Sophos Firewall – Wie funktioniert die Zero-Day Protection?
Die Zero-Day Protection ist ein Sicherheitsmodul für die Sophos Firewall, das entwickelt wurde, um auch vor bisher unbekannten Bedrohungen zu schützen. Dieses Modul nutzt fortschrittliche Sandboxing-Technologien, um verdächtige Dateien in einer sicheren, isolierten Umgebung auszuführen und zu analysieren. Dadurch können Bedrohungen erkannt und abgewehrt werden, bevor sie Schaden anrichten können. Die Zero-Day Protection bietet einen zusätzlichen Schutzlayer und ist besonders wertvoll in einer Zeit, in der neue und bisher unbekannte Sicherheitslücken schnell ausgenutzt werden.
In diesem Beitrag erklären wir, wie die Zero-Day Protection funktioniert, welche Dateiformate unterstützt und welche Schritte durchlaufen werden, um eine potenzielle Bedrohung zu erkennen und zu neutralisieren.
Themen
1. Erkennung und Weiterleitung
Wenn eine Datei in dein Netzwerk gelangt, sei es durch einen Download oder als E-Mail-Anhang, erkennt die Sophos Firewall diese Datei automatisch. Dabei spielt es keine Rolle, ob es sich um eine bekannte oder unbekannte Datei handelt. Sobald die Datei erkannt wird, leitet die Firewall sie zur weiteren Analyse an SophosLabs Intelix, den Cloud-Dienst von Sophos, weiter.
Voraussetzungen
Lizenzierung: Es muss sichergestellt sein, dass die Web Protection oder E-Mail Protection für die Sophos Firewall lizenziert ist, da diese Module notwendig sind, um die Datei korrekt zu analysieren.
Dateigrösse: Die Datei muss kleiner als 10 MB sein, um von der Zero-Day Protection verarbeitet zu werden.
Unterstützte Dateiformate: Nur bestimmte Dateiformate werden von der Zero-Day Protection unterstützt. Dazu gehören unter anderem:
- Ausführbare Dateien (.exe, .dll)
- Dokumente (PDF, Microsoft Office-Formate wie .docx, .xlsx)
- Archive (ZIP, RAR, 7-Zip)
- Skripte (JavaScript, VBScript)
- Weitere Formate wie JAR, BAT, RTF, und LNK-Dateien.
- 7-Zip Archiv
- ACE Archiv
- ARJ Archiv
- BZIP2 Komprimiert
- GZIP Komprimiert
- ISO 9660 CD-ROM
- LHA 1.x & 2.x Archiv
- Microsoft Cabinet Archiv
- TAR Archiv
- POSIX TAR Archiv
- RAR Archiv
- XZ Komprimiert
- ZIP Archiv
- Java (JAR Dateien)
- Office-Dokumente (OLE- & Open-XML-Formate)
- PDF Dokumente
- PE (32-Bit & 64-Bit, EXE & DLL)
- RTF Dokumente
- Skripte JavaScript (JS/JSE/WSF), Visual Basic Script (VBS/VBE)
- Windows Batch /BAT Dateien/
- Windows Verknüpfungen (LNK & URL Dateien)
Mehr Informationen gibt hier: Sophos KB: Zero-Day Protection oder Sophos Zero-Day Protection FAQ
Sobald diese Voraussetzungen erfüllt sind, wird die Datei zur weiteren Analyse an SophosLabs Intelix gesendet.
2. Analyse durch SophosLabs Intelix
Sobald eine Datei von der Sophos Firewall als geeignet für die Analyse erkannt wird, wird sie in die Sophos Cloud hochgeladen, wo der Analyseprozess beginnt. SophosLabs Intelix nutzt maschinelles Lernen, Sandboxing und Bedrohungsforschung, um die Datei auf potenzielle Risiken zu untersuchen. Die Datei wird in einer isolierten Umgebung ausgeführt, die verschiedene Betriebssysteme simuliert, um sicherzustellen, dass sie unter realistischen Bedingungen getestet wird, ohne dein System zu gefährden.
Verfügbare Rechenzentren:
- Asien-Pazifik (Sydney, Tokyo)
- Europa (Frankfurt, London)
- Vereinigte Staaten
Wenn keine spezifische Region ausgewählt wird, verwendet das System das nächstgelegene Rechenzentrum, basierend auf der Latenzzeit.
