Naar de inhoud
Avanet
Sophos NDR – Blinde vlekken in het netwerk elimineren

Sophos NDR – Blinde vlekken in het netwerk elimineren

28. JUNI 2023

In mijn laatste artikelen heb ik geschreven over Sophos Managed Detection and Response (MDR). Beginnend met de hernoeming van MTR naar MDR, tot de nieuwe en krachtige add-ons om aanvullend ook telemetriegegevens van derden te kunnen integreren.

Wie deze twee artikelen heeft gelezen, zal zeker hebben begrepen dat Sophos MDR een onmisbare dienst is om zijn bedrijf te beschermen tegen netwerkaanvallen en cybercriminaliteit. In werkelijkheid is dit echter nog maar het begin.

Versta me niet verkeerd – met Sophos MDR hebt u inderdaad al heel veel gedaan voor de beveiliging van uw netwerk! De Sophos Agent draait (hopelijk) op elke computer en server en uw Sophos Firewall is via Synchronized Security verbonden en stuurt logs naar de Data Lake. Verder heeft u de bewaking en respons toevertrouwd aan het Sophos MDR-team (Sophos X-Ops), dat 24/7 op zijn hoede is. Bravo! 👏

Gebruikt u een firewall van een derde partij? Geen probleem. Dankzij de nieuwe integraties kunt u met de MDR Firewall-add-on ook apparaten van Palo Alto Networks, Fortinet, Check Point, Cisco of SonicWall aansluiten.

Blinde vlekken in het vizier

Maar hoewel de combinatie van de firewall en Sophos Managed Detection and Response een absoluut droomduo vormt voor de beveiliging van het bedrijfsnetwerk, blijven er toch nog vragen onbeantwoord die een nauwgezette IT-beheerder de slaap ontnemen:

  • Hoe kan ik onze IoT-apparaten, POS-terminals, printers, thin clients, smart-tv’s etc. beschermen, waarop geen Sophos Agent kan worden geïnstalleerd?
  • Hoe kan ik het netwerkverkeer achter onze firewall bewaken?
  • Hoe kan ik het gedrag van interne gebruikers bewaken en analyseren?
  • Hoe kan ik de gegevensbewegingen in het netwerk in de gaten houden?
  • Hoe slaag ik erin om regelmatig een inventarisatie van de activa in ons netwerk uit te voeren?
  • Hoe kan ik nieuwe of ongeautoriseerde systemen in ons netwerk detecteren?
  • Hoe krijg ik inzicht in het versleutelde dataverkeer in ons netwerk?

Dit zijn allemaal belangrijke vragen die daadwerkelijk allemaal beantwoord kunnen worden met Sophos Network Detection and Response (NDR). NDR vult de verdedigingslinie aan met een cruciale factor. Met de firewall controleert u het verkeer dat het bedrijfsnetwerk binnenkomt en verlaat, en met Intercept X Advanced en de MDR-service kunnen verdachte gedragingen op endpoints en servers (waar de Sophos Agent is geïnstalleerd) worden gedetecteerd. Maar hoe zit het met het verkeer binnen de gehele omgeving?

Aanvallers doen er alles aan om niet ontdekt te worden en het vermijden van detectie is een bekende tactiek in het MITRE ATT&CK® Framework op systeemniveau. Exploits kunnen zich bijvoorbeeld verbergen voor EDR-oplossingen, en aanvallers kunnen systeemlogs uitschakelen en verwijderen. Waar echter geen ontkomen aan is, is het feit dat een aanvaller zich door het netwerk moet bewegen. En precies dit zal de NDR-sensor van Sophos loggen, hoe stil of voorzichtig de aanvaller ook te werk gaat. Elke actie laat zijn sporen achter.

Wat is Sophos NDR?

Sophos Network Detection and Response (NDR) wordt aangeboden als een virtuele appliance, die het gehele netwerkverkeer passief bewaakt via een span-poort. Alles wat via deze poort wordt vastgelegd, ondergaat een real-time dreigingsdetectie op basis van vijf kernalgoritmen die met NDR worden geleverd.

De technologie achter NDR heeft Sophos al in juli 2021 verworven door de overname van het bedrijf „Braintrace“. Braintrace had een virtuele machine ontwikkeld die in staat was om het netwerkverkeer te bewaken met vijf kernalgoritmes en daardoor onderscheid te maken tussen kwaadaardige en goedaardige activiteiten.

