Sophos Firewall v21.5: NDR Essentials

🎉 Cách tận dụng tối đa các tính năng mới trong Sophos Firewall v21.5

🚀 Sophos Firewall v21 cung cấp tính năng đột phá đầu tiên trong ngành: Phát hiện và phản hồi mạng (NDR) được tích hợp với tường lửa của bạn.

NDR là gì?

Phát hiện và phản hồi mạng (NDR) là một loại sản phẩm bảo mật mạng được thiết kế để phát hiện hành vi lưu lượng truy cập bất thường nhằm giúp xác định kẻ thù đang hoạt động trên mạng.

Những kẻ tấn công có kỹ năng rất hiệu quả trong việc tránh bị phát hiện, nhưng cuối cùng chúng cần phải di chuyển qua hoặc giao tiếp ra khỏi mạng để thực hiện một cuộc tấn công. NDR thường nằm trong mạng, sử dụng các cảm biến theo dõi và phân tích lưu lượng mạng để xác định loại hoạt động đáng ngờ này.

Các sản phẩm NDR đã có mặt trong nhiều năm và Sophos NDR đã trở thành một phần trong danh mục sản phẩm MDR/XDR của chúng tôi kể từ đầu năm 2023. Tuy nhiên, với SFOS v21.5, chúng tôi đã tích hợp NDR với Sophos Firewall – lần đầu tiên trong ngành – mà không tính thêm phí cho khách hàng Sophos Firewall có license Xstream Protection.

Việc tích hợp NDR với tường lửa Sophos thế hệ tiếp theo có vẻ như là một lựa chọn hiển nhiên, nhưng thách thức là thực hiện theo cách không ảnh hưởng đến hiệu suất của tường lửa vì phân tích lưu lượng NDR đòi hỏi sức mạnh xử lý đáng kể. Do đó, chúng tôi đã áp dụng phương pháp mới là triển khai giải pháp NDR trong Sophos Cloud để giảm tải công việc nặng nhọc khỏi tường lửa.

Những điều cần thiết của Sophos NDR

Sophos Firewall v21.5 giới thiệu nền tảng Phát hiện và Phản hồi Mạng (NDR Essentials) mới của chúng tôi trên nền tảng đám mây. Nền tảng này phát hiện mối đe dọa bằng AI mới nhất để giúp xác định kẻ thù đang hoạt động và chia sẻ thông tin đó bằng Sophos Firewall threat feeds API như một phần của Active Threat Response để giúp bạn luôn được thông báo về mọi phát hiện và rủi ro tương đối của chúng.

Hãy xem video demo nhanh này để biết cách thức hoạt động hoặc đọc tiếp để biết thông tin chi tiết:

Nó hoạt động như thế nào

Sophos Firewall thu thập siêu dữ liệu từ lưu lượng được mã hóa TLS và các truy vấn DNS rồi gửi thông tin đó đến NDR Essentials trong Sophos Cloud.

Tại đó, dữ liệu được phân tích bằng nhiều công cụ AI. Nó có thể phát hiện các payloads được mã hóa độc hại mà không cần thực hiện giải mã TLS cũng như các domains mới và bất thường được tạo ra thông qua các thuật toán thường là chỉ báo chính của sự xâm phạm.

Việc trích xuất siêu dữ liệu được thực hiện bởi một công cụ nhẹ mới được triển khai trên Xstream FastPath và do đó, một cảnh báo với khả năng mới này là nó chỉ khả dụng trên tường lửa phần cứng XGS Series. Tường lửa ảo, phần mềm và đám mây có thể có khả năng tích hợp NDR này trong tương lai, nhưng không có trong v21.5.

