Przejdz do tresci
Avanet
Sophos NDR – Eliminowanie martwych punktów w sieci

Sophos NDR – Eliminowanie martwych punktów w sieci

28. CZERWCA 2023

W moich ostatnich artykułach pisałem o Sophos Managed Detection and Response (MDR). Począwszy od zmiany nazwy MTR na MDR, aż po nowe i potężne dodatki, aby móc dodatkowo integrować dane telemetryczne innych firm.

Kto przeczytał te dwa artykuły, z pewnością zrozumiał, że Sophos MDR to niezastąpiona usługa do ochrony firmy przed atakami sieciowymi i cyberprzestępczością. W rzeczywistości jest to jednak dopiero początek.

Nie zrozumcie mnie źle – z Sophos MDR naprawdę zrobiliście już bardzo wiele dla bezpieczeństwa swojej sieci! Agent Sophos działa (mamy nadzieję) na każdym komputerze i serwerze, a Wasz Sophos Firewall jest połączony poprzez Synchronized Security i wysyła logi do Data Lake. Ponadto powierzyliście monitoring i reagowanie zespołowi Sophos MDR (Sophos X-Ops), który czuwa 24 godziny na dobę, 7 dni w tygodniu. Brawo! 👏

Używasz firewalla od innego producenta? Żaden problem. Dzięki nowym integracjom, z dodatkiem MDR Firewall możesz również podłączyć urządzenia Palo Alto Networks, Fortinet, Check Point, Cisco lub SonicWall.

Martwe punkty w zasięgu wzroku

Jednakże, mimo że połączenie firewalla i Sophos Managed Detection and Response stanowi absolutnie wymarzony duet do zabezpieczenia sieci firmowej, nadal pozostają pytania bez odpowiedzi, które spędzają sen z powiek sumiennemu administratorowi IT:

  • Jak mogę chronić nasze urządzenia IoT, terminale POS, drukarki, cienkie klienty, telewizory Smart TV itp., na których nie można zainstalować agenta Sophos?
  • Jak mogę monitorować ruch sieciowy za naszym firewallem?
  • Jak mogę monitorować i analizować zachowanie wewnętrznych użytkowników?
  • Jak mogę śledzić ruch danych w sieci?
  • Jak mogę regularnie inwentaryzować zasoby w naszej sieci?
  • Jak mogę wykryć nowe lub nieautoryzowane systemy w naszej sieci?
  • Jak uzyskać wgląd w zaszyfrowany ruch danych w naszej sieci?

Wszystkie te ważne pytania mogą zostać faktycznie udzielone przez Sophos Network Detection and Response (NDR). NDR dodaje kluczowy czynnik do linii obrony. Za pomocą zapory kontrolujesz ruch wchodzący i wychodzący z sieci firmowej, a dzięki Intercept X Advanced i usłudze MDR można wykrywać podejrzane zachowania na punktach końcowych i serwerach (na których zainstalowany jest agent Sophos). Ale co z ruchem w całym środowisku?

Atakujący robią wszystko, aby uniknąć wykrycia, a unikanie wykrycia jest znaną taktyką w ramach MITRE ATT&CK® na poziomie systemu. Exploity mogą na przykład ukrywać się przed rozwiązaniami EDR, a atakujący mogą wyłączać i usuwać dzienniki systemowe. Nie da się jednak uniknąć faktu, że atakujący musi poruszać się w sieci. I to właśnie sensor NDR firmy Sophos będzie rejestrował, bez względu na to, jak cicho i ostrożnie postępuje atakujący. Każde działanie pozostawia ślady.

Czym jest Sophos NDR?

Sophos Network Detection and Response (NDR) jest oferowane jako wirtualne urządzenie, które pasywnie monitoruje cały ruch sieciowy przez port SPAN. Wszystko, co jest rejestrowane przez ten port, podlega wykrywaniu zagrożeń w czasie rzeczywistym na podstawie pięciu podstawowych algorytmów dostarczonych z NDR.

Technologię stojącą za NDR Sophos nabył już w lipcu 2021 roku poprzez przejęcie firmy „Braintrace”. Braintrace opracowała maszynę wirtualną, która była w stanie monitorować ruch sieciowy za pomocą pięciu podstawowych algorytmów i w ten sposób rozróżniać między złośliwymi a łagodnymi działaniami.

