Hoppa till innehållet
Avanet

Sophos Firewall - hur fungerar Zero-Day Protection?

Sophos Firewall

Zero-Day Protection är en säkerhetsmodul för Sophos Firewall som är utvecklad för att även skydda mot tidigare okända hot. Modulen använder avancerad sandboxing för att köra och analysera misstänkta filer i en säker, isolerad miljö. Därmed kan hot upptäckas och stoppas innan de orsakar skada. Zero-Day Protection ger ett extra skyddslager och är särskilt värdefullt i en tid där nya och tidigare okända sårbarheter snabbt utnyttjas.

I den här artikeln förklarar vi hur Zero-Day Protection fungerar, vilka filformat som stöds och vilka steg som används för att identifiera och neutralisera ett potentiellt hot.

1. Identifiering och vidarebefordran

När en fil kommer in i nätverket, till exempel via nedladdning eller som e-postbilaga, känner Sophos Firewall igen filen automatiskt. Det spelar ingen roll om filen är känd eller okänd. När filen identifieras skickas den för vidare analys till SophosLabs Intelix, Sophos molntjänst.

Förutsättningar

Licensiering: Web Protection eller E-Mail Protection måste vara licensierad för Sophos Firewall, eftersom dessa moduler krävs för korrekt analys.

Filstorlek: Filen måste vara mindre än 10 MB för att behandlas av Zero-Day Protection.

Stödda filformat: Endast vissa filformat stöds, bland annat:

  • Körbara filer (.exe, .dll)
  • Dokument (PDF, Microsoft Office-format som .docx, .xlsx)
  • Arkiv (ZIP, RAR, 7-Zip)
  • Skript (JavaScript, VBScript)
  • Andra format som JAR, BAT, RTF och LNK-filer.

Komplett lista

7-Zip arkiv

ACE arkiv

ARJ arkiv

BZIP2 komprimerat

GZIP komprimerat

ISO 9660 CD-ROM

LHA 1.x & 2.x arkiv

Microsoft Cabinet arkiv

TAR arkiv

POSIX TAR arkiv

RAR arkiv

XZ komprimerat

ZIP arkiv

Java (JAR-filer)

Office-dokument (OLE- & Open-XML-format)

PDF-dokument

PE (32-bit & 64-bit, EXE & DLL)

RTF-dokument

Skript JavaScript (JS/JSE/WSF), Visual Basic Script (VBS/VBE)

Windows Batch /BAT-filer/

Windows-genvägar (LNK & URL-filer)

Mer information finns här: Sophos KB: Zero-Day Protection och Sophos Zero-Day Protection FAQ

När förutsättningarna är uppfyllda skickas filen till SophosLabs Intelix för vidare analys.

2. Analys med SophosLabs Intelix

När en fil från Sophos Firewall identifieras som lämplig för analys laddas den upp till Sophos Cloud, där analysprocessen börjar. SophosLabs Intelix använder maskininlärning, sandboxing och hotforskning för att granska filen efter potentiella risker. Filen körs i en isolerad miljö som simulerar olika operativsystem, så att den kan testas under realistiska förhållanden utan att ditt system utsätts för risk.

Tillgängliga datacenter:

  • Asien-Stillahavsområdet (Sydney, Tokyo)
  • Europa (Frankfurt, London)
  • USA

Om ingen region väljs använder systemet närmaste datacenter baserat på latenstid.

3. Sandbox-analys

Det första analysverktyget som används är maskininlärning. SophosLabs Intelix använder flera modeller för att bedöma filens egenskaper och globala rykte. Filen jämförs med miljontals kända säkra och skadliga filer för att avgöra hur sannolikt det är att den är skadlig.

Därefter följer en sandbox-analys som använder både dynamiska och statiska tekniker. Filåtkomst, minnes- och registermanipulationer samt nätverksaktivitet övervakas. Dessutom används Deep Learning för exploit-detektering och CryptoGuard för att identifiera ransomware-beteende. Det här steget skyddar nätverket mot zero-day-hot som ransomware och riktade attacker.

Under sandboxkörningen övervakas bland annat:

  • Oväntade nätverksaktiviteter
  • Manipulationer av operativsystemet
  • Försök att komma åt känsliga data
  • Självreplikering eller annat virustypiskt beteende

Den grundliga analysprocessen kan ta några minuter, och därför kan en nedladdning fördröjas i upp till 15 minuter tills analysen är klar.

