Comprendere e utilizzare Sophos Firewall Zero-Day Protection
Sophos Firewall Zero-Day Protection analizza download sospetti e allegati e-mail tramite SophosLabs Intelix. Il firewall invia file appropriati e rischiosi al servizio cloud, dove apprendimento automatico, reputazione, analisi sandbox e ricerca sulle minacce lavorano insieme. L’obiettivo non è solo bloccare il malware noto, ma anche classificare meglio i file nuovi o insoliti.
È importante per gli amministratori: Zero-Day Protection non sostituisce le regole pulite, la protezione web, la protezione della posta, TLS Inspection, il logging o la protezione degli endpoint. La funzione è un modulo aggiuntivo di protezione e analisi. È particolarmente utile quando i file entrano in rete tramite download web o allegati e-mail e le firme classiche non forniscono ancora una decisione chiara.
Quale articolo di protezione è adatto?
Zero-Day Protection risponde innanzitutto alla domanda su come vengono analizzati i file sospetti. A seconda del problema, il modo migliore per iniziare è con l’accesso al web, il flusso di posta, gli attacchi di rete, il traffico crittografato o la valutazione:
- Controlla download sospetti o allegati e-mail con Intelix: questo articolo.
- Pianifica categorie Web, gruppi URL, SafeSearch o regole di download: Sophos Firewall Configura la protezione web con policy web.
- Rendi visibile il traffico HTTPS e pianifica le eccezioni in modo pulito: Inserire correttamente Sophos Firewall TLS Inspection.
- Distribuisci il certificato CA per la scansione HTTPS ai client: Sophos Firewall Installa il certificato CA per la scansione HTTPS.
- Controlla il traffico e-mail in modalità MTA e attiva la protezione della posta: Sophos Firewall Configura la protezione della posta in modalità MTA.
- Blocca exploit e modelli di attacco nel traffico di rete: Sophos Firewall Configura IPS e testalo in sicurezza.
- Gestione di IP, domini o URL dannosi tramite elenchi IoC: Sophos Firewall Configura feed di minacce e gestiscili in modo sicuro.
- Classificare NDR, Active Threat Response, XDR, MDR o valutazione SIEM: Sophos Firewall NDR e Active Threat Response funzionano.
- Traccia cadute o blocchi imprevisti: Sophos Firewall Analizza i pacchetti scartati.
Questa separazione evita false aspettative: Zero-Day Protection valuta i file, ma non sostituisce una politica web, nessun IPS, nessuna pianificazione dell’inoltro della posta e nessuna valutazione centrale del registro. La migliore protezione si ottiene solo quando i livelli di file, web, posta, rete e registrazione si integrano perfettamente.
Dove Zero-Day Protection aiuta nella pratica
Zero-Day Protection è particolarmente rilevante in questi scenari:
- Gli utenti scaricano file eseguibili, archivi o documenti da Internet.
- Gli allegati e-mail dovrebbero essere controllati più attentamente prima della consegna o del rilascio.
- Un file non è ancora chiaramente noto, ma sembra sospetto.
- Un download non deve essere solo scansionato localmente, ma anche monitorato in una sandbox.
- Un incidente di sicurezza deve essere valutato meglio utilizzando un rapporto dettagliato.
La funzionalità si adatta bene a un modello di sicurezza a più livelli: Regole del firewall limita il traffico consentito, TLS Inspection rende il traffico web crittografato più controllabile, Web Protection e Mail Protection valutano i contenuti e Zero-Day Protection integra questi controlli con analisi cloud e report sandbox.
Requisiti e limiti
Zero-Day Protection funziona utilmente solo se sono attivi i relativi moduli e policy di protezione. Una regola Consenti pura senza profili di sicurezza appropriati non fornisce la stessa protezione. A seconda del campo di applicazione è quindi necessario pianificare consapevolmente la protezione web, la protezione della posta, la scansione del malware, SSL/TLS Inspection e il logging.
Limiti importanti nel funzionamento:
- Il firewall non invia tutti i tipi di file a Intelix, ma principalmente i tipi di file rischiosi.
- Molti tipi di file non pericolosi, ad esempio i tipici formati di immagine, non vengono inviati per la detonazione.
- Le eccezioni possono escludere file dall’analisi e quindi ridurre l’effetto protettivo.