Gdy zagrożenie zostanie wykryte na podstawie tych pięciu podstawowych algorytmów, jest ono przekazywane do Sophos Data Lake, klasyfikowane i oceniane. Generowane są przypadki, które analizuje i waliduje zespół Sophos Threat Response. Informacje z czujnika NDR mogą być również korelowane z informacjami z innych czujników, takich jak funkcje tożsamości, poczty e-mail oraz sieci i firewalli.

Pięć podstawowych algorytmów NDR

Przyjrzyjmy się bliżej pięciu potężnym algorytmom, które Sophos NDR udostępnia nam:

ndr-detection-engines

Encrypted Payload Analytics (EPA)

Ten silnik może wykrywać złośliwe oprogramowanie nawet w zaszyfrowanym ruchu danych, gdzie w przeciwnym razie często może pozostawać ukryte.

Algorytm generowania domeny (DGA)

Ten silnik pomaga wykrywać komunikację z serwerami dowodzenia i kontroli (C2) oraz innymi złośliwymi domenami, nawet bez znanych danych o zagrożeniach.

Session Risk Analytics (SRA)

Zidentyfikuj anomalne cechy w ruchu sieciowym, takie jak samodzielnie podpisane certyfikaty lub użycie niestandardowych portów. Wraz z innymi nieoczekiwanymi/podejrzanymi działaniami, cechy te wskazują na wysokie ryzyko, które należy zbadać.

Data Detection Engine (DDE)

Ten silnik ma za zadanie pomagać w wykrywaniu systemów w sieci, które nie są zarządzane przez Sophos. Pomaga to z jednej strony identyfikować luki w zasięgu autoryzowanych urządzeń, a z drugiej – wykrywać nieautoryzowane, potencjalnie złośliwe systemy lub urządzenia.

Deep Packet Inspection (DPI)

Dzięki dogłębnej inspekcji pakietów można przeszukiwać sieć pod kątem konkretnych wskaźników kompromitacji. Może to być na przykład komunikacja z serwerem dowodzenia i kontroli (C2) lub podejrzany adres IP, który nie powinien znajdować się w Twojej sieci.

Co jest potrzebne do Sophos NDR?

Sophos NDR jest obecnie dostępny tylko jako integracja MDR. Oznacza to, że potrzebujesz aktywnej licencji MDR, aby w ogóle móc skonfigurować NDR. Od połowy lipca klienci XDR mają również możliwość bezpłatnego przetestowania NDR w ramach programu Early Access.

Jak już wyjaśniono powyżej, sensor Sophos NDR (kolektor logów) działa na maszynie wirtualnej (VM). Tam zbierane są dane i przekazywane do Sophos Data Lake. Obecnie Sophos NDR obsługuje “VMware ESXi 6.7” lub nowszy oraz “Microsoft Hyper-V 6.0.6001.18016 (Windows Server 2016)” lub nowszy.

Wypróbuj Sophos NDR

Czy przekonałem Was tym wpisem na blogu o zaletach i jakościach rozwiązania Sophos NDR, a przynajmniej wzbudziłem ciekawość? Klienci posiadający licencję MDR lub XDR mogą od połowy lipca zarejestrować się do Programu Early Access Sophos, aby bezpłatnie przetestować NDR. EAP ma być aktywne według Sophos od lipca do listopada 2023 r.

Jeśli nie korzystasz jeszcze z licencji XDR lub MDR i chciałbyś wypróbować Sophos NDR, po prostu zamów je wygodnie w naszym sklepie internetowym:

Dokładne kroki, aby dodać NDR jako integrację w Central, skonfigurować, pobrać i wdrożyć obraz na maszynie wirtualnej, można znaleźć w następującej instrukcji Sophos: Konfiguracja Sophos NDR

Materiały informacyjne

Sophos Network Detection and Response (NDR) – Przewodnik szybkiego startu EAP

Sophos Network Detection and Response (NDR) – Karta danych

Sophos Network Detection and Response (NDR) – Krótki opis

Sophos Network Detection and Response (NDR) – Whitepaper

David

David

David odpowiada w Avanet za tresc, strukture i wdrozenie cyfrowe. Koncentruje sie na jasnym, precyzyjnym i przyjaznym dla wyszukiwarek opracowywaniu zlozonych tematow technicznych.