Utöver den tekniska analysen av filen gör SophosLabs Intelix även en reputationsanalys. Den bedömer hur spridd filen är och hur den tidigare har hanterats av andra säkerhetslösningar. Det hjälper till att uppskatta risken mer träffsäkert.

Blockering eller frisläppning: Baserat på resultaten från sandbox-analysen frisläpps eller blockeras filen. Om filen bedöms vara säker kan användaren ladda ned den direkt. Annars blockeras den och administratören informeras om hotet.

4. Skapa rapport

När analysen är klar skapas en detaljerad rapport med bland annat:

  • Nedladdningsdetaljer: filens ursprung, tidpunkt och användare.
  • Analysöversikt: totalresultat och klassificering, till exempel ren, misstänkt eller skadlig.
  • Resultat från maskininlärning: detaljer om filstruktur och egenskaper.
  • Detonationsresultat: aktiviteter som filen utför, inklusive skärmbilder och processdetaljer.
  • Fullständig filanalys: signaturer, certifikat, resurser och import-/exportfunktioner.
  • VirusTotal-rapport: hur andra produkter bedömt filen.

Administratörer kan när som helst granska de detaljerade rapporterna från Zero-Day Protection-analysen för att bättre förstå risken. Det är också möjligt att frisläppa filer eller e-postmeddelanden som fortfarande analyseras eller där ett fel har uppstått. Det bör dock göras med försiktighet, eftersom en frisläppning innan analysen är klar kan innebära att skadligt innehåll laddas ned.

Testa enskilda filer

I blogginlägget SophosLabs Intelix - verktyget för att upptäcka cyberhot förklaras hur man kan testa enskilda filer med onlineverktyget Sophos Intelix.

FAQ

Vad är Sophos Zero-Day Protection?

Sophos Zero-Day Protection är en säkerhetsmodul för Sophos Firewall som är utvecklad för att identifiera och blockera nya, tidigare okända hot. Den använder avancerade tekniker som maskininlärning, sandboxing och hotforskning för att analysera och bedöma misstänkta filer och e-postbilagor.

Hur fungerar Zero-Day Protection?

När en misstänkt fil eller e-postbilaga når nätverket skickas den till SophosLabs Intelix™ för analys. Där genomgår filen en flerstegsanalys som omfattar maskininlärning och sandboxing. Systemet undersöker filen efter misstänkt beteende och blockerar den om den bedöms vara farlig.

Vilka filer analyseras?

Zero-Day Protection analyserar främst körbara filer, skript, dokument och arkiv. Det omfattar format som .exe, .dll, .pdf, .docx, .xlsx, .zip, .rar och många fler. Endast filer som är mindre än 10 MB analyseras.

Hur analyseras misstänkta filer?

Först scannas filen av antivirusmotorn. Om den inte matchar ett känt hot men ändå verkar misstänkt skickas den till sandboxen, där den körs isolerat och övervakas.

Hur lång tid tar analysen?

Analysen tar normalt cirka fem minuter, men kan ta upp till tio minuter beroende på filstorlek och komplexitet. Redan analyserade filer kan hanteras på mindre än en sekund tack vare caching.

Behandlas mina data säkert?

Filer skickas till SophosLabs Intelix™ via krypterad SSL-anslutning och lagras asymmetriskt krypterat på servrarna. De dekrypteras bara under själva analysen.

I vilka datacenter analyseras filerna?

Du kan välja det datacenter där filerna ska analyseras. Tillgängliga regioner är bland annat Asien-Stillahavsområdet (Sydney, Tokyo), Europa (Frankfurt, London) och USA. Om ingen specifik region väljs använder systemet närmaste datacenter baserat på latenstid.

Vilket ransomware-skydd finns?

Zero-Day Protection innehåller funktioner för att upptäcka ransomware, inklusive dynamiska analyser som övervakar misstänkt beteende som filkryptering i realtid. Systemet använder dessutom CryptoGuard för att identifiera och stoppa ransomware-angrepp.

Kan man se vilka filer som analyserats?

Ja. Sophos Firewall har en särskild översikt där alla filer och e-postbilagor som har analyserats av Zero-Day Protection visas. Där kan du öppna rapporter med detaljer om analysen och tillhörande säkerhetsbedömningar.