Hoppa till innehållet
Avanet

Sophos Firewall Zero-Day Protection förstå och använda

Sophos Firewall Zero-Day Protection analyserar misstänkta nedladdningar och e-postbilagor via SophosLabs Intelix. Brandväggen skickar lämpliga, riskfyllda filer till molntjänsten där Machine Learning, rykte, Sandbox analys och hotforskning samverkar. Målet är inte bara att blockera känd skadlig programvara, utan också att bättre klassificera nya eller ovanliga filer.

Det är viktigt för administratörer: Zero-Day Protection är inte en ersättning för rena regler, Web Protection, Mail Protection, TLS Inspection, loggning eller slutpunktsskydd. Funktionen är en extra skydds- och analysmodul. Det är särskilt användbart när filer kommer in i nätverket via webbnedladdningar eller e-postbilagor och klassiska signaturer ännu inte ger ett tydligt beslut.

Vilket skydd är lämpligt?

Zero-Day Protection svarar i första hand på frågan om hur misstänkta filer analyseras. Beroende på problemet är det bättre sättet att börja med webbåtkomst, e-postflöde, nätverksattacker, krypterad trafik eller utvärdering:

Denna separation förhindrar falska förväntningar: Zero-Day Protection utvärderar filer, men den ersätter inte en webbpolicy, ingen IPS, ingen e-postreläplanering och ingen central loggutvärdering. Det bästa skyddet uppstår bara när fil-, webb-, e-post-, nätverks- och loggningslagren passar ihop.

Där Zero-Day Protection hjälper i praktiken

Zero-Day Protection är särskilt relevant i dessa scenarier:

  • Användare laddar ner körbara filer, arkiv eller dokument från Internet.
  • E-postbilagor bör kontrolleras noggrannare innan leverans eller släpps.
  • En fil är ännu inte klart känd, men verkar misstänkt.
  • En nedladdning ska inte bara skannas lokalt utan också övervakas i en Sandbox.
  • En säkerhetsincident måste bedömas bättre med hjälp av en detaljerad rapport.

Funktionen passar bra med en säkerhetsmodell med nivåer: Brandväggsregler begränsar tillåten trafik, TLS Inspection gör krypterad webbtrafik mer granskningsbar, Web Protection och Mail Protection bedömer innehåll och Zero-Day Protection kompletterar dessa kontroller med molnanalys och sandlåderapportering.

Krav och gränser

Zero-Day Protection fungerar bara meningsfullt om de relevanta skyddsmodulerna och policyerna är aktiva. En ren Allow-regel utan lämpliga säkerhetsprofiler ger inte samma skydd. Beroende på applikationsområde måste du därför medvetet planera Web Protection, Mail Protection, skanning av skadlig programvara, SSL/TLS Inspection och loggning.

Viktiga begränsningar i drift:

  • Brandväggen skickar inte alla filtyper till Intelix, utan i första hand riskfyllda filtyper.
  • Många säkra filtyper, som typiska bildformat, skickas inte för detonation.
  • Undantag kan utesluta filer från analysen och därmed minska den skyddande effekten.
  • Molnanalys kräver anslutning till Sophos-tjänster och kan försena nedladdningar.
  • Att släppa innan analysen är klar kan göra skadligt innehåll tillgängligt.
  • Zero-Day Protection ersätter inte slutpunktsdetektering och svar, ingen MDR och ingen ren incidentrespons.

Om brandväggen inte ser lite eftersom HTTPS inte är dekrypterad eller regler körs utan säkerhetsprofiler, förblir Zero-Day Protection också begränsad. Artikeln Sophos Firewall Loggar: Vilken funktion skriver till vilken logg? hjälper till med logg- och modultilldelning.

Aktivera i brandväggsregler

För webbnedladdningar räcker det inte att Zero-Day Protection är allmänt licensierad. Den lämpliga brandväggsregeln måste faktiskt rikta in sig på webbtrafik och aktivera nödvändiga webbskanningsalternativ.

