Naar de inhoud
Avanet

Sophos Firewall Zero-Day Protection begrijpen en bedienen

Sophos Firewall Zero-Day Protection analyseert verdachte downloads en e-mailbijlagen via SophosLabs Intelix. De firewall stuurt passende, risicovolle bestanden naar de clouddienst, waar machine learning, reputatie, sandboxanalyse en dreigingsonderzoek samenwerken. Het doel is niet alleen om bekende malware te blokkeren, maar ook om nieuwe of ongebruikelijke bestanden beter te classificeren.

Het is belangrijk voor beheerders: Zero-Day Protection is geen vervanging voor schone regels, webbeveiliging, e-mailbeveiliging, TLS Inspection, logboekregistratie of eindpuntbeveiliging. De functie is een extra beveiligings- en analysemodule. Het is vooral handig als bestanden via webdownloads of e-mailbijlagen het netwerk binnenkomen en klassieke handtekeningen nog geen duidelijke beslissing bieden.

Welk beschermingsartikel past?

Zero-Day Protection geeft vooral antwoord op de vraag hoe verdachte bestanden worden geanalyseerd. Afhankelijk van het probleem is de betere manier om te beginnen met webtoegang, e-mailstroom, netwerkaanvallen, gecodeerd verkeer of evaluatie:

Deze scheiding voorkomt valse verwachtingen: Zero-Day Protection evalueert bestanden, maar vervangt geen webbeleid, geen IPS, geen mail relay-planning en geen centrale logevaluatie. De beste bescherming ontstaat alleen als de bestands-, web-, mail-, netwerk- en logginglagen op elkaar aansluiten.

Waar Zero-Day Protection in de praktijk helpt

Zero-Day Protection is vooral relevant in deze scenario’s:

  • Gebruikers downloaden uitvoerbare bestanden, archieven of documenten van internet.
  • E-mailbijlagen moeten nauwkeuriger worden gecontroleerd voordat ze worden afgeleverd of goedgekeurd.
  • Een dossier is nog niet duidelijk bekend, maar lijkt verdacht.
  • Een download moet niet alleen lokaal worden gescand, maar ook in een sandbox worden gemonitord.
  • Een beveiligingsincident moet beter beoordeeld worden aan de hand van een gedetailleerd rapport.

De functie past goed bij een gelaagd beveiligingsmodel: Firewallregels beperken het toegestane verkeer, TLS Inspection maken versleuteld webverkeer beter controleerbaar, Web Protection en Mail Protection beoordelen de inhoud, en Zero-Day Protection vult deze controles aan met cloudanalyses en sandbox-rapporten.

Vereisten en limieten

Zero-Day Protection werkt alleen zinvol als de relevante beveiligingsmodules en beleid actief zijn. Een pure Toestaan-regel zonder de juiste beveiligingsprofielen biedt niet dezelfde bescherming. Afhankelijk van het toepassingsgebied moet u daarom bewust webbeveiliging, mailbeveiliging, malwarescanning, SSL/TLS Inspection en logging plannen.

Belangrijke limieten tijdens gebruik:

  • De firewall stuurt niet elk bestandstype naar Intelix, maar vooral risicovolle bestandstypen.
  • Veel ongevaarlijke bestandstypen, bijvoorbeeld typische afbeeldingsformaten, worden niet ter ontploffing verzonden.
  • Uitzonderingen kunnen bestanden uitsluiten van de analyse en zo de beschermende werking verminderen.
  • Cloudanalyse vereist connectiviteit met Sophos-services en kan downloads vertragen.
  • Als u deelt voordat de analyse is voltooid, kan schadelijke inhoud aan het licht komen.
  • Zero-Day Protection vervangt geen eindpuntdetectie en -respons, geen MDR en geen schone incidentrespons.

Als de firewall weinig ziet omdat HTTPS niet wordt gedecodeerd of regels worden uitgevoerd zonder beveiligingsprofielen, blijft Zero-Day Protection ook beperkt. Het artikel Sophos Firewall Logboeken: welke functie schrijft naar welk log? helpt bij het toewijzen van logs en modules.

