Zum Inhalt springen
Avanet

Sophos Firewall Zero-Day Protection verstehen und betreiben

Sophos Firewall Zero-Day Protection analysiert verdächtige Downloads und E-Mail-Anhänge über SophosLabs Intelix. Die Firewall sendet geeignete, risikobehaftete Dateien an den Cloud-Dienst, wo Machine Learning, Reputation, Sandbox-Analyse und Threat Research zusammenwirken. Das Ziel ist nicht nur bekannte Malware zu blockieren, sondern auch neue oder ungewöhnliche Dateien besser einzuordnen.

Für Admins ist wichtig: Zero-Day Protection ist kein Ersatz für saubere Regeln, Web Protection, Mail Protection, TLS Inspection, Logging oder Endpoint-Schutz. Die Funktion ist ein zusätzlicher Schutz- und Analysebaustein. Besonders hilfreich ist sie dann, wenn Dateien über Webdownloads oder E-Mail-Anhänge ins Netzwerk gelangen und klassische Signaturen noch keine klare Entscheidung liefern.

Welcher Schutz-Artikel passt?

Zero-Day Protection beantwortet vor allem die Frage, wie verdächtige Dateien analysiert werden. Je nach Problem liegt der bessere Einstieg aber bei Webzugriff, Mailfluss, Netzwerkangriffen, verschlüsseltem Traffic oder Auswertung:

Diese Trennung verhindert falsche Erwartungen: Zero-Day Protection bewertet Dateien, aber sie ersetzt keine Web Policy, kein IPS, keine Mail-Relay-Planung und keine zentrale Logauswertung. Der beste Schutz entsteht erst, wenn die Datei-, Web-, Mail-, Netzwerk- und Logging-Schichten zusammenpassen.

Wo Zero-Day Protection in der Praxis hilft

Zero-Day Protection ist vor allem bei diesen Szenarien relevant:

  • Benutzer laden ausführbare Dateien, Archive oder Dokumente aus dem Internet herunter.
  • E-Mail-Anhänge sollen vor der Zustellung oder Freigabe genauer geprüft werden.
  • Eine Datei ist noch nicht eindeutig bekannt, wirkt aber verdächtig.
  • Ein Download soll nicht nur lokal gescannt, sondern zusätzlich in einer Sandbox beobachtet werden.
  • Ein Sicherheitsvorfall muss anhand eines Detailreports besser bewertet werden.

Die Funktion passt gut zu einem gestuften Sicherheitsmodell: Firewall-Regeln begrenzen den erlaubten Traffic, TLS Inspection macht verschlüsselten Webverkehr prüfbarer, Web Protection und Mail Protection bewerten Inhalte, und Zero-Day Protection ergänzt diese Kontrollen mit Cloud-Analyse und Sandbox-Berichten.

Voraussetzungen und Grenzen

Zero-Day Protection funktioniert nur sinnvoll, wenn die relevanten Schutzmodule und Policies aktiv sind. Eine reine Allow-Regel ohne passende Sicherheitsprofile liefert nicht denselben Schutz. Je nach Einsatzbereich muss man daher Web Protection, Mail Protection, Malware-Scanning, SSL/TLS Inspection und Logging bewusst planen.

Wichtige Grenzen im Betrieb:

  • Die Firewall sendet nicht jeden Dateityp an Intelix, sondern vor allem risikobehaftete Dateitypen.
  • Viele ungefährliche Dateitypen, zum Beispiel typische Bildformate, werden nicht für eine Detonation gesendet.
  • Ausnahmen können Dateien von der Analyse ausschliessen und damit Schutzwirkung reduzieren.
  • Cloud-Analyse braucht Konnektivität zu Sophos-Diensten und kann Downloads verzögern.
  • Eine Freigabe vor Abschluss der Analyse kann schädlichen Inhalt verfügbar machen.
  • Zero-Day Protection ersetzt kein Endpoint Detection and Response, kein MDR und keine saubere Incident-Response.

Wenn die Firewall wenig sieht, weil HTTPS nicht entschlüsselt wird oder Regeln ohne Security-Profile laufen, bleibt auch Zero-Day Protection eingeschränkt. Für Log- und Modulzuordnung hilft der Artikel Sophos Firewall Logs: Welche Funktion schreibt in welchen Log?.