Nguồn cấp dữ liệu đe dọa NDR Essentials mới được quản lý cùng với các nguồn cấp dữ liệu đe dọa khác của bạn (Sophos X-Ops, MDR và các nguồn cấp dữ liệu của bên thứ ba) trong khu vực Active threat response của Firewall như được hiển thị trong ảnh chụp màn hình ở trên. Thiết lập rất đơn giản: chuyển công tắc để enable, chọn interface nội bộ nào để giám sát, ngưỡng tối thiểu cho rủi ro phát hiện và bạn đã hoàn tất!

Phát hiện NDR Essentials được chấm điểm theo thang điểm từ 1 (rủi ro thấp) đến 10 (rủi ro cao nhất). Bạn quyết định điểm rủi ro nào sẽ đặt ngưỡng cho cảnh báo dựa trên môi trường cụ thể của bạn. Mức mặc định được khuyến nghị là rủi ro cao (9-10).

Tất cả các phát hiện có điểm lớn hơn hoặc bằng 6 đều được ghi lại nhưng chỉ những phát hiện đạt hoặc vượt ngưỡng mới kích hoạt thông báo và hiển thị dưới dạng alert trên tiện ích Control Center dashboard.

Các phát hiện có điểm dưới 6 có thể là kết quả dương tính giả và không được ghi lại. Không có phát hiện NDR Essentials nào bị chặn tại thời điểm này, nhưng đây có thể là một tùy chọn trong tương lai. Tất cả các phát hiện đều có thể truy cập đầy đủ thông qua Active Threat Response report có sẵn trên cả on-box Reporting của Firewall và thông qua Sophos Central Firewall Reporting.

NDR Essentials so với Sophos NDR như thế nào?

Nói một cách đơn giản, Sophos NDR Essentials là phiên bản “lite” của Sophos NDR.

Sophos NDR được thiết kế để nằm sâu bên trong mạng nên có thể giám sát và phát hiện hiệu quả các hoạt động đáng ngờ và luồng lưu lượng theo hướng bắc-nam (hoặc trong-ngoài) cũng như luồng đông-tây đi qua mạng LAN bên trong.

Như bạn đã biết, tường lửa được thiết kế để đặt tại network gateway và kiểm tra lưu lượng truy cập bắc-nam. Do đó, NDR Essentials không có khả năng quan sát tại network gateway như giải pháp full Sophos NDR nằm bên trong mạng.

Giải pháp Sophos NDR đầy đủ của chúng tôi có năm công cụ phát hiện AI khác nhau. Trong phiên bản đầu tiên của NDR Essentials này, chúng tôi đã triển khai hai công cụ có liên quan và tác động nhất trong quá trình kiểm tra lưu lượng truy cập cổng: Encrypted Payload Analysis engine và Domain Generation Algorithm engine. Tại thời điểm này, với các công cụ bổ sung, Sophos NDR cung cấp phạm vi phủ sóng sâu hơn và khả năng phát hiện tốt hơn NDR Essentials.

Tóm lại, NDR Essentials cung cấp một lớp phát hiện mối đe dọa chủ động bổ sung tuyệt vời cho Sophos Firewall và không tính thêm phí cũng như không ảnh hưởng đến hiệu suất. Tuy nhiên, nó không phải là giải pháp thay thế cho việc triển khai full Sophos NDR cho bất kỳ khách hàng nào của chúng tôi đang tận dụng nền tảng XDR hoặc dịch vụ MDR của chúng tôi.

👉 Nếu bạn muốn có thêm thông tin chi tiết về khả năng phát hiện và săn tìm mối đe dọa, chúng tôi khuyến khích bạn nên xem qua Sophos Extended Detection and Response (XDR) với đầy đủ tính năng của Sophos NDR và NDR Investigation Console mới .

👉 Bạn cũng có thể cân nhắc dịch vụ MDR - Phát hiện và Phản hồi được Quản lý 24/7 đầy đủ của chúng tôi. Tất cả các sản phẩm và dịch vụ này hoạt động tốt hơn khi kết hợp với Tường lửa Sophos của bạn.

💎 Để được tư vấn giải pháp bảo mật Sophos, vui lòng liên hệ nhà phân phối INNET