Przejdz do tresci
Avanet

Jak działa Zero-Day Protection w Sophos Firewall

Sophos Firewall

Zero-Day Protection to moduł bezpieczeństwa Sophos Firewall, który chroni przed nowymi i wcześniej nieznanymi zagrożeniami. Podejrzane pliki są uruchamiane i analizowane w odizolowanym środowisku sandbox, zanim trafią do użytkownika. Dzięki temu firewall może wykryć i zablokować zagrożenie, zanim wyrządzi szkody w sieci.

W tym artykule wyjaśniamy, jak działa Zero-Day Protection, jakie formaty plików są obsługiwane i jakie kroki wykonuje SophosLabs Intelix podczas analizy.

1. Wykrywanie i przekazanie do analizy

Gdy plik trafia do sieci, na przykład przez pobieranie z internetu albo jako załącznik e-mail, Sophos Firewall automatycznie go rozpoznaje. Nie ma znaczenia, czy plik jest znany, czy zupełnie nowy. Jeśli spełnia wymagania analizy, firewall przekazuje go do SophosLabs Intelix, czyli usługi chmurowej Sophos.

Wymagania

Licencjonowanie: Web Protection lub E-Mail Protection musi być licencjonowane dla Sophos Firewall, ponieważ te moduły są potrzebne do prawidłowej analizy pliku.

Rozmiar pliku: Plik musi być mniejszy niż 10 MB, aby mógł zostać przetworzony przez Zero-Day Protection.

Obsługiwane formaty: Zero-Day Protection analizuje tylko określone typy plików, między innymi:

  • pliki wykonywalne (.exe, .dll)
  • dokumenty, na przykład PDF oraz formaty Microsoft Office (.docx, .xlsx)
  • archiwa ZIP, RAR i 7-Zip
  • skrypty JavaScript i VBScript
  • formaty takie jak JAR, BAT, RTF oraz skróty LNK

Pełna lista:

Archiwum 7-Zip

Archiwum ACE

Archiwum ARJ

BZIP2 skompresowany

GZIP skompresowany

ISO 9660 CD-ROM

Archiwum LHA 1.x i 2.x

Archiwum Microsoft Cabinet

Archiwum TAR

POSIX TAR

Archiwum RAR

XZ skompresowany

Archiwum ZIP

Java, pliki JAR

Dokumenty Office, formaty OLE i Open XML

Dokumenty PDF

PE, 32-bit i 64-bit, EXE i DLL

Dokumenty RTF

Skrypty JavaScript (JS/JSE/WSF), Visual Basic Script (VBS/VBE)

Pliki Windows Batch /BAT/

Skróty Windows (pliki LNK i URL)

Więcej informacji znajdziesz tutaj: Sophos KB: Zero-Day Protection albo Sophos Zero-Day Protection FAQ

Po spełnieniu tych wymagań plik zostaje wysłany do SophosLabs Intelix do dalszej analizy.

2. Analiza przez SophosLabs Intelix

Po zakwalifikowaniu pliku do analizy Sophos Firewall przesyła go do chmury Sophos. Tam SophosLabs Intelix wykorzystuje uczenie maszynowe, sandboxing i analizę zagrożeń, aby ocenić ryzyko. Plik jest uruchamiany w izolowanym środowisku symulującym różne systemy operacyjne, dzięki czemu można sprawdzić jego zachowanie bez narażania właściwej sieci.

Dostępne centra danych:

  • Azja i Pacyfik: Sydney, Tokio
  • Europa: Frankfurt, Londyn
  • Stany Zjednoczone

Jeżeli nie zostanie wybrany konkretny region, system użyje najbliższego centrum danych na podstawie opóźnienia.

3. Analiza sandbox

Pierwszym elementem analizy jest uczenie maszynowe. SophosLabs Intelix porównuje cechy i reputację pliku z milionami znanych bezpiecznych oraz szkodliwych plików, aby ocenić prawdopodobieństwo złośliwego działania.

Następnie plik przechodzi analizę sandbox, która łączy techniki dynamiczne i statyczne. Monitorowane są między innymi operacje na plikach, pamięci, rejestrze oraz aktywność sieciowa. Dodatkowo Deep Learning pomaga wykrywać exploity, a CryptoGuard identyfikuje zachowania typowe dla ransomware. Ten etap chroni sieć przed zagrożeniami zero-day, takimi jak ransomware i ataki ukierunkowane.

Podczas uruchomienia w sandboxie Sophos obserwuje między innymi:

  • nietypową aktywność sieciową
  • manipulacje w systemie operacyjnym
  • próby dostępu do wrażliwych danych
  • samoreplikację lub inne zachowania typowe dla malware

Analiza może potrwać kilka minut. W niektórych przypadkach pobieranie zostaje opóźnione nawet do 15 minut, dopóki analiza nie zostanie zakończona.

Oprócz technicznej analizy pliku SophosLabs Intelix wykonuje też analizę reputacji. Sprawdza, jak szeroko rozpowszechniony jest plik i jak był wcześniej oceniany przez inne rozwiązania bezpieczeństwa. Pomaga to lepiej oszacować ryzyko.

