Sophos Firewall Zero-Day Protection rozumie i obsługuje
Sophos Firewall Zero-Day Protection analizuje podejrzane pliki do pobrania i załączniki do wiadomości e-mail za pośrednictwem SophosLabs Intelix. Zapora wysyła odpowiednie, ryzykowne pliki do usługi w chmurze, gdzie współdziałają uczenie maszynowe, reputacja, analiza piaskownicy i badanie zagrożeń. Celem jest nie tylko blokowanie znanego złośliwego oprogramowania, ale także lepsza klasyfikacja nowych lub nietypowych plików.
Ważne dla administratorów: Zero-Day Protection nie zastępuje czystych reguł, ochrony sieci, Mail Protection, TLS Inspection, rejestrowania ani ochrony punktów końcowych. Funkcja stanowi dodatkowy moduł zabezpieczający i analityczny. Jest to szczególnie przydatne, gdy pliki trafiają do sieci poprzez pliki do pobrania z Internetu lub załączniki do wiadomości e-mail, a klasyczne podpisy nie dają jeszcze jednoznacznej decyzji.
Który element zabezpieczający pasuje?
Zero-Day Protection odpowiada przede wszystkim na pytanie, w jaki sposób analizowane są podejrzane pliki. W zależności od problemu lepiej zacząć od dostępu do sieci, przepływu poczty, ataków sieciowych, ruchu szyfrowanego lub oceny:
- Sprawdź podejrzane pliki do pobrania lub załączniki do wiadomości e-mail za pomocą Intelix: Ten artykuł.
- Zaplanuj kategorie internetowe, grupy adresów URL, filtr SafeSearch lub reguły pobierania: Sophos Firewall Skonfiguruj ochronę sieci za pomocą zasad sieciowych.
- Uwidocznij ruch HTTPS i odpowiednio zaplanuj wyjątki: Sophos Firewall TLS Inspection wprowadź poprawnie.
- Rozprowadź certyfikat CA do skanowania HTTPS wśród klientów: Sophos Firewall Zainstaluj certyfikat CA do skanowania HTTPS.
- Sprawdź ruch e-mail w trybie MTA i obsługuj Mail Protection: Sophos Firewall skonfiguruj Mail Protection w trybie MTA.
- Blokuj exploity i wzorce ataków w ruchu sieciowym: Skonfiguruj Sophos Firewall IPS i przetestuj go bezpiecznie.
- Obsługuj złośliwe adresy IP, domeny lub adresy URL za pomocą list IoC: Sophos Firewall Bezpiecznie konfiguruj i obsługuj źródła zagrożeń.
- Klasyfikuj ocenę NDR, aktywną reakcję na zagrożenia, XDR, MDR lub SIEM: Sophos Firewall Obsługuj NDR i aktywną reakcję na zagrożenia.
- Opis nieoczekiwanych upuszczeń lub blokad: Sophos Firewall analizuj upuszczone pakiety.
To oddzielenie zapobiega fałszywym oczekiwaniom: Zero-Day Protection ocenia pliki, ale nie zastępuje zasad sieciowych, żadnego IPS, żadnego planowania przekazywania poczty i żadnej centralnej oceny dziennika. Najlepsza ochrona występuje tylko wtedy, gdy warstwy plików, sieci, poczty, sieci i rejestrowania pasują do siebie.
Gdzie Zero-Day Protection pomaga w praktyce
Zero-Day Protection jest szczególnie istotny w następujących scenariuszach:
- Użytkownicy pobierają pliki wykonywalne, archiwa lub dokumenty z Internetu.
- Załączniki wiadomości e-mail należy dokładniej sprawdzić przed dostarczeniem lub udostępnieniem.
- Plik nie jest jeszcze całkowicie znany, ale wydaje się podejrzany.
- Pobieranie powinno być nie tylko skanowane lokalnie, ale także monitorowane w piaskownicy.
- Incydent związany z bezpieczeństwem należy lepiej ocenić na podstawie szczegółowego raportu.
Ta funkcja dobrze pasuje do wielopoziomowego modelu bezpieczeństwa: Reguły zapory ogniowej ograniczają dozwolony ruch, TLS Inspection umożliwiają lepszą kontrolę zaszyfrowanego ruchu sieciowego, Ochrona sieci i Mail Protection oceniają zawartość, a Zero-Day Protection uzupełnia te kontrole analizą w chmurze i raportami piaskownicy.