- L’analisi del cloud richiede la connettività ai servizi Sophos e potrebbe ritardare i download.
- La condivisione prima del completamento dell’analisi potrebbe esporre contenuti dannosi.
- Zero-Day Protection non sostituisce il rilevamento e la risposta dell’endpoint, nessun MDR e nessuna risposta pulita agli incidenti.
Se il firewall vede poco perché HTTPS non viene decrittografato o le regole vengono eseguite senza profili di sicurezza, anche Zero-Day Protection rimane limitato. L’articolo Sophos Firewall Log: quale funzione scrive in quale log? aiuta nell’assegnazione dei log e dei moduli.
Dove ha effetto Zero-Day Protection
Zero-Day Protection non deve essere visto isolatamente. La funzione diventa rilevante solo se un file percorre effettivamente un percorso di protezione adeguato.
Percorsi tipici:
- Download dal Web: è necessario predisporre in anticipo la regola firewall appropriata, la protezione Web, la scansione del malware e, per HTTPS, spesso TLS Inspection. È possibile controllare il registro web, il registro di ispezione SSL/TLS e la visualizzazione di download e allegati.
- Allegati e-mail: il flusso di posta deve passare attraverso la protezione della posta, criteri appropriati per gli allegati e controllo del malware. Puoi controllare i registri della posta, la quarantena e la visualizzazione dei download e degli allegati.
- Stato di rilascio o errore: Il report non è ancora stato completato o l’analisi non è riuscita. Quindi contano il processo di rilascio, il contesto utente, l’hash e altri registri.
- Nessuna visibilità: il traffico non passa attraverso il percorso di protezione oppure il tipo di file non è rilevante. Quindi controlla prima la regola del firewall, la policy, TLS, il flusso di posta e il tipo di file.
Per i download dal Web è importante innanzitutto se nella regola del firewall è attivo il codice Politica web corretto. Per gli allegati di posta elettronica, il flusso di posta deve effettivamente essere eseguito tramite Protezione della posta in modalità MTA o un percorso controllato comparabile. Se solo una normale regola di autorizzazione consente il traffico, non dovresti aspettarti un’analisi completa del file da Zero-Day Protection.
Flusso di analisi
1. Rilevamento sul firewall
Un file attraversa il firewall tramite download o come allegato e-mail. Se la policy, il tipo di file e il contesto corrispondono, il file viene contrassegnato per Zero-Day Protection. I file noti e chiaramente classificati possono essere valutati in anticipo da altri moduli di protezione.
2. Passaggio a SophosLabs Intelix
I file idonei vengono inviati a un servizio Intelix SophosLabs tramite una connessione crittografata. Qui il file non viene solo confrontato con modelli noti, ma viene anche valutato utilizzando diversi livelli di analisi.
3. Apprendimento automatico e reputazione
SophosLabs Intelix valuta le caratteristiche, la struttura, la reputazione globale e la somiglianza con file noti come buoni o dannosi. Ciò è particolarmente utile per i nuovi file che non sono ancora stati ampiamente diffusi.
4. Analisi sandboxL’analisi sandbox esamina il file in un ambiente isolato. La valutazione combina analisi dinamica e statica, deep learning, rilevamento di exploit, CryptoGuard e monitoraggio delle attività di file, archiviazione, registro e rete. Per gli amministratori, il termine di marketing è meno importante della domanda: cosa stava effettivamente cercando di fare il file?
5. Decisione e relazione
Alla fine c’è una valutazione, ad esempio pulito, probabilmente pulito, sospetto, dannoso o PUA. A seconda del risultato, il file viene rilasciato, bloccato oppure rimane visibile con uno stato di errore o di analisi. Il report aiuta a giustificare chiaramente un rilascio, un blocco o ulteriori fasi di risposta all’incidente.
Leggi correttamente i report
La panoramica si trova in Sophos Firewall sotto Monitor & analyze > Zero-day protection > Downloads and attachments. Qui puoi visualizzare i dati sull’attività su download sospetti e allegati e-mail, lo stato dell’analisi, i dettagli del rapporto e le opzioni di condivisione.
Un report può contenere, tra le altre, queste aree:
- Dettagli download: Fonte, tempistica e utente interessato.