Den typiska vägen är:

Rules and policies > Firewall rules

I den berörda klientens internetregel bör du kontrollera:

  1. Källzon, källnätverk, destinationszon och tjänster matchar testtrafiken.
  2. Loggbrandväggstrafik är aktiv.
  3. En lämplig webbpolicy väljs i området Webbfiltrering.
  4. Skanna HTTP och dekrypterad HTTPS är aktiv.
  5. Använd nolldagarsskydd är aktivt.
  6. För HTTPS-nedladdningar är TLS Inspection schemalagd och effektiv för testtrafik.
  7. QUIC/HTTP/3 följer inte det förväntade HTTPS-revisionsspåret.
  8. Web Exceptions do not inadvertently skip malware scanning, policy checking, or zero-day protection analysis.

Detta garanterar inte att varje nedladdning visas i nolldagarsskyddsvyn. Kända filer, icke-kritiska filtyper eller nedladdningar utanför den markerade sökvägen kan utvärderas annorlunda i förväg. För acceptans bör du därför inte bara kontrollera om kryssrutan är aktiv, utan även om en specifik nedladdning kan spåras i Log Viewer, webblogg, SSL/TLS inspektionslogg och i Nedladdningar och bilagor.

Viktigt: Skanna HTTP och dekrypterad HTTPS skannar HTTP och redan dekrypterad HTTPS-trafik. Alternativet aktiverar inte automatiskt HTTPS-dekryptering. I DPI-inställningar kräver detta lämplig Rules and policies > SSL/TLS inspection rules; i webbproxysökvägen är Dekryptera HTTPS under webbproxyfiltrering relevant. Utan denna synlighet kan Zero-Day Protection se mindre för krypterade nedladdningar, även om brandväggsregeln ser formellt korrekt ut.

Där Zero-Day Protection träder i kraft

Zero-Day Protection ska inte ses isolerat. Funktionen blir endast relevant om en fil faktiskt körs genom en lämplig skyddsväg.

Typiska vägar:

  • Webbanladdning: Lämplig brandväggsregel, Web Protection, Skanna HTTP och dekrypterad HTTPS, Använd nolldagarsskydd och ofta TLS Inspection för HTTPS måste tillämpas i förväg. Du kan kontrollera webbloggen, SSL/TLS-inspektionsloggen och vyn för nedladdningar och bilagor.
  • E-postbilaga: E-postflödet måste gå igenom Mail Protection, lämplig bifogad policy och kontroll av skadlig programvara. Du kan kontrollera e-postloggar, karantän och vyn för nedladdningar och bilagor.
  • Release- eller felstatus: Rapporten är ännu inte klar eller analysen misslyckades. Då räknas releaseprocesser, användarkontext, hash och andra loggar.
  • Ingen synlighet: Trafiken passerar inte genom skyddsvägen eller så är filtypen inte relevant. Kontrollera sedan först brandväggsregeln, policyn, TLS, postflödet och filtypen.

För webbnedladdningar är det första som är viktigt om rätt Web Policy är aktiv i brandväggsregeln. För e-postbilagor måste e-postflödet faktiskt köras via Mail Protection i MTA-läge eller en jämförbar kontrollerad sökväg. Om endast en normal tillåt-regel tillåter trafik, bör du inte förvänta dig fullständig filanalys från Zero-Day Protection.

Det är värt att vara särskilt försiktig med webbundantag. Ett undantag kan användas vid dekryptering, skadlig programvara och innehållssökning, Zero-Day Protection eller policycontroller för att matcha trafik hoppas över i DPI- och proxylage. Undantag bör därför formuleras snävare än själva skyddsrules and korskontrolleras med Log Viewer, SSL/TLS inspection logg and riktig nedladdning.

Analysflöde

1. Detektering på brandväggen

En fil kommer igenom brandväggen via en nedladdning eller som en e-postbilaga. Om policyn, filtypen och sammanhanget matchar är filen markerad för Zero-Day Protection. Kända, tydligt klassificerade filer kan utvärderas i förväg av andra skyddsmoduler.

2. Överlämning till SophosLabs Intelix

Kvalificerade filer skickas till en SophosLabs Intelix-tjänst över en krypterad anslutning. Där kontrolleras filen inte bara mot kända mönster, utan utvärderas även med hjälp av flera analysnivåer.

3. Machine Learning och rykte

SophosLabs Intelix utvärderar egenskaper, struktur, globalt rykte och likhet med kända bra eller dåliga filer. Detta är särskilt användbart för nya filer som ännu inte har setts allmänt.

