Hoppa till innehållet
Avanet
Sophos NDR – eliminera blinda fläckar i nätverket

Sophos NDR – eliminera blinda fläckar i nätverket

I mina senaste artiklar har jag skrivit om Sophos Managed Detection and Response (MDR). Först om namnbytet från MTR till MDR, sedan om de nya och kraftfulla tilläggen som gör det möjligt att även integrera telemetridata från tredjepartsleverantörer.

Den som har läst dessa två artiklar har säkert förstått att Sophos MDR är en oumbärlig tjänst för att skydda sitt företag från nätverksattacker och cyberbrottslighet. I själva verket är detta bara början.

Missförstå mig inte – med Sophos MDR har ni faktiskt redan gjort mycket för säkerheten i ert nätverk! Sophos Agent körs (förhoppningsvis) på varje dator och server, och er Sophos Firewall är ansluten via Synchronized Security och skickar loggar till Data Lake. Dessutom har ni anförtrott övervakning och respons till Sophos MDR-teamet (Sophos X-Ops), som håller vakt dygnet runt. Bravo! 👏

Använder du en brandvägg från en tredjepartsleverantör? Inga problem. Tack vare de nya integrationerna kan du med MDR Firewall-tillägget även ansluta enheter från Palo Alto Networks, Fortinet, Check Point, Cisco eller SonicWall.

Blinda fläckar i sikte

Men även om kombinationen av brandväggen och Sophos Managed Detection and Response utgör en absolut drömduo för att säkra företagsnätverket, kvarstår ändå obesvarade frågor som berövar en samvetsgrann IT-administratör sömnen:

  • Hur kan jag skydda våra IoT-enheter, POS-terminaler, skrivare, tunna klienter, smart-TV-apparater etc., på vilka ingen Sophos Agent kan installeras?
  • Hur kan jag övervaka nätverkstrafiken bakom vår brandvägg?
  • Hur kan jag övervaka och analysera interna användares beteende?
  • Hur kan jag hålla koll på dataflöden i nätverket?
  • Hur lyckas jag regelbundet inventera tillgångarna i vårt nätverk?
  • Hur kan jag upptäcka nya eller obehöriga system i vårt nätverk?
  • Hur får jag insikt i den krypterade datatrafiken i vårt nätverk?

Det här är viktiga frågor som faktiskt alla kan besvaras med Sophos Network Detection and Response (NDR). NDR kompletterar försvarslinjen med en avgörande faktor. Med Sophos Firewall kontrollerar ni trafiken som kommer in i och lämnar företagsnätverket, och med Intercept X Advanced och MDR-tjänsten kan misstänkt beteende upptäckas på endpoints och servrar (där Sophos Agent är installerad). Men hur är det med trafiken inne i hela miljön?

Angripare gör allt för att undvika upptäckt, och att undvika upptäckt är en känd taktik inom MITRE ATT&CK® Framework på systemnivå. Exploits kan till exempel dölja sig för EDR-lösningar, och angripare kan inaktivera och radera systemloggar. Men det går inte att komma ifrån det faktum att en angripare måste röra sig inom nätverket. Och det är just detta som Sophos NDR-sensor kommer att logga, oavsett hur tyst eller försiktigt angriparen går till väga. Varje handling lämnar spår.

Vad är Sophos NDR?

Sophos Network Detection and Response (NDR) erbjuds som en virtuell appliance som passivt övervakar all nätverkstrafik via en SPAN-port. Allt som registreras via den porten analyseras i realtid för hot, baserat på de fem kärnalgoritmer som ingår i NDR.

Tekniken bakom NDR förvärvades av Sophos redan i juli 2021 genom köpet av företaget ”Braintrace”. Braintrace hade utvecklat en virtuell maskin som kunde övervaka nätverkstrafiken med fem kärnalgoritmer och därigenom skilja mellan skadliga och godartade aktiviteter.

När ett hot upptäcks baserat på dessa fem kärnalgoritmer, vidarebefordras det till Sophos Data Lake, klassificeras och utvärderas. Ärenden genereras som Sophos Threat Response Team analyserar och validerar. Informationen från NDR-sensorn kan också korreleras med information från andra sensorer, såsom identitets-, e-post-, nätverks- och brandväggsfunktioner.

De fem kärnalgoritmerna i NDR

Låt oss titta närmare på de fem kraftfulla algoritmer som Sophos NDR tillhandahåller oss:

ndr-detection-engines

Encrypted Payload Analytics (EPA)

Denna motor kan upptäcka skadlig kod även i krypterad datatrafik, där den annars ofta kan förbli dold.

Domain Generation Algorithm (DGA)

Denna motor hjälper till att upptäcka kommunikation med kommando- och kontrollservrar (C2) och andra skadliga domäner, och det utan kända hotdata.

Session Risk Analytics (SRA)

Identifiera onormala egenskaper i nätverkstrafik, som självsignerade certifikat eller användning av icke-standardiserade portar. Tillsammans med andra oväntade/misstänkta aktiviteter indikerar dessa egenskaper en hög risk som bör undersökas.

Data Detection Engine (DDE)

Denna motor är utformad för att hjälpa till att upptäcka system i nätverket som inte hanteras av Sophos. Detta hjälper dels till att identifiera luckor i täckningen av auktoriserade enheter, dels att upptäcka obehöriga, potentiellt skadliga system eller enheter.

Deep Packet Inspection (DPI)

Med Deep Packet Inspection går det att söka i nätverket efter specifika indikatorer på kompromettering. Det kan till exempel vara kommunikation med en Command-and-Control-server (C2) eller en misstänkt IP-adress som inte hör hemma i ert nätverk.

Vad som behövs för Sophos NDR

Sophos NDR levereras för närvarande endast som en MDR-integration. Detta innebär att du behöver en aktiv MDR-licens för att överhuvudtaget kunna installera NDR. Sedan mitten av juli har XDR-kunder också möjlighet att testa NDR gratis via Early Access Program.

Som redan förklarats ovan körs Sophos NDR-sensorn (loggsamlaren) på en virtuell maskin (VM). Där samlas data in och vidarebefordras till Sophos Data Lake. För närvarande stöder Sophos NDR “VMware ESXi 6.7” eller nyare och “Microsoft Hyper-V 6.0.6001.18016 (Windows Server 2016)” eller nyare.

Prova Sophos NDR

Har jag övertygat dig med detta blogginlägg om kvaliteterna och fördelarna med Sophos NDR-lösningen, eller åtminstone gjort dig nyfiken? Kunder med en MDR- eller XDR-licens kan från mitten av juli registrera sig för Sophos Early Access Program för att testa NDR gratis. EAP ska enligt Sophos vara aktivt från juli till november 2023.

Om ni ännu inte använder XDR- eller MDR-licenser och vill prova Sophos NDR kan ni enkelt beställa dem via vår webbutik:

De exakta stegen för att lägga till NDR som integration i Central, konfigurera och ladda ned imagen samt installera den på VM:en hittar ni i följande guide från Sophos: Konfigurera Sophos NDR

Informationsmaterial

Sophos Network Detection and Response (NDR) – EAP snabbstartsguide

Sophos Network Detection and Response (NDR) – Datablad

Sophos Network Detection and Response (NDR) – Kort beskrivning

Sophos Network Detection and Response (NDR) – Whitepaper

David

David

David ansvarar for innehall, struktur och digital implementation hos Avanet. Hans fokus ar att gora komplexa tekniska amnen tydliga, precisa och sokvanliga.