Dans notre rapport intitulé ‘Etat des Ransomwares 2020‘, plus de la moitié des entreprises interrogées dans 26 pays ont déclaré avoir été prises pour cible par un ransomware au cours des 12 derniers mois. Ce constat montre bien le besoin critique d’une identification et d’une protection prédictives concernant les menaces zero-day, à mesure que des menaces avancées telles que les ransomwares deviennent plus ciblées et évasives.
Dans ce quatrième volet de notre série d’articles visant à expliquer comment exploiter au maximum les nouvelles fonctionnalités de XG Firewall v18, nous allons nous concentrer plus particulièrement sur les nouvelles capacités intégrées à XG Firewall v18 et conçues pour se protéger contre les dernières menaces zero-day telles que les nouvelles variantes de ransomwares.
La protection Xstream contre les menaces
Dans les articles précédents, nous avons abordé l’architecture Xstream ainsi que le nouveau moteur DPI, la nouvelle solution d’inspection TLS et le Network Flow FastPath. Tous ces éléments jouent un rôle essentiel dans l’identification et le blocage des dernières menaces zero-day. Cet article va mettre en évidence les nouvelles technologies, basées dans le Cloud, d’intelligence sur les menaces (Threat Intelligence) et de sandboxing Sandstorm qui font partie de l’abonnement Sandstorm Protection.
Comment ces technologies fonctionnent :
XG Firewall v18 propose une nouvelle fonctionnalité d’intelligence sur les menaces basée sur l’apprentissage automatique (ML) ainsi qu’une nouvelle version améliorée du sandboxing Sandstorm, qui fonctionnent ensemble afin d’identifier les dernières menaces zero-day. Ces deux fonctionnalités sont alimentées par SophosLabs Intelix, qui utilisent la technologie d’apprentissage automatique, des décennies de recherche sur les menaces et des pétaoctets de renseignements pour fournir une protection inégalée contre les menaces nouvelles et inédites.
Lorsque le moteur Xstream DPI de XG Firewall effectue une analyse AV (Anti-Virus) d’un fichier entrant sur le réseau et trouve qu’il contient du code actif, il conserve le fichier temporairement et l’envoie au service Cloud SophosLabs Intelix pour une analyse statique et dynamique (sandbox). Il fournit ensuite une synthèse détaillée des résultats et ne libère le fichier, en l’envoyant vers le downloader (téléchargeur) ou le destinataire de l’email, que si le fichier est considéré comme inoffensif.
Cette dernière étape est importante, car de nombreuses solutions avancées anti-malware présentes au niveau des pare-feu libèrent et envoient le fichier en question vers l’utilisateur final avant que l’analyse ne soit véritablement terminée, pouvant entraîner ainsi un nettoyage étendu et coûteux si le fichier s’avère être bel et bien malveillant une fois l’analyse complète terminée.
Examinons plus en détail les différentes étapes de l’analyse d’un fichier :
Analyse de l’intelligence sur les menaces (Threat Intelligence) :
L’intelligence sur les menaces (Threat Intelligence) utilise plusieurs modèles d’apprentissage automatique pour analyser les caractéristiques, les fonctionnalités, l’ADN et la réputation globale du fichier. Il compare le nouveau fichier avec des millions de fichiers inoffensifs et malveillants connus et intégrés à la base de données des SophosLabs pour rendre un verdict en quelques secondes seulement sans avoir à l’exécuter en temps réel. Cette approche le rend remarquablement rapide et efficace pour identifier les nouvelles menaces et les nouvelles variantes de menaces existantes, en particulier les fichiers qui ne soumettent pas facilement au sandboxing, tels que les documents protégés par mot de passe.
L’analyse sandboxing Sandstorm :
Alors qu’un fichier est soumis à une analyse d’intelligence sur les menaces (Threat intelligence), il est également soumis à une analyse comportementale dynamique dans notre environnement sandbox Cloud. Étant donné qu’il est basé dans le Cloud, aucun logiciel ou équipement supplémentaire n’est requis et aucun impact sur les performances du pare-feu n’est à craindre.
Pour identifier les menaces en fonction de leur comportement, les SophosLabs ont intégré dans le sandbox Sandstorm de Sophos les dernières technologies de notre solution next-gen de protection Endpoint, Intercept X, leader sur son marché. Les fonctionnalités proposées comprennent l’analyse deep learning, la détection d’exploits et CryptoGuard pour détecter en temps réel les fichiers actifs de chiffrement des ransomwares. Le sandbox surveille également toutes les activités au niveau des fichiers, de la mémoire, du registre et du réseau, ainsi que les techniques d’évasion de sandbox. Aucun autre pare-feu ne peut offrir une analyse de type runtime (environnement d’exécution) en combinaison avec la meilleure protection contre les menaces au monde, à savoir Intercept X. Enfin aucun autre pare-feu n’offre le niveau d’information et d’édition de rapports proposé par XG Firewall, comme par exemple la série de captures d’écran en mode time-lapse (accélérées) montrant les événements pendant l’exécution du fichier.