4. Sandbox analys

Sandbox analys undersöker filen i en isolerad miljö. Utvärderingen kombinerar dynamisk och statisk analys, djupinlärning, exploateringsdetektering, CryptoGuard och övervakning av fil-, lagrings-, register- och nätverksaktivitet. For admins, the marketing term is less important than the question: What was the file actually trying to do?

5. Beslut och rapport

I slutet finns ett betyg, till exempel ren, sannolikt ren, misstänkt, skadlig eller PUA. Beroende på resultatet släpps filen, blockeras eller förblir synlig med ett fel- eller analysläge. Rapporten hjälper till att tydligt motivera en frigivning, en blockering eller ytterligare åtgärder för incidentrespons.

Läs rapporterna korrekt

Översikten finns i Sophos Firewall under Monitor & analyze > Zero-day protection > Downloads and attachments. Där kan du se aktivitetsdata om misstänkta nedladdningar och e-postbilagor, analysstatus, rapportdetaljer och delningsalternativ.

Du bör inte bara söka efter filnamnet i listan. Filter baserade på tidsperiod, användare, källa, status och komponent är användbara. Tekniskt sett visas nolldagsskyddshändelser i rapporter och syslog som en separat loggtyp; beroende på sökvägen är komponenten Webb eller Mail, och undertyper kan vara något som Tillåten, Nejad eller Väntande. Detta gör korrelationen med SIEM eller Central Reporting renare.

Detekteringsstatusen ger en kort bild av analysframsteg. För den fullständiga ansökan behöver du öppna Visarapporten eller Visarapporten finns tillgänglig för att bara läsa listposten. Specielt vid Pending, felstatus eller senare release, ligger den detaljerade rapporterna till grund för beslutet.

En rapport kan bland annat innehålla dessa områden:

  • Nedladdningsinformation: Källa, tidpunkt och påverkad användare.
  • Analyssammanfattning: Övergripande utvärdering av filen.
  • Maskininlärningsanalys: Funktioner, struktur och ML-utvärdering.
  • Omdömeanalys: Bedömning baserad på global distribution.
  • Detonationsresultat: Filens beteende under Sandbox exekvering.
  • Fullständig filanalys: Signaturer, certifikat, resurser, import och export.
  • VirusTotal-rapport: ytterligare extern detekteringssituation.

När det kommer till en misstänkt fil bör du inte bara titta på den slutliga statusen. Källa, användare, filnamn, mål-URL, processbeteende, nätverksaktivitet och om andra system har sett samma nedladdning är också relevanta. Om detta resulterar i en incident bör rapporten slås samman med loggar för slutpunkt, e-post, webb och brandvägg.

Process för en misstänkt anmälan

En skyddsträff med noll dagar ska behandlas som ett litet säkerhetsfodral, inte som ett rent webbfilterblock.

Praktisk process:

  1. Öppna rapport och registrera status, filnamn, källa, användare, tid och betyg.
  2. Kontrollera om det var en webbnedladdning, en e-postbilaga eller en annan sökväg.
  3. Jämför webb-, e-post- och brandväggsloggar för samma tidsperiod.
  4. Om det finns, kontrollera slutpunkts- eller EDR-händelser för den berörda klienten.
  5. Dokumentfil hash, avsändare, URL eller domän.
  6. Bestäm om det är en falsk positiv, en blockerad attack, en olöst misstanke eller en incident.
  7. Överväg bara godkännande om det finns ett begripligt affärsskäl.
  8. Dokumentera beslutet och, om nödvändigt, härled en URL-grupp, e-postpolicy, hotflöde eller slutpunktsåtgärd.

När flera användare ser samma fil eller domän räcker det ofta inte med ett enda beslut. Du bör sedan kontrollera om en webbpolicyjustering, en e-postpolicyregel, ett hotflödesinlägg eller ett incidentsvar är nödvändigt.

Dela filer

Sophos Firewall tillåter endast delning av filer eller e-postmeddelanden som fortfarande analyseras eller har returnerats med en felstatus. En sådan frigivning kan vara nödvändig om en affärsprocess blockeras. Det är dock olämpligt som en normal lösning.

Innan du släpper bör du åtminstone kontrollera:

  • Är källan pålitlig och förväntad?
  • Rådfrågades användaren eller avdelningen om sammanhanget?
  • Finns det en hash, filnamn eller avsändare som kan kontrolleras ytterligare?
  • Finns det slutpunkts- eller e-postloggar för samma process?
  • Kan filen granskas i en isolerad miljö eller via ett separat analysverktyg?
  • Finns det dokumenterat vem som beslutat att släppa den och av vilken anledning?

