Naar de inhoud
Avanet
Sophos NDR – Blinde vlekken in het netwerk wegwerken

Sophos NDR – Blinde vlekken in het netwerk wegwerken

In mijn vorige artikelen heb ik geschreven over Sophos Managed Detection and Response (MDR): van de hernoeming van MTR naar MDR tot de nieuwe en krachtige add-ons waarmee ook telemetriegegevens van derden kunnen worden geïntegreerd.

Wie deze twee artikelen heeft gelezen, zal hebben begrepen dat Sophos MDR een onmisbare dienst is om een bedrijf te beschermen tegen netwerkaanvallen en cybercriminaliteit. In werkelijkheid is dit echter nog maar het begin.

Begrijp me niet verkeerd: met Sophos MDR hebt u al heel veel gedaan voor de beveiliging van uw netwerk. De Sophos Agent draait (hopelijk) op elke computer en server, uw Sophos Firewall is via Synchronized Security verbonden en stuurt logs naar Sophos Data Lake. Daarnaast hebt u monitoring en respons toevertrouwd aan het Sophos MDR-team (Sophos X-Ops), dat 24/7 waakzaam is. Bravo! 👏

Gebruikt u een firewall van een andere fabrikant? Geen probleem. Dankzij de nieuwe integraties kunt u met de MDR Firewall-add-on ook apparaten van Palo Alto Networks, Fortinet, Check Point, Cisco of SonicWall koppelen.

Blinde vlekken in het vizier

Maar hoewel de combinatie van de firewall en Sophos Managed Detection and Response een absoluut droomduo vormt voor de beveiliging van het bedrijfsnetwerk, blijven er toch nog vragen onbeantwoord die een nauwgezette IT-beheerder de slaap ontnemen:

  • Hoe kan ik onze IoT-apparaten, POS-terminals, printers, thin clients, smart-tv’s etc. beschermen, waarop geen Sophos Agent kan worden geïnstalleerd?
  • Hoe kan ik het netwerkverkeer achter onze firewall bewaken?
  • Hoe kan ik het gedrag van interne gebruikers bewaken en analyseren?
  • Hoe kan ik de gegevensbewegingen in het netwerk in de gaten houden?
  • Hoe kan ik regelmatig een inventarisatie van de assets in ons netwerk uitvoeren?
  • Hoe kan ik nieuwe of ongeautoriseerde systemen in ons netwerk detecteren?
  • Hoe krijg ik inzicht in het versleutelde dataverkeer in ons netwerk?

Dit zijn allemaal belangrijke vragen die Sophos Network Detection and Response (NDR) daadwerkelijk kan beantwoorden. NDR vult de verdedigingslinie aan met een cruciale factor. Met de firewall controleert u het verkeer dat het bedrijfsnetwerk binnenkomt en verlaat, en met Intercept X Advanced en de MDR-service kunnen verdachte gedragingen op endpoints en servers worden gedetecteerd, zolang daar de Sophos Agent is geïnstalleerd. Maar hoe zit het met het verkeer binnen de volledige omgeving?

Aanvallers doen er alles aan om niet ontdekt te worden, en detectie vermijden is een bekende tactiek op systeemniveau in het MITRE ATT&CK® Framework. Exploits kunnen zich bijvoorbeeld verbergen voor EDR-oplossingen, en aanvallers kunnen systeemlogs uitschakelen en verwijderen. Waar ze echter niet omheen kunnen, is dat ze zich door het netwerk moeten bewegen. Precies dat registreert de NDR-sensor van Sophos, hoe stil of voorzichtig de aanvaller ook te werk gaat. Elke actie laat sporen achter.

Wat is Sophos NDR?

Sophos Network Detection and Response (NDR) wordt aangeboden als virtuele appliance die het volledige netwerkverkeer passief bewaakt via een span-poort. Alles wat via deze poort wordt vastgelegd, wordt in realtime gecontroleerd op dreigingen op basis van vijf kernalgoritmen die met NDR worden geleverd.

De technologie achter NDR heeft Sophos al in juli 2021 verworven door de overname van het bedrijf “Braintrace”. Braintrace had een virtuele machine ontwikkeld die netwerkverkeer met vijf kernalgoritmen kon bewaken en zo onderscheid kon maken tussen kwaadaardige en goedaardige activiteiten.

