Sophos XG Firewall : Tận dụng tối đa các tính năng mới tuyệt vời trên version 18 – Phần 4

1. Tổng Quan

Trong báo cáo của The State of Ransomware 2020, hơn một nửa số công ty tham gia được khảo sát trên 26 quốc gia báo cáo rằng họ đã bị tấn công bởi ransomware trong 12 tháng qua. Kết quả này cho thấy nhu cầu quan trọng đối với việc xác định dự đoán các mối nguy hại chưa được biết đến và bảo vệ hệ thống mạng của bạn trước các mối đe dọa nâng cao như ransomware.

Trong loạt bài thứ tư này của chúng tôi về cách tận dụng tối đa các tính năng mới tuyệt vời trong XG Firewall v18, chúng tôi sẽ đặc biệt tập trung vào các khả năng mới trong XG Firewall v18 được thiết kế để bảo vệ khỏi các mối đe dọa zero-day mới nhất chẳng hạn như các biến thể ransomware.

2. Tính năng Xstream Protection

Trong các bài viết trước, chúng tôi đã đề cập đến kiến trúc Xstream và công cụ mới DPI, giải pháp kiểm tra TLS mới và Network Flow FastPath. Tất cả đều đóng một vai trò quan trọng trong việc xác định và ngăn chặn các mối đe dọa mới nhất zero-day. Bài viết này nêu bật các công nghệ sandboxing Sandstorm và Threat Intelligence dựa trên cloud mới và là một phần của gói đăng ký Sandstorm Protection.

2.1 Cách thức hoạt động

XG Firewall v18 bao gồm thông tin về mối đe dọa được xác định và nhận dạng dựa trên Machine Learning (ML) mới và phiên bản mới nâng cao của Sandstorm sandboxing, hoạt động cùng nhau để xác định các mối đe dọa zero-day mới nhất. Cả hai đều được cung cấp bởi SophosLabs Intelix, sử dụng công nghệ máy học, với hàng thập kỷ nghiên cứu mối đe dọa và hàng nghìn tấn thông minh để cung cấp và đưa ra khả năng bảo vệ chưa từng có trước các mối đe dọa mới và chưa từng thấy.

Khi công cụ Xstream DPI của XG Firewall’s thực hiện phân tích AV trên một tệp đi vào mạng và xác định có mã đang hoạt động, nó sẽ tạm thời giữ tệp đó và gửi đến dịch vụ SophosLabs Intelix trên cloud để phân tích cả tĩnh và động (sandboxing). Sau đó, nó cung cấp tổng quan chi tiết về kết quả và chỉ phát hành tệp cho người tải xuống hoặc người nhận email nếu tệp được tuyên bố là an toàn.

Bước cuối cùng này rất quan trọng, vì nhiều giải pháp phần mềm độc hại tiên tiến trên tường lửa phát hành tệp cho người dùng cuối trước khi phân tích hoàn tất, có khả năng dẫn đến việc lây lan trên diện rộng và tốn kém thời gian để giải quyết nếu tệp cuối cùng bị kết tội là mối đe dọa sau khi tất cả phân tích hoàn tất .

Hãy xem điều gì sẽ xảy ra với tệp được quét chi tiết hơn một chút:

Bước 1 : Phân tích thông tin các mối đe dọa ( Threat intelligence analysis ):

Thông tin về mối đe dọa sử dụng nhiều mô hình học máy để phân tích các đặc điểm, tính năng, di truyền và danh tiếng toàn cầu của tệp. Nó so sánh tệp mới với hàng triệu tệp tốt và xấu đã biết trong cơ sở dữ liệu SophosLabs để đưa ra phán quyết trong vài giây mà không cần thực thi theo thời gian thực. Điều này làm cho nó nhanh chóng và hiệu quả đáng kể trong việc xác định các mối đe dọa mới và các biến thể mới của các mối đe dọa hiện có, đặc biệt với các tệp không dễ bị đưa vào diện phải phân tích, chẳng hạn như tài liệu được bảo vệ bằng mật khẩu.

Bước 2 : Phân tích bằng Sandstorm sandboxing ( Sandstorm sandboxing analysis ) :

Đồng thời, một tệp được gửi để phân tích thông tin về mối đe dọa, tệp cũng được gửi để phân tích hành vi động trong môi trường giả lập trên cloud của chúng tôi. Bởi vì nó dựa trên cloud nên không cần phần mềm hoặc phần cứng bổ sung và không ảnh hưởng đến hiệu suất tường lửa.

