Naar de inhoud
Avanet

Sophos Firewall - hoe werkt Zero-Day Protection?

Sophos Firewall

Zero-Day Protection is een securitymodule voor de Sophos Firewall die is ontwikkeld om ook tegen nog onbekende dreigingen te beschermen. Deze module gebruikt geavanceerde sandboxingtechnologie om verdachte bestanden in een veilige, geïsoleerde omgeving uit te voeren en te analyseren. Daardoor kunnen dreigingen worden herkend en afgeweerd voordat ze schade aanrichten. Zero-Day Protection biedt een extra beschermingslaag en is vooral waardevol in een tijd waarin nieuwe en nog onbekende kwetsbaarheden snel worden misbruikt.

In dit artikel leggen we uit hoe Zero-Day Protection werkt, welke bestandsformaten worden ondersteund en welke stappen worden doorlopen om een mogelijke dreiging te herkennen en te neutraliseren.

1. Detectie en doorsturen

Wanneer een bestand je netwerk binnenkomt, bijvoorbeeld via een download of als e-mailbijlage, herkent de Sophos Firewall dit bestand automatisch. Daarbij maakt het niet uit of het om een bekend of onbekend bestand gaat. Zodra het bestand wordt herkend, stuurt de firewall het voor verdere analyse door naar SophosLabs Intelix, de clouddienst van Sophos.

Vereisten

Licentie: Web Protection of E-Mail Protection moet voor de Sophos Firewall gelicentieerd zijn, omdat deze modules nodig zijn om het bestand correct te analyseren.

Bestandsgrootte: Het bestand moet kleiner zijn dan 10 MB om door Zero-Day Protection te worden verwerkt.

Ondersteunde bestandsformaten: Alleen bepaalde bestandsformaten worden door Zero-Day Protection ondersteund. Daaronder vallen onder meer:

  • Uitvoerbare bestanden (.exe, .dll)
  • Documenten (PDF, Microsoft Office-formaten zoals .docx, .xlsx)
  • Archieven (ZIP, RAR, 7-Zip)
  • Scripts (JavaScript, VBScript)
  • Andere formaten zoals JAR, BAT, RTF en LNK-bestanden.

Volledige lijst

7-Zip archief

ACE archief

ARJ archief

BZIP2 gecomprimeerd

GZIP gecomprimeerd

ISO 9660 CD-ROM

LHA 1.x & 2.x archief

Microsoft Cabinet archief

TAR archief

POSIX TAR archief

RAR archief

XZ gecomprimeerd

ZIP archief

Java (JAR-bestanden)

Office-documenten (OLE- & Open-XML-formaten)

PDF-documenten

PE (32-bit & 64-bit, EXE & DLL)

RTF-documenten

Scripts JavaScript (JS/JSE/WSF), Visual Basic Script (VBS/VBE)

Windows Batch /BAT-bestanden/

Windows-snelkoppelingen (LNK & URL-bestanden)

Meer informatie vind je hier: Sophos KB: Zero-Day Protection of Sophos Zero-Day Protection FAQ

Zodra aan deze vereisten is voldaan, wordt het bestand voor verdere analyse naar SophosLabs Intelix gestuurd.

2. Analyse door SophosLabs Intelix

Zodra een bestand door de Sophos Firewall als geschikt voor analyse wordt herkend, wordt het naar de Sophos Cloud geüpload, waar het analyseproces begint. SophosLabs Intelix gebruikt machine learning, sandboxing en dreigingsonderzoek om het bestand op mogelijke risico’s te onderzoeken. Het bestand wordt uitgevoerd in een geïsoleerde omgeving die verschillende besturingssystemen simuleert, zodat het onder realistische omstandigheden wordt getest zonder je systeem in gevaar te brengen.

Beschikbare datacenters:

  • Azië-Pacific (Sydney, Tokyo)
  • Europa (Frankfurt, London)
  • Verenigde Staten

Als er geen specifieke regio wordt geselecteerd, gebruikt het systeem het dichtstbijzijnde datacenter op basis van latency.

3. Sandboxanalyse

Het eerste analysehulpmiddel dat wordt ingezet, is machine learning. SophosLabs Intelix gebruikt meerdere modellen om eigenschappen en wereldwijde reputatie van het bestand te beoordelen. Het bestand wordt vergeleken met miljoenen bekende veilige en schadelijke bestanden om mogelijke kwaadaardigheid vast te stellen.

Na deze beoordeling doorloopt het bestand een sandboxanalyse die dynamische en statische technieken gebruikt. Daarbij worden bestandstoegang, geheugen- en registry-manipulaties en netwerkactiviteiten bewaakt. Daarnaast worden Deep Learning voor exploitdetectie en CryptoGuard voor herkenning van ransomwaregedrag gebruikt. Deze stap beschermt het netwerk tegen zero-daydreigingen zoals ransomware en gerichte aanvallen.

Tijdens de uitvoering in de sandbox bewaakt Sophos continu verschillende parameters om mogelijk schadelijk gedrag te herkennen. Daaronder vallen:

  • Onverwachte netwerkactiviteiten
  • Manipulaties aan het besturingssysteem
  • Pogingen om toegang tot gevoelige data te krijgen
  • Zelfreplicatie of ander virusachtig gedrag

Dit grondige analyseproces kan enkele minuten duren. Daardoor kan het gebeuren dat een download tot 15 minuten wordt vertraagd totdat de analyse is afgerond.

Naast de technische analyse voert SophosLabs Intelix een reputatieanalyse uit. Deze analyse beoordeelt hoe wijdverspreid het bestand is en hoe het in het verleden door andere securityoplossingen is behandeld. Dat helpt om het risico beter in te schatten.