⚠️ Att dela innan analysen är klar kan resultera i att skadligt innehåll laddas ned eller levereras. I produktiva miljöer bör detta beslut dokumenteras och inte delegeras till rutin på första nivån.

Efter godkännande fortsätter analysen. Detta är viktigt för verksamheten: en delad fil kan senare fortfarande bedömas som misstänkt eller skadlig. Du bör därför kontrollera releaser och, om du senare får ett dåligt betyg, slå samman slutpunkts-, e-post-, webb- och brandväggsloggar igen.

För enskilda filer kan blogginlägget Avanet SophosLabs Intelix - Verktyget för upptäckt av cyberhot hjälpa. Detta ersätter dock inte utvärderingen i det specifika nätverket och användarkontexten.

Datacenter och dataskydd

Du kan ange datacenter för analysen under Monitor & analyze > Zero-day protection > Protection settings. Som standard väljer Sophos Firewall närmaste datacenter. Alternativt kan du välja ett datacenter medvetet.

Denna inställning är särskilt viktig om dataskydd, datauppehållstillstånd eller interna bestämmelser spelar en roll. En förändring i datacenter kan påverka pågående analyser. Därför bör inställningen inte ändras under ett akut analysfall, utan bör planeras och dokumenteras.

Använd undantag försiktigt

I skyddsinställningarna kan du utesluta filtyper från nolldagsskyddsanalysen. Filtypsavkänning baseras på filtillägg och MIME-rubrik. Arkiv som innehåller uteslutna filtyper kan också exkluderas.

Undantag är tekniskt praktiska, men säkerhetsrelevanta. Varje undantag bör ha en tydlig motivering:

  • Vilken applikation eller process skapar filerna?
  • Varför är analysen störande eller inte användbar?
  • Finns det ett snävare undantag än en hel filtyp?
  • Kontrolleras undantaget regelbundet?
  • Är det känt vilken skyddseffekt som går förlorad till följd av detta?

Breda undantag för arkiv, skript, Office-filer eller körbara filer bör undvikas. När Zero-Day Protection avbryter en legitim process är det första att tänka på ofta policyn, källsökvägen, påverkad användarbas eller alternativ distribution.

Kontrollera godkännanden och undantag regelbundet

Zero-Day Protection är inte bara en påslagningsfunktion. Det verkliga operativa värdet uppstår när rapporter, godkännanden och undantag kontrolleras regelbundet. Annars förblir riskabla beslut aktiva under lång tid, även om det ursprungliga affärsskälet för länge sedan har försvunnit.

Dessa punkter är särskilt användbara för recensionen:

  • Released fil: Kontrollera orsaken till releasen, påverkad användare eller avdelning, hash, filkälla, utgångsdatum och efterföljande utvärdering.
  • Undantag för filtyp: Kontrollera påverkad applikation, ägare, granskningsdatum, närmare alternativ och risk för arkiv, skript eller Office-filer.
  • Återkommande felstatus: Kontrollera Sophos-anslutning, filstorlek, filtyp, policy, datacenter och eventuellt supportärende.
  • Många träffar från en källa: Kontrollera webb- eller e-postpolicy, URL, avsändare, användargrupp, hotflöde, URL-grupp eller blockeringslista.

Ett undantag är inte en normal rensning av brandväggsregeln. Sådana inlägg bör ha en ägare, en anledning och ett granskningsdatum. För återkommande utgåvor bör du också jämföra slutpunkts-, e-post-, webb- och brandväggsloggar så att ett enda undantag inte förvandlas till en permanent bypass obemärkt.

Felsökning

Inga poster synliga

Om inga poster visas under Nedladdningar och bilagor, bör du först kontrollera om trafiken faktiskt går igenom lämplig brandväggsregel och säkerhetsprofil. För webbnedladdningar är Skanna HTTP och dekrypterad HTTPS och Använd nolldagarsskydd i brandväggsregeln särskilt relevanta. För HTTPS-trafik kan saknad TLS Inspection förklara varför brandväggen ser mindre innehåll. Kontrollera sedan webb, e-post, skadlig programvara och noll-dagars inställningar.