Schakel firewallregels in

Voor webdownloads is het niet voldoende dat Zero-Day Protection over het algemeen een licentie heeft. De juiste firewallregel moet zich daadwerkelijk op het webverkeer richten en de noodzakelijke webscanopties activeren.

Het typische pad is:

Rules and policies > Firewall rules

In de internetregel van de betreffende client moet u het volgende controleren:

  1. Bronzone, bronnetwerk, bestemmingszone en services komen overeen met het testverkeer.
  2. Firewallverkeer loggen is actief.
  3. In het gebied Webfiltering wordt een geschikt webbeleid geselecteerd.
  4. Scannen HTTP en ontsleutelen HTTPS is actief.
  5. Gebruik zero-day-bescherming is actief.
  6. Voor HTTPS-downloads is TLS Inspection gepland en effectief voor testverkeer.
  7. QUIC/HTTP/3 omzeilt het verwachte HTTPS-audittraject niet.
  8. Webuitzonderingen slaan niet onbedoeld malwarescans, beleidscontroles of zero-day-beschermingsanalyses over.

Dit garandeert niet dat elke download in de zero-day-beveiligingsweergave verschijnt. Bekende bestanden, niet-kritieke bestandstypen of downloads buiten het gecontroleerde pad kunnen vooraf anders worden geëvalueerd. Voor acceptatie dient u daarom niet alleen te controleren of het selectievakje actief is, maar ook of een specifieke download terug te vinden is in de Log Viewer, weblog, SSL/TLS Inspectionlog en in Downloads en bijlagen.

Belangrijk: Scan HTTP en ontsleuteld HTTPS scant HTTP en reeds gedecodeerd HTTPS-verkeer. Met deze optie wordt HTTPS-decodering niet automatisch ingeschakeld. In DPI-instellingen heeft u de juiste Rules and policies > SSL/TLS inspection rules nodig; in het webproxypad is Decoderen van HTTPS tijdens het filteren van de webproxy relevant. Zonder deze zichtbaarheid kan Zero-Day Protection minder zien voor gecodeerde downloads, ook al lijkt de firewallregel formeel correct.

Waar Zero-Day Protection van toepassing is

Zero-Day Protection moet niet op zichzelf worden bekeken. De functie wordt pas relevant als een bestand daadwerkelijk een geschikt beveiligingspad doorloopt.

Typische paden:

  • Webdownload: vooraf de juiste firewallregel, webbescherming, Scan HTTP en gedecodeerd HTTPS, Gebruik zero-day-beveiliging en vaak moet TLS Inspection van toepassing zijn. U kunt het weblog, het SSL/TLS Inspectionlogboek en de downloads en bijlagen bekijken.
  • E-mailbijlage: De e-mailstroom moet de e-mailbeveiliging, het juiste bijlagebeleid en malwarecontrole passeren. U kunt e-maillogboeken, quarantaine en de weergave van downloads en bijlagen beheren.
  • Release- of foutstatus: Het rapport is nog niet voltooid of de analyse is mislukt. Vervolgens tellen het releaseproces, de gebruikerscontext, hash en andere logs.
  • Geen zichtbaarheid: Verkeer passeert het beveiligingspad niet of het bestandstype is niet relevant. Controleer dan eerst de firewallregel, het beleid, TLS, de mailstroom en het bestandstype.

Voor webdownloads is het eerste dat belangrijk is of het juiste Webbeleid actief is in de firewallregel. Voor e-mailbijlagen moet de mailstroom daadwerkelijk via Mail Protection in MTA Mode of een vergelijkbaar aangevinkt pad lopen. Als alleen een normale toestemmingsregel verkeer toestaat, mag u geen volledige bestandsanalyse van Zero-Day Protection verwachten.

Het is de moeite waard om bijzonder voorzichtig te zijn met webuitzonderingen. Een uitzondering kan ertoe leiden dat decodering, het scannen van malware en inhoud, Zero-Day Protection of beleidscontroles voor overeenkomend verkeer worden overgeslagen in de DPI- en proxymodus. Uitzonderingen moeten daarom nauwer worden geformuleerd dan de eigenlijke beveiligingsregel en worden gecontroleerd met Log Viewer, SSL/TLS Inspectionlogboek en een echte download.

