Como tirar o máximo proveito dos novos recursos do Sophos Firewall v21.5
O Sophos Firewall v21 oferece uma inovação inédita no setor: Detecção e Resposta de Rede (NDR) integrada ao seu firewall.
O que é NDR?
A Detecção e Resposta de Rede (NDR, na sigla em inglês) é uma categoria de produtos de segurança de rede projetada para detectar comportamentos anormais de tráfego, ajudando a identificar adversários ativos que operam na rede.
Atacantes habilidosos são muito eficazes em evitar a detecção, mas, em última análise, precisam se deslocar pela rede ou se comunicar fora dela para realizar um ataque. O NDR (Network Device Response) geralmente fica localizado dentro da rede, utilizando sensores que monitoram e analisam o tráfego de rede para identificar esse tipo de atividade suspeita.
Os produtos NDR existem há muitos anos, e o Sophos NDR faz parte do nosso portfólio de produtos MDR/XDR desde o início de 2023. No entanto, com o SFOS v21.5, estamos integrando o NDR ao Sophos Firewall – uma inovação inédita no setor – sem custo adicional para clientes do Sophos Firewall com proteção Xstream.
Integrar o NDR com um firewall de última geração pode parecer uma escolha óbvia, mas o desafio é fazê-lo de forma a não impactar o desempenho do firewall, visto que a análise de tráfego do NDR exige um poder de processamento significativo. Por isso, adotamos uma abordagem inovadora, implementando uma solução de NDR na Nuvem Sophos para aliviar o firewall dessa carga de trabalho.
Sophos NDR Essentials
O Sophos Firewall v21.5 apresenta nossa nova plataforma de Detecção e Resposta de Rede (NDR) Essentials, entregue na nuvem. Ela utiliza as mais recentes detecções de IA para ajudar a identificar adversários ativos e compartilha essas informações usando a API de feeds de ameaças do Sophos Firewall como parte da Resposta Ativa a Ameaças, mantendo você informado sobre quaisquer detecções e seus respectivos riscos.
Assista a este breve vídeo de demonstração para ver como funciona ou continue lendo para obter todos os detalhes:
Como funciona
O Sophos Firewall captura metadados do tráfego criptografado por TLS e consultas DNS e envia essas informações para o NDR Essentials na nuvem da Sophos.
Lá, os dados são analisados usando múltiplos mecanismos de IA. É possível detectar cargas maliciosas criptografadas sem realizar a descriptografia TLS, bem como domínios novos e incomuns gerados por meio de algoritmos, que geralmente são um indicador-chave de comprometimento.
A extração de metadados é realizada por um novo mecanismo leve implementado no Xstream FastPath e, como resultado, uma ressalva em relação a essa nova funcionalidade é que ela está disponível apenas em firewalls de hardware da série XGS. Firewalls virtuais, de software e em nuvem poderão receber essa funcionalidade de integração com o NDR no futuro, mas não na versão 21.5.
O novo feed de ameaças do NDR Essentials é gerenciado juntamente com seus outros feeds de ameaças (Sophos X-Ops, MDR e feeds de terceiros) na área de Resposta Ativa a Ameaças do firewall, conforme mostrado na captura de tela acima. A configuração é simples: basta ativar um interruptor, selecionar quais interfaces internas monitorar, um limite mínimo de risco de detecção e pronto!
As detecções do NDR Essentials são classificadas em uma escala de 1 (baixo risco) a 10 (risco máximo). Você decide qual pontuação de risco define o limite para um alerta com base no seu ambiente específico. O padrão recomendado é alto risco (9-10).
Todas as detecções com pontuação igual ou superior a 6 são registradas, mas apenas aquelas que atingem ou excedem o limite definido acionam notificações e são exibidas como alertas no novo widget do painel de controle.
Detecções com pontuação inferior a 6 podem ser falsos positivos e, portanto, não são registradas. Nenhuma detecção do NDR Essentials está bloqueada no momento, mas essa pode ser uma opção no futuro. Todas as detecções são totalmente acessíveis por meio do relatório de Resposta Ativa a Ameaças, disponível tanto no dispositivo quanto no Sophos Central Firewall Reporting.
Como o NDR Essentials se compara ao Sophos NDR?
Simplificando, o Sophos NDR Essentials é uma versão “lite” do Sophos NDR.
O Sophos NDR foi projetado para ficar posicionado em locais profundos da rede, de forma a monitorar e detectar com eficácia atividades suspeitas e fluxos de tráfego tanto na direção norte-sul (ou de dentro para fora), quanto na direção leste-oeste, que atravessam a LAN internamente.
Como você sabe, um firewall é projetado para ficar no gateway da rede e inspecionar o tráfego norte-sul. Portanto, o NDR Essentials não tem a mesma visibilidade no gateway da rede que uma solução NDR completa instalada dentro da rede.
Nossa solução completa Sophos NDR possui cinco mecanismos de detecção de IA diferentes. Nesta versão inicial do NDR Essentials, implementamos os dois mecanismos que têm maior relevância e impacto na inspeção do tráfego de gateway: o mecanismo de Análise de Carga Útil Criptografada e o mecanismo de Algoritmo de Geração de Domínio. Neste momento, com esses mecanismos adicionais, o Sophos NDR oferece uma cobertura mais ampla e maiores capacidades de detecção do que o NDR Essentials.
Em resumo, o NDR Essentials oferece uma excelente camada adicional de detecção ativa de ameaças ao Sophos Firewall, sem custo extra e sem impacto no desempenho. No entanto, ele não substitui uma implementação completa do Sophos NDR para nenhum de nossos clientes que utilizam nossa plataforma XDR ou serviço MDR.
Se você deseja obter informações mais detalhadas sobre detecção e recursos de busca de ameaças, recomendamos fortemente que você confira o Sophos Extended Detection and Response (XDR) com a implementação completa do Sophos NDR e o novo Console de Investigação do NDR.
Você também pode considerar nosso serviço completo de Detecção e Resposta Gerenciadas 24 horas por dia, 7 dias por semana. Todos esses produtos e serviços funcionam melhor em conjunto com seus firewalls Sophos.
Comece hoje mesmo
Comece a aproveitar este novo e excelente recurso do Sophos Firewall v21.5 participando do programa de acesso antecipado. Basta se cadastrar no programa, clicar no link no seu e-mail para baixar o pacote de atualização de firmware e instalá-lo no seu Sophos Firewall.