Wymagania i ograniczenia
Zero-Day Protection działa sensownie tylko wtedy, gdy aktywne są odpowiednie moduły i zasady ochrony. Czysta reguła Allow bez odpowiednich profili zabezpieczeń nie zapewnia takiej samej ochrony. W zależności od obszaru zastosowania należy zatem świadomie zaplanować ochronę sieci, Mail Protection, skanowanie złośliwego oprogramowania, SSL/TLS Inspection i logowanie.
Ważne ograniczenia w działaniu:
- Zapora nie wysyła do firmy Intelix wszystkich typów plików, lecz głównie ryzykowne typy plików.
- Wiele niezagrażających typów plików, na przykład typowe formaty obrazów, nie jest wysyłanych do detonacji.
- Wyjątki mogą wykluczyć pliki z analizy i w ten sposób zmniejszyć efekt ochrony.
- Analityka w chmurze wymaga połączenia z usługami Sophos i może opóźniać pobieranie.
- Udostępnienie przed zakończeniem analizy może ujawnić złośliwą zawartość.
- Zero-Day Protection nie zastępuje wykrywania i reagowania w punktach końcowych, żadnego MDR ani czystej reakcji na incydenty.
Jeśli zapora sieciowa niewiele widzi, ponieważ HTTPS nie zostało odszyfrowane lub reguły działają bez profili zabezpieczeń, Zero-Day Protection również pozostaje ograniczony. Artykuł Sophos Firewall Logi: Która funkcja zapisuje do jakiego logu? pomoże Ci w przypisaniu logów i modułów.
Włącz w regułach zapory
W przypadku pobierania z Internetu nie wystarczy, że Zero-Day Protection ma ogólną licencję. Odpowiednia reguła zapory sieciowej musi faktycznie kierować ruch sieciowy i aktywować niezbędne opcje skanowania sieci.
Typowa ścieżka to:
Rules and policies > Firewall rules
W regule internetowej klienta, której dotyczy problem, powinieneś sprawdzić:
- Source zone, Source network, Destination zone i Services odpowiadają ruchowi testowemu.
- Log firewall traffic jest aktywny.
- W obszarze Filtrowanie sieci wybrano odpowiednią politykę sieciową.
- Scan HTTP and decrypted HTTPS jest aktywny.
- Use zero-day protection jest aktywny.
- W przypadku pobrań HTTPS TLS Inspection jest zaplanowane i obowiązuje dla ruchu testowego.
- QUIC/HTTP/3 nie pomija oczekiwanej ścieżki audytu HTTPS.
- Wyjątki internetowe nie pomijają w sposób niezamierzony skanowania złośliwego oprogramowania, sprawdzania zasad ani analizy ochrony typu zero-day.
Nie gwarantuje to, że każde pobranie będzie widoczne w widoku ochrony typu zero-day. Znane pliki, niekrytyczne typy plików lub pliki do pobrania poza sprawdzoną ścieżką można wcześniej ocenić inaczej. Aby uzyskać akceptację, należy zatem nie tylko sprawdzić, czy pole wyboru jest aktywne, ale także czy konkretne pobranie można prześledzić w Log Viewer, dzienniku sieciowym, dzienniku kontroli SSL/TLS oraz w Downloads and attachments.
Ważne: Scan HTTP and decrypted HTTPS skanuje HTTP i już odszyfrowany ruch HTTPS. Opcja nie włącza automatycznie deszyfrowania HTTPS. W konfiguracjach DPI wymaga to odpowiedniego Rules and policies > SSL/TLS inspection rules; w ścieżce serwera proxy sieci Web, istotne jest Odszyfruj HTTPS podczas filtrowania serwera proxy sieci Web. Bez tej widoczności Zero-Day Protection widzi mniej plików zaszyfrowanych, mimo że reguła zapory wygląda formalnie poprawnie.
Gdzie Zero-Day Protection ma zastosowanie
Zero-Day Protection nie należy rozpatrywać oddzielnie. Funkcja staje się istotna tylko wtedy, gdy plik faktycznie przebiega przez odpowiednią ścieżkę ochrony.