Để xác định các mối đe dọa dựa trên hành vi của chúng, SophosLabs đã tích hợp các công nghệ bảo vệ mới nhất từ ​​sản phẩm điểm cuối thế hệ tiếp theo Intercept X hàng đầu trong ngành của chúng tôi vào Sophos Sandstorm sandboxing. Điều này bao gồm phân tích với deep learning, phát hiện khai thác (exploit detection) và CryptoGuard để phát hiện các tệp mã hóa ransomware đang hoạt động trong thời gian thực. Sandbox cũng giám sát tất cả tệp, bộ nhớ, khóa registry và các hành động gây ảnh hưởng mạnh lên hệ thống cũng như các kỹ thuật trốn tránh khỏi sự giám sát. Không có tường lửa nào khác có thể cung cấp khả năng phân tích theo thời gian thực này với khả năng bảo vệ mối đe dọa tốt nhất thế giới. Và không có tường lửa nào khác cung cấp mức độ thông tin và báo cáo mà XG Firewall cung cấp – bao gồm một loạt ảnh chụp màn hình time-lapse hiển thị các sự kiện trong việc thực thi tệp.

Sandboxing đặc biệt hiệu quả trong việc phát hiện các mối đe dọa có thể ẩn náu trong các tệp bình thường lành tính có thể không có bất kỳ đặc điểm độc hại rõ ràng nào. Các tệp Office có chứa các chuỗi lệnh hoặc tệp thực thi lành tính và các bản cập nhật ứng dụng đã bị tin tặc thay đổi là một trong số rất nhiều tệp tin mà có virus thường ẩn náu có thể được phát hiện thông qua Sandbox.

3. Cách tận dụng tối đa tính năng Xstream Threat Protection

Có ba điều chính bạn cần để kích hoạt tính năng bảo vệ cực kỳ quan trọng này:

Đảm bảo giấy phép Tường lửa XG của bạn bao gồm các gói đăng kí Web Protection và Sandstorm Protection. Bạn cần cả hai đăng ký này hoạt động để được bảo vệ khỏi các mối đe dọa mới nhất. Phân tích mối đe dọa mới trong XG Firewall v18 là một phần của gói Sandstorm, tăng thêm giá trị to lớn so với phiên bản trước mà không phải trả thêm phí. Đăng nhập vào Tường lửa XG của bạn và chuyển đến menu Quản trị để xem danh sách các đăng ký đang hoạt động của bạn. Hãy nhớ liên hệ ngay với đối tác Sophos ưa thích của bạn nếu bạn chưa kích hoạt cả hai gói đăng ký bảo vệ này.
Công nghệ bảo vệ mối đe dọa mới trong tường lửa XG chỉ có thể kiểm tra và phân tích lưu lượng đã được giải mã, vì vậy hãy đảm bảo rằng bạn đang kiểm tra lưu lượng truy cập web được mã hóa bằng TLS. Với phần lớn lưu lượng truy cập web hiện đã được mã hóa, điều quan trọng là bạn phải giải mã và kiểm tra các tệp đang được tải xuống mạng của mình để phân tích các mối đe dọa tiềm ẩn. Xem bài viết gần đây của chúng tôi về giải pháp kiểm tra TLS hiệu suất cao trong XG Firewall v18 để biết đầy đủ chi tiết về cách tận dụng khả năng mới tuyệt vời này.
Trong tất cả các quy tắc tường lửa điều chỉnh lưu lượng web cho mạng của bạn, hãy đảm bảo bạn đã đặt hai tùy chọn bảo mật lọc web sau để quét lưu lượng truy cập web và sử dụng các công nghệ bảo vệ zero-day mới nhất được nêu ở đây:

Vậy là xong – nó thực sự dễ dàng để thực hiện!

Hãy xem video này để biết hướng dẫn chuyên sâu về cách tận dụng tối đa tính năng mới này, cái nhìn chi tiết về báo cáo thông tin về mối đe dọa mới.

4. Ví dụ cụ thể

Bạn có thể tìm thấy tệp kiểm tra thuận tiện và không gây hại tại SophosTest.com, tệp này sẽ cung cấp báo cáo mẫu để bạn xem xét.

Ngoài ra, hãy theo dõi tiện ích Control Center của bạn để biết bất kỳ tải xuống tệp nào gần đây đã được phân tích và sau đó đi sâu để biết thêm chi tiết.

Khi bạn nhấp vào tiện ích Control Center (được đánh dấu ở trên), bạn có thể đi sâu vào danh sách chi tiết các tệp được phân tích và kết quả của chúng. Di chuột qua cột kết quả để hiển thị thước đo mối đe dọa, cung cấp cái nhìn tổng quan cấp cao về kết quả phân tích (như hình dưới đây).

Nếu bạn chưa quen với Sophos XG Firewall, hãy tìm hiểu thêm về những lợi ích và tính năng tuyệt vời mà XG Firewall có thể mang lại cho mạng của bạn thông qua các bài viết của chúng tôi.

0 0 đánh giá
Đánh giá bài viết
Theo dõi
Thông báo của
guest
0 Góp ý
Cũ nhất
Mới nhất Được bỏ phiếu nhiều nhất
Phản hồi nội tuyến
Xem tất cả bình luận