La versione 21.5 di Sophos Firewall introduce una novità assoluta nel settore: la Network Detection and Response (NDR) integrata direttamente nel firewall.

Perché la NDR è importante

La Network Detection and Response (NDR) è una categoria di prodotti per la sicurezza di rete progettati per rilevare comportamenti anomali del traffico, contribuendo a individuare avversari attivi presenti sulla rete.

Gli attaccanti più esperti riescono spesso a evitare il rilevamento, ma alla fine devono comunque spostarsi nella rete o comunicare all’esterno per portare a termine l’attacco.

La NDR si posiziona all’interno della rete e utilizza sensori per monitorare e analizzare il traffico in movimento sia in direzione north-south (entrata/uscita) sia east-west (lateralmente), identificando attività sospette.

I prodotti NDR esistono da molti anni, e Sophos NDR è parte del nostro portafoglio MDR/XDR già dall’inizio del 2023. Con SFOS v21.5, tuttavia, stiamo integrando la NDR direttamente in Sophos Firewall, una vera prima volta nel settore, e senza costi aggiuntivi per i clienti della serie Sophos Firewall XGS con Xstream Protection.

Integrare la NDR in un firewall di nuova generazione può sembrare ovvio, ma finora nessuno lo aveva fatto. La sfida consiste nel farlo senza impattare le prestazioni del firewall.

La NDR richiede molta potenza di calcolo per far funzionare i suoi motori di analisi basati sull’IA. Per questo motivo, abbiamo adottato un approccio innovativo: eseguire l’analisi nel Sophos Cloud, alleggerendo così il carico sul firewall.

Una nuova era per i firewall: rilevamento e risposta

Finora, i firewall si sono concentrati principalmente sulla prevenzione, ovvero nel tenere lontani gli attaccanti e le minacce. Ma sappiamo bene che è solo questione di quando, non se, una minaccia supererà le difese perimetrali e inizierà a compromettere la rete.

In questi casi, la rapidità di rilevamento e risposta è cruciale. Tuttavia, la maggior parte dei firewall non è in grado di reagire: ha visibilità limitata su ciò che accade internamente alla rete e, anche se rileva un tentativo di comunicazione verso l’esterno, non sa come rispondere.

Ed è proprio qui che Sophos Firewall si distingue. Sophos è da tempo pioniera nella risposta automatica alle minacce, grazie a tecnologie come Synchronized Security e Active Threat Response. Inoltre, integra in modo unico l’intelligence sulle minacce proveniente da altri prodotti Sophos e da molteplici fonti esterne per rilevare e identificare le minacce più rapidamente.

Questi feed includono:

il team Sophos X-Ops

analisti MDR/XDR

fonti di intelligence di terze parti

e ora anche la NDR

Il risultato è che Sophos Firewall non solo ha una capacità di rilevamento più ampia e profonda, ma può anche rispondere automaticamente alle minacce in tempo reale, coordinandosi con altri prodotti Sophos come endpoint, switch e access point wireless.

Sophos Firewall apre quindi una nuova era di capacità firewall, perfettamente integrata in scenari XDR e MDR.

Come funzionano insieme Sophos Firewall e NDR

Sophos Firewall raccoglie metadati dal traffico TLS crittografato e dalle query DNS, e li invia alla nuova soluzione NDR Essentials nel Sophos Cloud, dove vengono analizzati tramite i motori IA DGA (Domain Generation Algorithm) e EPA (Encrypted Payload Analysis).

L’EPA è rivoluzionaria: consente di rilevare payload cifrati dannosi senza decrittazione TLS – un’enorme innovazione.

La maggior parte delle minacce utilizza la cifratura per comunicare nella rete e verso l’esterno. Tuttavia, solo una piccola parte delle aziende di fascia media utilizza la decrittazione TLS, a causa dell’impatto sulle prestazioni e dei problemi di sicurezza. Di conseguenza, molte aziende non vedono questo tipo di traffico.

Ecco perché l’analisi basata su IA (reti neurali convoluzionali) della NDR è così importante: non comporta compromessi e rimuove i “paraocchi” dal traffico cifrato.

Il DGA rileva domini nuovi e insoliti generati algoritmicamente, un segnale comune di compromissione. I malware generano più domini e li testano per stabilire quali possano essere utilizzati per comunicare.

Con Sophos Firewall, la NDR è facilissima da gestire: i rilevamenti NDR Essentials sono classificati da 1 (basso rischio) a 10 (massimo rischio) e restituiti al firewall tramite le API dei feed di minacce, parte integrante di Active Threat Response.

L’amministratore imposta la soglia per gli alert in base al proprio ambiente. L’impostazione predefinita consigliata è 9-10 (alto rischio).

Tutti i rilevamenti con punteggio ≥6 vengono registrati, ma solo quelli superiori alla soglia generano alert visibili sul nuovo widget del Control Center. Quelli con punteggio <6 possono essere falsi positivi e non vengono registrati.

Al momento, i rilevamenti NDR Essentials non vengono bloccati automaticamente, ma questa funzione potrebbe arrivare in futuro. Tutti i rilevamenti sono visibili nei report Active Threat Response, sia sulla macchina che in Sophos Central Firewall Reporting.

Il risultato? Rilevamento e risposta più rapidi

Grazie all’innovativa integrazione tra NDR e Sophos Firewall, i clienti possono ottenere visibilità e approfondimenti immediati sugli attaccanti attivi già nelle prime fasi di un attacco – per bloccarli prima che diventino un problema serio.

La combinazione tra NDR Essentials, Active Threat Response e Synchronized Security con Sophos Firewall consente di rispondere a una minaccia in pochi secondi o minuti, invece che in giorni come con altre soluzioni.

Sophos Firewall continua a guidare l’innovazione nella sicurezza di rete, offrendo risultati migliori a partner e clienti – e senza costi aggiuntivi.

Scopri di più

Guarda questo video dimostrativo per scoprire come funziona NDR Essentials con Sophos Firewall:

Scopri tutte le novità di Sophos Firewall v21.5.