Analysestroom

1. Detectie op de firewall

Een bestand komt door de firewall via een download of als e-mailbijlage. Als het beleid, het bestandstype en de context overeenkomen, wordt het bestand gemarkeerd voor Zero-Day Protection. Bekende, duidelijk geclassificeerde bestanden kunnen vooraf door andere beveiligingsmodules worden geëvalueerd.

2. Overdracht aan SophosLabs Intelix

In aanmerking komende bestanden worden via een gecodeerde verbinding naar een SophosLabs Intelix-service verzonden. Daar wordt het bestand niet alleen gecontroleerd aan de hand van bekende patronen, maar ook geëvalueerd aan de hand van verschillende analyseniveaus.

3. Machine learning en reputatie

SophosLabs Intelix evalueert kenmerken, structuur, wereldwijde reputatie en gelijkenis met bekende goede of kwaadaardige bestanden. Dit is vooral handig voor nieuwe bestanden die nog niet algemeen zijn bekeken.

4. Sandbox-analyse

Sandbox-analyse onderzoekt het bestand in een geïsoleerde omgeving. De evaluatie combineert dynamische en statische analyse, deep learning, exploitdetectie, CryptoGuard en monitoring van bestands-, opslag-, register- en netwerkactiviteiten. Voor beheerders is de marketingterm minder belangrijk dan de vraag: wat probeerde het bestand eigenlijk te doen?

5. Beslissing en rapport

Aan het einde is er een beoordeling, bijvoorbeeld schoon, waarschijnlijk schoon, verdacht, kwaadaardig of PUA. Afhankelijk van het resultaat wordt het bestand vrijgegeven, geblokkeerd of blijft het zichtbaar met een fout- of analysestatus. Het rapport helpt bij het duidelijk rechtvaardigen van een vrijgave, een blokkering of verdere incidentreactiestappen.

Lees rapporten correct

Het overzicht vindt u in Sophos Firewall onder Monitor & analyze > Zero-day protection > Downloads and attachments. Daar kunt u activiteitsgegevens over verdachte downloads en e-mailbijlagen, de analysestatus, rapportdetails en deelopties bekijken.

U moet niet alleen naar de bestandsnaam in de lijst zoeken. Filters op basis van tijdsperiode, gebruiker, bron, status en component zijn nuttig. Technisch gezien verschijnen zero-day-beveiligingsgebeurtenissen in rapporten en syslog als een afzonderlijk logtype; depending on the path, the component is Web or Mail, and subtypes can be something like Allowed, Denied or Pending. Hierdoor wordt de correlatie met SIEM of Centrale Rapportage overzichtelijker.

De detectiestatus geeft een kort overzicht van de voortgang van de analyse. Voor de volledige evaluatie opent u Bekijk rapport of Toon rapport in plaats van alleen het lijstitem te lezen. Vooral in het geval van Pending, foutstatus of een latere release vormt het gedetailleerde rapport de basis voor de beslissing.

Een rapport kan onder meer deze gebieden bevatten:

  • Downloaddetails: Bron, timing en betrokken gebruiker.
  • Analysesamenvatting: Algemene evaluatie van het dossier.
  • Machine learning-analyse: Functies, structuur en ML-evaluatie.
  • Reputatieanalyse: Beoordeling op basis van wereldwijde distributie.
  • Detonatieresultaten: Gedrag van het bestand tijdens sandbox-uitvoering.
  • Volledige bestandsanalyse: Handtekeningen, certificaten, bronnen, import en export.
  • VirusTotaalrapport: aanvullende externe detectiesituatie.

When it comes to a suspicious file, you shouldn’t just look at the final status. Bron, gebruiker, bestandsnaam, doel-URL, procesgedrag, netwerkactiviteit en of andere systemen dezelfde download hebben gezien, zijn ook relevant. Als dit tot een incident leidt, moet het rapport worden samengevoegd met eindpunt-, mail-, web- en firewalllogboeken.