Wanneer een bedreiging op basis van deze vijf kernalgoritmen wordt gedetecteerd, wordt deze doorgestuurd naar Sophos Data Lake, geclassificeerd en beoordeeld. Daarbij worden cases aangemaakt die het Sophos Threat Response Team analyseert en valideert. De informatie van de NDR-sensor kan ook worden gecorreleerd met informatie van andere sensoren, zoals identiteit, e-mail, netwerk- en firewallfuncties.

De vijf NDR-kernalgoritmen

Laten we eens nader kijken naar de vijf krachtige algoritmen die Sophos NDR ons ter beschikking stelt:

ndr-detection-engines

Encrypted Payload Analytics (EPA)

Deze engine kan malware zelfs in versleuteld dataverkeer opsporen, waar het anders vaak verborgen kan blijven.

Domain Generation Algorithm (DGA)

Deze engine helpt communicatie met command-and-control-servers (C2) en andere kwaadaardige domeinen te detecteren, zelfs zonder bekende dreigingsgegevens.

Session Risk Analytics (SRA)

Identificeert afwijkende kenmerken in netwerkverkeer, zoals zelfondertekende certificaten of het gebruik van afwijkende poorten. Samen met andere onverwachte of verdachte activiteiten wijzen deze kenmerken op een hoog risico dat moet worden onderzocht.

Data Detection Engine (DDE)

Deze engine helpt systemen in het netwerk te herkennen die niet door Sophos worden beheerd. Dat helpt enerzijds om hiaten in de dekking van toegestane apparaten te identificeren en anderzijds om ongeautoriseerde, mogelijk kwaadaardige systemen of apparaten te detecteren.

Deep Packet Inspection (DPI)

Met Deep Packet Inspection kan in het netwerk worden gezocht naar specifieke indicatoren van compromittering. Denk aan communicatie met een command-and-control-server (C2) of een verdacht IP-adres dat niets in uw netwerk te zoeken heeft.

Wat is er nodig voor Sophos NDR?

Sophos NDR is momenteel alleen beschikbaar als MDR-integratie. Dit betekent dat u een actieve MDR-licentie nodig hebt om NDR überhaupt te kunnen instellen. Sinds midden juli hebben ook XDR-klanten de mogelijkheid om NDR gratis uit te proberen via het Early Access Program.

Zoals hierboven al uitgelegd, draait de Sophos NDR-sensor (log collector) op een virtuele machine (VM). Daar worden gegevens verzameld en doorgestuurd naar Sophos Data Lake. Sophos NDR ondersteunt momenteel “VMware ESXi 6.7” of nieuwer en “Microsoft Hyper-V 6.0.6001.18016 (Windows Server 2016)” of nieuwer.

Sophos NDR uitproberen

Heeft deze blogpost u overtuigd van de kwaliteiten en voordelen van de Sophos NDR-oplossing, of u op zijn minst nieuwsgierig gemaakt? Klanten met een MDR- of XDR-licentie kunnen zich sinds midden juli registreren voor het Early Access Program van Sophos om NDR gratis te testen. Het EAP zou volgens Sophos van juli tot november 2023 beschikbaar zijn.

Gebruikt u nog geen XDR- of MDR-licenties en wilt u Sophos NDR uitproberen? Bestel deze dan eenvoudig via onze online shop:

De exacte stappen om NDR als integratie in Central toe te voegen, de image te configureren, te downloaden en op de VM te installeren, vindt u in de volgende Sophos-handleiding: Sophos NDR instellen

Informatiematerialen

Sophos Network Detection and Response (NDR) – EAP Snelstartgids

Sophos Network Detection and Response (NDR) – Datasheet

Sophos Network Detection and Response (NDR) – Korte beschrijving

Sophos Network Detection and Response (NDR) – Whitepaper

David

David

David is verantwoordelijk voor content, structuur en digitale implementatie bij Avanet. Zijn focus ligt op het helder, precies en zoekvriendelijk uitwerken van complexe technische onderwerpen.