In Firewall-Regeln aktivieren

Für Webdownloads reicht es nicht, dass Zero-Day Protection generell lizenziert ist. Die passende Firewall-Regel muss den Webtraffic wirklich treffen und die nötigen Web-Scanning-Optionen aktivieren.

Der typische Pfad ist:

Rules and policies > Firewall rules

In der betroffenen Client-Internetregel sollte man prüfen:

  1. Source zone, Source network, Destination zone und Services matchen den Testtraffic.
  2. Log firewall traffic ist aktiv.
  3. Im Bereich Web filtering ist eine passende Web Policy ausgewählt.
  4. Scan HTTP and decrypted HTTPS ist aktiv.
  5. Use zero-day protection ist aktiv.
  6. Bei HTTPS-Downloads ist TLS Inspection für den Testtraffic geplant und wirksam.
  7. QUIC/HTTP/3 umgeht den erwarteten HTTPS-Prüfpfad nicht.
  8. Web Exceptions überspringen nicht unbeabsichtigt Malware-Scanning, Policy-Prüfung oder Zero-Day-Protection-Analyse.

Damit ist noch nicht garantiert, dass jeder Download in der Zero-Day-Protection-Ansicht erscheint. Bekannte Dateien, unkritische Dateitypen oder Downloads ausserhalb des geprüften Pfads können vorher anders bewertet werden. Für die Abnahme sollte man deshalb nicht nur prüfen, ob die Checkbox aktiv ist, sondern ob ein konkreter Download im Log Viewer, Web-Log, SSL/TLS-Inspection-Log und in Downloads and attachments nachvollziehbar wird.

Wichtig: Scan HTTP and decrypted HTTPS scannt HTTP und bereits entschlüsselten HTTPS-Traffic. Die Option aktiviert HTTPS-Entschlüsselung nicht automatisch. In DPI-Setups braucht es dafür passende Rules and policies > SSL/TLS inspection rules; im Web-Proxy-Pfad ist Decrypt HTTPS during web proxy filtering relevant. Ohne diese Sichtbarkeit kann Zero-Day Protection für verschlüsselte Downloads weniger sehen, obwohl die Firewall-Regel formal richtig aussieht.

Wo Zero-Day Protection greift

Zero-Day Protection sollte nicht isoliert betrachtet werden. Die Funktion wird erst relevant, wenn eine Datei überhaupt durch einen passenden Schutzpfad läuft.

Typische Pfade:

  • Webdownload: Vorher müssen passende Firewall-Regel, Web Protection, Scan HTTP and decrypted HTTPS, Use zero-day protection und bei HTTPS oft TLS Inspection greifen. Kontrollieren kann man Web-Log, SSL/TLS-inspection-Log und die Downloads-and-attachments-Ansicht.
  • E-Mail-Anhang: Der Mailflow muss durch Mail Protection, passende Anhang-Policy und Malware-Prüfung laufen. Kontrollieren kann man Mail-Logs, Quarantäne und die Downloads-and-attachments-Ansicht.
  • Freigabe oder Fehlerstatus: Der Report ist noch nicht abgeschlossen oder die Analyse ist fehlgeschlagen. Dann zählen Freigabeprozess, Benutzerkontext, Hash und weitere Logs.
  • Keine Sichtbarkeit: Traffic läuft nicht durch den Schutzpfad oder der Dateityp ist nicht relevant. Dann zuerst Firewall-Regel, Policy, TLS, Mailflow und Dateityp prüfen.

Für Webdownloads ist deshalb zuerst wichtig, ob die richtige Web Policy in der Firewall-Regel aktiv ist. Für E-Mail-Anhänge muss der Mailflow wirklich über Mail Protection im MTA Mode oder einen vergleichbaren geprüften Pfad laufen. Wenn nur eine normale Allow-Regel den Traffic erlaubt, darf man von Zero-Day Protection keine vollständige Datei-Analyse erwarten.