Proces voor verdachte meldingen

Een zero-day-beschermingshit moet worden behandeld als een kleine beveiligingszaak, niet als een puur webfilterblok.

Praktisch proces:

  1. Open rapport en recordstatus, bestandsnaam, bron, gebruiker, tijd en beoordeling.
  2. Controleer of het een webdownload, een e-mailbijlage of een ander pad was.
  3. Vergelijk web-, mail- en firewalllogboeken voor dezelfde periode.
  4. Controleer, indien aanwezig, de eindpunt- of EDR-gebeurtenissen voor de betrokken client.
  5. Documentbestandhash, afzender, URL of domein.
  6. Bepaal of het om een false positive, een geblokkeerde aanval, een onopgelost vermoeden of een incident gaat.
  7. Overweeg alleen goedkeuring als er een begrijpelijke zakelijke reden is.
  8. Documenteer de beslissing en leid indien nodig een URL-groep, mailbeleid, bedreigingsfeed of eindpuntmaatregel af.

Wanneer meerdere gebruikers hetzelfde bestand of domein zien, is één enkele beslissing vaak niet voldoende. Vervolgens moet u controleren of een aanpassing van het webbeleid, een e-mailbeleidsregel, een bedreigingsfeed of een incidentreactie nodig is.

Bestanden delen

Sophos Firewall staat alleen vrijgave toe voor bestanden of e-mailberichten die nog worden geanalyseerd of die zijn teruggekeerd met een foutstatus. Een dergelijke vrijgave kan nodig zijn als een bedrijfsproces geblokkeerd is. Het is echter niet geschikt als normale oplossing.

Voordat u vrijgeeft, moet u in ieder geval het volgende controleren:

  • Is de bron betrouwbaar en te verwachten?
  • Werd de gebruiker of afdeling geraadpleegd over de context?
  • Is er een hash, bestandsnaam of afzender die extra kan worden gecontroleerd?
  • Zijn er eindpunt- of maillogboeken voor hetzelfde proces?
  • Kan het dossier in een geïsoleerde omgeving of via een aparte analysetool onderzocht worden?
  • Is gedocumenteerd wie heeft besloten het vrij te geven en om welke reden?

⚠️ Delen voordat de analyse is voltooid, kan ertoe leiden dat schadelijke inhoud wordt gedownload of afgeleverd. In productieve omgevingen moet deze beslissing worden gedocumenteerd en niet worden gedelegeerd aan routine op het eerste niveau.

Na goedkeuring gaat de analyse verder. Voor de bedrijfsvoering is dit van belang: een gedeeld bestand kan later alsnog als verdacht of schadelijk worden beoordeeld. Controleer daarom de releases en voeg, als u later een slechte beoordeling krijgt, de eindpunt-, mail-, web- en firewalllogboeken opnieuw samen.

Voor individuele bestanden kan de Avanet-blogpost SophosLabs Intelix - De tool voor het detecteren van cyberdreigingen aanvullende hulp bieden. Dit vervangt echter niet de evaluatie in de specifieke netwerk- en gebruikerscontext.

Datacenter en gegevensbescherming

Onder Monitor & analyze > Zero-day protection > Protection settings kunt u het datacenter voor de analyse opgeven. Standaard kiest Sophos Firewall het dichtstbijzijnde datacenter. Als alternatief kunt u bewust kiezen voor een datacenter.

Deze instelling is vooral belangrijk als gegevensbescherming, gegevenslocatie of interne regelgeving een rol spelen. Een verandering in het datacenter kan van invloed zijn op de lopende analyses. Daarom mag de instelling tijdens een acuut analysegeval niet worden gewijzigd, maar moet deze worden gepland en gedocumenteerd.

Gebruik uitzonderingen zorgvuldig

In de beveiligingsinstellingen kunt u bestandstypen uitsluiten van de zero-day-beveiligingsanalyse. Detectie van bestandstypes is gebaseerd op de bestandsextensie en de MIME-header. Archieven die uitgesloten bestandstypen bevatten, kunnen ook worden uitgesloten.

