Vai al contenuto
Avanet

Sophos Firewall - Come funziona la Zero-Day Protection?

Sophos Firewall

Zero-Day Protection è un modulo di sicurezza per Sophos Firewall progettato per proteggere dalle minacce precedentemente sconosciute. Questo modulo utilizza tecnologie avanzate di sandboxing per eseguire e analizzare i file sospetti in un ambiente sicuro e isolato. In questo modo le minacce vengono individuate e respinte prima che possano causare danni. La Zero-Day Protection fornisce un ulteriore livello di protezione ed è particolarmente preziosa in un momento in cui nuove vulnerabilità, precedentemente sconosciute, vengono sfruttate rapidamente.

In questo articolo ti spieghiamo come funziona la Zero-Day Protection, quali sono i formati di file supportati e quali sono i passi da compiere per rilevare e neutralizzare una potenziale minaccia.

1. Rilevamento e inoltro

Quando un file entra nella tua rete, sia attraverso un download che come allegato di un’e-mail, Sophos Firewall lo riconosce automaticamente. Non importa se si tratta di un file noto o sconosciuto. Non appena il file viene riconosciuto, il firewall lo inoltra a SophosLabs Intelix, il servizio cloud di Sophos, per ulteriori analisi.

Requisiti

Licenze: è necessario assicurarsi che Web Protection o Email Protection abbiano una licenza per Sophos Firewall, poiché questi moduli sono necessari per analizzare correttamente il file.

Dimensioni del file: il file deve essere più piccolo di 10 MB per essere elaborato da Zero-Day Protection.

Formati di file supportati: Solo alcuni formati di file sono supportati da Zero-Day Protection. Questi includono, tra gli altri:

  • File eseguibili (.exe, .dll)
  • Documenti (PDF, formati Microsoft Office come .docx, .xlsx)
  • Archivi (ZIP, RAR, 7-Zip)
  • Script (JavaScript, VBScript)
  • Altri formati come i file JAR, BAT, RTF e LNK.

Elenco completo

Archivio 7-Zip

Archivio ACE

Archivio ARJ

BZIP2 compresso

GZIP compresso

CD-ROM ISO 9660

Archivio LHA 1.x e 2.x

Archivio del gabinetto Microsoft

Archivio TAR

Archivio TAR POSIX

Archivio RAR

XZ compresso

Archivio ZIP

Java (file JAR)

Documenti Office (formati OLE e Open XML)

Documenti in PDF

PE (32 e 64 bit, EXE e DLL)

Documenti RTF

Script JavaScript (JS/JSE/WSF), Visual Basic Script (VBS/VBE)

Windows Batch /File BAT/

Collegamenti di Windows (file LNK e URL)

Ulteriori informazioni sono disponibili qui: Sophos KB: Zero-Day Protection o Sophos Zero-Day Protection FAQ

Non appena questi requisiti sono soddisfatti, il file viene inviato a SophosLabs Intelix per ulteriori analisi.

2. Analisi da parte di SophosLabs Intelix

Non appena un file viene riconosciuto da Sophos Firewall come idoneo all’analisi, viene caricato su Sophos Cloud, dove inizia il processo di analisi. SophosLabs Intelix utilizza l’apprendimento automatico, il sandboxing e la ricerca sulle minacce per analizzare il file alla ricerca di potenziali rischi. Il file viene eseguito in un ambiente isolato che simula diversi sistemi operativi per garantire che venga testato in condizioni realistiche senza mettere a rischio il tuo sistema.

Centri dati disponibili:

  • Asia-Pacifico (Sydney, Tokyo)
  • Europa (Francoforte, Londra)
  • Stati Uniti

Se non viene selezionata una regione specifica, il sistema utilizza il centro dati più vicino in base al tempo di latenza.

3. Analisi della sandbox

Il primo strumento di analisi utilizzato è il machine learning. SophosLabs Intelix utilizza diversi modelli per valutare le proprietà e la reputazione globale del file. Il file viene confrontato con milioni di file sicuri e dannosi noti per determinarne la potenziale pericolosità.

Dopo questa valutazione, il file viene sottoposto a un’analisi sandbox che utilizza tecniche sia dinamiche che statiche. Vengono monitorati l’accesso ai file, la manipolazione della memoria e del registro e le attività di rete. Inoltre, viene utilizzato il deep learning per il rilevamento degli exploit e CryptoGuard per identificare il comportamento dei ransomware. Questa fase protegge la rete dalle minacce zero-day come il ransomware e dagli attacchi mirati.

Durante l’esecuzione nella sandbox, Sophos monitora continuamente diversi parametri per rilevare comportamenti potenzialmente dannosi. Questi includono:

  • Attività di rete inaspettate
  • Manipolazione del sistema operativo
  • Tentativi di accesso a dati sensibili
  • Auto-replicazione o altri comportamenti tipici dei virus

Questo processo di analisi approfondita può richiedere diversi minuti, per questo motivo il download può essere ritardato fino a 15 minuti dal completamento dell’analisi.

Oltre all’analisi tecnica del file, SophosLabs Intelix esegue un’analisi della reputazione. Questa analisi valuta la diffusione del file e il modo in cui è stato trattato da altre soluzioni di sicurezza in passato. Questo aiuta a valutare meglio il rischio.

