Compreender e operar Sophos Firewall Zero-Day Protection
Sophos Firewall Zero-Day Protection analisa downloads suspeitos e anexos de e-mail por meio de SophosLabs Intelix. O firewall envia arquivos apropriados e arriscados para o serviço de nuvem, onde aprendizado de máquina, reputação, análise de sandbox e pesquisa de ameaças trabalham juntos. O objetivo não é apenas bloquear malware conhecido, mas também classificar melhor arquivos novos ou incomuns.
É importante para administradores: Zero-Day Protection não substitui regras limpas, proteção da web, proteção de e-mail, TLS Inspection, registro ou proteção de endpoint. A função é um módulo adicional de proteção e análise. É particularmente útil quando os arquivos entram na rede através de downloads da web ou anexos de e-mail e as assinaturas clássicas ainda não fornecem uma decisão clara.
Qual item de proteção serve?
Zero-Day Protection responde principalmente à questão de como os arquivos suspeitos são analisados. Dependendo do problema, a melhor maneira de começar é com acesso à web, fluxo de correio, ataques de rede, tráfego criptografado ou avaliação:
- Verifique downloads suspeitos ou anexos de e-mail com Intelix: Este artigo.
- Programar categorias da Web, grupos de URLs, SafeSearch ou regras de download: Sophos Firewall Configure a proteção da web com políticas da web.
- Tornar o tráfego HTTPS visível e planejar exceções de forma limpa: Insira Sophos Firewall TLS Inspection corretamente.
- Distribuir certificado CA para verificação HTTPS para clientes: Sophos Firewall Instalar certificado CA para verificação HTTPS.
- Verifique o tráfego de e-mail no modo MTA e opere a proteção de e-mail: Sophos Firewall Configurar proteção de e-mail no modo MTA.
- Bloqueie explorações e padrões de ataque no tráfego de rede: Sophos Firewall Configure o IPS e teste-o com segurança.
- Trate de IPs, domínios ou URLs maliciosos por meio de listas IoC: Sophos Firewall Configure feeds de ameaças e opere-os com segurança.
- Classificar avaliação NDR, Active Threat Response, XDR, MDR ou SIEM: Sophos Firewall NDR e Active Threat Response operam.
- Rastreie quedas ou bloqueios inesperados: Sophos Firewall Analisar pacotes descartados.
Esta separação evita falsas expectativas: Zero-Day Protection avalia arquivos, mas não substitui uma política web, sem IPS, sem planejamento de retransmissão de correio e sem avaliação central de logs. A melhor proteção ocorre apenas quando as camadas de arquivo, web, correio, rede e registro se encaixam.
Onde Zero-Day Protection ajuda na prática
Zero-Day Protection é particularmente relevante nestes cenários:
- Os usuários baixam arquivos executáveis, arquivos ou documentos da Internet.
- Os anexos de e-mail devem ser verificados mais de perto antes da entrega ou liberação.
- Um arquivo ainda não é claramente conhecido, mas parece suspeito.
- Um download não deve apenas ser verificado localmente, mas também monitorado em uma sandbox.
- Um incidente de segurança deve ser melhor avaliado através de um relatório detalhado.
O recurso se adapta bem a um modelo de segurança em camadas: Regras de firewall limita o tráfego permitido, TLS Inspection torna o tráfego criptografado da web mais auditável, Web Protection e Mail Protection avaliam o conteúdo e Zero-Day Protection complementa esses controles com análises de nuvem e relatórios de sandbox.
Requisitos e limites
Zero-Day Protection só funciona de forma útil se os módulos e políticas de proteção relevantes estiverem ativos. Uma regra Permitir pura sem perfis de segurança apropriados não fornece a mesma proteção. Dependendo da área de aplicação, você deve, portanto, planejar conscientemente a proteção da web, proteção de e-mail, verificação de malware, SSL/TLS Inspection e registro.
Limites importantes em operação:
- O firewall não envia todos os tipos de arquivos para o Intelix, mas principalmente os tipos de arquivos arriscados.
- Muitos tipos de arquivos não perigosos, por exemplo, formatos de imagem típicos, não são enviados para detonação.
- As exceções podem excluir arquivos da análise e, assim, reduzir o efeito protetor.
- A análise na nuvem requer conectividade com os serviços Sophos e pode atrasar os downloads.
- O compartilhamento antes da conclusão da análise pode expor conteúdo malicioso.
- Zero-Day Protection não substitui a detecção e resposta de endpoint, nenhum MDR e nenhuma resposta limpa a incidentes.