Typowe ścieżki:
- Pobieranie z Internetu: Wcześniej musi zacząć obowiązywać odpowiednia reguła zapory sieciowej, ochrona sieci, Scan HTTP and decrypted HTTPS, Use zero-day protection i HTTPS, często TLS Inspection. Możesz sprawdzić dziennik sieciowy, dziennik inspekcji SSL/TLS oraz widok plików do pobrania i załączników.
- Załącznik do wiadomości e-mail: Przepływ poczty musi przejść przez Mail Protection, posiadać odpowiednie zasady dotyczące załączników i sprawdzić złośliwe oprogramowanie. Możesz kontrolować dzienniki poczty, kwarantannę oraz widok pobranych plików i załączników.
- Status wydania lub błędu: Raport nie został jeszcze ukończony lub analiza nie powiodła się. Następnie liczy się proces wydania, kontekst użytkownika, skrót i inne logi.
- Brak widoczności: Ruch nie przechodzi przez ścieżkę ochrony lub typ pliku nie ma znaczenia. Następnie najpierw sprawdź regułę zapory, politykę, TLS, przepływ poczty i typ pliku.
Dlatego w przypadku pobierania z Internetu ważne jest przede wszystkim, czy w regule zapory jest aktywna prawidłowa Zasada sieciowa. W przypadku załączników do wiadomości e-mail przepływ poczty naprawdę musi przebiegać przez Mail Protection w MTA Mode lub porównywalną sprawdzoną ścieżkę. Jeśli tylko normalna reguła Allow zezwala na ruch, nie powinieneś oczekiwać pełnej analizy plików od Zero-Day Protection.
Zachowaj szczególną ostrożność w przypadku wyjątków internetowych. Wyjątek może spowodować pominięcie odszyfrowywania, skanowania złośliwego oprogramowania i zawartości, Zero-Day Protection lub sprawdzania zasad pod kątem pasującego ruchu w trybie DPI i proxy. Wyjątki należy zatem sformułować wężniej niż rzeczywista zasada ochrony i porównać z Log Viewer, dziennikiem inspekcji SSL/TLS i rzeczywistym pobraniem.
Przebieg analizy
1. Wykrywanie na zaporze ogniowej
Plik przechodzi przez zaporę sieciową po pobraniu lub jako załącznik do wiadomości e-mail. Jeśli polityka, typ pliku i kontekst są zgodne, plik jest oznaczony jako Zero-Day Protection. Znane, wyraźnie sklasyfikowane pliki mogą być wcześniej ocenione przez inne moduły zabezpieczające.
Drugie przekazanie do SophosLabs Intelix
Kwalifikujące się pliki są wysyłane do usługi SophosLabs Intelix za pośrednictwem szyfrowanego połączenia. Tam plik jest nie tylko sprawdzany pod kątem znanych wzorców, ale także oceniany na kilku poziomach analizy.
3. Uczenie maszynowe i reputacja
SophosLabs Intelix ocenia cechy, strukturę, globalną reputację i podobieństwo do znanych, dobrych i złych plików. Jest to szczególnie przydatne w przypadku nowych plików, które nie były jeszcze powszechnie widoczne.
4. Analiza piaskownicy
Analiza piaskownicy sprawdza plik w izolowanym środowisku. Ocena łączy analizę dynamiczną i statyczną, głębokie uczenie się, wykrywanie exploitów, CryptoGuard i monitorowanie plików, pamięci masowej, rejestru i działań sieciowych. Dla administratorów termin marketingowy jest mniej ważny niż pytanie: Do czego właściwie plik miał służyć?
5. Decyzja i raport
Na końcu znajduje się ocena, na przykład czysta, prawdopodobnie czysta, podejrzana, złośliwa lub PUA. W zależności od wyniku plik jest zwalniany, blokowany lub pozostaje widoczny z błędem lub stanem analizy. Raport pomaga jasno uzasadnić zwolnienie, blokadę lub dalsze kroki w odpowiedzi na incydent.
Poprawnie odczytaj raporty
Przegląd można znaleźć w Sophos Firewall pod Monitor & analyze > Zero-day protection > Downloads and attachments. Możesz tam zobaczyć dane dotyczące aktywności podejrzanych pobrań i załączników do wiadomości e-mail, status analizy, szczegóły raportu i opcje udostępniania.