Bei Web Exceptions lohnt sich besondere Vorsicht. Eine Ausnahme kann in DPI- und Proxy-Modus dazu führen, dass Decryption, Malware and content scanning, Zero-Day Protection oder Policy Checks für passenden Traffic übersprungen werden. Ausnahmen sollten deshalb enger formuliert sein als die eigentliche Schutzregel und mit Log Viewer, SSL/TLS-Inspection-Log und einem realen Download gegengeprüft werden.

Analyseablauf

1. Erkennung auf der Firewall

Eine Datei gelangt über einen Download oder als E-Mail-Anhang durch die Firewall. Wenn die Policy, der Dateityp und der Kontext passen, wird die Datei für Zero-Day Protection vorgemerkt. Bekannte, eindeutig klassifizierte Dateien können bereits vorher durch andere Schutzmodule bewertet werden.

2. Übergabe an SophosLabs Intelix

Geeignete Dateien werden über eine verschlüsselte Verbindung an einen SophosLabs-Intelix-Dienst gesendet. Dort wird die Datei nicht nur gegen bekannte Muster geprüft, sondern mit mehreren Analyseebenen bewertet.

3. Machine Learning und Reputation

SophosLabs Intelix bewertet Merkmale, Struktur, globale Reputation und Ähnlichkeit zu bekannten guten oder schädlichen Dateien. Das hilft besonders bei neuen Dateien, die noch nicht breit gesehen wurden.

4. Sandbox-Analyse

Bei der Sandbox-Analyse wird die Datei in einer isolierten Umgebung untersucht. Die Auswertung kombiniert dynamische und statische Analyse, Deep Learning, Exploit-Erkennung, CryptoGuard sowie die Überwachung von Datei-, Speicher-, Registry- und Netzwerkaktivitäten. Für Admins ist weniger der Marketingbegriff wichtig, sondern die Frage: Was hat die Datei tatsächlich versucht zu tun?

5. Entscheidung und Report

Am Ende steht eine Bewertung, zum Beispiel clean, likely clean, suspicious, malicious oder PUA. Je nach Ergebnis wird die Datei freigegeben, blockiert oder bleibt mit einem Fehler- oder Analysezustand sichtbar. Der Report hilft, eine Freigabe, eine Blockierung oder weitere Incident-Response-Schritte nachvollziehbar zu begründen.

Reports richtig lesen

Die Übersicht findet man in Sophos Firewall unter Monitor & analyze > Zero-day protection > Downloads and attachments. Dort sieht man Aktivitätsdaten zu verdächtigen Downloads und E-Mail-Anhängen, den Analysezustand, Reportdetails und Freigabemöglichkeiten.

In der Liste sollte man nicht nur nach dem Dateinamen suchen. Hilfreich sind Filter nach Zeitraum, Benutzer, Quelle, Status und Komponente. Technisch tauchen Zero-Day-Protection-Ereignisse in Reports und Syslog als eigener Log Type auf; je nach Pfad ist die Komponente Web oder Mail, und Subtypes können etwa Allowed, Denied oder Pending sein. Das macht die Korrelation mit SIEM oder Central Reporting sauberer.

Über den Detection Status erhält man eine Kurzansicht des Analysefortschritts. Für die vollständige Bewertung sollte man View report beziehungsweise Show report öffnen, statt nur den Listeneintrag zu lesen. Gerade bei Pending, Fehlerstatus oder einer späteren Freigabe ist der Detailreport die Grundlage für die Entscheidung.

Ein Report kann unter anderem diese Bereiche enthalten:

  • Download details: Quelle, Zeitpunkt und betroffener Benutzer.
  • Analysis summary: Gesamtbewertung der Datei.
  • Machine learning analysis: Merkmale, Struktur und ML-Bewertung.
  • Reputation analysis: Einschätzung anhand globaler Verbreitung.
  • Detonation results: Verhalten der Datei während der Sandbox-Ausführung.
  • Full file analysis: Signaturen, Zertifikate, Ressourcen, Imports und Exports.
  • VirusTotal report: ergänzende externe Erkennungslage.

Bei einer verdächtigen Datei sollte man nicht nur auf den finalen Status schauen. Relevant sind auch Quelle, Benutzer, Dateiname, Ziel-URL, Prozessverhalten, Netzwerkaktivitäten und ob weitere Systeme denselben Download gesehen haben. Wenn daraus ein Incident entsteht, sollte der Report mit Endpoint-, Mail-, Web- und Firewall-Logs zusammengeführt werden.

