Sophos Firewall v21.5 propose une innovante inédite dans le secteur de la cybersécurité : une fonctionnalité NDR (Network Detection and Response) intégrée à votre pare-feu.
Pourquoi le NDR est-il si important ?
La fonctionnalité NDR (Network Detection and Response) représente une catégorie de produit de sécurité réseau conçue pour détecter un comportement de trafic anormal afin d’aider à identifier les adversaires actifs opérant sur le réseau.
Les attaquants expérimentés parviennent aisément à échapper à la détection, mais ils doivent à un moment donné se déplacer ou communiquer hors du réseau pour mener à bien une attaque.
Le NDR se situe généralement au sein du réseau, utilisant des capteurs qui surveillent et analysent le trafic réseau se déplaçant à la fois sur l’axe nord-sud (entrant et sortant) et est-ouest (traversant latéralement le réseau) pour identifier les activités suspectes.
Les produits NDR existent depuis de nombreuses années et Sophos NDR fait partie de notre gamme de produits MDR/XDR depuis début 2023. Cependant, avec SFOS v21.5, nous intégrons une solution NDR dans Sophos Firewall, une première dans notre secteur … sans frais supplémentaires pour les clients utilisant des produits Sophos Firewall de la série XGS avec la fonctionnalité Xstream Protection.
L’intégration du NDR avec un pare-feu Next-Gen peut sembler un choix évident, mais personne ne l’avait fait auparavant. Le défi est de le faire d’une manière qui n’impacte pas les performances du pare-feu.
Le NDR nécessite une puissance de traitement importante pour ses différents moteurs d’analyse du trafic basés sur l’IA. Par conséquent, nous avons adopté une approche novatrice consistant à déployer une solution NDR dans le Cloud Sophos pour soulager le pare-feu de cette lourde tâche.
Une nouvelle génération de pare-feu : détection et réponse
Jusqu’à présent, la plupart des pare-feu se concentraient sur la prévention, c’est-à-dire sur le maintien des adversaires et des menaces actifs hors du réseau. Mais nous savons tous que la question n’est plus de savoir si une menace franchira les défenses périmétriques afin de commencer à compromettre le réseau, mais plutôt quand cet évènement aura lieu.
Dans de telles situations, les temps de détection et de réponse sont essentiels. Cependant, la plupart des solutions de pare-feu disponibles sont tout simplement incapables de mener à bien ce type d’action. Ils ont une visibilité limitée sur ce qui traverse le réseau interne, et même s’ils découvraient une menace qui tenterait de communiquer avec l’extérieur, ils seraient tout simplement mal équipés pour fournir une quelconque réponse.
C’est ce qui distingue Sophos Firewall des autres solutions. Sophos est depuis longtemps un pionnier en matière de réponse automatisée aux menaces grâce à des technologies telles que Synchronized Security (Sécurité Synchronisée) et Active Threat Response (Réponse active aux menaces). Sophos Firewall intègre également de manière unique les renseignements sur les menaces (Threat-Intelligence) provenant d’autres produits Sophos et de plusieurs sources externes pour détecter et identifier plus tôt les menaces.
Ces flux de menaces incluent notre propre équipe Sophos X-Ops, un analyste MDR ou XDR, une source de renseignements sur les menaces (Threat-Intelligence) tierce et désormais la fonctionnalité NDR. Ainsi, Sophos Firewall dispose d’une détection beaucoup plus large et plus approfondie, mais surtout, de capacités de réponse automatisées qui peuvent stopper net les attaques en se coordonnant en temps réel avec d’autres produits Sophos tels que les systèmes endpoint, les switchs et les points d’accès sans fil.
Sophos Firewall ouvre la voie à une nouvelle ère en matière de fonctionnalités de pare-feu parfaitement adaptées aux cas d’usage dédiés à la détection et la réponse aux menaces de type XDR et MDR.
Comment Sophos Firewall et NDR fonctionnent ensemble ?
Sophos Firewall capture les métadonnées du trafic chiffré TLS et des requêtes DNS et envoie ces informations à notre nouveau NDR Essentials dans Sophos Cloud où les données sont analysées à l’aide des moteurs DGA (Domain Generation Algorithm) et EPA (Encrypted Payload Analysis) alimentés par l’IA.
