Vai al contenuto
Avanet
Sophos NDR – Eliminare i punti ciechi nella rete

Sophos NDR – Eliminare i punti ciechi nella rete

Nei miei ultimi articoli ho scritto di Sophos Managed Detection and Response (MDR). Partendo dal cambio di nome da MTR a MDR, fino ai nuovi e potenti add-on per poter integrare anche dati di telemetria di terze parti.

Chi ha letto questi due articoli avrà sicuramente capito che Sophos MDR è un servizio indispensabile per proteggere la propria azienda dagli attacchi di rete e dalla criminalità informatica. In realtà, però, questo è solo l’inizio.

Non fraintendetemi: con Sophos MDR avete già fatto molto per la sicurezza della vostra rete! Il Sophos Agent è (si spera) in esecuzione su ogni computer e server, il vostro Sophos Firewall è collegato tramite Synchronized Security e invia i log al Data Lake. Inoltre, avete affidato il monitoraggio e la risposta al team Sophos MDR (Sophos X-Ops), che è in allerta 24 ore su 24, 7 giorni su 7. Bravi! 👏

Utilizzate un firewall di terze parti? Nessun problema. Grazie alle nuove integrazioni, con l’add-on MDR Firewall potete collegare anche dispositivi di Palo Alto Networks, Fortinet, Check Point, Cisco o SonicWall.

Punti ciechi sotto osservazione

Tuttavia, sebbene la combinazione del firewall e di Sophos Managed Detection and Response rappresenti un duo assolutamente perfetto per la sicurezza della rete aziendale, rimangono ancora domande irrisolte che tolgono il sonno a un amministratore IT coscienzioso:

  • Come posso proteggere i nostri dispositivi IoT, terminali POS, stampanti, thin client, smart TV ecc. sui quali non è possibile installare alcun agente Sophos?
  • Come posso monitorare il traffico di rete dietro il nostro firewall?
  • Come posso monitorare e analizzare il comportamento degli utenti interni?
  • Come posso tenere d’occhio i movimenti dei dati nella rete?
  • Come riesco a fare un inventario regolare degli asset nella nostra rete?
  • Come posso rilevare sistemi nuovi o non autorizzati nella nostra rete?
  • Come posso ottenere visibilità sul traffico crittografato nella nostra rete?

Tutte queste sono domande importanti a cui Sophos Network Detection and Response (NDR) può effettivamente rispondere. NDR aggiunge un fattore cruciale alla linea di difesa. Con il firewall si controlla il traffico in entrata e in uscita dalla rete aziendale, e con Intercept X Advanced e il servizio MDR si possono rilevare comportamenti sospetti su endpoint e server (su cui è installato l’agente Sophos). Ma cosa succede al traffico all’interno dell’intero ambiente?

Gli aggressori fanno di tutto per non essere scoperti, e l’elusione del rilevamento è una tattica nota a livello di sistema nel framework MITRE ATT&CK®. Gli exploit, ad esempio, possono nascondersi alle soluzioni EDR, e gli aggressori possono disattivare e cancellare i log di sistema. C’è però un punto da cui non possono prescindere: un aggressore deve muoversi all’interno della rete. Ed è proprio questo che il sensore NDR di Sophos registra, per quanto silenzioso o prudente sia l’attaccante. Ogni azione lascia tracce.

Cos’è Sophos NDR?

Sophos Network Detection and Response (NDR) viene fornito come appliance virtuale che monitora passivamente l’intero traffico di rete tramite una porta SPAN. Tutto ciò che viene registrato tramite questa porta viene analizzato in tempo reale per rilevare minacce sulla base dei cinque algoritmi principali forniti con NDR.

La tecnologia alla base di NDR è stata acquisita da Sophos nel luglio 2021 tramite l’acquisizione della società “Braintrace”. Braintrace aveva sviluppato una macchina virtuale in grado di monitorare il traffico di rete con cinque algoritmi principali e, di conseguenza, di distinguere tra attività dannose o benigne.

