Saltar para o conteudo
Avanet
Sophos NDR – eliminar pontos cegos na rede

Sophos NDR – eliminar pontos cegos na rede

Nos meus últimos artigos, escrevi sobre o Sophos Managed Detection and Response (MDR). Comecei pela mudança de nome de MTR para MDR e cheguei aos novos e poderosos add-ons que permitem integrar também dados de telemetria de terceiros.

Quem leu estes dois artigos terá certamente compreendido que o Sophos MDR é um serviço indispensável para proteger a sua empresa contra ataques de rede e cibercrime. Na verdade, isso é apenas o começo.

Não me interpretem mal: com o Sophos MDR já fizeram muito pela segurança da vossa rede! O Sophos Agent corre (esperemos) em todos os computadores e servidores, e a vossa Sophos Firewall está ligada via Synchronized Security e envia logs para o Data Lake. Além disso, confiaram a monitorização e a resposta à equipa Sophos MDR (Sophos X-Ops), que está de prevenção 24/7. Bravo! 👏

Está a utilizar uma firewall de terceiros? Não há problema. Graças às novas integrações, com o add-on MDR Firewall também pode ligar dispositivos da Palo Alto Networks, Fortinet, Check Point, Cisco ou SonicWall.

Pontos cegos em foco

No entanto, embora a combinação da firewall e do Sophos Managed Detection and Response constitua um duo absolutamente ideal para a segurança da rede empresarial, ainda restam questões sem resposta que tiram o sono a um administrador de TI consciente:

  • Como posso proteger os nossos dispositivos IoT, terminais POS, impressoras, thin clients, smart TVs, etc., nos quais não pode ser instalado nenhum Sophos Agent?
  • Como posso monitorizar o tráfego de rede por trás da nossa firewall?
  • Como posso monitorizar e analisar o comportamento dos utilizadores internos?
  • Como posso acompanhar os movimentos de dados na rede?
  • Como consigo realizar um inventário regular dos ativos na nossa rede?
  • Como posso detetar sistemas novos ou não autorizados na nossa rede?
  • Como posso obter visibilidade sobre o tráfego encriptado na nossa rede?

Todas estas são questões importantes que podem ser respondidas pelo Sophos Network Detection and Response (NDR). O NDR adiciona um fator crucial à linha de defesa. Com a firewall, controla o tráfego que entra e sai da rede corporativa, e com o Intercept X Advanced e o serviço MDR, comportamentos suspeitos podem ser detetados em terminais e servidores (nos quais o Sophos Agent está instalado). Mas e o tráfego dentro de todo o ambiente?

Os atacantes fazem tudo para evitar a deteção, e evitar a deteção é uma tática conhecida no Framework MITRE ATT&CK® a nível de sistema. Exploits, por exemplo, podem esconder-se de soluções EDR, e os atacantes podem desativar e eliminar os registos do sistema. No entanto, não há como evitar o facto de que um atacante deve mover-se dentro da rede. E é precisamente isto que o sensor NDR da Sophos registará, por mais silenciosa ou cautelosa que seja a atuação do atacante. Cada ação deixa os seus rastos.

O que é o Sophos NDR?

O Sophos Network Detection and Response (NDR) é disponibilizado como appliance virtual que monitoriza passivamente todo o tráfego de rede através de uma porta SPAN. Tudo o que é captado através desta porta passa por uma deteção de ameaças em tempo real baseada em cinco algoritmos centrais fornecidos com o NDR.

A tecnologia por trás do NDR foi adquirida pela Sophos em julho de 2021 através da aquisição da empresa “Braintrace”. A Braintrace tinha desenvolvido uma máquina virtual capaz de monitorizar o tráfego de rede com cinco algoritmos centrais e, assim, distinguir entre atividades maliciosas e benignas.

Quando uma ameaça é detetada com base nestes cinco algoritmos centrais, é encaminhada para o Sophos Data Lake, classificada e avaliada. São gerados casos que a Equipa de Resposta a Ameaças da Sophos analisa e valida. A informação do sensor NDR também pode ser correlacionada com informação de outros sensores, como funções de identidade, e-mail, e rede e firewall.

Os cinco algoritmos centrais do NDR

Vejamos mais de perto os cinco poderosos algoritmos que o Sophos NDR nos disponibiliza:

ndr-detection-engines

Encrypted Payload Analytics (EPA)

Este motor pode detetar malware mesmo em tráfego encriptado, onde de outra forma pode muitas vezes permanecer oculto.

Domain Generation Algorithm (DGA)

Este motor ajuda a detetar a comunicação com servidores de comando e controlo (C2) e outros domínios maliciosos, e isso sem dados de ameaças conhecidos.

Session Risk Analytics (SRA)

Identifica características anómalas no tráfego de rede, como certificados autoassinados ou a utilização de portas não standard. Juntamente com outras atividades inesperadas ou suspeitas, estas características indicam um risco elevado que deve ser investigado.

Data Detection Engine (DDE)

Este motor foi concebido para ajudar a detetar sistemas na rede que não são geridos pela Sophos. Isto ajuda, por um lado, a identificar lacunas na cobertura de dispositivos autorizados e, por outro, a detetar sistemas ou dispositivos não autorizados e potencialmente maliciosos.

Deep Packet Inspection (DPI)

Com a Inspeção Profunda de Pacotes pode-se procurar na rede indicadores específicos de compromisso. Isso pode ser, por exemplo, uma comunicação para um servidor de comando e controlo (C2) ou um endereço IP suspeito que não deveria estar na sua rede.

O que é necessário para o Sophos NDR

O Sophos NDR atualmente só é fornecido como uma integração MDR. Isso significa que precisa de uma licença MDR ativa para poder configurar o NDR. Desde meados de julho, os clientes XDR também têm a opção de experimentar o NDR gratuitamente através do Programa de Acesso Antecipado.

Como explicado acima, o sensor Sophos NDR (log collector) corre numa máquina virtual (VM). Os dados são aí recolhidos e encaminhados para o Sophos Data Lake. Atualmente, o Sophos NDR suporta “VMware ESXi 6.7” ou mais recente e “Microsoft Hyper-V 6.0.6001.18016 (Windows Server 2016)” ou mais recente.

Experimentar Sophos NDR

Esta publicação de blog convenceu-vos das qualidades e vantagens da solução Sophos NDR ou, pelo menos, deixou-vos curiosos? Clientes com uma licença MDR ou XDR podem registar-se desde meados de julho no Programa de Acesso Antecipado da Sophos para testar o NDR gratuitamente. Segundo a Sophos, o EAP deverá estar ativo de julho a novembro de 2023.

Se ainda não utilizam licenças XDR ou MDR e gostariam de experimentar o Sophos NDR, basta encomendá-las comodamente através da nossa loja online:

Os passos exatos para adicionar o NDR como integração no Central, configurar a imagem, descarregá-la e instalá-la na VM podem ser consultados no seguinte guia da Sophos: Configurar Sophos NDR

Materiais informativos

Sophos Network Detection and Response (NDR) – Guia de Início Rápido EAP

Sophos Network Detection and Response (NDR) – Folha de Dados

Sophos Network Detection and Response (NDR) – Descrição Breve

Sophos Network Detection and Response (NDR) – Whitepaper

David

David

David e responsavel pelos conteudos, pela estrutura e pela implementacao digital na Avanet. O seu foco esta em apresentar temas tecnicos complexos de forma clara, precisa e otimizada para pesquisa.