Se o firewall vê pouco porque o HTTPS não está descriptografado ou as regras estão sendo executadas sem perfis de segurança, Zero-Day Protection também permanece restrito. O artigo Sophos Firewall Logs: Qual função grava em qual log? auxilia na atribuição de log e módulo.
Ativar em regras de firewall
Para downloads web, não basta que Zero-Day Protection esteja licenciada em geral. A regra de firewall adequada tem de corresponder realmente ao tráfego web e ativar as opções necessárias de Web Scanning.
O caminho típico é:
Rules and policies > Firewall rules
Na regra de Internet dos clientes afetados, deve-se verificar:
- Source zone, Source network, Destination zone e Services correspondem ao tráfego de teste.
- Log firewall traffic está ativo.
- Na área Web filtering, está selecionada uma Web Policy adequada.
- Scan HTTP and decrypted HTTPS está ativo.
- Use zero-day protection está ativo.
- Para downloads HTTPS, TLS Inspection está planeada e eficaz para o tráfego de teste.
- QUIC/HTTP/3 não contorna o caminho de inspeção HTTPS esperado.
- Web Exceptions não saltam involuntariamente Malware Scanning, Policy Check ou a análise de Zero-Day Protection.
Isto ainda não garante que cada download apareça na vista Zero-Day Protection. Para aceitação, não se deve verificar apenas se a checkbox está ativa, mas se um download concreto é rastreável no Log Viewer, Web Log, SSL/TLS Inspection Log e em Downloads and attachments.
Importante: Scan HTTP and decrypted HTTPS verifica HTTP e tráfego HTTPS já desencriptado. A opção não ativa automaticamente a desencriptação HTTPS. Em setups DPI são necessárias Rules and policies > SSL/TLS inspection rules adequadas; no caminho Web Proxy é relevante Decrypt HTTPS during web proxy filtering.
Onde Zero-Day Protection entra em vigor
Zero-Day Protection não deve ser vista isoladamente. A função só se torna relevante se um arquivo realmente passar por um caminho de proteção adequado.
Caminhos típicos:
- Download da Web: A regra apropriada de firewall, proteção da Web, verificação de malware e, muitas vezes, TLS Inspection para HTTPS devem estar em vigor com antecedência. Você pode verificar o log da web, o log de inspeção SSL/TLS e a visualização de downloads e anexos.
- Anexo de e-mail: o fluxo de e-mail deve passar pela proteção de e-mail, política de anexo apropriada e verificação de malware. Você pode controlar os registros de e-mail, a quarentena e a visualização de downloads e anexos.
- Status de liberação ou erro: O relatório ainda não foi concluído ou a análise falhou. Em seguida, o processo de liberação, o contexto do usuário, o hash e outros logs contam.
- Sem visibilidade: O tráfego não passa pelo caminho de proteção ou o tipo de arquivo não é relevante. Em seguida, primeiro verifique a regra do firewall, política, TLS, fluxo de correio e tipo de arquivo.
Para downloads da web, a primeira coisa importante é se o Política da Web correto está ativo na regra de firewall. Para anexos de email, o fluxo de emails deve realmente ser executado por meio de Proteção de correio no modo MTA ou de um caminho verificado comparável. Se apenas uma regra de permissão normal permitir o tráfego, você não deverá esperar uma análise completa do arquivo de Zero-Day Protection.
Fluxo de análise
1. Detecção no firewall
Um arquivo passa pelo firewall por meio de download ou como anexo de e-mail. Se a política, o tipo de arquivo e o contexto corresponderem, o arquivo será sinalizado para Zero-Day Protection. Arquivos conhecidos e claramente classificados podem ser avaliados previamente por outros módulos de proteção.
2. Transferência para SophosLabs Intelix
Os arquivos elegíveis são enviados para um serviço SophosLabs Intelix por meio de uma conexão criptografada. Lá, o arquivo não é apenas verificado em relação a padrões conhecidos, mas também avaliado usando vários níveis de análise.
3. Aprendizado de máquina e reputação
SophosLabs Intelix avalia características, estrutura, reputação global e similaridade com arquivos conhecidos como bons ou maliciosos. Isto é particularmente útil para novos arquivos que ainda não foram amplamente vistos.
4. Análise de sandbox
A análise sandbox examina o ficheiro num ambiente isolado. A avaliação combina análise dinâmica e estática, deep learning, deteção de exploits, CryptoGuard e monitorização de atividades de ficheiros, memória, registry e rede. Para administradores, o termo de marketing é menos importante do que a pergunta: o que o ficheiro tentou realmente fazer?
