più ampio e percorsi di indagine più brevi perché i rilevamenti mirano ai TTP avversari noti direttamente dal database Taegis.
NDR Essentials per tutte le piattaforme
Una domanda che ci è stata posta ripetutamente dalla v21.5: quando NDR Essentials supporterà anche i firewall virtuali e cloud? Con la versione 22 MR1 è ora così: NDR Essentials funziona su tutte le piattaforme Sophos Firewall, ovvero hardware XGS, dispositivi virtuali, installazioni cloud e installazioni software. Questo elimina l’ultima grande restrizione che in precedenza escludeva le configurazioni virtuali dalla protezione NDR.
Questa è la logica continuazione dell’architettura orientata alla CPU della versione 22. Chiunque gestisca un Sophos Firewall su VMware, Hyper-V o un hyperscaler era in precedenza escluso dal giro quando si trattava di NDR Essentials – questa lacuna è stata ora colmata.
Audit trail con l’identità utente di Sophos Central
Quando un singolo firewall viene configurato tramite Sophos Central, SFOS v22 MR1 ora registra anche quale utente di Sophos Central ha attivato la modifica. In precedenza, spesso solo l’account generico di Central era visibile nell’audit trail. Con la nuova variante, è possibile risalire all’autore di una modifica di configurazione, anche se non è stata effettuata direttamente dall’amministratore web del firewall. Le informazioni appaiono sia nel visualizzatore di log del firewall che nei log e nei report di Sophos Central.
Questo è particolarmente importante per le organizzazioni conformi alla normativa NIS2, in quanto la tracciabilità degli interventi amministrativi è esplicitamente richiesta. Negli ambienti MSP con più tecnici sullo stesso tenant, si tratta comunque di un dettaglio atteso da tempo.
Stabilità della VPN e pensionamento di IPsec tradizionale
SFOS v22 GA presentava una serie di problemi di stabilità con le VPN IPsec basate su criteri che sono stati risolti in MR1. In particolare, sono stati risolti i ticket interni NC-177450, NC-174800, NC-177136, NC-174304, NC-172504, NC-173054 e NC-176083. Chiunque abbia lavorato con la v22 GA e abbia notato cadute o disconnessioni nei tunnel basati sui criteri dovrebbe verificare dopo l’aggiornamento se i tunnel sono ora stabili.
Allo stesso tempo, la VPN IPsec Legacy Remote Access viene definitivamente abbandonata con la versione 22 MR1. I firewall che si basano ancora su questa vecchia variante di IPsec non possono essere aggiornati alla versione 22 MR1 o più recente. Chiunque sia interessato deve prima migrare alla configurazione attuale di Remote Access IPsec – Sophos ha pubblicato un articolo KB separato su questo argomento.
In pratica, la maggior parte delle configurazioni esistenti è già da tempo sulla nuova variante o su SSL VPN. Tuttavia, vale la pena controllare brevemente la configurazione prima di effettuare l’aggiornamento, altrimenti l’aggiornamento si interromperà.
Sophos Connect 2.0 per macOS
Con Sophos Connect 2.0 per macOS, ora è possibile stabilire connessioni SSL VPN anche per l’accesso remoto. Fino ad ora, la VPN SSL tramite Sophos Connect era una prerogativa di Windows, mentre gli utenti di macOS dovevano passare a IPsec o utilizzare client di terze parti. In questo modo si armonizza ulteriormente il set di funzionalità tra le due piattaforme client. I dettagli e le versioni di macOS supportate sono disponibili nelle note di rilascio di Sophos Connect.
Microsoft Entra ID SSO: rivalutazione forzata
In precedenza, una sessione SSO esistente poteva essere riutilizzata in determinate condizioni senza che i criteri di accesso condizionato di Entra ID venissero ricontrollati. Nel peggiore dei casi, questo permetteva di aggirare i requisiti MFA se i cookie di sessione erano ancora validi. SFOS v22 MR1 ora impone un nuovo controllo dei criteri di accesso condizionato al momento del riutilizzo della sessione. Si tratta di una classica soluzione di sicurezza, poco visibile ma importante per gli ambienti che utilizzano Entra ID come fonte di identità centrale e che si affidano alla MFA.
