Το Sophos Firewall v21.5 εισάγει για πρώτη φορά στον κλάδο μία καινοτομία: Δυνατότητες NDR (Network Detection & Response) είναι πλέον ενσωματωμένες στο τείχος προστασίας σας.
Τι είναι το NDR;
Το Network Detection and Response (NDR) που γνωρίζουμε ως «εντοπισμός δικτυακών απειλών και ανταπόκριση» ή «ανίχνευση και αντιμετώπιση δικτυακών απειλών» είναι μια κατηγορία εργαλείων και προϊόντων δικτυακής ασφάλειας που σχεδιάστηκαν για να παρακολουθούν την δικτυακή κυκλοφορία για ύποπτη ή μη φυσιολογική δραστηριότητα, να αναλύουν δεδομένα για τον εντοπισμό ενεργών αντιπάλων που δραστηριοποιούνται εντός του δικτύου και να παρέχουν μηχανισμούς αντίδρασης για την αντιμετώπιση των απειλών, ακόμα και μέσω αυτοματοποιημένων ενεργειών.
Ορισμένοι επιδέξιοι επιτιθέμενοι καταφέρνουν να αποφύγουν αποτελεσματικά τον εντοπισμό όμως σε κάθε περίπτωση θα καταλήξουν να μετακινηθούν ή να επικοινωνήσουν εκτός του δικτύου για να προχωρήσουν στην εκτέλεση κάποιας επίθεσης. Το NDR συνήθως βρίσκεται εντός του δικτύου και αξιοποιεί διάφορους αισθητήρες που παρακολουθούν και αναλύουν την δικτυακή κυκλοφορία για τον εντοπισμό ύποπτης δραστηριότητας.
Τα προϊόντα NDR υπάρχουν εδώ και πολλά χρόνια και το Sophos NDR αποτελεί μέρος του χαρτοφυλακίου προϊόντων MDR/XDR της Sophos από τις αρχές του 2023. Με το Sophos Firewall OS v21.5 ωστόσο, η Sophos ενσωμάτωσε δυνατότητες NDR στο Sophos Firewall -κάτι που συμβαίνει για πρώτη φορά στην βιομηχανία- και μάλιστα χωρίς επιπλέον χρέωση για τους πελάτες του Sophos Firewall με Xstream Protection.
Η ενσωμάτωση του NDR σε ένα Next-Gen Firewall μπορεί να μοιάζει με προφανής επιλογή ωστόσο η μεγάλη πρόκληση είναι να γίνει κατά τέτοιο τρόπο ώστε να μην επηρεάζεται η απόδοση του τείχους προστασίας καθώς όπως είναι γνωστό, η ανάλυση της δικτυακής κίνησης δεδομένων από το NDR απαιτεί σημαντικούς πόρους σε επεξεργαστική ισχύ. Ακριβώς για αυτόν τον λόγο, η Sophos αποφάσισε να ακολουθήσει την καινοτομική προσέγγιση της εφαρμογής και της ανάπτυξης μιας λύσης NDR στο Sophos Cloud για την αποφόρτιση του τείχους προστασίας.
Sophos NDR Essentials
Το Sophos Firewall v21.5 εισάγει το NDR Essentials, τη νέα, παρεχόμενη μέσω του cloud πλατφόρμα ανίχνευσης και αντιμετώπισης δικτυακών απειλών. Αξιοποιεί τις πιο πρόσφατες ανιχνεύσεις AI για να βοηθήσει στον προσδιορισμό ενεργών αντιπάλων και μοιράζεται τη σχετική πληροφόρηση χρησιμοποιώντας το API τροφοδότησης πληροφοριών για απειλές του Sophos Firewall ως μέρος της Ενεργής Αντιμετώπισης Απειλών (Active Threat Response) για να σας ενημερώνει για τους σχετικούς κινδύνους κάθε ανίχνευσης.