Dessutom bör du kontrollera om ett webbundantag utesluter relevant trafik från dekryptering, skadlig programvara och innehållsskanning eller Zero-Day Protection. Om ett undantag inträffar kan nolldagarsskyddskonfigurationen se korrekt ut och fortfarande inte producera en post.

När du testar bör du inte skapa falska förväntningar med filer som redan är kända lokalt eller globalt. If reputation or other protection modules already clearly evaluate a file, a complete new Sandbox analysis does not necessarily have to be visible. För acceptanstestning är tidsfönster, testklient, Rule ID, URL, filnamn och hash viktigare än en enda webbläsarnedladdning utan loggkorrelation.

Nedladdningarna tar för lång tid

En Sandbox-analys kan ta tid. Om användare regelbundet väntar under långa perioder bör du kontrollera om många stora eller ofta föränderliga filer analyseras, om de processer som påverkas är legitima och om ett snävt tekniskt undantag är motiverat. En filtavaktivering är vanligtvis fel första steg.

Många falsklarm

För återkommande falska positiva resultat, kontrollera rapportens detaljer, filkälla, hash, rykte, berörda användare och applikation. Först när mönstret förstås bör du ställa in undantag. För dynamiska blockeringslistor och IOC-operationer är Sophos Firewall Säker uppställning och drift av Threat Feeds ett relaterat ämne.

Frigivning begärdes

En frigivning ska behandlas som ett säkerhetsbeslut. Om avdelningen bara rapporterar “brådskande” räcker det inte. Du behöver källa, syfte, fil, användare, riskbedömning och ett dokumenterat beslut.

Checklista för verksamheten

  • Zero-Day Protection Licens och modulstatus kontrolleras.
  • Web- och e-postpolicyer med skadlig programvara och säkerhetsskanning kontrolleras.
  • Incheckad i regler för webbbrandvägg Skanna HTTP och dekrypterad HTTPS och Använd nolldagarsskydd.
  • TLS Inspection eller webbproxydekryptering planeras där krypterade webbnedladdningar bör kontrolleras på ett meningsfullt sätt.
  • Kontrollerade webbundantag för oavsiktliga nolldagars förbikopplingar.
  • Datacenter avsiktligt valt för analys eller dokumenterat som standard.
  • Inga breda filtypundantag utan ägare och granskningsdatum.
  • Nedladdningar och bilagor kontrolleras regelbundet.
  • Releaseprocess definierad för analyserade eller felaktiga filer.
  • Rapporter korrelerade med loggar för slutpunkt, e-post, webb och brandvägg.
  • Syslog, Central Reporting eller SIEM beaktas för längre spårbarhet.

FAQ

Vad gör Sophos Firewall Zero-Day Protection?

Zero-Day Protection analyserar misstänkta nedladdningar och e-postbilagor via SophosLabs Intelix. Machine Learning, rykte och Sandbox analys kombineras för att bättre upptäcka nya eller okända hot.

Skickas alla filer till Sophos?

Nej. Sophos Firewall skickar i första hand riskabla filtyper för detonation och analys. Många filtyper som anses vara icke-kritiska skickas inte. Dessutom kan administratörer utesluta filtyper, vilket kan minska skyddseffekten.

Var kan du se nolldagsskyddsrapporter?

The reports can be found under Monitor & analyze > Zero-day protection > Downloads and attachments. Där kan du kontrollera analysstatus, rapportdetaljer och releasestatus.

Varför kan jag inte se några poster trots att Zero-Day Protection har aktiverats?

Det går inte att ladda ner en brandväggsreglering, Skanna HTTP och dekrypterad HTTPS eller Använd nolldagarsskydd är inte aktivt, HTTPS är inte tillgängligt, filtypen är inte tillgänglig.

Är det tillåtet att dela en fil innan analysen är klar?

Tekniskt är detta möjligt under vissa förhållanden. Det är operativt riskabelt eftersom det tillåter skadligt innehåll att laddas ner eller levereras. Frisläppande bör dokumenteras och endast ske efter granskning.

Ersätter Zero-Day Protection slutpunktsskydd?

Nej. Zero-Day Protection lägger till webb-, e-post- och brandväggsskydd. Endpoint-skydd, EDR, MDR, loggning och incidentrespons är fortfarande nödvändiga eftersom inte varje attack går genom en fil som analyseras av brandväggen.