Nel nostro report The State of Ransomware 2020, oltre la metà delle aziende partecipanti intervistate in 26 paesi ha riferito di essere stata colpita da ransomware negli ultimi 12 mesi. Questo risultato dimostra la necessità fondamentale di un’identificazione e protezione predittiva delle minacce zero-day poiché attacchi di tipo avanzato come quelle ransomware stanno diventando sempre più mirate ed evasive.
In questo quarto appuntamento con la nostra serie di articoli su come sfruttare al meglio le nuove potenti funzionalità di XG Firewall v18, ci concentreremo nello specifico sulle nuove caratteristiche di XG Firewall v18 progettate per proteggere dalle più recenti minacce zero-day come le nuove varianti di ransomware.
Protezione dalle minacce Xstream
Negli articoli precedenti abbiamo trattato l’architettura Xstream e il nuovo motore DPI, la nuova soluzione di ispezione TLS e il Network Flow FastPath. Tutti questi elementi svolgono un ruolo fondamentale nell’identificazione e nell’arresto delle minacce zero-day più recenti. Questo articolo evidenzia le nuove tecnologie basate su cloud Threat Intelligence e il Sandstorm sandboxing che fanno parte dell’abbonamento Sandstorm Protection.
Come funziona:
XG Firewall v18 include nuove informazioni sulle minacce basate sul machine learning (ML) e una nuova versione migliorata del sandboxing Sandstorm, che lavorano insieme per identificare le minacce zero-day più recenti. Entrambi sono basati su SophosLabs Intelix, che utilizza la tecnologia del machine learning, decenni di ricerca sulle minacce e petabyte di intelligenza per fornire una protezione impareggiabile contro minacce nuove e mai viste prima.
Quando il motore Xstream DPI di XG Firewall esegue l’analisi antivirus su un file che entra nella rete e determina la presenza di un codice attivo, trattiene il file temporaneamente e lo invia al servizio SophosLabs Intelix nel cloud per un’analisi sia statica che dinamica (sandbox). Fornisce quindi una panoramica dettagliata dei risultati e rilascia il file al downloader o al destinatario dell’e-mail solo se il contenuto è dichiarato sicuro.
Quest’ultimo passaggio è importante, poiché molte soluzioni malware avanzate sui firewall rilasciano un file all’utente finale prima che la sua analisi venga completata. Questa procedura potrebbe comportare una pulizia più ampia e costosa qualora il file venisse ritenuto una minaccia una volta terminata l’intera analisi .
Diamo un’occhiata più in dettaglio a cosa succede a un file che viene scansionato:
Analisi Threat Intelligence:
La Threat intelligence utilizza più modelli di machine learning per analizzare le caratteristiche, le funzionalità, la genetica e la reputazione globale del file. Confronta il nuovo file con milioni di file noti buoni e cattivi nel database SophosLabs per restituire un verdetto in pochi secondi senza la necessità di eseguirlo in tempo reale. Ciò lo rende notevolmente veloce ed efficace nell’identificare nuove minacce e nuove varianti di minacce esistenti, in particolare con i file che non sono facilmente analizzabili con una sandbox, come i documenti protetti da password.
Analisi sandboxing di Sandstorm:
Allo stesso tempo, del file che viene inviato per l’analisi threat intelligence, viene anche eseguita l’analisi comportamentale dinamica nel nostro ambiente sandbox cloud. Poiché è basato su cloud, non è richiesto alcun software o hardware aggiuntivo e non ha alcun impatto sulle prestazioni del firewall.
Per identificare le minacce in base al loro comportamento, i SophosLabs hanno integrato le più recenti tecnologie di protezione della nostra soluzione endpoint di nuova generazione Intercept X nella sandbox Sophos Sandstorm. Ciò include l’analisi deep learning, il rilevamento degli exploit e CryptoGuard per rilevare i file cifrati da ransomware attivi in tempo reale. La sandbox monitora anche tutti i file, la memoria, il registro e l’attività di rete, nonché le tecniche di evasione dalla sandbox. Nessun altro firewall è in grado di offrire questo tipo di analisi in fase di esecuzione con la migliore protezione dalle minacce al mondo, Intercept X. E nessun altro firewall offre il livello di approfondimento e reporting fornito da XG Firewall, inclusa una serie di schermate time-lapse che mostrano gli eventi durante l’esecuzione del file.
