Saltar para o conteudo
Avanet

Sophos Firewall - como funciona a Zero-Day Protection?

Sophos Firewall

A Zero-Day Protection é um módulo de segurança para a Sophos Firewall, desenvolvido para proteger também contra ameaças ainda desconhecidas. Este módulo usa tecnologias avançadas de sandboxing para executar e analisar ficheiros suspeitos num ambiente seguro e isolado. Assim, as ameaças podem ser detetadas e bloqueadas antes de causarem danos. A Zero-Day Protection oferece uma camada adicional de proteção e é especialmente valiosa numa altura em que novas vulnerabilidades, ainda desconhecidas, são exploradas rapidamente.

Neste artigo explicamos como funciona a Zero-Day Protection, que formatos de ficheiro são suportados e que passos são percorridos para detetar e neutralizar uma ameaça potencial.

1. Deteção e encaminhamento

Quando um ficheiro entra na rede, seja por download ou como anexo de email, a Sophos Firewall reconhece esse ficheiro automaticamente. Não importa se é um ficheiro conhecido ou desconhecido. Assim que é detetado, a firewall encaminha-o para análise adicional no SophosLabs Intelix, o serviço cloud da Sophos.

Requisitos

Licenciamento: deve estar garantido que Web Protection ou E-Mail Protection estão licenciados para a Sophos Firewall, pois estes módulos são necessários para analisar corretamente o ficheiro.

Tamanho do ficheiro: o ficheiro tem de ter menos de 10 MB para poder ser processado pela Zero-Day Protection.

Formatos suportados: apenas determinados formatos são suportados pela Zero-Day Protection. Incluem, entre outros:

  • Ficheiros executáveis (.exe, .dll)
  • Documentos (PDF, formatos Microsoft Office como .docx, .xlsx)
  • Arquivos (ZIP, RAR, 7-Zip)
  • Scripts (JavaScript, VBScript)
  • Outros formatos como ficheiros JAR, BAT, RTF e LNK.

Lista completa

Arquivo 7-Zip

Arquivo ACE

Arquivo ARJ

BZIP2 comprimido

GZIP comprimido

ISO 9660 CD-ROM

Arquivo LHA 1.x & 2.x

Microsoft Cabinet Archiv

Arquivo TAR

Arquivo POSIX TAR

Arquivo RAR

XZ comprimido

Arquivo ZIP

Java (ficheiros JAR)

Documentos Office (formatos OLE e Open-XML)

Documentos PDF

PE (32-bit e 64-bit, EXE e DLL)

Documentos RTF

Scripts JavaScript (JS/JSE/WSF), Visual Basic Script (VBS/VBE)

Ficheiros Windows Batch /BAT/

Atalhos Windows (ficheiros LNK e URL)

Mais informações aqui: Sophos KB: Zero-Day Protection ou Sophos Zero-Day Protection FAQ

Assim que estes requisitos são cumpridos, o ficheiro é enviado para análise adicional no SophosLabs Intelix.

2. Análise pelo SophosLabs Intelix

Quando um ficheiro é reconhecido pela Sophos Firewall como adequado para análise, é carregado para a Sophos Cloud, onde o processo de análise começa. O SophosLabs Intelix usa machine learning, sandboxing e threat research para verificar potenciais riscos. O ficheiro é executado num ambiente isolado que simula vários sistemas operativos, para garantir que é testado em condições realistas sem colocar o seu sistema em risco.

Datacenters disponíveis:

  • Ásia-Pacífico (Sydney, Tokyo)
  • Europa (Frankfurt, London)
  • Estados Unidos

Se não for escolhida uma região específica, o sistema usa o datacenter mais próximo com base na latência.

3. Análise em sandbox

A primeira ferramenta de análise usada é o machine learning. Para isso, o SophosLabs Intelix usa vários modelos para avaliar as características e a reputação global do ficheiro. O ficheiro é comparado com milhões de ficheiros conhecidos, seguros e maliciosos, para determinar a sua potencial maliciosidade.

Após esta avaliação, o ficheiro passa por uma análise de sandbox que usa técnicas dinâmicas e estáticas. São monitorizados acessos a ficheiros, manipulações de memória e registry, bem como atividades de rede. Além disso, são usados Deep Learning para deteção de exploits e CryptoGuard para identificar comportamento de ransomware. Este passo protege a rede contra ameaças zero-day, como ransomware e ataques direcionados.

Durante a execução na sandbox, a Sophos monitoriza continuamente vários parâmetros para detetar comportamento potencialmente malicioso. Incluem:

  • Atividades de rede inesperadas
  • Manipulações do sistema operativo
  • Tentativas de acesso a dados sensíveis
  • Autorreplicação ou outros comportamentos típicos de vírus

Este processo de análise aprofundado pode demorar alguns minutos, pelo que o download pode ser atrasado até 15 minutos até a análise terminar.