Uitzonderingen zijn technisch praktisch, maar veiligheidsgerelateerd. Elke uitzondering moet een duidelijke rechtvaardiging hebben:

  • Welke applicatie of proces maakt de bestanden aan?
  • Waarom is de analyse verontrustend of niet nuttig?
  • Is er een kleinere uitzondering dan een heel bestandstype?
  • Wordt de uitzondering regelmatig gecontroleerd?
  • Is bekend welk beschermend effect hierdoor verloren gaat?

Brede uitzonderingen voor archieven, scripts, Office-bestanden of uitvoerbare bestanden moeten worden vermeden. Wanneer Zero-Day Protection een legitiem proces verstoort, is de eerste stap vaak het controleren van het beleid, het bronpad, de betrokken gebruikersgroep of een alternatieve implementatie.

Controleer regelmatig goedkeuringen en uitzonderingen

Zero-Day Protection is niet alleen een inschakelfunctie. De daadwerkelijke operationele waarde ontstaat wanneer rapportages, goedkeuringen en uitzonderingen regelmatig worden gecontroleerd. Anders blijven risicovolle beslissingen lange tijd actief, ook al is de oorspronkelijke zakelijke reden allang verdwenen.

Deze punten zijn bijzonder nuttig voor de beoordeling:

  • Vrijgegeven bestand: Controleer de reden voor de vrijgave, de betrokken gebruiker of afdeling, hash, bestandsbron, vervaldatum en latere evaluatie.
  • Uitzondering op bestandstype: Controleer de betrokken applicatie, eigenaar, beoordelingsdatum, alternatief en risico voor archieven, scripts of Office-bestanden.
  • Terugkerende foutstatus: Controleer Sophos-connectiviteit, bestandsgrootte, bestandstype, beleid, datacenter en mogelijke ondersteuningsaanvraag.
  • Veel hits uit één bron: Controleer web- of e-mailbeleid, URL, afzender, gebruikersgroep, bedreigingsfeed, URL-groep of blokkeerlijst.

Een uitzondering is geen normale opschoning van de firewallregel. Dergelijke inzendingen moeten een eigenaar, een reden en een beoordelingsdatum hebben. Voor terugkerende releases moet u ook eindpunt-, mail-, web- en firewalllogboeken vergelijken, zodat een enkele uitzondering niet onopgemerkt in een permanente bypass verandert.

Problemen oplossen

Geen vermeldingen zichtbaar

Als er onder Downloads en bijlagen geen vermeldingen verschijnen, moet u eerst controleren of het verkeer daadwerkelijk door de juiste firewallregel en beveiligingsprofiel gaat. Voor webdownloads zijn Scan HTTP en gedecodeerde HTTPS en Gebruik zero-day-beveiliging in de firewallregel bijzonder relevant. Voor HTTPS-verkeer kan het ontbreken van TLS Inspection verklaren waarom de firewall minder inhoud ziet. Controleer vervolgens de web-, mail-, malware- en zero-day-instellingen.

Bovendien moet u controleren of een webuitzondering het relevante verkeer uitsluit van decodering, malware en inhoudscannen of Zero-Day Protection. Als er een uitzondering optreedt, kan de zero-day-beveiligingsconfiguratie er correct uitzien en nog steeds geen invoer opleveren.

Bij het testen mag u geen valse verwachtingen scheppen met bestanden die al lokaal of wereldwijd bekend zijn. Als reputatie- of andere beschermingsmodules een bestand al duidelijk evalueren, hoeft er niet noodzakelijkerwijs een compleet nieuwe sandbox-analyse zichtbaar te zijn. Voor acceptatietests zijn tijdvenster, testclient, regel-ID, URL, bestandsnaam en hash belangrijker dan een enkele browserdownload zonder logcorrelatie.

Downloads duren te lang

Een sandboxanalyse kan enige tijd in beslag nemen. Als gebruikers regelmatig langere tijd wachten, moet u controleren of er veel grote of vaak wisselende bestanden worden geanalyseerd, of de betrokken processen legitiem zijn en of een beperkte technische uitzondering gerechtvaardigd is. Een algemene deactivering is meestal de verkeerde eerste stap.

