Sophos Firewall – Come funziona la Zero-Day Protection?
Zero-Day Protection è un modulo di sicurezza per Sophos Firewall progettato per proteggere dalle minacce precedentemente sconosciute. Questo modulo utilizza tecnologie avanzate di sandboxing per eseguire e analizzare i file sospetti in un ambiente sicuro e isolato. In questo modo le minacce vengono individuate e respinte prima che possano causare danni. La Zero-Day Protection fornisce un ulteriore livello di protezione ed è particolarmente preziosa in un momento in cui nuove vulnerabilità, precedentemente sconosciute, vengono sfruttate rapidamente.
In questo articolo ti spieghiamo come funziona la Zero-Day Protection, quali sono i formati di file supportati e quali sono i passi da compiere per rilevare e neutralizzare una potenziale minaccia.
Argomenti
1. Rilevamento e inoltro
Quando un file entra nella tua rete, sia attraverso un download che come allegato di un’e-mail, Sophos Firewall lo riconosce automaticamente. Non importa se si tratta di un file noto o sconosciuto. Non appena il file viene riconosciuto, il firewall lo inoltra a SophosLabs Intelix, il servizio cloud di Sophos, per ulteriori analisi.
Requisiti
Licenze: è necessario assicurarsi che Web Protection o Email Protection abbiano una licenza per Sophos Firewall, poiché questi moduli sono necessari per analizzare correttamente il file.
Dimensioni del file: il file deve essere più piccolo di 10 MB per essere elaborato da Zero-Day Protection.
Formati di file supportati: Solo alcuni formati di file sono supportati da Zero-Day Protection. Questi includono, tra gli altri:
- File eseguibili (.exe, .dll)
- Documenti (PDF, formati Microsoft Office come .docx, .xlsx)
- Archivi (ZIP, RAR, 7-Zip)
- Script (JavaScript, VBScript)
- Altri formati come i file JAR, BAT, RTF e LNK.
- Archivio 7-Zip
- Archivio ACE
- Archivio ARJ
- BZIP2 compresso
- GZIP compresso
- CD-ROM ISO 9660
- Archivio LHA 1.x e 2.x
- Archivio del gabinetto Microsoft
- Archivio TAR
- Archivio TAR POSIX
- Archivio RAR
- XZ compresso
- Archivio ZIP
- Java (file JAR)
- Documenti Office (formati OLE e Open XML)
- Documenti in PDF
- PE (32 e 64 bit, EXE e DLL)
- Documenti RTF
- Script JavaScript (JS/JSE/WSF), Visual Basic Script (VBS/VBE)
- Windows Batch /File BAT/
- Collegamenti di Windows (file LNK e URL)
Ulteriori informazioni sono disponibili qui: Sophos KB: Zero-Day Protection o Sophos Zero-Day Protection FAQ
Non appena questi requisiti sono soddisfatti, il file viene inviato a SophosLabs Intelix per ulteriori analisi.
2. Analisi da parte di SophosLabs Intelix
Non appena un file viene riconosciuto da Sophos Firewall come idoneo all’analisi, viene caricato su Sophos Cloud, dove inizia il processo di analisi. SophosLabs Intelix utilizza l’apprendimento automatico, il sandboxing e la ricerca sulle minacce per analizzare il file alla ricerca di potenziali rischi. Il file viene eseguito in un ambiente isolato che simula diversi sistemi operativi per garantire che venga testato in condizioni realistiche senza mettere a rischio il tuo sistema.
Centri dati disponibili:
- Asia-Pacifico (Sydney, Tokyo)
- Europa (Francoforte, Londra)
- Stati Uniti
Se non viene selezionata una regione specifica, il sistema utilizza il centro dati più vicino in base al tempo di latenza.
3. Analisi della sandbox
Il primo strumento di analisi utilizzato è il machine learning. SophosLabs Intelix utilizza diversi modelli per valutare le proprietà e la reputazione globale del file. Il file viene confrontato con milioni di file sicuri e dannosi noti per determinarne la potenziale pericolosità.
Dopo questa valutazione, il file viene sottoposto a un’analisi sandbox che utilizza tecniche sia dinamiche che statiche. Vengono monitorati l’accesso ai file, la manipolazione della memoria e del registro e le attività di rete. Inoltre, viene utilizzato il deep learning per il rilevamento degli exploit e CryptoGuard per identificare il comportamento dei ransomware. Questa fase protegge la rete dalle minacce zero-day come il ransomware e dagli attacchi mirati.
Durante l’esecuzione nella sandbox, Sophos monitora continuamente diversi parametri per rilevare comportamenti potenzialmente dannosi. Questi includono:
- Attività di rete inaspettate
- Manipolazione del sistema operativo
- Tentativi di accesso a dati sensibili
- Auto-replicazione o altri comportamenti tipici dei virus
Questo processo di analisi approfondita può richiedere diversi minuti, per questo motivo il download può essere ritardato fino a 15 minuti dal completamento dell’analisi.
Oltre all’analisi tecnica del file, SophosLabs Intelix esegue un’analisi della reputazione. Questa analisi valuta la diffusione del file e il modo in cui è stato trattato da altre soluzioni di sicurezza in passato. Questo aiuta a valutare meglio il rischio.