3. Sandbox-Analyse
Das erste Analysewerkzeug, das eingesetzt wird, ist das maschinelle Lernen. SophosLabs Intelix verwendet dazu mehrere Modelle, um die Eigenschaften und die globale Reputation der Datei zu bewerten. Die Datei wird mit Millionen bekannter sicherer und schädlicher Dateien verglichen, um ihre potenzielle Bösartigkeit festzustellen.
Nach dieser Bewertung durchläuft die Datei eine Sandbox-Analyse, die sowohl dynamische als auch statische Techniken einsetzt. Dabei werden Dateizugriffe, Speicher- und Registry-Manipulationen sowie Netzwerkaktivitäten überwacht. Zusätzlich wird Deep Learning zur Exploit-Erkennung und CryptoGuard zur Identifizierung von Ransomware-Verhalten verwendet. Dieser Schritt schützt das Netzwerk vor Zero-Day-Bedrohungen wie Ransomware und gezielten Angriffen.
Während der Ausführung in der Sandbox überwacht Sophos kontinuierlich verschiedene Parameter, um potenziell schädliches Verhalten zu erkennen. Dazu gehören:
- Unerwartete Netzwerkaktivitäten
- Manipulationen am Betriebssystem
- Versuche, auf sensible Daten zuzugreifen
- Selbstreplikation oder andere virentypische Verhaltensweisen
Dieser gründliche Analyseprozess kann einige Minuten dauern, weshalb es vorkommen kann, dass der Download bis zu 15 Minuten verzögert wird, bis die Analyse abgeschlossen ist.
Zusätzlich zur technischen Analyse der Datei führt SophosLabs Intelix eine Reputationsanalyse durch. Diese Analyse bewertet, wie weitverbreitet die Datei ist und wie sie in der Vergangenheit von anderen Sicherheitslösungen behandelt wurde. Dies hilft, das Risiko besser einzuschätzen.
Blockierung oder Freigabe: Basierend auf den Ergebnissen der Sandboxing-Analyse wird die Datei entweder freigegeben oder blockiert. Wenn die Datei als sicher eingestuft wird, kann der Benutzer sie sofort herunterladen. Andernfalls wird sie blockiert, und der Administrator wird über die Bedrohung informiert.
4. Erstellung eines Berichts
Nach Abschluss der Analyse wird ein detaillierter Bericht erstellt, der die Ergebnisse der verschiedenen Analyseschritte zusammenfasst. Dieser Bericht enthält Informationen wie:
- Download-Details: Herkunft der Datei, Zeitpunkt des Downloads und die Benutzer, die die Datei heruntergeladen haben.
- Zusammenfassung der Analyse: Eine Übersicht über das Gesamtresultat der Zero-Day-Protection-Analyse, die Klassifizierung der Datei (z. B. sauber, verdächtig, bösartig) und eine Kurzbeschreibung der erkannten Bedrohungen.
- Ergebnisse der maschinellen Lernanalyse: Details zur Analyse der Datei-Eigenschaften, Struktur und Kombinationen von Merkmalen.
- Detonations-Ergebnisse der Zero-Day-Protection: Informationen zu den Aktivitäten, die die Datei ausführt, einschliesslich Screenshots und Details zu den verwendeten Prozessen und der Registry-Aktivität.
- Vollständige Datei-Analyse: Umfassende Details zur Datei, einschliesslich Signaturen, verwendete Zertifikate, aufgerufene Ressourcen und Import-/Export-Funktionen.
- VirusTotal-Bericht: Anzahl der Einträge in der VirusTotal-Datenbank und wie viele Malware-Erkennungsprodukte die Datei als Bedrohung identifizieren.
Administratoren können jederzeit die detaillierten Berichte der Zero-Day-Protection-Analyse einsehen, um das Risiko besser zu verstehen. Es ist auch möglich, Dateien oder E-Mail-Nachrichten freizugeben, die noch in der Analyse sind oder bei denen ein Fehler aufgetreten ist. Dabei ist jedoch Vorsicht geboten, da eine Freigabe vor Abschluss der Analyse das Risiko birgt, bösartigen Inhalt herunterzuladen.