Veel valse positieven

Voor terugkerende valse positieven controleert u de rapportdetails, bestandsbron, hashes, reputatie, betrokken gebruikers en applicatie. Alleen als het patroon begrepen wordt, mag u uitzonderingen instellen. Voor dynamische blokkeerlijsten en IOC-operaties is Sophos Firewall Het veilig opzetten en uitvoeren van bedreigingsfeeds een gerelateerd onderwerp.

Vrijgave is aangevraagd

Een vrijgave moet worden behandeld als een veiligheidsbeslissing. Als de afdeling alleen ‘dringend’ meldt, is dat niet genoeg. U heeft bron, doel, dossier, gebruiker, risicobeoordeling en een gedocumenteerd besluit nodig.

Operationele checklist

  • Zero-Day Protection Licentie- en modulestatus gecontroleerd.
  • Web- en e-mailbeleid gecontroleerd met malware en beveiligingsscans.
  • Webfirewallregels ingecheckt Scan HTTP en ontsleuteld HTTPS en Gebruik zero-day-beveiliging.
  • TLS Inspection of webproxy-decodering gepland waarbij gecodeerde webdownloads zinvol moeten worden gecontroleerd.
  • Webuitzonderingen gecontroleerd op onbedoelde zero-day-bypasses.
  • Datacenter bewust gekozen voor analyse of standaard gedocumenteerd.
  • Geen brede uitzonderingen op bestandstypen zonder eigenaar en beoordelingsdatum.
  • Downloads en bijlagen worden regelmatig gecontroleerd.
  • Vrijgaveproces gedefinieerd voor geanalyseerde of onjuiste bestanden.
  • Rapporten gecorreleerd met eindpunt-, mail-, web- en firewalllogboeken.
  • Er wordt rekening gehouden met Syslog, Centrale Rapportage of SIEM voor langere traceerbaarheid.

Veelgestelde vragen

Wat doet Sophos Firewall Zero-Day Protection?

Zero-Day Protection analyseert verdachte downloads en e-mailbijlagen via SophosLabs Intelix. Machine learning, reputatie- en sandbox-analyse worden gecombineerd om nieuwe of onbekende bedreigingen beter te detecteren.

Worden alle bestanden naar Sophos verzonden?

Nee. Sophos Firewall verzendt voornamelijk risicovolle bestandstypen voor ontploffing en analyse. Veel bestandstypen die als niet-kritisch worden beschouwd, worden niet verzonden. Bovendien kunnen beheerders bestandstypen uitsluiten, wat het beveiligingseffect kan verminderen.

Waar kunt u zero-day-beschermingsrapporten bekijken?

De rapporten zijn te vinden onder Monitor & analyze > Zero-day protection > Downloads and attachments. Daar kunt u de analysestatus, rapportdetails en vrijgavestatus controleren.

Waarom kan ik geen vermeldingen zien ondanks dat Zero-Day Protection is geactiveerd?

Vaak voldoet de download niet aan de verwachte firewallregel, Scan HTTP en gedecodeerd HTTPS of Gebruik zero-day-beveiliging is niet actief, HTTPS is niet gedecodeerd, het bestandstype wordt niet verzonden voor analyse of een andere beveiligingslaag heeft het bestand al geëvalueerd.

Mag ik een bestand delen voordat de analyse is afgerond?

Technisch gezien is dit onder bepaalde omstandigheden mogelijk. Het is operationeel riskant omdat het toestaat dat kwaadaardige inhoud wordt gedownload of afgeleverd. Vrijgave moet worden gedocumenteerd en mag alleen plaatsvinden na beoordeling.

Vervangt Zero-Day Protection eindpuntbeveiliging?

Nee. Zero-Day Protection voegt web-, mail- en firewallbescherming toe. Eindpuntbescherming, EDR, MDR, loggen en incidentrespons blijven noodzakelijk omdat niet elke aanval via een bestand loopt dat door de firewall wordt geanalyseerd.