Nie powinieneś po prostu wyszukiwać nazwy pliku na liście. Pomocne są filtry oparte na okresie, użytkowniku, źródle, statusie i komponencie. Technicznie rzecz biorąc, zdarzenia ochrony typu zero-day pojawiają się w raportach, a Syslog jako osobny typ dziennika; w zależności od ścieżki komponentem jest Web lub Poczta, a podtypami mogą być np. Dozwolone, Odmowa lub Oczekujące. To sprawia, że korelacja z SIEM lub Central Reporting jest czystsza.
Stan wykrywania zapewnia krótki przegląd postępu analizy. Aby uzyskać pełną ocenę, zamiast po prostu czytać wpis na liście, otwórz Wyświetl raport lub Pokaż raport. Zwłaszcza w przypadku Pending, statusu błędu lub późniejszej wersji, szczegółowy raport jest podstawą decyzji.
Raport może zawierać między innymi następujące obszary:
- Szczegóły pobierania: Źródło, czas i użytkownik, którego to dotyczy.
- Podsumowanie analizy: Ogólna ocena pliku.
- Analiza uczenia maszynowego: Funkcje, struktura i ocena ML.
- Analiza reputacji: Ocena na podstawie dystrybucji globalnej.
- Wyniki detonacji: Zachowanie pliku podczas wykonywania piaskownicy.
- Pełna analiza plików: Podpisy, certyfikaty, zasoby, importy i eksporty.
- Raport VirusTotal: dodatkowa sytuacja detekcji zewnętrznej.
Jeśli chodzi o podejrzany plik, nie powinieneś patrzeć tylko na jego ostateczny status. Istotne są również źródło, użytkownik, nazwa pliku, docelowy adres URL, zachowanie procesu, aktywność sieciowa i to, czy inne systemy widziały ten sam plik do pobrania. Jeśli doprowadzi to do zdarzenia, raport należy połączyć z dziennikami punktów końcowych, poczty, sieci i zapory sieciowej.
Proces dotyczący podejrzanego raportu
Trafienie w ochronę typu zero-day należy traktować jak mały przypadek bezpieczeństwa, a nie jak zwykły blok filtra sieciowego.
Proces praktyczny:
- Otwórz raport i stan zapisu, nazwa pliku, źródło, użytkownik, czas i ocena.
- Sprawdź, czy było to pobieranie z Internetu, załącznik do wiadomości e-mail lub inna ścieżka.
- Porównaj dzienniki sieci, poczty i zapory sieciowej z tego samego okresu.
- Jeśli występuje, sprawdź zdarzenia punktu końcowego lub EDR dla klienta, którego dotyczy problem.
- Hash pliku dokumentu, nadawca, adres URL lub domena.
- Zdecyduj, czy jest to fałszywy alarm, zablokowany atak, nierozwiązane podejrzenie czy incydent.
- Rozważ wydanie tylko wtedy, gdy istnieje zrozumiały powód biznesowy.
- Udokumentuj decyzję i, jeśli to konieczne, uzyskaj grupę adresów URL, zasady poczty, źródło zagrożeń lub miarę punktu końcowego.
Kiedy wielu użytkowników widzi ten sam plik lub domenę, pojedyncza decyzja często nie wystarcza. Następnie należy sprawdzić, czy konieczne jest dostosowanie zasad sieciowych, reguł dotyczących poczty, wpis w kanale zagrożeń lub reakcja na incydent.
Udostępnij pliki
Sophos Firewall umożliwia udostępnianie tylko plików lub wiadomości e-mail, które są nadal analizowane lub zostały zwrócone ze statusem błędu. Takie wydanie może być konieczne w przypadku zablokowania procesu biznesowego. Jednak nie nadaje się jako normalne obejście.
Przed wydaniem powinieneś przynajmniej sprawdzić:
- Czy źródło jest godne zaufania i oczekiwane?
- Czy skonsultowano się z użytkownikiem lub działem w sprawie kontekstu?
- Czy istnieje skrót, nazwa pliku lub nadawca, który można dodatkowo sprawdzić?
- Czy istnieją dzienniki punktów końcowych lub poczty dla tego samego procesu?