5. Decisão e relatório
No final há uma classificação, por exemplo limpo, provavelmente limpo, suspeito, malicioso ou PUA. Dependendo do resultado, o arquivo é liberado, bloqueado ou permanece visível com erro ou estado de análise. O relatório ajuda a justificar claramente uma liberação, um bloqueio ou outras etapas de resposta a incidentes.
Leia os relatórios corretamente
A visão geral pode ser encontrada em Sophos Firewall em Monitor & analyze > Zero-day protection > Downloads and attachments. Lá você pode ver dados de atividades sobre downloads suspeitos e anexos de e-mail, o status da análise, detalhes do relatório e opções de compartilhamento.
Um relatório pode conter, entre outras, estas áreas:
- Detalhes do download: Fonte, horário e usuário afetado.
- Resumo da análise: Avaliação geral do arquivo.
- Análise de aprendizado de máquina: Recursos, estrutura e avaliação de ML.
- Análise de reputação: Avaliação baseada na distribuição global.
- Resultados da detonação: Comportamento do arquivo durante a execução do sandbox.
- Análise completa de arquivos: Assinaturas, certificados, recursos, importações e exportações.
- Relatório VirusTotal: situação adicional de detecção externa.
Quando se trata de um arquivo suspeito, você não deve olhar apenas o status final. Fonte, usuário, nome do arquivo, URL de destino, comportamento do processo, atividade de rede e se outros sistemas viram o mesmo download também são relevantes. Se isso resultar em um incidente, o relatório deverá ser mesclado com os logs de endpoint, email, web e firewall.
Processo para denúncias suspeitas
Um acerto de proteção de dia zero deve ser tratado como um pequeno caso de segurança, não como um puro bloco de filtro da web.
Processo prático:
- Abra o relatório e registre o status, nome do arquivo, fonte, usuário, hora e classificação.
- Verifique se foi um download da web, um anexo de e-mail ou outro caminho.
- Compare logs de web, e-mail e firewall para o mesmo período.
- Se houver, verifique os eventos de endpoint ou EDR do cliente afetado.
- Hash do arquivo do documento, remetente, URL ou domínio.
- Decida se é um falso positivo, um ataque bloqueado, uma suspeita não resolvida ou um incidente.
- Considere a aprovação apenas se houver um motivo comercial compreensível.
- Documente a decisão e, se necessário, obtenha um grupo de URLs, uma política de correio, um feed de ameaças ou uma medida de endpoint.
Quando vários usuários veem o mesmo arquivo ou domínio, muitas vezes uma única decisão não é suficiente. Você deve então verificar se é necessário um ajuste de política da web, uma regra de política de e-mail, uma entrada de feed de ameaças ou uma resposta a incidentes.
Libertar ficheiros
A Sophos Firewall permite a libertação apenas de ficheiros ou mensagens de email que ainda estão em análise ou regressaram com estado de erro. Essa libertação pode ser necessária quando um processo de negócio está bloqueado. No entanto, não é adequada como workaround normal.
Antes de liberar, você deve pelo menos verificar:
- A fonte é confiável e esperada?
- O usuário ou departamento foi consultado sobre o contexto?
- Existe um hash, nome de arquivo ou remetente que possa ser verificado adicionalmente?
- Existem endpoints ou logs de email para o mesmo processo?
- O arquivo pode ser examinado em um ambiente isolado ou por meio de uma ferramenta de análise separada?
- Está documentado quem decidiu divulgá-lo e por que motivo?
⚠️ O compartilhamento antes da conclusão da análise pode resultar no download ou na entrega de conteúdo malicioso. Em ambientes produtivos, esta decisão deve ser documentada e não delegada à rotina de primeiro nível.
Para arquivos individuais, a postagem do blog da Avanet SophosLabs Intelix - A ferramenta de detecção de ameaças cibernéticas pode ajudar. No entanto, isto não substitui a avaliação no contexto específico da rede e do utilizador.
Datacenter e proteção de dados
Em Monitor & analyze > Zero-day protection > Protection settings, pode-se definir o datacenter para a análise. Por defeito, a Sophos Firewall escolhe o datacenter mais próximo. Em alternativa, pode-se escolher conscientemente um datacenter.
Esta configuração é particularmente importante se a proteção de dados, a residência de dados ou os regulamentos internos desempenharem um papel. Uma mudança no data center pode impactar a análise contínua. Portanto, o cenário não deve ser alterado durante um caso de análise aguda, mas deve ser planeado e documentado.