Blokkeren of vrijgeven: Op basis van de resultaten van de sandboxanalyse wordt het bestand vrijgegeven of geblokkeerd. Als het bestand als veilig wordt beoordeeld, kan de gebruiker het direct downloaden. Anders wordt het geblokkeerd en wordt de administrator over de dreiging geïnformeerd.

4. Rapport maken

Na afronding van de analyse wordt een gedetailleerd rapport gemaakt dat de resultaten van de verschillende analysestappen samenvat. Dit rapport bevat informatie zoals:

  • Downloaddetails: herkomst van het bestand, moment van de download en gebruikers die het bestand hebben gedownload.
  • Samenvatting van de analyse: overzicht van het totale resultaat van de Zero-Day Protection-analyse, de classificatie van het bestand, bijvoorbeeld schoon, verdacht of kwaadaardig, en een korte beschrijving van gevonden dreigingen.
  • Resultaten van de machine-learninganalyse: details over analyse van bestandseigenschappen, structuur en combinaties van kenmerken.
  • Detonation-resultaten van Zero-Day Protection: informatie over activiteiten die het bestand uitvoert, inclusief screenshots en details over gebruikte processen en registry-activiteit.
  • Volledige bestandsanalyse: uitgebreide details over het bestand, inclusief signatures, gebruikte certificaten, aangeroepen resources en import-/exportfuncties.
  • VirusTotal-rapport: aantal entries in de VirusTotal-database en hoeveel malwaredetectieproducten het bestand als dreiging identificeren.

Administrators kunnen de gedetailleerde rapporten van de Zero-Day Protection-analyse op elk moment bekijken om het risico beter te begrijpen. Het is ook mogelijk bestanden of e-mailberichten vrij te geven die nog in analyse zijn of waarbij een fout is opgetreden. Daarbij is voorzichtigheid nodig, omdat vrijgeven voor afronding van de analyse het risico geeft dat kwaadaardige inhoud wordt gedownload.

Losse bestanden testen

In de blogpost SophosLabs Intelix - de tool voor het herkennen van cyberdreigingen wordt uitgelegd hoe je met de online tool Sophos Intelix ook losse bestanden kunt controleren.

FAQ

Wat is Sophos Zero-Day Protection?

Sophos Zero-Day Protection is een securitymodule voor de Sophos Firewall die is ontwikkeld om nieuwe, nog onbekende dreigingen te herkennen en te blokkeren. De module gebruikt geavanceerde technologie zoals machine learning, sandboxing en dreigingsonderzoek om verdachte bestanden en e-mailbijlagen te analyseren en te beoordelen.

Hoe werkt Zero-Day Protection?

Zodra een verdacht bestand of een e-mailbijlage het netwerk binnenkomt, wordt het naar SophosLabs Intelix(TM) gestuurd voor analyse. Daar doorloopt het bestand een analyse in meerdere stappen, waaronder machine learning en sandboxing. Het systeem onderzoekt het bestand op verdacht gedrag en blokkeert het wanneer het als gevaarlijk wordt beoordeeld.

Welke soorten bestanden worden door Zero-Day Protection geanalyseerd?

Zero-Day Protection analyseert vooral uitvoerbare bestanden, scripts, documenten en archieven. Daaronder vallen formaten zoals .exe, .dll, .pdf, .docx, .xlsx, .zip, .rar en veel meer. Alleen bestanden kleiner dan 10 MB worden geanalyseerd.

Hoe wordt de analyse van verdachte bestanden uitgevoerd?

De analyse verloopt in meerdere stappen. Eerst wordt het bestand door de antivirus-engine gescand. Als het bestand geen bekende dreigingen bevat, maar toch verdacht lijkt, wordt het voor verdere analyse naar een sandbox gestuurd. Daar wordt het in een geïsoleerde omgeving uitgevoerd en op schadelijk gedrag bewaakt.

Hoe lang duurt de analyse door Zero-Day Protection?

De analyse duurt meestal ongeveer vijf minuten, maar kan afhankelijk van bestandsgrootte en complexiteit tot tien minuten duren. Voor bestanden die al eerder zijn geanalyseerd, kan de analysetijd door caching minder dan een seconde bedragen.

Worden mijn gegevens veilig verwerkt?

Alle bestanden die voor analyse naar SophosLabs Intelix(TM) worden gestuurd, worden via een versleutelde SSL-verbinding verzonden en asymmetrisch versleuteld op de servers opgeslagen. De bestanden worden alleen voor de duur van de analyse ontsleuteld en verwerkt.

In welke datacenters worden mijn bestanden geanalyseerd?

Je kunt het datacenter kiezen waarin je bestanden worden geanalyseerd. Beschikbare regio’s zijn onder meer Azië-Pacific (Sydney, Tokyo), Europa (Frankfurt, London) en de Verenigde Staten. Als je geen specifieke regio selecteert, gebruikt het systeem het dichtstbijzijnde datacenter op basis van latency.

Welke bescherming biedt Zero-Day Protection tegen ransomware?

Zero-Day Protection bevat functies voor herkenning van ransomware, inclusief dynamische analyses die verdacht gedrag zoals realtime versleuteling van bestanden bewaken. Het systeem gebruikt daarnaast CryptoGuard om ransomwareaanvallen te herkennen en te stoppen.

Kun je zien welke bestanden door Zero-Day Protection zijn geanalyseerd?

Ja. In de Sophos Firewall is er een speciale weergave waarin alle bestanden en e-mailbijlagen worden getoond die door Zero-Day Protection zijn geanalyseerd. Hier kun je rapporten bekijken met details over de analyse en de bijbehorende securitybeoordelingen.