Saltar para o conteudo
Avanet
Sophos NDR – Eliminar Pontos Cegos na Rede

Sophos NDR – Eliminar Pontos Cegos na Rede

28. JUNHO 2023

Nos meus últimos artigos, escrevi sobre o Sophos Managed Detection and Response (MDR). Começando pela mudança de nome de MTR para MDR, até aos novos e poderosos add-ons para poder integrar também dados de telemetria de terceiros.

Quem leu estes dois artigos terá certamente compreendido que o Sophos MDR é um serviço indispensável para proteger a sua empresa contra ataques de rede e cibercrime. Na verdade, isso é apenas o começo.

Não me interpretem mal – Com o Sophos MDR já fizeram muito pela segurança da vossa rede! O Sophos Agent é executado (esperemos) em todos os computadores e servidores e a vossa Sophos Firewall está conectada via Synchronized Security e envia logs para o Data Lake. Além disso, confiaram a monitorização e a resposta à equipa Sophos MDR (Sophos X-Ops), que está de guarda 24/7. Bravo! 👏

Está a utilizar uma firewall de terceiros? Não há problema. Graças às novas integrações, com o add-on MDR Firewall também pode ligar dispositivos da Palo Alto Networks, Fortinet, Check Point, Cisco ou SonicWall.

Pontos Cegos em Foco

No entanto, embora a combinação da firewall e do Sophos Managed Detection and Response constitua um duo absolutamente ideal para a segurança da rede empresarial, ainda restam questões sem resposta que tiram o sono a um administrador de TI consciente:

  • Como posso proteger os nossos dispositivos IoT, terminais POS, impressoras, thin clients, smart TVs, etc., nos quais não pode ser instalado nenhum Sophos Agent?
  • Como posso monitorizar o tráfego de rede por trás da nossa firewall?
  • Como posso monitorizar e analisar o comportamento dos utilizadores internos?
  • Como posso manter um olho nos movimentos de dados na rede?
  • Como consigo realizar um inventário regular dos ativos na nossa rede?
  • Como posso detetar sistemas novos ou não autorizados na nossa rede?
  • Como posso obter informações sobre o tráfego de dados encriptados na nossa rede?

Todas estas são questões importantes que podem ser respondidas pelo Sophos Network Detection and Response (NDR). O NDR adiciona um fator crucial à linha de defesa. Com a firewall, controla o tráfego que entra e sai da rede corporativa, e com o Intercept X Advanced e o serviço MDR, comportamentos suspeitos podem ser detetados em terminais e servidores (nos quais o Sophos Agent está instalado). Mas e o tráfego dentro de todo o ambiente?

Os atacantes fazem tudo para evitar a deteção, e evitar a deteção é uma tática conhecida no Framework MITRE ATT&CK® a nível de sistema. Exploits, por exemplo, podem esconder-se de soluções EDR, e os atacantes podem desativar e eliminar os registos do sistema. No entanto, não há como evitar o facto de que um atacante deve mover-se dentro da rede. E é precisamente isto que o sensor NDR da Sophos registará, por mais silenciosa ou cautelosa que seja a atuação do atacante. Cada ação deixa os seus rastos.

O que é o Sophos NDR?

O Sophos Network Detection and Response (NDR) é oferecido como um appliance virtual que monitoriza passivamente todo o tráfego de rede através de uma porta span. Tudo o que é registado através desta porta é submetido a uma deteção de ameaças em tempo real baseada em cinco algoritmos centrais fornecidos com o NDR.

A tecnologia por trás do NDR foi adquirida pela Sophos em julho de 2021 através da aquisição da empresa “Braintrace”. A Braintrace tinha desenvolvido uma máquina virtual capaz de monitorizar o tráfego de rede com cinco algoritmos centrais e, assim, distinguir entre atividades maliciosas e benignas.

Quando uma ameaça é detetada com base nestes cinco algoritmos centrais, é encaminhada para o Sophos Data Lake, classificada e avaliada. São gerados casos que a Equipa de Resposta a Ameaças da Sophos analisa e valida. A informação do sensor NDR também pode ser correlacionada com informação de outros sensores, como funções de identidade, e-mail, e rede e firewall.

Os cinco algoritmos centrais do NDR

Vejamos mais de perto os cinco poderosos algoritmos que o Sophos NDR nos disponibiliza:

ndr-detection-engines

Encrypted Payload Analytics (EPA)

Este motor pode detetar malware mesmo em tráfego encriptado, onde de outra forma pode muitas vezes permanecer oculto.

Domain Generation Algorithm (DGA)

Este motor ajuda a detetar a comunicação com servidores de comando e controlo (C2) e outros domínios maliciosos, e isso sem dados de ameaças conhecidos.

Session Risk Analytics (SRA)

Identifique características anómalas no tráfego de rede, como certificados autoassinados ou a utilização de portas não standard. Juntamente com outras atividades inesperadas/suspeitas, estas características indicam um elevado risco que deve ser investigado.

Data Detection Engine (DDE)

Este motor é projetado para ajudar a detetar sistemas na rede que não são geridos pela Sophos. Isso ajuda, por um lado, a identificar lacunas na cobertura de dispositivos autorizados e, por outro lado, a detetar sistemas ou dispositivos não autorizados, possivelmente maliciosos.

Deep Packet Inspection (DPI)

Com a Inspeção Profunda de Pacotes pode-se procurar na rede indicadores específicos de compromisso. Isso pode ser, por exemplo, uma comunicação para um servidor de comando e controlo (C2) ou um endereço IP suspeito que não deveria estar na sua rede.

O que é necessário para o Sophos NDR

O Sophos NDR atualmente só é fornecido como uma integração MDR. Isso significa que precisa de uma licença MDR ativa para poder configurar o NDR. Desde meados de julho, os clientes XDR também têm a opção de experimentar o NDR gratuitamente através do Programa de Acesso Antecipado.

Conforme explicado acima, o sensor Sophos NDR (coletor de logs) é executado em uma máquina virtual (VM). Os dados são coletados lá e encaminhados para o Sophos Data Lake. Atualmente, o Sophos NDR suporta “VMware ESXi 6.7” ou mais recente e “Microsoft Hyper-V 6.0.6001.18016 (Windows Server 2016)” ou mais recente.

Experimentar Sophos NDR

Convenci-o com esta publicação de blogue sobre as qualidades e vantagens da solução Sophos NDR ou, pelo menos, deixei-o curioso? Clientes com uma licença MDR ou XDR podem registar-se desde meados de julho no Programa de Acesso Antecipado da Sophos para testar o NDR gratuitamente. O EAP deverá estar ativo, segundo a Sophos, de julho a novembro de 2023.

Se ainda não utiliza licenças XDR ou MDR e gostaria de experimentar o Sophos NDR, basta encomendá-las convenientemente através da nossa loja online:

Os passos exatos para adicionar o NDR como integração no Central, configurar, descarregar e instalar a imagem na VM podem ser consultados no seguinte guia da Sophos: Configurar Sophos NDR

Materiais Informativos

Sophos Network Detection and Response (NDR) – Guia de Início Rápido EAP

Sophos Network Detection and Response (NDR) – Folha de Dados

Sophos Network Detection and Response (NDR) – Descrição Breve

Sophos Network Detection and Response (NDR) – Whitepaper

David

David

David e responsavel pelos conteudos, pela estrutura e pela implementacao digital na Avanet. O seu foco esta em apresentar temas tecnicos complexos de forma clara, precisa e otimizada para pesquisa.