Sophos Firewall v21 ofrece una innovación pionera en el sector: la detección y respuesta de red (NDR) integrada en tu firewall.
¿Qué es NDR?
La detección y respuesta de red (NDR) es una categoría de los productos de seguridad de red diseñada para detectar comportamientos anormales en el tráfico y ayudar a identificar a los adversarios activos que operan en la red.
Los atacantes expertos son muy eficaces a la hora de evadir la detección, pero en última instancia necesitan moverse a través de la red o comunicarse fuera de ella para llevar a cabo un ataque. La NDR suele estar dentro de la red, utilizando sensores que monitorizan y analizan el tráfico de la red para identificar este tipo de actividad sospechosa.
Los productos NDR existen desde hace muchos años y Sophos NDR forma parte de nuestra cartera de productos MDR/XDR desde principios de 2023. Sin embargo, con SFOS v21.5, estamos integrando la NDR con Sophos Firewall, una novedad en el sector, sin coste adicional para los clientes de Sophos Firewall con Xstream Protection.
Integrar la NDR con un firewall de última generación puede parecer una elección obvia, pero el reto está en hacerlo de forma que no afecte al rendimiento del firewall, ya que el análisis del tráfico de NDR requiere una potencia de procesamiento significativa. Como resultado, hemos adoptado un enfoque novedoso de implementación de una solución NDR en la nube de Sophos para descargar el trabajo pesado del firewall.
Sophos NDR Essentials
Sophos Firewall v21.5 presenta nuestra nueva plataforma de detección y respuesta de red en la nube NDR Essentials. Utiliza las últimas detecciones de IA para ayudar a identificar adversarios activos y comparte esa información utilizando la API de feeds de amenazas de Sophos Firewall como parte de Active Threat Response para mantenerte informado de cualquier detección y sus riesgos relativos.
Mira este breve vídeo de demostración para ver cómo funciona o sigue leyendo para obtener todos los detalles:
Cómo funciona
Sophos Firewall captura metadatos del tráfico cifrado con TLS y de las consultas de DNS y envía esa información a NDR Essentials en la nube de Sophos.
Allí, los datos se analizan utilizando múltiples motores de IA. Puede detectar cargas útiles cifradas maliciosas sin realizar el descifrado TLS, así como dominios nuevos e inusuales generados a través de algoritmos que a menudo son un indicador clave de compromiso.
La extracción de metadatos se realiza mediante un nuevo motor ligero implementado en Xstream FastPath y, como resultado, una advertencia con esta nueva capacidad es que solo está disponible en firewalls de hardware de la serie XGS. Los firewalls virtuales, de software y en la nube pueden obtener esta capacidad de integración de NDR en el futuro, pero no en la v21.5.
La nueva fuente de amenazas NDR Essentials se gestiona junto con tus otras fuentes de amenazas (Sophos X-Ops, MDR y fuentes de terceros) en el área de Respuesta Activa a Amenazas del firewall, como se muestra en la captura de pantalla anterior. La configuración es sencilla: activa un interruptor, selecciona las interfaces internas que deseas supervisar y un umbral mínimo de riesgo de detección, ¡y listo!
Las detecciones de NDR Essentials se puntúan en un rango de 1 (riesgo bajo) a 10 (riesgo más alto). Tú decides qué puntuación de riesgo establece el umbral para una alerta en función de tu entorno particular. El valor predeterminado recomendado es de riesgo alto (9-10).
Todas las detecciones que tengan una puntuación superior o igual a 6 se registran, pero solo las que alcanzan o superan tu umbral activan notificaciones se muestran como alertas en el nuevo widget del panel de Control Center.
Las detecciones con una puntuación inferior a 6 pueden ser falsos positivos y, por lo tanto, no se registran. Por el momento, no se bloquean las detecciones de NDR Essentials, pero puede que esta sea una opción en el futuro. Se puede acceder a todas las detecciones a través del informe Active Threat Response, disponible tanto en el dispositivo como a través de Sophos Central Firewall Reporting.
¿En qué se diferencia NDR Essentials de Sophos NDR?
En pocas palabras, Sophos NDR Essentials es una versión «ligera» de Sophos NDR.
Sophos NDR está diseñado para instalarse en el interior de la red, de modo que pueda supervisar y detectar eficazmente actividades sospechosas y flujos de tráfico en dirección norte-sur (o interior-exterior), así como flujos este-oeste que atraviesan la LAN internamente.
Como sabes, un firewall está diseñado para situarse en la puerta de enlace de la red e inspeccionar el tráfico norte-sur. Por lo tanto, NDR Essentials no tiene la misma visibilidad en la puerta de enlace de la red que una solución NDR completa situada dentro de la red.
Nuestra solución completa Sophos NDR tiene cinco motores de detección de IA diferentes. En esta versión inicial de NDR Essentials, hemos implementado los dos motores que tienen más relevancia e impacto en la inspección del tráfico de la puerta de enlace: el motor de análisis de carga cifrada y el motor de algoritmo de generación de dominios. En este momento, con sus motores añadidos, Sophos NDR proporciona una cobertura más profunda y mayores capacidades de detección que NDR Essentials.
En resumen, NDR Essentials proporciona una excelente capa adicional de detección activa de amenazas al firewall de Sophos, y lo hace sin coste adicional y sin impacto en el rendimiento. Sin embargo, no sustituye a una implementación completa de Sophos NDR para ninguno de nuestros clientes que aprovechen nuestra plataforma XDR o nuestro servicio MDR.
Si deseas obtener más información sobre detección y capacidades de búsqueda de amenazas, te recomendamos encarecidamente que eches un vistazo a Sophos Extended Detection and Response (XDR) con la implementación completa de Sophos NDR y la nueva NDR Investigation Console.
También puedes considerar nuestro servicio completo de detección y respuesta gestionada 24/7. Todos estos productos y servicios funcionan mejor junto con los firewalls de Sophos.
Empieza hoy mismo
Empieza a aprovechar esta nueva y gran capacidad del firewall de Sophos v21.5 participando en el programa de acceso anticipado. Simplemente regístrate en el programa, haz clic en el enlace de tu correo electrónico para descargar el paquete de actualización del firmware e instálalo en tu firewall de Sophos.
Dejar un comentario