- Czy plik można sprawdzić w izolowanym środowisku lub za pomocą osobnego narzędzia do analizy?
- Czy udokumentowano, kto zdecydował się go opublikować i z jakiego powodu?
⚠️ Udostępnienie przed zakończeniem analizy może spowodować pobranie lub dostarczenie złośliwej zawartości. W środowiskach produkcyjnych decyzja ta powinna zostać udokumentowana i nie powinna być przekazywana rutynowym czynnościom pierwszego poziomu.
Analiza jest kontynuowana po wydaniu. Jest to ważne dla operacji: udostępniony plik może później zostać oceniony jako podejrzany lub szkodliwy. Dlatego powinieneś sprawdzić wydania i, jeśli później otrzymasz słabą ocenę, ponownie połączyć dzienniki punktów końcowych, poczty, sieci i zapory sieciowej.
W przypadku pojedynczych plików dodatkową pomoc można znaleźć w poście na blogu Avanet SophosLabs Intelix - Narzędzie do wykrywania zagrożeń cybernetycznych. Nie zastępuje to jednak oceny w konkretnym kontekście sieci i użytkownika.
Centrum danych i ochrona danych
Możesz określić centrum danych do analizy w Monitor & analyze > Zero-day protection > Protection settings. Domyślnie Sophos Firewall wybiera najbliższe centrum danych. Alternatywnie możesz świadomie wybrać centrum danych.
To ustawienie jest szczególnie ważne, jeśli ważną rolę odgrywa ochrona danych, miejsce przechowywania danych lub specyfikacje wewnętrzne. Zmiana w centrum danych może mieć wpływ na bieżące analizy. Dlatego też ustawienie nie powinno być zmieniane podczas ostrej analizy, ale powinno zostać zaplanowane i udokumentowane.
Używaj wyjątków ostrożnie
W ustawieniach ochrony możesz wykluczyć typy plików z analizy ochrony zero-day. Wykrywanie typu pliku opiera się na rozszerzeniu pliku i nagłówku MIME. Można również wykluczyć archiwa zawierające wykluczone typy plików.
Wyjątki są technicznie praktyczne, ale związane z bezpieczeństwem. Każdy wyjątek powinien mieć jasne uzasadnienie:
- Jaka aplikacja lub proces tworzy pliki?
- Dlaczego analiza jest zakłócająca lub nieprzydatna?
- Czy istnieje węższy wyjątek niż cały typ pliku?
- Czy wyjątek jest regularnie sprawdzany?
- Czy wiadomo, jaki efekt ochronny zostaje w rezultacie utracony?
Należy unikać szerokich wyjątków dla archiwów, skryptów, plików pakietu Office i plików wykonywalnych. Kiedy Zero-Day Protection zakłóca prawidłowy proces, pierwszym krokiem jest często sprawdzenie polityki, ścieżki źródłowej, grupy użytkowników, której dotyczy problem, lub alternatywnego wdrożenia.
Regularnie sprawdzaj zatwierdzenia i wyjątki
Zero-Day Protection to nie tylko funkcja włączania zasilania. Rzeczywista wartość operacyjna powstaje w wyniku regularnej kontroli raportów, zatwierdzeń i wyjątków. W przeciwnym razie ryzykowne decyzje pozostaną aktywne przez długi czas, mimo że pierwotny powód biznesowy już dawno zniknął.
Poniższe punkty są szczególnie pomocne w przypadku przeglądu:
- Wydany plik: Sprawdź przyczynę wydania, użytkownika lub dział, którego to dotyczy, skrót, źródło pliku, datę wygaśnięcia i późniejszą ocenę.
- Wyjątek typu pliku: Sprawdź aplikację, właściciela, datę przeglądu, bliższą alternatywę i ryzyko dla archiwów, skryptów lub plików pakietu Office, których dotyczy problem.
- Status błędu powtarzającego się: Sprawdź łączność Sophos, rozmiar pliku, typ pliku, zasady, centrum danych i ewentualną sprawę wsparcia.
- Wiele trafień z jednego źródła: Sprawdź politykę internetową lub pocztową, adres URL, nadawcę, grupę użytkowników, kanał zagrożeń, grupę adresów URL lub listę zablokowanych.