Blocca o sblocca: in base ai risultati dell’analisi sandboxing, il file viene sbloccato o bloccato. Se il file viene classificato come sicuro, l’utente può scaricarlo immediatamente. In caso contrario, viene bloccato e l’amministratore viene informato della minaccia.

4. Preparazione di un rapporto

Una volta completata l’analisi, viene prodotto un rapporto dettagliato che riassume i risultati delle varie fasi di analisi. Questo rapporto contiene informazioni quali

  • Dettagli del download: origine del file, ora del download e utenti che hanno scaricato il file.
  • Riepilogo dell’analisi: una panoramica del risultato complessivo dell’analisi Zero-Day Protection, la classificazione del file (ad esempio, pulito, sospetto, dannoso) e una breve descrizione delle minacce rilevate.
  • Risultati dell’analisi di apprendimento automatico: dettagli per l’analisi delle proprietà dei file, della struttura e delle combinazioni di caratteristiche.
  • Risultati della detonazione di Zero-Day Protection: informazioni sulle attività svolte dal file, inclusi screenshot e dettagli sui processi utilizzati e sull’attività del registro.
  • Analisi completa dei file: dettagli completi sui file, comprese le firme, i certificati utilizzati, le risorse a cui si accede e le funzioni di importazione/esportazione.
  • Rapporto VirusTotal: numero di voci nel database VirusTotal e numero di prodotti di rilevamento malware che identificano il file come una minaccia.

Gli amministratori possono visualizzare in qualsiasi momento i rapporti dettagliati dell’analisi di Zero-Day Protection per comprendere meglio il rischio. È anche possibile rilasciare file o messaggi di posta elettronica che sono ancora in fase di analisi o in cui si è verificato un errore. Tuttavia, si consiglia di fare attenzione, poiché la condivisione prima che l’analisi sia stata completata comporta il rischio di scaricare contenuti dannosi.

Prova i singoli file

Nel post del blog SophosLabs Intelix - Lo strumento per rilevare le minacce informatiche, ti spieghiamo come puoi controllare anche i singoli file con lo strumento online Sophos Intelix.

FAQ

Che cos’è Sophos Zero-Day Protection?

Sophos Zero-Day Protection è un modulo di sicurezza per Sophos Firewall progettato per rilevare e bloccare minacce nuove e finora sconosciute. Utilizza tecnologie avanzate come machine learning, sandboxing e ricerca sulle minacce per analizzare e valutare file e allegati email sospetti.

Come funziona la Zero-Day Protection?

Non appena un file o un allegato email sospetto entra nella rete, viene inviato a SophosLabs Intelix™ per l’analisi. Qui il file passa attraverso un’analisi a più livelli che include machine learning e sandboxing. Il sistema verifica la presenza di comportamenti sospetti e blocca il file se viene classificato come pericoloso.

Quali tipi di file vengono analizzati dalla Zero-Day Protection?

La Zero-Day Protection analizza principalmente file eseguibili, script, documenti e archivi. Sono inclusi formati come .exe, .dll, .pdf, .docx, .xlsx, .zip, .rar e molti altri. Vengono analizzati solo file inferiori a 10 MB.

Come viene eseguita l’analisi dei file sospetti?

L’analisi avviene in più passaggi: prima il file viene esaminato dal motore antivirus. Se non contiene minacce note ma appare comunque sospetto, viene inviato per ulteriori analisi a una sandbox, dove viene eseguito in un ambiente isolato e monitorato per individuare comportamenti dannosi.

Quanto dura l’analisi con Zero-Day Protection?

L’analisi dura in genere circa cinque minuti, ma può richiedere fino a dieci minuti a seconda della dimensione del file e della complessità dell’analisi. Per i file già analizzati in precedenza, il tempo di analisi può essere inferiore a un secondo grazie alla cache.

I miei dati vengono trattati in modo sicuro?

Tutti i file inviati a SophosLabs Intelix™ per l’analisi vengono trasmessi tramite una connessione SSL cifrata e archiviati sui server con cifratura asimmetrica. I file vengono decifrati ed elaborati solo per la durata dell’analisi.

In quali data center vengono analizzati i miei file?

Puoi selezionare il data center in cui vengono analizzati i tuoi file. Le regioni disponibili includono Asia-Pacifico (Sydney, Tokyo), Europa (Francoforte, Londra) e Stati Uniti. Se non selezioni una regione specifica, il sistema utilizza il data center più vicino in base alla latenza.

Quali misure di protezione offre Zero-Day Protection contro il ransomware?

La Zero-Day Protection include funzioni per il rilevamento del ransomware, comprese analisi dinamiche che monitorano in tempo reale comportamenti sospetti come la cifratura dei file. Il sistema utilizza inoltre CryptoGuard per rilevare e fermare gli attacchi ransomware.

È possibile vedere quali file sono stati analizzati dalla Zero-Day Protection?

Sì, Sophos Firewall offre una vista dedicata in cui vengono mostrati tutti i file e gli allegati email analizzati dalla Zero-Day Protection. Qui puoi consultare report con i dettagli dell’analisi e le relative valutazioni di sicurezza.