Ablauf bei verdächtigem Report

Ein Zero-Day-Protection-Treffer sollte wie ein kleiner Security-Case behandelt werden, nicht wie ein reiner Webfilter-Block.

Praktischer Ablauf:

  1. Report öffnen und Status, Dateiname, Quelle, Benutzer, Zeitpunkt und Bewertung erfassen.
  2. Prüfen, ob es ein Webdownload, ein E-Mail-Anhang oder ein anderer Pfad war.
  3. Web-, Mail- und Firewall-Logs für denselben Zeitraum vergleichen.
  4. Falls vorhanden, Endpoint- oder EDR-Ereignisse zum betroffenen Client prüfen.
  5. Datei-Hash, Absender, URL oder Domain dokumentieren.
  6. Entscheiden, ob es ein False Positive, ein blockierter Angriff, ein ungeklärter Verdacht oder ein Incident ist.
  7. Nur bei nachvollziehbarem Geschäftsgrund über eine Freigabe nachdenken.
  8. Entscheidung dokumentieren und bei Bedarf URL Group, Mail Policy, Threat Feed oder Endpoint-Massnahme ableiten.

Wenn mehrere Benutzer dieselbe Datei oder Domain sehen, reicht eine Einzelentscheidung oft nicht. Dann sollte geprüft werden, ob eine Web-Policy-Anpassung, eine Mail-Policy-Regel, ein Threat-Feed-Eintrag oder eine Incident-Response nötig ist.

Dateien freigeben

Sophos Firewall erlaubt eine Freigabe nur für Dateien oder E-Mail-Nachrichten, die noch analysiert werden oder mit Fehlerstatus zurückgekommen sind. Eine solche Freigabe kann nötig sein, wenn ein Geschäftsprozess blockiert ist. Als normaler Workaround ist sie aber ungeeignet.

Vor einer Freigabe sollte man mindestens prüfen:

  • Ist die Quelle vertrauenswürdig und erwartet?
  • Wurde der Benutzer oder Fachbereich zum Kontext befragt?
  • Gibt es einen Hash, Dateinamen oder Absender, der zusätzlich geprüft werden kann?
  • Gibt es Endpoint- oder Mail-Logs zum gleichen Vorgang?
  • Kann die Datei in einer isolierten Umgebung oder über ein separates Analysewerkzeug geprüft werden?
  • Ist dokumentiert, wer die Freigabe aus welchem Grund entschieden hat?

⚠️ Eine Freigabe vor Abschluss der Analyse kann dazu führen, dass bösartiger Inhalt heruntergeladen oder zugestellt wird. In produktiven Umgebungen sollte diese Entscheidung dokumentiert und nicht an First-Level-Routine delegiert werden.

Nach einer Freigabe läuft die Analyse weiter. Das ist wichtig für den Betrieb: Eine freigegebene Datei kann später trotzdem als verdächtig oder schädlich bewertet werden. Deshalb sollte man Freigaben nachkontrollieren und bei einer später schlechten Bewertung Endpoint-, Mail-, Web- und Firewall-Logs erneut zusammenführen.

Für einzelne Dateien kann der Avanet-Blogpost SophosLabs Intelix - Das Tool zur Erkennung von Cyberbedrohungen ergänzend helfen. Das ersetzt aber nicht die Bewertung im konkreten Netzwerk- und Benutzerkontext.

Rechenzentrum und Datenschutz

Unter Monitor & analyze > Zero-day protection > Protection settings kann man das Rechenzentrum für die Analyse festlegen. Standardmässig wählt Sophos Firewall das nächstgelegene Rechenzentrum. Alternativ kann man ein Rechenzentrum bewusst auswählen.

Diese Einstellung ist besonders wichtig, wenn Datenschutz, Datenresidenz oder interne Vorgaben eine Rolle spielen. Eine Änderung des Rechenzentrums kann laufende Analysen beeinflussen. Deshalb sollte man die Einstellung nicht während eines akuten Analysefalls ändern, sondern geplant und dokumentiert.

