Shopping Cart

Nessun prodotto nel carrello.

Sophos NDR – Eliminare gli angoli morti della rete

Nei miei ultimi articoli ho scritto di Sophos Managed Detection and Response (MDR). A partire dalla ridenominazione di MTR in MDR, fino ai nuovi e potenti add-on per poter integrare ulteriormente i dati telemetrici di terzi.

Chiunque abbia letto questi due articoli avrà certamente capito che Sophos MDR è un servizio indispensabile per proteggere la vostra azienda dagli attacchi alla rete e dalla criminalità informatica. In realtà, però, questo è solo l’inizio.

Non fraintendetemi: con Sophos MDR avete fatto molto per la sicurezza della vostra rete! L’agente Sophos è (si spera) in esecuzione su ogni computer e server e il vostro Sophos Firewall è collegato tramite Synchronised Security e invia i log al data lake. Inoltre, avete affidato il monitoraggio e la risposta al team MDR di Sophos (Sophos X-Ops), che è di guardia 24 ore su 24, 7 giorni su 7. Bravi! 👏

Si utilizza un firewall di terze parti? Nessun problema. Grazie alle nuove integrazioni, con il componente aggiuntivo del firewall MDR è possibile collegare anche dispositivi di Palo Alto Networks, Fortinet, Check Point, Cisco o SonicWall.

Punti ciechi in vista

Ma sebbene la combinazione di firewall e Sophos Managed Detection and Response rappresenti una coppia da sogno per la sicurezza della rete aziendale, rimangono ancora delle domande che tolgono il sonno a un amministratore IT coscienzioso:

  • Come posso proteggere i nostri dispositivi IoT, terminali POS, stampanti, thin client, smart TV, ecc. che non possono avere un agente Sophos installato?
  • Come posso monitorare il traffico di rete dietro il nostro firewall?
  • Come posso monitorare e analizzare il comportamento degli utenti interni?
  • Come posso tenere sotto controllo i movimenti di dati sulla rete?
  • Come faccio a fare regolarmente il punto sugli asset della nostra rete?
  • Come posso rilevare la presenza di sistemi nuovi o non autorizzati sulla nostra rete?
  • Come si fa a conoscere il traffico di dati criptati nella nostra rete?

Sono tutte domande importanti e Sophos Network Detection and Response (NDR) è in grado di rispondere a tutte queste domande. L’NDR aggiunge un fattore cruciale alla linea di difesa. Con il firewall si controlla il traffico in entrata e in uscita dalla rete aziendale, mentre con Intercept X Advanced e il servizio MDR è possibile rilevare comportamenti sospetti su endpoint e server (dove è installato Sophos Agent). Ma che dire del traffico all’interno dell’intero ambiente?

Gli aggressori faranno di tutto per evitare il rilevamento, ed evitare il rilevamento è una tattica ben nota nel framework MITRE ATT&CK® a livello di sistema. Gli exploit possono nascondersi dalle soluzioni EDR, ad esempio, e gli aggressori possono disabilitare ed eliminare i registri di sistema. Tuttavia, non è possibile evitare che un attaccante si muova all’interno della rete. Ed è proprio questo che il sensore NDR di Sophos registrerà, a prescindere da quanto silenziosamente o attentamente l’attaccante proceda. Lascia il segno in ogni azione.

Che cos’è Sophos NDR?

Sophos Network Detection and Response (NDR) viene offerto come appliance virtuale che monitora passivamente tutto il traffico di rete attraverso una porta span. Tutto ciò che viene registrato attraverso questa porta viene sottoposto a un rilevamento delle minacce in tempo reale basato su cinque algoritmi principali forniti con l’NDR.

Sophos ha già acquisito la tecnologia alla base dell’NDR nel luglio 2021 attraverso l’acquisizione della società “Braintrace”. Braintrace ha sviluppato una macchina virtuale in grado di monitorare il traffico di rete con cinque algoritmi principali e di distinguere così tra attività dannose e benigne.

Se una minaccia viene rilevata utilizzando questi cinque algoritmi principali, viene inoltrata al Sophos Data Lake, classificata e valutata. Vengono generati casi che vengono analizzati e convalidati dal Sophos Threat Response Team. Le informazioni provenienti dal sensore NDR possono anche essere correlate con quelle provenienti da altri sensori, come l’identità, la posta elettronica e le funzioni di rete e firewall.

I cinque algoritmi di base NDR

Diamo un’occhiata più da vicino ai cinque potenti algoritmi che Sophos NDR ci mette a disposizione:

Analisi del carico utile criptato (EPA)

Questo motore è in grado di rilevare il malware anche nel traffico dati crittografato, dove altrimenti potrebbe rimanere nascosto.

Algoritmo di generazione del dominio (DGA) 

Questo motore aiuta a rilevare la comunicazione con i server di comando e controllo (C2) e altri domini dannosi, senza alcun dato di minaccia noto.

Analisi del rischio di sessione (SRA) 

Identificare le caratteristiche anomale del traffico di rete, come i certificati autofirmati o l’uso di porte non standard. Insieme ad altre attività inaspettate/sospette, queste caratteristiche indicano un rischio elevato che deve essere indagato.

Motore di rilevamento dati (DDE)

Questo motore è stato progettato per aiutare a rilevare i sistemi in rete che non sono gestiti da Sophos. Da un lato, questo aiuta a identificare le lacune nella copertura dei dispositivi autorizzati, dall’altro a rilevare sistemi o dispositivi non autorizzati e possibilmente dannosi.

Ispezione profonda dei pacchetti (DPI) 

L’ispezione profonda dei pacchetti può essere utilizzata per cercare nella rete indicatori specifici di compromissione. Potrebbe trattarsi di una comunicazione a un server di comando e controllo (C2) o di un indirizzo IP sospetto che non ha nulla a che fare con la vostra rete.

Cosa vi serve per Sophos NDR

Attualmente Sophos NDR è disponibile solo come integrazione MDR. Ciò significa che è necessario disporre di una licenza MDR attiva per poter configurare l’NDR. Dalla metà di luglio, i clienti XDR hanno avuto l’opportunità di provare gratuitamente NDR attraverso il programma Early Access.

Come spiegato in precedenza, il sensore NDR di Sophos (log collector) viene eseguito su una macchina virtuale (VM). I dati vengono raccolti e inoltrati al Sophos Data Lake. Attualmente, Sophos NDR supporta “VMware ESXi 6.7” o più recente e “Microsoft Hyper-V 6.0.6001.18016 (Windows Server 2016)” o più recente.

Provate Sophos NDR

Con questo blog post vi ho convinto delle qualità e dei vantaggi della soluzione NDR di Sophos o vi ho almeno incuriosito? I clienti in possesso di una licenza MDR o XDR hanno potuto registrarsi all’Early Access Program di Sophos da metà luglio per testare gratuitamente l’NDR. Secondo Sophos, l’EAP sarà sbloccato da luglio a novembre 2023.

Se non disponete ancora di una licenza XDR o MDR e desiderate provare Sophos NDR, potete ordinarla facilmente dal nostro negozio online:

I passaggi esatti per aggiungere NDR come integrazione in Central, configurare l’immagine, scaricarla e installarla sulla macchina virtuale sono riportati nella seguente guida di Sophos: Configurazione di Sophos NDR

David
David

Iscrizione alla newsletter

Inviamo una newsletter mensile con tutti i post del blog di quel mese.