Use exceções com cuidado
Nas configurações de proteção você pode excluir tipos de arquivos da análise de proteção de dia zero. A detecção do tipo de arquivo é baseada na extensão do arquivo e no cabeçalho MIME. Arquivos contendo tipos de arquivos excluídos também podem ser excluídos.
As exceções são tecnicamente práticas, mas relevantes para a segurança. Cada exceção deve ter uma justificativa clara:
- Qual aplicativo ou processo cria os arquivos?
- Por que a análise é perturbadora ou não é útil?
- Existe uma exceção mais restrita do que um tipo de arquivo inteiro?
- A exceção é verificada regularmente?
- Sabe-se que efeito protetor se perde com isso?Devem ser evitadas amplas exceções para arquivos, scripts, arquivos do Office ou arquivos executáveis. Quando Zero-Day Protection interrompe um processo legítimo, a primeira etapa geralmente é verificar a política, o caminho de origem, a base de usuários afetada ou a implantação alternativa.
Verifique aprovações e exceções regularmente
Zero-Day Protection não é apenas uma função de inicialização. O valor operacional real surge quando relatórios, aprovações e exceções são verificados regularmente. Caso contrário, as decisões arriscadas permanecem ativas por muito tempo, mesmo que a razão comercial original já tenha desaparecido há muito tempo.
Estes pontos são particularmente úteis para a revisão:
- Arquivo liberado: Verifique o motivo da liberação, usuário ou departamento afetado, hash, origem do arquivo, prazo de validade e avaliação posterior.
- Exceção de tipo de arquivo: Verifique o aplicativo afetado, proprietário, data de revisão, alternativa mais próxima e risco de arquivos, scripts ou arquivos do Office.
- Status de erro recorrente: Verifique a conectividade do Sophos, tamanho do arquivo, tipo de arquivo, política, data center e possível caso de suporte.
- Muitos acessos de uma fonte: Verifique a política da Web ou de e-mail, URL, remetente, grupo de usuários, feed de ameaças, grupo de URL ou lista de bloqueio.
Uma exceção não é uma limpeza normal de regras de firewall. Tais entradas devem ter um proprietário, um motivo e uma data de revisão. Para lançamentos recorrentes, você também deve comparar logs de endpoint, e-mail, web e firewall para que uma única exceção não se transforme em um desvio permanente despercebido.
Solução de problemas
Nenhuma entrada visível
Se não aparecer nenhuma entrada em Downloads and attachments, deve-se verificar primeiro se o tráfego passa realmente pela regra de firewall e pelo perfil de segurança adequados. Em downloads web, Scan HTTP and decrypted HTTPS e Use zero-day protection na regra de firewall são especialmente relevantes. Em tráfego HTTPS, a falta de TLS Inspection pode explicar porque a firewall vê menos conteúdo. Depois devem ser verificadas as definições de web, email, malware e Zero-Day.
Os downloads demoram muito
Uma análise de sandbox pode levar algum tempo. Se os usuários esperam regularmente por longos períodos de tempo, você deve verificar se muitos arquivos grandes ou que mudam frequentemente estão sendo analisados, se os processos afetados são legítimos e se uma exceção técnica restrita é justificável. Uma desativação geral geralmente é o primeiro passo errado.
Muitos falsos positivos
Para falsos positivos recorrentes, verifique os detalhes do relatório, origem do arquivo, hashes, reputação, usuários e aplicativos afetados. Somente quando o padrão for compreendido você deverá definir exceções. Para listas de bloqueios dinâmicos e operações IOC, Sophos Firewall Configure feeds de ameaças e opere-os com segurança é um tópico relacionado.
Foi pedida uma libertação
Uma libertação deve ser tratada como uma decisão de segurança. Se a área de negócio disser apenas “urgente”, isso não é suficiente. São necessários origem, finalidade, ficheiro, utilizador, avaliação de risco e uma decisão documentada.
Lista de verificação operacional
- Zero-Day Protection Licença e status do módulo verificados.
- Políticas de web e e-mail controladas com malware e verificação de segurança.
- TLS Inspection planejado onde os downloads da web devem ser verificados de forma sensata.
- Data center escolhido deliberadamente para análise ou documentado como padrão.
- Sem exceções amplas de tipo de arquivo sem proprietário e data de revisão.
- Visualização de downloads e anexos verificada regularmente.
- Processo de liberação definido para arquivos analisados ou incorretos.
- Relatórios correlacionados com logs de endpoint, email, web e firewall.
- Syslog, Central Reporting ou SIEM levados em consideração para uma rastreabilidade mais longa.