Παρακολουθήστε το παρακάτω σύντομο βίντεο επίδειξης για να δείτε πως λειτουργεί ή διαβάστε παρακάτω για τις περισσότερες λεπτομέρειες:
Πως λειτουργεί
Το Sophos Firewall καταγράφει μεταδεδομένα από την κρυπτογραφημένη κυκλοφορία TLS και τα queries του DNS και αποστέλλει τις σχετικές πληροφορίες στο NDR Essentials στο Sophos Cloud.
Εκεί, τα δεδομένα αναλύονται χρησιμοποιώντας πολλαπλές μηχανές Τεχνητής Νοημοσύνης. Μπορεί να ανιχνεύσει κρυπτογραφημένα κακόβουλα φορτία χωρίς να εκτελεί αποκρυπτογράφηση TLS, καθώς και ασυνήθιστους νέους τομείς (domains) που παράγονται μέσω αλγορίθμων, οι οποίοι πολλές φορές αποτελούν βασικό δείκτη παραβίασης (IoC).
Η εξαγωγή μεταδεδομένων πραγματοποιείται από μια νέα ελαφριά μηχανή που έχει ενσωματωθεί στο Xstream FastPath και ως εκ τούτου, απαραίτητη προϋπόθεση για να αξιοποιηθεί αυτή η νέα δυνατότητα, είναι η απόκτηση ενός τείχους προστασίας υλικού (hardware firewall) από τη σειρά XGS. Τα εικονικά τείχη προστασίας (virtual), τα τείχη προστασίας λογισμικού (software) και τα τείχη προστασίας νέφους (cloud) ενδέχεται να αποκτήσουν αυτή τη δυνατότητα ενσωμάτωσης NDR στο μέλλον, αλλά όχι στην έκδοση 21.5.
Η διαχείριση της νέας τροφοδότησης πληροφοριών απειλών NDR Essentials όπως και οι άλλες πηγές τροφοδότησης (Sophos X-Ops, MDR και πηγές τροφοδότησης τρίτων) πραγματοποιείται στην περιοχή Active Threat Response του τείχους προστασίας, όπως φαίνεται και στο παραπάνω στιγμιότυπο οθόνης. Η σχετική διαμόρφωση/ρύθμιση είναι απλή: γυρίστε έναν διακόπτη για να το ενεργοποιήσετε, επιλέξτε ποιες εσωτερικές διεπαφές θα παρακολουθούνται, ένα ελάχιστο όριο για τον κίνδυνο ανίχνευσης και είστε έτοιμοι!
Οι ανιχνεύσεις NDR Essentials βαθμολογούνται με βάση ένα εύρος από το 1 (χαμηλός κίνδυνος) έως το 10 (υψηλός κίνδυνος). Εσείς αποφασίζετε για ποια βαθμολογία κινδύνου ορίζει το κατώτατο όριο για μια ειδοποίηση βάσει του δικού σας περιβάλλοντος. Η συνιστώμενη προεπιλογή είναι ο «υψηλός κίνδυνος» (9-10).
Όλες οι ανιχνεύσεις με βαθμολογία μεγαλύτερη ή ίση του 6 καταγράφονται, αλλά μόνο εκείνες που πληρούν ή υπερβαίνουν το όριο που έχετε θέσει ενεργοποιούν ειδοποιήσεις και εμφανίζονται ως συναγερμοί στη νέα μικροεφαρμογή (widget) της κονσόλας του Control Center.
Οι ανιχνεύσεις με βαθμολογία μικρότερη από 6 ενδέχεται να είναι ψευδώς θετικές και ως εκ τούτου δεν καταγράφονται. Προς το παρόν δεν μπλοκάρονται ανιχνεύσεις NDR Essentials αλλά ενδέχεται να αποτελέσει μία επιλογή μελλοντικά. Όλες οι ανιχνεύσεις είναι πλήρως προσβάσιμες μέσω της αναφοράς Active Threat Response που είναι διαθέσιμη τόσο on-box όσο και μέσω του Sophos Central Firewall Reporting.