Quando questi cinque algoritmi rilevano una minaccia, l’evento viene inoltrato al Sophos Data Lake, classificato e valutato. Vengono quindi generati casi che il Sophos Threat Response Team analizza e convalida. Le informazioni del sensore NDR possono inoltre essere correlate con dati provenienti da altri sensori, ad esempio identità, e-mail, rete e funzioni firewall.

I cinque algoritmi fondamentali del NDR

Diamo un’occhiata più da vicino ai cinque potenti algoritmi che Sophos NDR ci mette a disposizione:

ndr-detection-engines

Encrypted Payload Analytics (EPA)

Questo motore può rilevare malware anche nel traffico crittografato, dove altrimenti spesso rimarrebbe nascosto.

Domain Generation Algorithm (DGA)

Questo motore aiuta a rilevare la comunicazione con server di comando e controllo (C2) e altri domini dannosi, anche senza dati di minacce noti.

Session Risk Analytics (SRA)

Identifica caratteristiche anomale nel traffico di rete, come certificati autofirmati o l’uso di porte non standard. Insieme ad altre attività inattese o sospette, queste caratteristiche indicano un rischio elevato che dovrebbe essere analizzato.

Data Detection Engine (DDE)

Questo motore aiuta a rilevare i sistemi della rete che non sono gestiti da Sophos. Da un lato consente di identificare lacune nella copertura dei dispositivi autorizzati, dall’altro di individuare sistemi o dispositivi non autorizzati e potenzialmente dannosi.

Deep Packet Inspection (DPI)

Con la Deep Packet Inspection è possibile cercare nella rete indicatori specifici di compromissione. Può trattarsi, ad esempio, di una comunicazione verso un server di comando e controllo (C2) o di un indirizzo IP sospetto che non dovrebbe trovarsi nella vostra rete.

Cosa serve per Sophos NDR

Sophos NDR è attualmente disponibile solo come integrazione MDR. Ciò significa che è necessaria una licenza MDR attiva per poter configurare NDR. Da metà luglio, anche i clienti XDR hanno la possibilità di provare gratuitamente NDR tramite il programma Early Access.

Come già spiegato in precedenza, il sensore Sophos NDR (log collector) viene eseguito su una macchina virtuale (VM). Lì vengono raccolti i dati e inoltrati al Sophos Data Lake. Attualmente, Sophos NDR supporta “VMware ESXi 6.7” o versioni successive e “Microsoft Hyper-V 6.0.6001.18016 (Windows Server 2016)” o versioni successive.

Provare Sophos NDR

Vi ho convinto, con questo articolo, della qualità e dei vantaggi della soluzione Sophos NDR, o almeno vi ho incuriositi? I clienti con una licenza MDR o XDR possono registrarsi da metà luglio al Programma di accesso anticipato di Sophos per testare NDR gratuitamente. Secondo Sophos, l’EAP dovrebbe rimanere attivo da luglio a novembre 2023.

Se non utilizzate ancora licenze XDR o MDR e desiderate provare Sophos NDR, ordinatele semplicemente e comodamente tramite il nostro negozio online:

I passaggi esatti per aggiungere NDR come integrazione in Central, configurare e scaricare l’immagine e installarla sulla VM sono disponibili nella seguente guida Sophos: Configurare Sophos NDR

Materiali informativi

Sophos Network Detection and Response (NDR) – Guida rapida EAP

Sophos Network Detection and Response (NDR) – Scheda tecnica

Sophos Network Detection and Response (NDR) – Breve descrizione

Sophos Network Detection and Response (NDR) – Whitepaper

David

David

David e responsabile dei contenuti, della struttura e dell'implementazione digitale in Avanet. Il suo obiettivo e rendere chiari, precisi e ottimizzati per i motori di ricerca i temi tecnici complessi.