Ausnahmen vorsichtig verwenden

In den Protection settings kann man Dateitypen von der Zero-Day-Protection-Analyse ausschliessen. Die Dateityp-Erkennung basiert auf Dateierweiterung und MIME-Header. Archive, die ausgeschlossene Dateitypen enthalten, können ebenfalls ausgeschlossen werden.

Ausnahmen sind technisch praktisch, aber sicherheitsrelevant. Jede Ausnahme sollte eine klare Begründung haben:

  • Welche Anwendung oder welcher Prozess erzeugt die Dateien?
  • Warum ist die Analyse störend oder nicht sinnvoll?
  • Gibt es eine engere Ausnahme als einen ganzen Dateityp?
  • Wird die Ausnahme regelmässig überprüft?
  • Ist bekannt, welche Schutzwirkung dadurch verloren geht?

Breite Ausnahmen für Archive, Skripte, Office-Dateien oder ausführbare Dateien sollten vermieden werden. Wenn Zero-Day Protection einen legitimen Prozess stört, ist oft zuerst die Policy, der Quellpfad, der betroffene Benutzerkreis oder eine alternative Bereitstellung zu prüfen.

Freigaben und Ausnahmen regelmässig prüfen

Zero-Day Protection ist nicht nur eine Einschaltfunktion. Der eigentliche Betriebswert entsteht, wenn Reports, Freigaben und Ausnahmen regelmässig geprüft werden. Sonst bleiben riskante Entscheidungen lange aktiv, obwohl der ursprüngliche Geschäftsgrund längst verschwunden ist.

Für den Review sind vor allem diese Punkte hilfreich:

  • Freigegebene Datei: Grund der Freigabe, betroffener Benutzer oder Fachbereich, Hash, Dateiquelle, Ablaufdatum und spätere Bewertung prüfen.
  • Dateityp-Ausnahme: betroffene Anwendung, Owner, Review-Datum, engere Alternative und Risiko für Archive, Skripte oder Office-Dateien prüfen.
  • Wiederkehrender Fehlerstatus: Sophos-Konnektivität, Dateigrösse, Dateityp, Policy, Rechenzentrum und möglichen Supportfall prüfen.
  • Viele Treffer aus einer Quelle: Web- oder Mail-Policy, URL, Absender, Benutzergruppe, Threat Feed, URL Group oder Blocklist prüfen.

Eine Ausnahme ist keine normale Firewall-Regelbereinigung. Solche Einträge sollten einen Owner, einen Grund und ein Review-Datum haben. Bei wiederkehrenden Freigaben sollte man zusätzlich Endpoint-, Mail-, Web- und Firewall-Logs vergleichen, damit aus einer einzelnen Ausnahme nicht unbemerkt ein dauerhafter Bypass wird.

Troubleshooting

Keine Einträge sichtbar

Wenn keine Einträge unter Downloads and attachments erscheinen, sollte man zuerst prüfen, ob der Traffic überhaupt durch die passende Firewall-Regel und das passende Security-Profil läuft. Bei Webdownloads sind vor allem Scan HTTP and decrypted HTTPS und Use zero-day protection in der Firewall-Regel relevant. Bei HTTPS-Traffic kann fehlende TLS Inspection erklären, warum die Firewall weniger Inhalt sieht. Danach sind Web-, Mail-, Malware- und Zero-Day-Einstellungen zu prüfen.

Zusätzlich sollte man prüfen, ob eine Web Exception den relevanten Traffic von Decryption, Malware and content scanning oder Zero-Day Protection ausnimmt. Wenn eine Ausnahme greift, kann die Zero-Day-Protection-Konfiguration korrekt aussehen und trotzdem keinen Eintrag erzeugen.

Für Tests sollte man keine falschen Erwartungen mit bereits lokal oder global bekannten Dateien erzeugen. Wenn Reputation oder andere Schutzmodule eine Datei schon eindeutig bewerten, muss nicht zwingend eine vollständige neue Sandbox-Analyse sichtbar werden. Für Abnahmetests sind Zeitfenster, Testclient, Rule ID, URL, Dateiname und Hash wichtiger als ein einzelner Browser-Download ohne Log-Korrelation.