Blocca o sblocca: in base ai risultati dell’analisi sandboxing, il file viene sbloccato o bloccato. Se il file viene classificato come sicuro, l’utente può scaricarlo immediatamente. In caso contrario, viene bloccato e l’amministratore viene informato della minaccia.
4. Preparazione di un rapporto
Una volta completata l’analisi, viene prodotto un rapporto dettagliato che riassume i risultati delle varie fasi di analisi. Questo rapporto contiene informazioni quali
- Dettagli del download: origine del file, ora del download e utenti che hanno scaricato il file.
- Riepilogo dell’analisi: una panoramica del risultato complessivo dell’analisi Zero-Day Protection, la classificazione del file (ad esempio, pulito, sospetto, dannoso) e una breve descrizione delle minacce rilevate.
- Risultati dell’analisi di apprendimento automatico: dettagli per l’analisi delle proprietà dei file, della struttura e delle combinazioni di caratteristiche.
- Risultati della detonazione di Zero-Day Protection: informazioni sulle attività svolte dal file, inclusi screenshot e dettagli sui processi utilizzati e sull’attività del registro.
- Analisi completa dei file: dettagli completi sui file, comprese le firme, i certificati utilizzati, le risorse a cui si accede e le funzioni di importazione/esportazione.
- Rapporto VirusTotal: numero di voci nel database VirusTotal e numero di prodotti di rilevamento malware che identificano il file come una minaccia.
Gli amministratori possono visualizzare in qualsiasi momento i rapporti dettagliati dell’analisi di Zero-Day Protection per comprendere meglio il rischio. È anche possibile rilasciare file o messaggi di posta elettronica che sono ancora in fase di analisi o in cui si è verificato un errore. Tuttavia, si consiglia di fare attenzione, poiché la condivisione prima che l’analisi sia stata completata comporta il rischio di scaricare contenuti dannosi.
Prova i singoli file
Nel post del blog SophosLabs Intelix – Lo strumento per rilevare le minacce informatiche, ti spieghiamo come puoi controllare anche i singoli file con lo strumento online Sophos Intelix.
FAQ
Che cos’è Sophos Zero-Day Protection?
Sophos Zero-Day Protection è un modulo di sicurezza per Sophos Firewall progettato per rilevare e bloccare nuove minacce precedentemente sconosciute.
Utilizza tecnologie avanzate come l’apprendimento automatico, il sandboxing e la ricerca delle minacce per analizzare e valutare file e allegati e-mail sospetti.
Come funziona la Zero-Day Protection?
Non appena un file o un allegato e-mail sospetto entra nella rete, viene inviato a SophosLabs Intelix™ per essere analizzato.
Qui il file viene sottoposto a un’analisi in più fasi che include l’apprendimento automatico e il sandboxing.
Il sistema esamina il file alla ricerca di comportamenti sospetti e lo blocca se viene classificato come pericoloso.
Quali tipi di file vengono analizzati da Zero-Day Protection?
Zero-Day Protection analizza principalmente file eseguibili, script, documenti e archivi. Questo include formati come .exe, .dll, .pdf, .docx, .xlsx, .zip, .rar e molti altri. Vengono analizzati solo i file di dimensioni inferiori a 10 MB.
Come vengono analizzati i file sospetti?
L’analisi avviene in diverse fasi: Innanzitutto, il file viene scansionato dal motore antivirus.
Se il file non contiene minacce note ma appare comunque sospetto, viene inviato a una sandbox per un’ulteriore analisi, dove viene eseguito in un ambiente isolato e monitorato per individuare eventuali comportamenti dannosi.
Quanto tempo richiede l’analisi di Zero-Day Protection?
L’analisi richiede solitamente circa cinque minuti, ma può arrivare fino a dieci minuti a seconda delle dimensioni del file e della complessità dell’analisi.
Per i file che sono già stati analizzati, il tempo di analisi può essere inferiore a un secondo grazie alla cache.
I miei dati saranno trattati in modo sicuro?
Tutti i file inviati a SophosLabs Intelix™ per l’analisi vengono trasmessi tramite una connessione SSL crittografata e memorizzati sui server in forma asimmetrica.
I file vengono decifrati ed elaborati solo per la durata dell’analisi.
In quali centri dati vengono analizzati i miei file?
Puoi selezionare il centro dati in cui vengono analizzati i tuoi file.
Le regioni disponibili sono Asia-Pacifico (Sydney, Tokyo), Europa (Francoforte, Londra) e Stati Uniti.
Se non selezioni una regione specifica, il sistema utilizzerà il centro dati più vicino in base alla latenza.
Quali misure di protezione offre la Zero-Day Protection contro il ransomware?
Zero-Day Protection include funzionalità di rilevamento dei ransomware, tra cui l’analisi dinamica che monitora in tempo reale i comportamenti sospetti come la crittografia dei file.
Il sistema utilizza anche CryptoGuard per rilevare e bloccare gli attacchi ransomware.
È possibile vedere quali file sono stati analizzati da Zero-Day Protection?
Sì, in Sophos Firewall esiste una panoramica speciale che mostra tutti i file e gli allegati e-mail che sono stati analizzati da Zero-Day Protection.
Qui puoi visualizzare i report contenenti i dettagli dell’analisi e le corrispondenti valutazioni di sicurezza.