- Riepilogo dell’analisi: Valutazione complessiva del file.
- Analisi del machine learning: Caratteristiche, struttura e valutazione ML.
- Analisi della reputazione: Valutazione basata sulla distribuzione globale.
- Risultati della detonazione: Comportamento del file durante l’esecuzione nella sandbox.
- Analisi completa del file: Firme, certificati, risorse, importazioni ed esportazioni.
- Rapporto VirusTotal: situazione aggiuntiva di rilevamento esterno.
Quando si tratta di un file sospetto, non dovresti limitarti a guardare lo stato finale. Sono rilevanti anche la fonte, l’utente, il nome del file, l’URL di destinazione, il comportamento del processo, l’attività di rete e se altri sistemi hanno visto lo stesso download. Se ciò si traduce in un incidente, il rapporto deve essere unito ai registri di endpoint, posta, web e firewall.
Procedura per segnalazioni sospette
Un problema di protezione zero-day dovrebbe essere trattato come un piccolo caso di sicurezza, non come un puro blocco del filtro web.
Processo pratico:
- Aprire il report e registrare lo stato, il nome del file, la fonte, l’utente, l’ora e la valutazione.
- Controlla se si trattava di un download Web, di un allegato e-mail o di un altro percorso.
- Confronta i registri web, di posta e del firewall per lo stesso periodo di tempo.
- Se presente, controllare gli eventi endpoint o EDR per il client interessato.
- Hash, mittente, URL o dominio del file del documento.
- Decidere se si tratta di un falso positivo, di un attacco bloccato, di un sospetto irrisolto o di un incidente.
- Prendere in considerazione l’approvazione solo se esiste una ragione aziendale comprensibile.
- Documentare la decisione e, se necessario, ricavare un gruppo URL, una policy di posta, un feed delle minacce o una misura dell’endpoint.
Quando più utenti visualizzano lo stesso file o dominio, una singola decisione spesso non è sufficiente. Dovresti quindi verificare se è necessario un adeguamento della politica web, una regola della politica di posta, una voce nel feed delle minacce o una risposta all’incidente.
Condividi fileSophos Firewall consente la condivisione solo di file o messaggi di posta elettronica ancora in fase di analisi o restituiti con uno stato di errore. Tale rilascio può essere necessario se un processo aziendale è bloccato. Tuttavia, non è adatto come soluzione alternativa normale.
Prima di rilasciare, dovresti almeno controllare:
- La fonte è affidabile e prevista?
- L’utente o il dipartimento sono stati consultati sul contesto?
- Esiste un hash, un nome file o un mittente che può essere ulteriormente controllato?
- Esistono registri endpoint o di posta per lo stesso processo?
- È possibile esaminare il file in un ambiente isolato o tramite uno strumento di analisi separato?
- È documentato chi ha deciso di rilasciarlo e per quale motivo?
⚠️ La condivisione prima del completamento dell’analisi potrebbe comportare il download o la distribuzione di contenuti dannosi. Negli ambienti produttivi, questa decisione dovrebbe essere documentata e non delegata alla routine di primo livello.
Per i singoli file, il post del blog Avanet SophosLabs Intelix - Lo strumento di rilevamento delle minacce informatiche può essere d’aiuto. Ciò tuttavia non sostituisce la valutazione nello specifico contesto della rete e dell’utente.
Data center e protezione dei datiÈ possibile specificare il data center per l’analisi in Monitor & analyze > Zero-day protection > Protection settings. Per impostazione predefinita, Sophos Firewall sceglie il data center più vicino. In alternativa potete scegliere consapevolmente un data center.
Questa impostazione è particolarmente importante se la protezione dei dati, la residenza dei dati o le normative interne svolgono un ruolo importante. Un cambiamento nel data center può influire sull’analisi in corso. Pertanto il setting non dovrebbe essere modificato durante un caso di analisi acuta, ma dovrebbe essere pianificato e documentato.
Usa le eccezioni con attenzione
Nelle impostazioni di protezione è possibile escludere tipi di file dall’analisi della protezione zero-day. Il rilevamento del tipo di file si basa sull’estensione del file e sull’intestazione MIME. È possibile escludere anche gli archivi contenenti tipi di file esclusi.
