O Sophos Firewall é mais uma vez pioneiro em novas inovações.
O Sophos Firewall v21.5 apresenta uma inovação pioneira no setor: Detecção e Resposta de Rede (NDR) integrada a um firewall.
Por que a NDR é importante
Detecção e Resposta de Rede (NDR) é uma categoria de produtos de segurança de rede projetados para detectar comportamento anormal de tráfego, ajudando a identificar adversários ativos que operam na rede.
Atacantes habilidosos são muito eficazes em evitar a detecção, mas, em última análise, eles precisam se mover ou se comunicar fora da rede para realizar um ataque.
O NDR normalmente fica dentro da rede, utilizando sensores que monitoram e analisam o tráfego de rede que se move tanto de norte a sul (para dentro e para fora) quanto de leste a oeste (lateralmente na rede) para identificar atividades suspeitas.
Os produtos NDR já existem há muitos anos, e o Sophos NDR faz parte do nosso portfólio de produtos MDR/XDR desde o início de 2023. No entanto, com o SFOS v21.5, estamos integrando o NDR com o Sophos Firewall, o primeiro do setor… e não cobrando mais nada para clientes do Sophos Firewall XGS Series com Xstream Protection.
Integrar o NDR com um firewall de última geração pode parecer uma escolha óbvia, mas ninguém fez isso antes. O desafio é fazer isso de uma forma que não afete o desempenho do firewall.
O NDR exige um poder de processamento significativo para seus diversos mecanismos de análise de tráfego de IA. Por isso, adotamos a abordagem inovadora de implantar uma solução de NDR na Sophos Cloud para aliviar o trabalho pesado do firewall.
Uma nova era de firewall: detecção e resposta
Até agora, a maioria dos firewalls se concentrava na prevenção – ou em manter adversários e ameaças ativos fora da rede. Mas todos sabemos que é uma questão de quando, e não se, uma ameaça conseguirá passar pelas defesas do perímetro e começar a comprometer a rede.
Nessas situações, os tempos de detecção e resposta são críticos. No entanto, a maioria das soluções de firewall disponíveis simplesmente não consegue fazer nada. Elas têm visibilidade limitada do que está trafegando pela rede interna e, mesmo que descubram uma ameaça tentando se comunicar, estão mal equipadas para fornecer qualquer tipo de resposta.
É isso que diferencia o Sophos Firewall dos demais. A Sophos é pioneira há muito tempo em resposta automatizada a ameaças, com tecnologias como Synchronized Security e Active Threat Response. O Sophos Firewall também integra de forma única inteligência de ameaças de outros produtos Sophos e de diversas fontes externas para detectar e identificar ameaças mais rapidamente.
Esses feeds de ameaças incluem nossa própria equipe Sophos X-Ops, um analista de MDR ou XDR, uma fonte terceirizada de inteligência contra ameaças e, agora, NDR. Portanto, um Firewall Sophos oferece detecção muito mais ampla e profunda, mas, mais importante, recursos de resposta automatizada que podem bloquear ataques imediatamente, coordenando-se em tempo real com outros produtos Sophos, como endpoints, switches e pontos de acesso sem fio.
O Sophos Firewall é pioneiro em uma nova era de recursos de firewall ideais para casos de uso de detecção e resposta a ameaças XDR e MDR.
Como o Sophos Firewall e o NDR funcionam juntos
O Sophos Firewall captura metadados de tráfego criptografado por TLS e consultas DNS e envia essas informações para nossa nova solução NDR Essentials na Sophos Cloud, onde os dados são analisados usando os mecanismos Domain Generation Algorithm (DGA) e Encrypted Payload Analysis (EPA) com tecnologia de IA.
A EPA é revolucionária em sua capacidade de detectar cargas criptografadas maliciosas sem realizar a descriptografia TLS – uma inovação muito poderosa.
A grande maioria das ameaças usa criptografia para se comunicar dentro e fora da rede, mas apenas um pequeno subconjunto de organizações no mercado intermediário utiliza a descriptografia TLS para inspecionar esse tráfego.
Isso ocorre porque a inspeção TLS é intensiva, pode causar problemas de usabilidade e apresenta seus próprios desafios de segurança. Como resultado, a maioria das organizações está ignorando o tráfego criptografado.
É por isso que a análise de tráfego criptografado realizada pelo NDR usando uma rede neural convolucional (CNN) de IA é tão importante, pois não há comprometimentos e elimina a barreira desse tráfego.
O DGA detecta domínios novos e incomuns gerados por algoritmos que costumam ser um indicador-chave de comprometimento. Ocasionalmente, malware cria vários domínios algoritmicamente na rede e começa a testá-los sistematicamente para ver quais estão disponíveis para comunicação. Isso aciona uma detecção antes mesmo que a comunicação seja estabelecida.
O Sophos Firewall torna o NDR muito fácil: as detecções do NDR Essentials são pontuadas em um intervalo de 1 (baixo risco) a 10 (maior risco) e retornadas ao Firewall por meio da API de feeds de ameaças, que faz parte do recurso de Resposta Ativa a Ameaças do firewall.
O administrador decide qual pontuação de risco define o limite para um alerta com base em seu ambiente específico. O padrão recomendado é alto risco (9-10).
Todas as detecções com pontuação maior ou igual a 6 são registradas, mas apenas aquelas que atingem ou excedem o limite definido acionam notificações e são exibidas como alertas no novo widget do painel do Centro de Controle (imagem). Detecções com pontuação menor que 6 podem ser falsos positivos e, portanto, não são registradas.
Nenhuma detecção do NDR Essentials está bloqueada no momento, mas isso pode ser uma opção no futuro. Todas as detecções são totalmente acessíveis por meio do relatório Active Threat Response, disponível na caixa e no Sophos Central Firewall Reporting.
O resultado: melhores tempos de detecção e resposta
O resultado dessa abordagem inovadora para integrar o NDR com o Sophos Firewall é que os clientes obtêm insights mais rápidos e profundos sobre adversários ativos operando em sua rede nos estágios iniciais de um ataque, para que possam desativá-los antes que se tornem um problema sério.
A combinação do Sophos NDR Essentials, Active Threat Response e Synchronized Security com o Sophos Firewall permite uma resposta potencial a uma ameaça ativa em segundos ou minutos, em comparação com dias com outras soluções.
O Sophos Firewall é mais uma vez pioneiro em novas inovações com segurança de rede que criam melhores resultados de segurança cibernética para parceiros e clientes, além de entregar o máximo valor ao oferecer essas inovações sem custo adicional.
Saber mais
Assista a este vídeo de demonstração para obter mais informações sobre como o NDR Essentials funciona com o Sophos Firewall:
Saiba mais sobre as novidades do Sophos Firewall v21.5.