Wanneer een bedreiging wordt gedetecteerd op basis van deze vijf kernalgoritmen, wordt deze doorgestuurd naar de Sophos Data Lake, geclassificeerd en geëvalueerd. Er worden gevallen gegenereerd die het Sophos Threat Response Team analyseert en valideert. De informatie van de NDR-sensor kan ook worden gecorreleerd met informatie van andere sensoren, zoals identiteits-, e-mail- en netwerk- en firewallfuncties.

De vijf NDR kernalgoritmen

Laten we eens nader kijken naar de vijf krachtige algoritmen die Sophos NDR ons ter beschikking stelt:

ndr-detection-engines

Encrypted Payload Analytics (EPA)

Deze engine kan malware zelfs in versleuteld dataverkeer opsporen, waar het anders vaak verborgen kan blijven.

Domain Generation Algorithm (DGA)

Deze engine helpt bij het detecteren van communicatie met command-and-control (C2) servers en andere kwaadaardige domeinen, en wel zonder bekende dreigingsgegevens.

Session Risk Analytics (SRA)

Identificeer afwijkende kenmerken in netwerkverkeer, zoals zelfondertekende certificaten of het gebruik van niet-standaard poorten. Samen met andere onverwachte/verdachte activiteiten duiden deze kenmerken op een hoog risico dat moet worden onderzocht.

Data Detection Engine (DDE)

Deze engine is ontworpen om systemen in het netwerk te helpen detecteren die niet door Sophos worden beheerd. Dit helpt enerzijds om hiaten in de dekking van toegestane apparaten te identificeren en anderzijds om ongeautoriseerde, mogelijk kwaadaardige systemen of apparaten te detecteren.

Deep Packet Inspection (DPI)

Met Deep Packet Inspection kan in het netwerk worden gezocht naar specifieke indicatoren van een compromittering. Dit kan bijvoorbeeld een communicatie naar een command-and-control-server (C2) zijn of een verdacht IP-adres dat niets in uw netwerk te zoeken heeft.

Wat is er nodig voor Sophos NDR?

Sophos NDR is momenteel alleen beschikbaar als MDR-integratie. Dit betekent dat u een actieve MDR-licentie nodig heeft om NDR überhaupt te kunnen instellen. Sinds midden juli hebben XDR-klanten ook de mogelijkheid om NDR gratis uit te proberen via het Early Access Program.

Zoals reeds hierboven uitgelegd, draait de Sophos NDR-sensor (log collector) op een virtuele machine (VM). Daar worden gegevens verzameld en doorgestuurd naar de Sophos Data Lake. Sophos NDR ondersteunt momenteel “VMware ESXi 6.7” of nieuwer en “Microsoft Hyper-V 6.0.6001.18016 (Windows Server 2016)” of nieuwer.

Sophos NDR uitproberen

Heb ik u met deze blogpost overtuigd van de kwaliteiten en voordelen van de Sophos NDR-oplossing, of op zijn minst nieuwsgierig gemaakt? Klanten met een MDR- of XDR-licentie kunnen zich sinds midden juli registreren voor het Early Access Program van Sophos om NDR gratis te testen. Het EAP zou volgens Sophos van juli tot november 2023 actief moeten zijn.

Als u nog geen XDR- of MDR-licenties gebruikt en Sophos NDR graag wilt uitproberen, bestel deze dan eenvoudig en ongecompliceerd via onze online shop:

De exacte stappen om NDR als integratie in Central toe te voegen, de image te configureren, te downloaden en op de VM te installeren, kunt u nalezen in de volgende Sophos-handleiding: Sophos NDR instellen

Informatiematerialen

Sophos Network Detection and Response (NDR) – EAP Snelstartgids

Sophos Network Detection and Response (NDR) – Datasheet

Sophos Network Detection and Response (NDR) – Korte beschrijving

Sophos Network Detection and Response (NDR) – Whitepaper

David

David

David is verantwoordelijk voor content, structuur en digitale implementatie bij Avanet. Zijn focus ligt op het helder, precies en zoekvriendelijk uitwerken van complexe technische onderwerpen.