Protezione SSD e MTU Wi-Fi
Due piccoli ma utili miglioramenti ai dettagli:
- Durata dell’SSD: i processi di scrittura sull’SSD interno sono stati ottimizzati. Ciò riguarda soprattutto i dispositivi con un elevato volume di registrazioni e prolunga la durata di vita dell’hardware.
- MTU/MSS Wi-Fi: i comandi CLI esistenti possono ora essere utilizzati anche per regolare i valori MTU e MSS delle interfacce Wi-Fi. Si tratta di uno strumento utile in ambienti con tunnel sovrapposti o percorsi problematici nel backhaul Wi-Fi.
Sophos Firewall Config Studio V2
Sophos Firewall Config Studio V2 (in precedenza: Sophos Firewall Configuration Viewer) è uno strumento basato su browser che fa molto di più del suo predecessore. Consente tre flussi di lavoro centrali:
- Report di configurazione: tutte le regole, i criteri e le impostazioni di un firewall possono essere visualizzati in un report consolidato. Pratico per gli audit, i passaggi di consegne o l’inserimento di nuovi amministratori.
- Confronto delle configurazioni: Due configurazioni possono essere confrontate direttamente. Le voci aggiunte, modificate, rimosse e non modificate sono evidenziate visivamente. Questo è esattamente lo strumento che manca per la revisione delle modifiche o per la risoluzione dei problemi dopo una fase di migrazione, se non vuoi smontare il firewall durante il funzionamento.
- Editor di configurazioni: le configurazioni possono essere modificate o importate direttamente nello strumento. Possono poi essere caricate nuovamente nel firewall o esportate come API o snippet curl, ad esempio per eseguire automaticamente le modifiche.
La funzione di differimento della configurazione direttamente nel browser è una funzione che viene richiesta da anni. Chiunque abbia provato a confrontare manualmente due backup di Sophos saprà perché questo strumento è un vero passo avanti. Sarà interessante vedere quanto l’editor sia stabile con configurazioni di grandi dimensioni e quanto l’esportazione API possa essere integrata nelle pipeline di automazione esistenti.
Lo strumento è accessibile tramite docs.sophos.com.
Aggiornamento del benchmark CIS per la versione 22
L’Health Check introdotto con la versione 22 si basa sui benchmark del CIS. I parametri di riferimento sono stati aggiornati per la versione 22 e sono disponibili per il download sul sito web del CIS. Chiunque utilizzi l’Health Check come parte degli audit interni dovrebbe utilizzare la nuova versione come riferimento.
Compatibilità e note
- Legacy Remote Access IPsec VPN: sarà interrotta con la v22 MR1. La migrazione alla configurazione attuale di Remote Access IPsec è un prerequisito per l’aggiornamento.
- Percorsi di aggiornamento: SFOS v22 MR1 può essere aggiornato da tutte le versioni v21.5, v21 e v20 supportate. Sophos Central può pianificare e controllare l’aggiornamento.
- Backup prima dell’aggiornamento: come sempre, esegui un backup completo prima dell’aggiornamento e tieni pronto un piano di rollback.
- Meccanismo hotfix: le patch rilevanti per la sicurezza continuano a essere rilasciate come hotfix over-the-air senza tempi morti. Tuttavia, i rilasci di manutenzione includono anche correzioni non critiche, per cui vale la pena effettuare un aggiornamento anche in assenza di un motivo particolare.
Conclusione
Sophos Firewall v22 MR1 è una solida release di manutenzione. I punti più importanti dal nostro punto di vista: le correzioni alla stabilità delle VPN per IPsec basate su policy, il supporto esteso di NDR Essentials sulle piattaforme virtuali e il nuovo audit trail con Sophos Central. Il rilevamento della reverse shell sul firewall stesso e i rilevamenti iSensor curati dall’ambiente Taegis si inseriscono bene nella linea che Sophos ha intrapreso con la v22: il firewall sta gradualmente diventando una piattaforma di sensori che fornisce telemetria e non solo filtra i pacchetti.
Ciò che ancora manca non è cambiato dalla versione 22: la clonazione e il raggruppamento delle regole NAT. I desideri formulati circa un anno fa sono stati parzialmente implementati, il resto è ancora in lista. Forse nel prossimo MR o al più tardi nella v23, ma forse Sophos perseguirà la strategia di affidare tutto al Sophos Firewall Config Studio e il firewall rimarrà così com’è.
Ulteriori informazioni