Le moteur EPA est révolutionnaire dans sa capacité à détecter les charges virales chiffrées malveillantes sans effectuer de déchiffrement TLS : une innovation majeure et très puissante.
La grande majorité des menaces utilisent le chiffrement pour communiquer à travers et hors du réseau, mais seul un petit groupe d’entreprises du mid-market utilise le déchiffrement TLS pour inspecter ce trafic.
Cette limitation est due au fait que l’inspection TLS est une activité intensive, peut entraîner des problèmes de convivialité/facilité d’utilisation et présente ses propres défis en matière de sécurité. Par conséquent, ce trafic chiffré échappe complètement à la vue de la plupart des entreprises.
C’est pourquoi l’analyse du trafic chiffré effectuée par NDR à l’aide d’un réseau neuronal convolutif (CNN : Convolutional Neural Network) basé sur l’IA est si importante, car elle est exempte de tout compromis et permet d’obtenir enfin une visibilité sur ce trafic.
Le moteur DGA détecte les domaines nouveaux et inhabituels générés par des algorithmes qui sont souvent un indicateur clé de compromission. Les malwares créent parfois plusieurs domaines de manière algorithmique une fois sur le réseau et commencent à les tester systématiquement pour voir lesquels sont disponibles pour communiquer vers l’extérieur. Ce type d’action déclenchera une détection avant même que les communications ne soient établies.
Sophos Firewall rend le NDR très simple : les détections NDR Essentials sont notées sur une échelle allant de 1 (risque faible) à 10 (risque le plus élevé) et sont renvoyées au pare-feu via l’API dédiée aux flux de menaces, qui fait partie de la capacité de Réponse active aux menaces (Active Threat Response) du pare-feu.
L’administrateur décide du score de risque qui définira le seuil d’une alerte en fonction de votre environnement spécifique. La valeur par défaut recommandée est celle à haut risque (9-10).
Toutes les détections dont le score est supérieur ou égal à 6 seront journalisées (logs), mais seules celles qui atteignent ou dépassent votre seuil déclencheront des notifications et seront affichées sous forme d’alertes au niveau du nouveau widget du tableau de bord (voir l’illustration ci-dessous) de votre Centre de contrôle (Control Center). Les détections notées moins de 6 peuvent être de faux positifs et ne seront donc pas journalisées.
Les détections génèrent des alertes et sont affichées au niveau du Centre de Contrôle (Control Center) de Sophos Firewall pour une analyse rapide.
Aucune détection NDR Essentials ne sera bloquée pour le moment, mais cette possibilité pourrait être une option proposée à l’avenir. Toutes les détections sont entièrement accessibles via le rapport “Réponse active aux menaces” disponible à la fois en mode on-box et via Sophos Central Firewall Reporting.
Le résultat : de meilleurs temps de détection et de réponse
Le résultat de cette approche innovante d’intégration du NDR avec Sophos Firewall est que les clients obtiennent des informations plus rapides et plus approfondies sur les adversaires actifs opérant sur leur réseau dans les premières étapes d’une attaque afin qu’ils puissent les stopper avant qu’ils ne deviennent un problème sérieux.
La combinaison de Sophos NDR Essentials, Active Threat Response (Réponse active aux menaces) et Synchronized Security (Sécurité Synchronisée) avec Sophos Firewall permet une réponse potentielle à une menace active en quelques secondes ou minutes seulement, contre plusieurs jours avec d’autres solutions.
Sophos Firewall est une fois de plus avant-gardiste en matière d’innovation au niveau de la sécurité réseau qui créent de meilleurs résultats de cybersécurité pour les partenaires et les clients, et offre une valeur ajoutée inégalée en proposant ces innovations sans frais supplémentaires.
Pour en savoir plus
Regardez cette vidéo de démonstration pour obtenir plus d’informations sur le fonctionnement de NDR Essentials avec Sophos Firewall :
Pour en savoir plus sur les nouveautés de la v21.5, consultez l’article dédié.
Billet inspiré de An industry first: Sophos Firewall and NDR Essentials, sur le Blog Sophos.