Wyjątek nie jest normalnym czyszczeniem reguły zapory. Takie wpisy powinny mieć właściciela, powód i datę recenzji. W przypadku wydań cyklicznych należy także porównać dzienniki punktów końcowych, poczty, sieci i zapory sieciowej, aby pojedynczy wyjątek nie przerodził się w trwałe obejście niezauważone.
Rozwiązywanie problemów
Nie widać żadnych wpisów
Jeśli w polu Downloads and attachments nie pojawiają się żadne wpisy, należy najpierw sprawdzić, czy ruch faktycznie przechodzi przez odpowiednią regułę zapory sieciowej i profil zabezpieczeń. W przypadku pobierania z Internetu szczególnie istotne są Scan HTTP and decrypted HTTPS i Use zero-day protection w regule zapory sieciowej. W przypadku ruchu HTTPS brak TLS Inspection może wyjaśnić, dlaczego zapora widzi mniej treści. Następnie sprawdź ustawienia sieci, poczty, złośliwego oprogramowania i dnia zerowego.
Dodatkowo powinieneś sprawdzić, czy wyjątek sieciowy wyklucza odpowiedni ruch z deszyfrowania, skanowania złośliwego oprogramowania i treści lub Zero-Day Protection. Jeśli wystąpi wyjątek, konfiguracja ochrony typu zero-day może wyglądać poprawnie, ale nadal nie generować wpisu.
Do testowania nie należy tworzyć fałszywych oczekiwań w przypadku plików, które są już znane lokalnie lub globalnie. Jeśli moduły reputacji lub inne moduły ochrony już wyraźnie oceniają plik, nie musi być koniecznie widoczna kompletna nowa analiza w piaskownicy. W przypadku testów akceptacyjnych okno czasowe, klient testowy, Rule ID, adres URL, nazwa pliku i skrót są ważniejsze niż jedno pobranie przeglądarki bez korelacji dziennika.
Pobieranie trwa zbyt długo
Analiza w piaskownicy może zająć trochę czasu. Jeśli użytkownicy regularnie czekają przez długi czas, należy sprawdzić, czy analizowanych jest wiele dużych lub często zmieniających się plików, czy procesy, których to dotyczy, są uzasadnione i czy uzasadniony jest wąski wyjątek techniczny. Całkowita dezaktywacja jest zwykle złym pierwszym krokiem.
Wiele fałszywych alarmów
W przypadku powtarzających się fałszywych alarmów sprawdź szczegóły raportu, źródło pliku, skróty, reputację, dotkniętych użytkowników i aplikację. Tylko wtedy, gdy wzorzec jest zrozumiały, należy ustawić wyjątki. W przypadku list bloków dynamicznych i operacji IOC tematem pokrewnym jest Sophos Firewall Bezpieczne konfigurowanie i obsługa źródeł zagrożeń.
Zażądano wydania
Zwolnienie należy traktować jako decyzję dotyczącą bezpieczeństwa. Jeśli wydział zgłasza jedynie „pilne”, to nie wystarczy. Potrzebujesz źródła, celu, pliku, użytkownika, oceny ryzyka i udokumentowanej decyzji.
Operacyjna lista kontrolna
- Zero-Day Protection License and module status checked.
- Zasady dotyczące sieci i poczty kontrolowane za pomocą skanowania pod kątem złośliwego oprogramowania i zabezpieczeń.
- Sprawdzono w regułach zapory sieciowej Scan HTTP and decrypted HTTPS i Use zero-day protection.
- TLS Inspection lub zaplanowane odszyfrowanie serwera proxy sieci Web, w przypadku którego należy dokładnie sprawdzić zaszyfrowane pliki do pobrania z Internetu.
- Sprawdzono wyjątki internetowe pod kątem niezamierzonych obejść typu zero-day.
- Centrum danych wybrane celowo do analizy lub udokumentowane standardowo.
- Brak ogólnych wyjątków dotyczących typów plików bez właściciela i daty przeglądu.
- Regularnie sprawdzany jest widok plików do pobrania i załączników.
- Zdefiniowano proces zwalniania dla przeanalizowanych lub uszkodzonych plików.
- Raporty skorelowane z dziennikami punktów końcowych, poczty, sieci i zapory sieciowej.
- Syslog, Central Reporting lub SIEM für längere Nachvollziehbarkeit berücksichtigt.