Atakujący ukrywają swoją aktywność w ruchu sieciowym związanym z zaufanymi stronami – wykorzystują chronione przez TLS usługi internetowe i chmurowe, takie jak Google Cloud, Pastebin czy Discord. Tylko w ciągu jednego miesiąca badacze Sophos znaleźli i zgłosili prawie 10 tys. adresów URL kierujących do Discorda, które prowadziły do złośliwego oprogramowania.

Przyspieszone monitorowanie ruchu

W urządzeniach z rodziny XGS wykorzystano specjalną architekturę Xstream, stosowaną już wcześniej w innych zaporach sieciowych Sophosa. W nowej serii rozwiązań dodany został dodatkowy procesor Xstream zapewniający dokładniejszą ochronę przed zagrożeniami zero-day i innymi, nawet najbardziej zaawansowanymi atakami, w tym ransomware. W sposób automatyczny identyfikują zaufany ruch, charakterystyczny dla usług SaaS, sieci SD-WAN i aplikacji chmurowych, a następnie priorytetyzują go, co wpływa na przyspieszenie transmisji danych. Uwolnione w ten sposób zasoby zapewniają jeszcze więcej przestrzeni dla ruchu objętego szyfrowaniem TLS i jego głębokiej analizy.

Zapewniana przez urządzenia XGS ochrona bazuje na inteligentnym wykrywaniu zagrożeń w ramach świadczonej przez SophosLabs usługi Intelix. Podejrzany złośliwy kod jest bezpiecznie przechowywany w wirtualnym środowisku i poddawany głębokiej analizie na podstawie wiedzy zgromadzonej przez Sophos w petabajtach danych o zagrożeniach. Zestaw reguł, na podstawie których prowadzona jest analiza, jest stale aktualizowany, aby w szybki sposób wykluczyć ruch o bezpiecznym charakterze. Dzięki temu zespoły bezpieczeństwa mogą łatwo sprawdzać szyfrowaną transmisję danych i zachować pełny wgląd w infrastrukturę IT, bez obniżania wydajności systemu.

Automatyczna synchronizacja ochrony

Zapory sieciowe XGS łączą się z platformą chmurową Sophos Central. W automatyczny sposób wymieniają informacje o zagrożeniach z innymi podłączonymi do niej rozwiązaniami i reagują na wykryte incydenty bezpieczeństwa. W ramach usługi Sophos Managed Threat Response (MTR) możliwe jest także zapewnienie dodatkowej ochrony, polegającej na opiece świadczonej w trybie 24/7 przez specjalistów ds. cyberbezpieczeństwa. Ułatwia to zarządzanie złożonymi środowiskami klientów.

Urządzenia Sophos Firewall XGS są dostępne przez globalny kanał partnerów Sophos i dostawców usług zarządzanych (MSP). Przeznaczone są do pracy w charakterze kompleksowego zabezpieczenia sieciowego dla małych i średnich firm, a także tych z rozproszonymi oddziałami. Rozwiązania te objęte są uproszczonym modelem licencjonowania, w ramach którego zapewniono rozszerzone wsparcie techniczne ekspertów Sophos. Producent zapowiedział, że w najbliższym czasie udostępnione zostaną także kolejne modele z tej rodziny, przeznaczone dla złożonych środowisk brzegowych, w których wymagane jest zapewnienie maksymalnej przepustowości.

Dodatkowe informacje: Grzegorz Nocoń, inżynier systemowy, Sophos, grzegorz.nocon@sophos.com

Artykuł Sophos XGS analizuje dane szyfrowane protokołem TLS pochodzi z serwisu CRN.

Zapory sieciowe Hillstone z serii T, które trafiły właśnie do oferty S4E, przeznaczone są dla średnich i dużych firm, instytucji, a także centrów danych. Pełnią swoją rolę niezależnie od tego, czy chronią infrastrukturę fizyczną, wirtualną czy systemy działające w chmurze. W infrastrukturze fizycznej rozwiązania Hillstone są wdrażane na styku sieci prywatnej i publicznej oraz wewnątrz sieci. Do ochrony infrastruktury wirtualnej producent wykorzystuje CloudEdge – wirtualną zaporę sieciową oferowaną w formie oprogramowania. Z kolei do ochrony chmury, która wymaga pełnego zabezpieczenia ruchu East-West, Hillstone stosuje technikę mikrosegmentacji, aby zabezpieczyć każdą maszynę wirtualną.

– Dzisiejsze rozwiązania z zakresu bezpieczeństwa często zawodzą w obszarze ochrony granic między światem fizycznym i często zmieniającym się światem chmury, zaś maszyny wirtualne wymagają stałej i pełnej ochrony bez względu na zmiany w środowisku. Technologia mikrosegmentacji Hillstone wypełnia tę lukę, bo daje możliwości analizy i kontroli ruchu sieciowego na poziomie każdej maszyny z osobna – podkreśla Krzysztof Strąk, Security Business Development Manager w S4E.

Rozwiązania Hillstone zawierają funkcje niezbędne do tego, żeby przekonać do zakupu nawet bardzo wymagających użytkowników. Przykładowo dzięki wykorzystaniu zaawansowanej analizy ruchu sieciowego (inteligencja behawioralna) zapora nowej generacji (iNGFW) może wykryć zachowanie, które jednoznacznie lub z dużą dozą prawdopodobieństwa odpowiada konkretnemu szkodliwemu oprogramowaniu. Co ważne, wykorzystanie algorytmu statystycznego grupowania zagrożeń zapewnia określenie szansy pojawienia się nowego wariantu znanego zagrożenia. Zamiast poszukiwać dokładnej sygnatury, firewall analizuje zachowanie szkodliwego oprogramowania i odnajduje powtarzalne kombinacje działań, które przypominają znany wcześniej atak. Jeżeli dopasowanie jest wystarczająco dokładne, system wysyła powiadomienie alarmowe z dokładnym opisem szkodliwego oprogramowania oraz zachowanymi pakietami.

Produkty Hillstone są w stanie identyfikować zagrożenia i ataki na wszystkie systemy operacyjne, aplikacje, urządzenia i przeglądarki internetowe. Korzystający z nich administratorzy sieci mogą analizować wszelkie aspekty zagrożeń na każdym etapie ataków, także dotyczące indywidualnych pakietów. Umożliwiają to rozwiązania wykorzystujące analizę Big Data i modelowanie matematyczne. Uzyskane w ten sposób informacje są wyświetlane na intuicyjnym dashboardzie, za pomocą którego administrator będzie też mógł odeprzeć czy zneutralizować atak.

Firewalle z serii T umożliwiają szczegółową kontrolę aplikacji webowych, bez względu na wykorzystywany port czy protokół. Są w stanie zidentyfikować potencjalne zagrożenia i im przeciwdziałać, wykorzystując nadzór zgodny z polityką bezpieczeństwa, dotyczący użytkowników i ich grup. Polityka może na przykład ograniczać wielkość ruchu trafiającego do kluczowych programów biznesowych czy blokować niewłaściwe i szkodliwe aplikacje wewnątrz sieci. Aplikacje są klasyfikowane na podstawie nazw, kategorii, technologii i stopnia ryzyka. Polityka bezpieczeństwa może być budowana z użyciem jednej lub kilku klasyfikacji dla wybranych użytkowników i ich grup.

Artykuł Hillstone Networks: ofensywa na polskim rynku pochodzi z serwisu CRN.