Einzelne Dateien testen
In Blogpost SophosLabs Intelix – Das Tool zur erkennung von Cyberbedrohungen, wird erklärt, wie man mit dem Online-Tool Sophos Intelix auch einzelne Dateien prüfen kann.
FAQ
Was ist Sophos Zero-Day Protection?
Sophos Zero-Day Protection ist ein Sicherheitsmodul für die Sophos Firewall, das entwickelt wurde, um neue, bisher unbekannte Bedrohungen zu erkennen und zu blockieren. Es nutzt fortschrittliche Technologien wie maschinelles Lernen, Sandboxing und Bedrohungsforschung, um verdächtige Dateien und E-Mail-Anhänge zu analysieren und zu bewerten.
Wie funktioniert die Zero-Day Protection?
Sobald eine verdächtige Datei oder ein E-Mail-Anhang in das Netzwerk gelangt, wird sie an SophosLabs Intelix™ zur Analyse gesendet. Dort durchläuft die Datei eine mehrstufige Analyse, die maschinelles Lernen und Sandboxing umfasst. Das System untersucht die Datei auf verdächtiges Verhalten und blockiert sie, falls sie als gefährlich eingestuft wird.
Welche Arten von Dateien werden von der Zero-Day Protection analysiert?
Die Zero-Day Protection analysiert hauptsächlich ausführbare Dateien, Skripte, Dokumente und Archive. Dazu gehören Formate wie .exe, .dll, .pdf, .docx, .xlsx, .zip, .rar und viele weitere. Nur Dateien, die kleiner als 10 MB sind, werden analysiert.
Wie wird die Analyse von verdächtigen Dateien durchgeführt?
Die Analyse erfolgt in mehreren Schritten: Zuerst wird die Datei durch die Antivirus-Engine gescannt. Wenn die Datei keine bekannten Bedrohungen enthält, aber dennoch verdächtig erscheint, wird sie zur weiteren Analyse in eine Sandbox gesendet, wo sie in einer isolierten Umgebung ausgeführt und auf schädliches Verhalten überwacht wird.
Wie lange dauert die Analyse durch Zero-Day Protection?
Die Analyse dauert in der Regel etwa fünf Minuten, kann aber je nach Dateigrösse und Komplexität der Analyse bis zu zehn Minuten in Anspruch nehmen. Für Dateien, die bereits zuvor analysiert wurden, kann die Analysezeit aufgrund von Caching weniger als eine Sekunde betragen.
Werden meine Daten sicher verarbeitet?
Alle Dateien, die zur Analyse an SophosLabs Intelix™ gesendet werden, werden über eine verschlüsselte SSL-Verbindung übertragen und auf den Servern asymmetrisch verschlüsselt gespeichert. Die Dateien werden nur für die Dauer der Analyse entschlüsselt und verarbeitet.
In welchen Rechenzentren werden meine Dateien analysiert?
Man kann das Rechenzentrum auswählen, in dem Ihre Dateien analysiert werden. Verfügbare Regionen sind unter anderem Asien-Pazifik (Sydney, Tokyo), Europa (Frankfurt, London) und die Vereinigten Staaten. Wenn Sie keine spezifische Region auswählen, wird das System das nächstgelegene Rechenzentrum, basierend auf der Latenzzeit verwenden.
Welche Schutzmassnahmen bietet die Zero-Day Protection vor Ransomware?
Die Zero-Day Protection enthält Funktionen zur Erkennung von Ransomware, einschliesslich dynamischer Analysen, die verdächtiges Verhalten wie das Verschlüsseln von Dateien in Echtzeit überwachen. Das System nutzt ausserdem CryptoGuard, um Ransomware-Angriffe zu erkennen und zu stoppen.
Kann man sehen, welche Dateien von der Zero-Day Protection analysiert wurden?
Ja, in der Sophos Firewall gibt es eine spezielle Übersicht, in der alle Dateien und E-Mail-Anhänge angezeigt werden, die von der Zero-Day Protection analysiert wurden. Hier können Sie Berichte einsehen, die Details zur Analyse und den entsprechenden Sicherheitsbewertungen enthalten.