Blokowanie albo zwolnienie pliku: Na podstawie wyniku sandboxingu plik zostaje zwolniony albo zablokowany. Jeśli zostanie uznany za bezpieczny, użytkownik może go pobrać. Jeśli zostanie sklasyfikowany jako zagrożenie, firewall blokuje dostęp i informuje administratora.

4. Utworzenie raportu

Po zakończeniu analizy powstaje szczegółowy raport. Zawiera on między innymi:

  • Szczegóły pobierania: źródło pliku, czas pobrania i użytkowników, którzy go pobrali.
  • Podsumowanie analizy: wynik Zero-Day Protection, klasyfikację pliku i krótki opis wykrytego zagrożenia.
  • Wyniki analizy uczenia maszynowego: informacje o cechach, strukturze i kombinacjach właściwości pliku.
  • Wyniki detonacji Zero-Day Protection: aktywności wykonywane przez plik, zrzuty ekranu, procesy i operacje rejestru.
  • Pełną analizę pliku: sygnatury, certyfikaty, wywoływane zasoby oraz funkcje importu i eksportu.
  • Raport VirusTotal: liczbę wpisów w bazie VirusTotal i liczbę produktów wykrywających plik jako zagrożenie.

Administratorzy mogą przeglądać raporty Zero-Day Protection, aby lepiej ocenić ryzyko. Można też zwalniać pliki lub wiadomości e-mail, które są jeszcze analizowane albo przy których wystąpił błąd, ale należy robić to ostrożnie. Zwolnienie przed zakończeniem analizy może oznaczać pobranie złośliwej zawartości.

Testowanie pojedynczych plików

W artykule SophosLabs Intelix - narzędzie do wykrywania cyberzagrożeń opisano, jak sprawdzać pojedyncze pliki również za pomocą narzędzia online Sophos Intelix.

FAQ

Czym jest Sophos Zero-Day Protection?

Sophos Zero-Day Protection to moduł bezpieczeństwa dla Sophos Firewall, który wykrywa i blokuje nowe, wcześniej nieznane zagrożenia. Wykorzystuje uczenie maszynowe, sandboxing i analizę zagrożeń do oceny podejrzanych plików oraz załączników e-mail.

Jak działa Zero-Day Protection?

Podejrzany plik lub załącznik jest przesyłany do SophosLabs Intelix, gdzie przechodzi wieloetapową analizę. System sprawdza właściwości pliku, reputację i zachowanie w sandboxie, a następnie blokuje go, jeśli zostanie uznany za niebezpieczny.

Jakie typy plików analizuje Zero-Day Protection?

Zero-Day Protection analizuje głównie pliki wykonywalne, skrypty, dokumenty i archiwa. Obsługiwane są między innymi formaty .exe, .dll, .pdf, .docx, .xlsx, .zip i .rar. Analizowane są tylko pliki mniejsze niż 10 MB.

Jak przebiega analiza podejrzanych plików?

Najpierw plik jest skanowany przez mechanizmy antywirusowe. Jeśli nie pasuje do znanych sygnatur, ale nadal wygląda podejrzanie, trafia do sandboxa. Tam jest uruchamiany w izolowanym środowisku i monitorowany pod kątem szkodliwego zachowania.

Jak długo trwa analiza przez Zero-Day Protection?

Zwykle trwa kilka minut, ale w zależności od rozmiaru i złożoności pliku może potrwać dłużej. Pliki analizowane wcześniej mogą zostać ocenione znacznie szybciej dzięki pamięci podręcznej.

Czy moje dane są przetwarzane bezpiecznie?

Pliki przesyłane do SophosLabs Intelix są przesyłane szyfrowanym połączeniem SSL i przechowywane na serwerach w formie zaszyfrowanej. Są odszyfrowywane tylko na czas analizy.

W których centrach danych analizowane są pliki?

Można wybrać centrum danych, w którym będą analizowane pliki. Dostępne regiony to między innymi Azja i Pacyfik (Sydney, Tokio), Europa (Frankfurt, Londyn) oraz Stany Zjednoczone. Jeżeli nie wybierzesz konkretnego regionu, system użyje najbliższego centrum danych na podstawie opóźnienia.

Jakie środki ochrony przed ransomware oferuje Zero-Day Protection?

Zero-Day Protection wykorzystuje dynamiczną analizę zachowania oraz CryptoGuard, aby wykrywać działania typowe dla ransomware, takie jak masowe szyfrowanie plików. Podejrzane pliki mogą zostać zablokowane, zanim dotrą do użytkownika.

Czy można zobaczyć, które pliki zostały przeanalizowane przez Zero-Day Protection?

Tak. W Sophos Firewall dostępny jest widok z plikami i załącznikami e-mail przeanalizowanymi przez Zero-Day Protection. Administrator może tam otworzyć raporty i sprawdzić wynik oceny bezpieczeństwa.