Le eccezioni sono tecnicamente pratiche, ma rilevanti per la sicurezza. Ogni eccezione dovrebbe avere una chiara giustificazione:
- Quale applicazione o processo crea i file?
- Perché l’analisi disturba o non è utile?
- Esiste un’eccezione più ristretta di un intero tipo di file?
- L’eccezione viene controllata regolarmente?
- È noto quale effetto protettivo viene perso di conseguenza?Dovrebbero essere evitate ampie eccezioni per archivi, script, file di Office o file eseguibili. Quando Zero-Day Protection interrompe un processo legittimo, il primo passo è spesso controllare la policy, il percorso di origine, la base utenti interessata o la distribuzione alternativa.
Controlla regolarmente le approvazioni e le eccezioni
Zero-Day Protection non è solo una funzione di accensione. Il vero valore operativo emerge quando i rapporti, le approvazioni e le eccezioni vengono controllati regolarmente. Altrimenti le decisioni rischiose restano attive per molto tempo, anche se la ragione commerciale originaria è scomparsa da tempo.
Questi punti sono particolarmente utili per la revisione:
- File rilasciato: controlla il motivo del rilascio, l’utente o il dipartimento interessato, l’hash, l’origine del file, la data di scadenza e la valutazione successiva.
- Eccezione del tipo di file: controlla l’applicazione interessata, il proprietario, la data di revisione, l’alternativa più vicina e il rischio per archivi, script o file di Office.
- Stato di errore ricorrente: Controlla la connettività Sophos, la dimensione del file, il tipo di file, la policy, il data center e l’eventuale caso di supporto.
- Molti risultati da un’unica fonte: controlla la policy web o di posta, l’URL, il mittente, il gruppo utenti, il feed delle minacce, il gruppo URL o la lista bloccata.
Un’eccezione non è una normale pulizia delle regole del firewall. Tali voci dovrebbero avere un proprietario, un motivo e una data di revisione. Per i rilasci ricorrenti, dovresti anche confrontare i log di endpoint, posta, web e firewall in modo che una singola eccezione non si trasformi in un bypass permanente inosservato.
Risoluzione dei problemi
Nessuna voce visibileSe sotto Download e allegati non compaiono voci, dovresti prima verificare se il traffico passa effettivamente attraverso la regola firewall e il profilo di sicurezza appropriati. Per il traffico HTTPS, la mancanza di TLS Inspection può spiegare perché il firewall vede meno contenuti. Quindi controlla le impostazioni web, posta, malware e zero-day.
Idownload richiedono troppo tempo
Un’analisi sandbox può richiedere tempo. Se gli utenti aspettano regolarmente per lunghi periodi di tempo, è necessario verificare se vengono analizzati molti file di grandi dimensioni o che cambiano frequentemente, se i processi interessati sono legittimi e se è giustificabile una ristretta eccezione tecnica. Una disattivazione generale è solitamente il primo passo sbagliato.
Molti falsi positivi
Per i falsi positivi ricorrenti, controlla i dettagli del report, l’origine del file, gli hash, la reputazione, gli utenti interessati e l’applicazione. Solo quando il modello è compreso dovresti impostare delle eccezioni. Per gli elenchi di blocchi dinamici e le operazioni IOC, Sophos Firewall Configura feed di minacce e gestiscili in modo sicuro è un argomento correlato.
Èstato richiesto il rilascioUn rilascio dovrebbe essere trattato come una decisione di sicurezza. Se il dipartimento segnala solo “urgente”, non è sufficiente. Sono necessari fonte, scopo, file, utente, valutazione del rischio e una decisione documentata.
Lista di controllo operativa
- Zero-Day Protection Stato licenza e modulo controllato.
- Criteri web e di posta controllati con malware e scansione di sicurezza.
- TLS Inspection ha pianificato dove i download web dovrebbero essere controllati in modo sensato.
- Data center scelto deliberatamente per l’analisi o documentato come standard.
- Nessuna eccezione di tipi di file generici senza proprietario e data di revisione.
- La visualizzazione dei download e degli allegati viene controllata regolarmente.
- Processo di rilascio definito per file analizzati o errati.
- Report correlati ai registri di endpoint, posta, Web e firewall.
- Syslog, Central Reporting o SIEM presi in considerazione per una tracciabilità più lunga.