Il sandboxing è particolarmente efficace nel rilevare minacce che possono nascondersi in file normalmente innocui che potrebbero non avere caratteristiche dannose evidenti. I file di Office con macro o eseguibili non dannosi e gli aggiornamenti delle applicazioni manipolati dagli hacker sono i principali candidati per il rilevamento tramite sandbox.
Come ottenere il massimo dalla Xstream Threat Protection
Ci sono tre cose fondamentali di cui hai bisogno per abilitare questa protezione di fondamentale importanza:
- Assicurati che la tua licenza XG Firewall includa gli abbonamenti Web Protection e Sandstorm Protection. È necessario che entrambi siano attivi per essere protetti dalle minacce più recenti. La nuova analisi threat intelligence in XG Firewall v18 fa parte della licenza Sandstorm, il che aggiunge un elemento di enorme valore rispetto alla versione precedente senza costi aggiuntivi. Accedi al tuo XG Firewall e vai al menu Amministrazione per vedere un elenco dei tuoi abbonamenti attivi. Assicurati di contattare immediatamente il tuo partner Sophos preferito se non hai entrambi questi abbonamenti di protezione attivi.
- La nuova tecnologia di protezione dalle minacce in XG Firewall può solo ispezionare e analizzare il traffico decrittografato, quindi assicurati di ispezionare il traffico web cifrato TLS. Con la stragrande maggioranza del traffico web ora cifrato, è fondamentale decrittografare e ispezionare i file scaricati sulla rete per analizzarli alla ricerca di potenziali minacce. Consulta il nostro recente articolo sulla soluzione di ispezione TLS ad alte prestazioni in XG Firewall v18 per tutti i dettagli su come sfruttare questa nuova straordinaria funzionalità.
- In tutte le regole del firewall che governano il traffico web per la tua rete, assicurati di avere le seguenti due opzioni di sicurezza del filtro web impostate per scansionare il traffico web e utilizzare le ultime tecnologie di protezione zero-day descritte qui:
Ecco, è davvero facile!
Guarda questo video per una guida approfondita su come sfruttare al meglio questa nuova funzionalità, uno sguardo dettagliato al nuovo e migliorato reporting di intelligence sulle minacce e come interpretare i risultati:
Provalo tu stesso
È disponibile un file di test pratico e innocuo, che puoi trovare su SophosTest.com, che fornirà un report di esempio da esaminare.
Inoltre, tieni d’occhio il widget del tuo Control Center per eventuali download di file recenti che sono stati analizzati e quindi approfondisci per ulteriori dettagli.
Quando clicchi sul widget del Control Center (evidenziato sopra), è possibile visualizzare un elenco dettagliato dei file analizzati e dei relativi risultati. Passa il mouse sulla colonna dei risultati per visualizzare l’indicatore di minaccia, che fornisce una buona panoramica di alto livello dei risultati dell’analisi (come mostrato di seguito).
Ecco un riepilogo delle risorse disponibili per aiutarti a ottenere il massimo dalle novità contenute in XG Firewall v18, incluse le nuove funzionalità di protezione dalle minacce zero-day:
- Guida introduttiva a XG Firewall
- Documentazione completa online di XG Firewall
- Video dimostrativi sulle novità della v18
- Video su come ottenere il massimo dalla protezione dalle minacce zero-day
- Un elenco completo degli articoli della community consigliati sulla v18
Se non conosci Sophos XG Firewall, scopri di più sui grandi vantaggi e sulle funzionalità che XG Firewall può offrire alla tua rete.
Lascia un commento