Downloads dauern zu lange

Eine Sandbox-Analyse kann Zeit benötigen. Wenn Benutzer regelmässig lange warten, sollte man prüfen, ob viele grosse oder häufig wechselnde Dateien analysiert werden, ob die betroffenen Prozesse legitim sind und ob eine eng begrenzte technische Ausnahme vertretbar ist. Eine pauschale Deaktivierung ist meistens der falsche erste Schritt.

Viele Fehlalarme

Bei wiederkehrenden False Positives sollte man die Reportdetails, Dateiquelle, Hashes, Reputation, betroffene Benutzer und Anwendung prüfen. Erst wenn das Muster verstanden ist, sollte man Ausnahmen setzen. Für dynamische Blocklisten und IOC-Betrieb ist Sophos Firewall Threat Feeds einrichten und sicher betreiben ein verwandtes Thema.

Freigabe wurde angefordert

Eine Freigabe sollte als Sicherheitsentscheidung behandelt werden. Wenn der Fachbereich nur “dringend” meldet, reicht das nicht. Man braucht Quelle, Zweck, Datei, Benutzer, Risikoabwägung und eine dokumentierte Entscheidung.

Betriebscheckliste

  • Zero-Day Protection Lizenz- und Modulstatus geprüft.
  • Web- und Mail-Policies mit Malware- und Security-Scanning kontrolliert.
  • In Web-Firewall-Regeln Scan HTTP and decrypted HTTPS und Use zero-day protection geprüft.
  • TLS Inspection oder Web-Proxy-Decryption dort geplant, wo verschlüsselte Webdownloads sinnvoll geprüft werden sollen.
  • Web Exceptions auf unbeabsichtigte Zero-Day-Bypässe geprüft.
  • Rechenzentrum für Analyse bewusst gewählt oder Standard dokumentiert.
  • Keine breiten Dateityp-Ausnahmen ohne Owner und Review-Datum.
  • Downloads-and-attachments-Ansicht regelmässig geprüft.
  • Freigabeprozess für analysierte oder fehlerhafte Dateien definiert.
  • Reports mit Endpoint-, Mail-, Web- und Firewall-Logs korreliert.
  • Syslog, Central Reporting oder SIEM für längere Nachvollziehbarkeit berücksichtigt.

FAQ

Was macht Sophos Firewall Zero-Day Protection?

Zero-Day Protection analysiert verdächtige Downloads und E-Mail-Anhänge über SophosLabs Intelix. Dabei werden Machine Learning, Reputation und Sandbox-Analyse kombiniert, um neue oder unbekannte Bedrohungen besser zu erkennen.

Werden alle Dateien an Sophos gesendet?

Nein. Sophos Firewall sendet vor allem risikobehaftete Dateitypen zur Detonation und Analyse. Viele Dateitypen, die als unkritisch gelten, werden nicht gesendet. Zusätzlich können Admins Dateitypen ausschliessen, was aber die Schutzwirkung reduzieren kann.

Wo sieht man Zero-Day-Protection-Berichte?

Die Berichte findet man unter Monitor & analyze > Zero-day protection > Downloads and attachments. Dort kann man Analysezustand, Reportdetails und Freigabestatus prüfen.

Warum sieht man trotz aktivierter Zero-Day Protection keine Einträge?

Häufig trifft der Download nicht die erwartete Firewall-Regel, Scan HTTP and decrypted HTTPS oder Use zero-day protection ist nicht aktiv, HTTPS wird nicht entschlüsselt, der Dateityp wird nicht zur Analyse gesendet oder eine andere Schutzschicht hat die Datei bereits bewertet.

Darf man eine Datei vor Abschluss der Analyse freigeben?

Technisch ist das in bestimmten Zuständen möglich. Operativ ist es riskant, weil dadurch schädlicher Inhalt heruntergeladen oder zugestellt werden kann. Eine Freigabe sollte dokumentiert und nur nach Prüfung erfolgen.

Ersetzt Zero-Day Protection einen Endpoint-Schutz?

Nein. Zero-Day Protection ergänzt Web-, Mail- und Firewall-Schutz. Endpoint-Schutz, EDR, MDR, Logging und Incident-Response bleiben weiterhin nötig, weil nicht jeder Angriff über eine von der Firewall analysierte Datei läuft.