Πως συγκρίνεται το NDR Essentials με το Sophos NDR;
Με απλά λόγια, το Sophos NDR Essentials αποτελεί μία «Lite» (ελαφριά) έκδοση του Sophos NDR.
Το Sophos NDR σχεδιάστηκε για να βρίσκεται βαθιά εντός του δικτύου για να μπορεί να επιθεωρεί και να ανιχνεύει αποτελεσματικά ύποπτες δραστηριότητες και ροές κυκλοφορίας με κατεύθυνση τόσο από βορρά προς νότο (ή από μέσα προς τα έξω) όσο και ροές από ανατολή προς δύση που προσπελαύνουν το LAN εσωτερικά.
Όπως είναι γνωστό, ένα τείχος προστασίας έχει σχεδιαστεί για να βρίσκεται στην πύλη του δικτύου και να επιθεωρεί την κυκλοφορία από βορρά προς νότο. Επομένως, το NDR Essentials δεν έχει την ίδια ορατότητα στην πύλη δικτύου όπως μία ολοκληρωμένη λύση NDR που βρίσκεται στο εσωτερικό του δικτύου.
Η πλήρης λύση NDR της Sophos διαθέτει πέντε διαφορετικές μηχανές ανίχνευσης τεχνητής νοημοσύνης. Σε αυτή την αρχική έκδοση του NDR Essentials, η Sophos ενσωμάτωσε τις δύο μηχανές που έχουν και τη μεγαλύτερη σημασία ή και αντίκτυπο στην επιθεώρηση της κυκλοφορίας στην πύλη: τη μηχανή Encrypted Payload Analysis και τη μηχανή Domain Generation Algorithm. Όπως έχουν τα πράγματα τώρα, με τις πρόσθετες μηχανές του, το Sophos NDR παρέχει βαθύτερη κάλυψη και μεγαλύτερες δυνατότητες ανίχνευσης από το NDR Essentials.
Συνοπτικά, το NDR Essentials παρέχει ένα εξαιρετικό πρόσθετο επίπεδο ανίχνευσης των ενεργών απειλών στο Sophos Firewall, κάτι που μάλιστα το καταφέρνει χωρίς οικονομική επιβάρυνση για τους πελάτες και χωρίς αντίκτυπο στην απόδοση. Σε κάθε περίπτωση όμως, δεν έχει τη δυνατότητα να αντικαταστήσει την πλήρη εφαρμογή του Sophos NDR για οποιονδήποτε από τους πελάτες της Sophos που αξιοποιούν την πλατφόρμα XDR ή την υπηρεσία MDR της εταιρείας.
Αν θέλετε περισσότερες πληροφορίες για την ανίχνευση και τις δυνατότητες καταδίωξης απειλών, σας συνιστούμε να ελέγξετε το Sophos Extended Detection and Response (XDR) με την πλήρη εφαρμογή του Sophos NDR και τη νέα κονσόλα διερεύνησης NDR της Sophos (NDR Investigation Console).
Αξίζει επίσης να λάβετε υπόψη σας και να εξετάσετε την πλήρη υπηρεσία 24/7 Managed Detection and Response. Όλα αυτά τα προϊόντα και οι υπηρεσίες συνεργάζονται καλύτερα με τα τείχη προστασίας Sophos Firewall που χρησιμοποιείτε.
Ξεκινήστε άμεσα
Ξεκινήστε να αξιοποιείτε τη νέα αυτή δυνατότητα του Sophos Firewall v21.5 συμμετέχοντας στο πρόγραμμα πρώιμης πρόσβασης. Απλώς εγγραφείτε στο πρόγραμμα, κάντε κλικ στο σύνδεσμο που θα λάβετε στο ηλεκτρονικό ταχυδρομείο σας για να κατεβάσετε το πακέτο ενημέρωσης υλικολογισμικού (firmware) και προχωρήστε με την εγκατάσταση του στο Sophos Firewall σας.
Πηγή: Sophos