Hoppa till innehållet
Avanet
Sophos NDR – Eliminera dolda fläckar i nätverket

Sophos NDR – Eliminera dolda fläckar i nätverket

28. JUNI 2023

I mina senaste artiklar har jag skrivit om Sophos Managed Detection and Response (MDR). Började med omdöpningen från MTR till MDR, fram till de nya och kraftfulla tilläggen för att även kunna integrera telemetridata från tredjepartsleverantörer.

Den som har läst dessa två artiklar har säkert förstått att Sophos MDR är en oumbärlig tjänst för att skydda sitt företag från nätverksattacker och cyberbrottslighet. I själva verket är detta bara början.

Missförstå mig inte – med Sophos MDR har ni verkligen gjort mycket för säkerheten i ert nätverk! Sophos Agent körs (förhoppningsvis) på varje dator och server och er Sophos Firewall är ansluten via Synchronized Security och skickar loggar till Data Lake. Dessutom har ni anförtrott övervakning och respons till Sophos MDR-team (Sophos X-Ops), som är på sin vakt dygnet runt. Bravo! 👏

Använder du en brandvägg från en tredjepartsleverantör? Inga problem. Tack vare de nya integrationerna kan du med MDR Firewall-tillägget även ansluta enheter från Palo Alto Networks, Fortinet, Check Point, Cisco eller SonicWall.

Dolda fläckar i sikte

Men även om kombinationen av brandväggen och Sophos Managed Detection and Response utgör en absolut drömduo för att säkra företagsnätverket, kvarstår ändå obesvarade frågor som berövar en samvetsgrann IT-administratör sömnen:

  • Hur kan jag skydda våra IoT-enheter, POS-terminaler, skrivare, tunna klienter, smart-TV-apparater etc., på vilka ingen Sophos Agent kan installeras?
  • Hur kan jag övervaka nätverkstrafiken bakom vår brandvägg?
  • Hur kan jag övervaka och analysera interna användares beteende?
  • Hur kan jag hålla koll på dataflöden i nätverket?
  • Hur lyckas jag regelbundet inventera tillgångarna i vårt nätverk?
  • Hur kan jag upptäcka nya eller obehöriga system i vårt nätverk?
  • Hur får jag insikt i den krypterade datatrafiken i vårt nätverk?

Dessa är alla viktiga frågor som faktiskt kan besvaras med Sophos Network Detection and Response (NDR). NDR tillför en avgörande faktor till försvarslinjen. Med brandväggen kontrollerar du trafiken som kommer in i och lämnar företagsnätverket, och med Intercept X Advanced och MDR-tjänsten kan misstänkta beteenden upptäckas på slutpunkter och servrar (där Sophos Agent är installerad). Men vad händer med trafiken inom hela miljön?

Angripare gör allt för att undvika upptäckt, och att undvika upptäckt är en känd taktik inom MITRE ATT&CK® Framework på systemnivå. Exploits kan till exempel dölja sig för EDR-lösningar, och angripare kan inaktivera och radera systemloggar. Men det går inte att komma ifrån det faktum att en angripare måste röra sig inom nätverket. Och det är just detta som Sophos NDR-sensor kommer att logga, oavsett hur tyst eller försiktigt angriparen går till väga. Varje handling lämnar spår.

Vad är Sophos NDR?

Sophos Network Detection and Response (NDR) erbjuds som en virtuell enhet som passivt övervakar all nätverkstrafik via en span-port. Allt som registreras via denna port genomgår realtids hotdetektering baserat på fem kärnalgoritmer som tillhandahålls med NDR.

Tekniken bakom NDR förvärvades av Sophos redan i juli 2021 genom köpet av företaget ”Braintrace”. Braintrace hade utvecklat en virtuell maskin som kunde övervaka nätverkstrafiken med fem kärnalgoritmer och därigenom skilja mellan skadliga och godartade aktiviteter.

När ett hot upptäcks baserat på dessa fem kärnalgoritmer, vidarebefordras det till Sophos Data Lake, klassificeras och utvärderas. Ärenden genereras som Sophos Threat Response Team analyserar och validerar. Informationen från NDR-sensorn kan också korreleras med information från andra sensorer, såsom identitets-, e-post-, nätverks- och brandväggsfunktioner.

De fem kärnalgoritmerna i NDR

Låt oss titta närmare på de fem kraftfulla algoritmer som Sophos NDR tillhandahåller oss:

ndr-detection-engines

Encrypted Payload Analytics (EPA)

Denna motor kan upptäcka skadlig kod även i krypterad datatrafik, där den annars ofta kan förbli dold.

Domain Generation Algorithm (DGA)

Denna motor hjälper till att upptäcka kommunikation med kommando- och kontrollservrar (C2) och andra skadliga domäner, och det utan kända hotdata.

Session Risk Analytics (SRA)

Identifiera onormala egenskaper i nätverkstrafik, som självsignerade certifikat eller användning av icke-standardiserade portar. Tillsammans med andra oväntade/misstänkta aktiviteter indikerar dessa egenskaper en hög risk som bör undersökas.

Data Detection Engine (DDE)

Denna motor är utformad för att hjälpa till att upptäcka system i nätverket som inte hanteras av Sophos. Detta hjälper dels till att identifiera luckor i täckningen av auktoriserade enheter, dels att upptäcka obehöriga, potentiellt skadliga system eller enheter.

Deep Packet Inspection (DPI)

Med Deep Packet Inspection kan man i nätverket söka efter specifika indikationer på kompromettering. Det kan till exempel vara kommunikation till en kommandostyrningsserver (C2) eller en misstänkt IP-adress som inte har något att göra i ditt nätverk.

Vad som behövs för Sophos NDR

Sophos NDR levereras för närvarande endast som en MDR-integration. Detta innebär att du behöver en aktiv MDR-licens för att överhuvudtaget kunna installera NDR. Sedan mitten av juli har XDR-kunder också möjlighet att testa NDR gratis via Early Access Program.

Som redan förklarats ovan körs Sophos NDR-sensorn (loggsamlaren) på en virtuell maskin (VM). Där samlas data in och vidarebefordras till Sophos Data Lake. För närvarande stöder Sophos NDR “VMware ESXi 6.7” eller nyare och “Microsoft Hyper-V 6.0.6001.18016 (Windows Server 2016)” eller nyare.

Prova Sophos NDR

Har jag övertygat dig med detta blogginlägg om kvaliteterna och fördelarna med Sophos NDR-lösningen, eller åtminstone gjort dig nyfiken? Kunder med en MDR- eller XDR-licens kan från mitten av juli registrera sig för Sophos Early Access Program för att testa NDR gratis. EAP ska enligt Sophos vara aktivt från juli till november 2023.

Om du ännu inte använder XDR- eller MDR-licenser och vill prova Sophos NDR, beställ dem helt enkelt via vår onlinebutik:

De exakta stegen för att lägga till NDR som integration i Central, konfigurera, ladda ner och installera bilden på VM:en, hittar du i följande Sophos-guide: Konfigurera Sophos NDR

Informationsmaterial

Sophos Network Detection and Response (NDR) – EAP snabbstartsguide

Sophos Network Detection and Response (NDR) – Datablad

Sophos Network Detection and Response (NDR) – Kort beskrivning

Sophos Network Detection and Response (NDR) – Whitepaper

David

David

David ansvarar for innehall, struktur och digital implementation hos Avanet. Hans fokus ar att gora komplexa tekniska amnen tydliga, precisa och sokvanliga.