Le sandboxing est particulièrement efficace pour détecter les menaces qui peuvent se cacher dans des fichiers normalement inoffensifs et pouvant ne pas avoir d’évidentes caractéristiques malveillantes. Les fichiers Office, contenant des macros ou des exécutables inoffensifs, ainsi que des mises à jour d’applications qui ont été corrompus par des hackers, sont les principales cibles de cette détection via le sandboxing.
Comment exploiter au maximum la protection Xstream contre les menaces (Xstream Threat Protection)
Il existe trois éléments clés dont vous avez besoin pour activer cette protection d’une importance cruciale :
- Vérifiez que votre licence XG Firewall inclus les abonnements Web Protection et Sandstorm Protection. Ces deux abonnements doivent être actifs pour que vous soyez véritablement protégé contre les dernières menaces. La nouvelle analyse d’intelligence sur les menaces intégrée à XG Firewall v18 fait partie de la licence Sandstorm, ajoutant ainsi une valeur considérable par rapport à la version précédente, et ce sans frais supplémentaires. Connectez-vous à votre pare-feu XG Firewall et accédez au menu Administration pour avoir accès à la liste de vos abonnements actifs. N’hésitez pas à contacter immédiatement votre partenaire Sophos habituel si ces deux abonnements de protection ne sont pas activés.
- La nouvelle technologie de protection contre les menaces de XG Firewall ne peut qu’inspecter et analyser le trafic déchiffré. Assurez-vous donc d’inspecter le trafic Web chiffré TLS. La grande majorité du trafic Web étant désormais chiffrée, il est essentiel que vous déchiffriez et inspectiez les fichiers téléchargés sur votre réseau afin de les analyser dans le but de détecter des menaces potentielles. Consultez notre récent article sur la solution d’inspection TLS à hautes performances dans XG Firewall v18 pour obtenir plus de détails sur la façon d’exploiter au maximum cette nouvelle fonctionnalité.
- Dans toutes les règles de pare-feu régissant le trafic Web au niveau de votre réseau, vérifiez que les deux options de sécurité de filtrage Web suivantes soient bien paramétrées pour analyser le trafic Web et utiliser les dernières technologies de protection zero-day décrites ci-dessous :
Et voilà, c’est tout, c’est vraiment aussi simple que cela !
Visionnez cette vidéo pour bénéficier d’un guidage pas à pas qui vous permettra d’exploiter au maximum cette nouvelle fonctionnalité, d’obtenir un aperçu détaillé des nouveaux rapports améliorés d’intelligence sur les menaces et bien sûr de savoir comment interpréter les résultats :
Testez-le par vous-même
Vous trouverez un fichier de test pratique et inoffensif sur SophosTest.com, qui vous fournira un exemple de rapport que vous pourrez consulter.
Surveillez régulièrement votre widget Control Center concernant tous les téléchargements de fichiers récents qui ont été analysés, puis explorez-les de manière approfondie pour avoir accès à plus de détails.
Lorsque vous cliquerez sur le widget Control Center (mis en évidence ci-dessus), vous pourrez explorer une liste détaillée de fichiers analysés et les résultats associés. Survolez avec votre souris la colonne des résultats pour afficher le threat meter, qui vous donnera une bonne vue d’ensemble des résultats de l’analyse (comme indiqué ci-dessous).
Voici un résumé des ressources disponibles pour vous aider à profiter au maximum des nouvelles fonctionnalités de XG Firewall v18, notamment les nouvelles fonctionnalités de protection contre les menaces zero-day :
- Guide de démarrage de XG Firewall.
- Documentation XG Firewall complète en ligne.
- Vidéos explicatives sur les nouveautés de la v18.
- Une vidéo expliquant comment exploiter au maximum la protection contre les menaces zero-day.
- Une liste complète d’articles de la communauté à lire concernant la v18.
Découvrez les autres articles de la série
Si vous débutez avec Sophos XG Firewall, découvrez les avantages et les fonctionnalités que XG Firewall peut offrir à votre réseau.
Billet inspiré de Making the most of XG Firewall v18 – Part 4, sur le Blog Sophos.