Além da análise técnica do ficheiro, o SophosLabs Intelix realiza uma análise de reputação. Esta avaliação considera quão difundido é o ficheiro e como foi tratado no passado por outras soluções de segurança. Isto ajuda a avaliar melhor o risco.

Bloqueio ou libertação: com base nos resultados da análise de sandboxing, o ficheiro é libertado ou bloqueado. Se for classificado como seguro, o utilizador pode descarregá-lo imediatamente. Caso contrário, é bloqueado e o administrador é informado sobre a ameaça.

4. Criação de um relatório

Após a conclusão da análise, é criado um relatório detalhado que resume os resultados dos vários passos de análise. Este relatório contém informação como:

  • Detalhes do download: origem do ficheiro, momento do download e utilizadores que descarregaram o ficheiro.
  • Resumo da análise: visão geral do resultado da análise Zero-Day Protection, classificação do ficheiro (por exemplo limpo, suspeito, malicioso) e descrição breve das ameaças detetadas.
  • Resultados da análise por machine learning: detalhes sobre propriedades, estrutura e combinações de características do ficheiro.
  • Resultados de detonation da Zero-Day Protection: informação sobre as atividades executadas pelo ficheiro, incluindo screenshots e detalhes sobre processos usados e atividade de registry.
  • Análise completa do ficheiro: detalhes abrangentes, incluindo assinaturas, certificados usados, recursos acedidos e funções import/export.
  • Relatório VirusTotal: número de entradas na base de dados VirusTotal e quantos produtos de deteção de malware identificam o ficheiro como ameaça.

Os administradores podem consultar a qualquer momento os relatórios detalhados da análise Zero-Day Protection para compreender melhor o risco. Também é possível libertar ficheiros ou mensagens de email que ainda estejam em análise ou nos quais tenha ocorrido um erro. Contudo, deve haver cautela, porque libertar antes do fim da análise pode permitir o download de conteúdo malicioso.

Testar ficheiros individuais

No artigo SophosLabs Intelix - ferramenta para deteção de ciberameaças, é explicado como testar ficheiros individuais com a ferramenta online Sophos Intelix.

FAQ

O que é Sophos Zero-Day Protection?

Sophos Zero-Day Protection é um módulo de segurança para a Sophos Firewall, desenvolvido para detetar e bloquear ameaças novas e ainda desconhecidas. Usa tecnologias avançadas como machine learning, sandboxing e threat research para analisar e avaliar ficheiros suspeitos e anexos de email.

Como funciona a Zero-Day Protection?

Assim que um ficheiro suspeito ou anexo de email entra na rede, é enviado para o SophosLabs Intelix™ para análise. Aí passa por uma análise em várias fases, incluindo machine learning e sandboxing. O sistema verifica o ficheiro quanto a comportamento suspeito e bloqueia-o se for classificado como perigoso.

Que tipos de ficheiros são analisados pela Zero-Day Protection?

A Zero-Day Protection analisa sobretudo ficheiros executáveis, scripts, documentos e arquivos. Isto inclui formatos como .exe, .dll, .pdf, .docx, .xlsx, .zip, .rar e muitos outros. Apenas ficheiros com menos de 10 MB são analisados.

Como é feita a análise de ficheiros suspeitos?

A análise decorre em vários passos: primeiro, o ficheiro é verificado pela Antivirus Engine. Se não contiver ameaças conhecidas, mas continuar a parecer suspeito, é enviado para análise adicional numa sandbox, onde é executado num ambiente isolado e monitorizado quanto a comportamento malicioso.

Quanto tempo demora a análise pela Zero-Day Protection?

A análise demora normalmente cerca de cinco minutos, mas pode levar até dez minutos conforme o tamanho do ficheiro e a complexidade da análise. Para ficheiros já analisados anteriormente, a análise pode demorar menos de um segundo graças ao caching.

Os meus dados são processados em segurança?

Todos os ficheiros enviados para análise no SophosLabs Intelix™ são transferidos por uma ligação SSL cifrada e guardados nos servidores com cifragem assimétrica. Os ficheiros são decifrados e processados apenas durante a análise.

Em que datacenters são analisados os meus ficheiros?

É possível escolher o datacenter onde os ficheiros são analisados. As regiões disponíveis incluem Ásia-Pacífico (Sydney, Tokyo), Europa (Frankfurt, London) e Estados Unidos. Se não escolher uma região específica, o sistema usa o datacenter mais próximo com base na latência.

Que medidas de proteção oferece a Zero-Day Protection contra ransomware?

A Zero-Day Protection inclui funções para deteção de ransomware, incluindo análises dinâmicas que monitorizam comportamento suspeito, como a cifragem de ficheiros em tempo real. O sistema usa também CryptoGuard para detetar e parar ataques de ransomware.

É possível ver que ficheiros foram analisados pela Zero-Day Protection?

Sim, na Sophos Firewall existe uma visão específica onde são apresentados todos os ficheiros e anexos de email analisados pela Zero-Day Protection. Aí pode consultar relatórios com detalhes da análise e as respetivas avaliações de segurança.