Atualmente, ocorrem mudanças na arquitetura de ameaças e um aumento acentuado no número e na complexidade dos sistemas de segurança e, é claro, há uma evolução no desenvolvimento de ferramentas de segurança, incluindo firewalls.
O Next-Generation Firewall (NGFW) é uma plataforma integrada que combina o ME clássico e o roteamento com as mais recentes idéias de filtragem de tráfego, como análise de tráfego Deep Packet Inspection (DPI), autenticação do usuário de qualquer forma, sistema de prevenção Intrusões no Sistema de Prevenção de Intrusões (IPS), etc.
Neste artigo, tentarei revelar os recursos da classe NGFW em geral e da solução Sophos XG Firewall em particular. Vou falar sobre a interação entre o EM e o local de trabalho, identificando usuários de risco e conduzindo uma auditoria - todas as técnicas do complexo permitem automatizar a resposta ao incidente, reduzindo significativamente o tempo necessário para resolvê-lo.
Conteúdo
Firewalls hoje
Sophos XG Firewall
Identificação de riscos ocultos
Centro de controle
Controle de aplicativo sincronizado
Principais usuários em risco
Uma ampla variedade de relatórios prontos para uso
Bloqueando ameaças desconhecidas
Gerenciamento unificado de regras
Visão geral do gerenciamento de segurança
Filtragem da Web corporativa
Modelos de aplicativo comercial e regras de NAT
Sandstorm Sandbox
Proteção avançada contra ameaças
Resposta automática a incidentes em 8 segundos
Pulsação de segurança
Adicione o XG Firewall a qualquer rede - fácil
Firewalls hoje
Anteriormente, os firewalls operavam nos níveis mais baixos da pilha de rede, fornecendo roteamento básico e filtragem de pacotes com base em verificações de portas e protocolos para encaminhar ou redefinir o tráfego. Eles foram eficazes para o seu tempo.
Como as ameaças passaram de ataques diretamente à rede para infectar sistemas internos, geralmente por meio de vulnerabilidades em aplicativos e servidores ou usando engenharia social, soluções de proteção de rede devem ser desenvolvidas para suportar novos vetores de ataque. As organizações, que precisam constantemente adicionar e atualizar uma frota de dispositivos de segurança de rede em seu perímetro de rede, para evitar invasões, filtragem da Web, anti-spam e firewall de aplicativos da Web (WAF), incorrem em custos de material e tempo. A necessidade de gerenciar uma variedade de produtos de segurança de rede levou à criação do Unified Threat Management (UTM) - essas soluções permitiram que as organizações combinassem tudo em um único dispositivo.
A tecnologia de firewall também evoluiu, subindo a pilha para o nível 7 e acima, a fim de poder identificar e controlar o tráfego de aplicativos. Os firewalls também começaram a incorporar tecnologias para um entendimento mais profundo do conteúdo dos pacotes de rede e a busca de ameaças. Eles tiveram a oportunidade de classificar e gerenciar o tráfego criado pelo usuário ou aplicativo e não confiar apenas em protocolos e portas. Essa transição gerou uma nova categoria de segurança de rede: firewalls de última geração do firewall de próxima geração (NGFW).
O firewall de última geração combina métodos tradicionais, juntamente com a inspeção detalhada de pacotes, incluindo prevenção de intrusões, informações sobre aplicativos, políticas do usuário e a capacidade de verificar o tráfego criptografado.
A segurança da rede continua a evoluir e a crescer para combater ameaças em constante mudança. Ameaças modernas, como ransomware e botnets, são mais avançadas, ilusórias e direcionadas do que nunca. Essas ameaças avançadas (APTs) usam métodos de dia zero e são extremamente difíceis de detectar.
Muitas organizações em um momento “perfeito” comprometeram os sistemas em sua rede, tornando-se vítimas do APT ou botnet e, em muitos casos, nem sequer estão cientes dessas infecções. Infelizmente, este é um problema generalizado.
A natureza das ameaças atuais e a infraestrutura de rede moderna cria a necessidade de mudanças fundamentais na abordagem da segurança da rede:
- Hoje, os sistemas de segurança de rede devem integrar novas tecnologias para detectar comportamento malicioso na rede de carga útil sem usar assinaturas antivírus tradicionais. Tecnologias como a sandbox, até recentemente, eram soluções que apenas grandes empresas podiam pagar, tornaram-se acessíveis a organizações de pequeno e médio porte e são parte integrante da proteção eficaz contra malware moderno.
- Os sistemas de segurança que costumavam ser isolados e independentes, como firewall e antivírus, agora precisam de integração e colaboração para detectar de forma rápida e eficiente, identificar e responder a ameaças avançadas antes que possam causar danos significativos.
- Novas tecnologias dinâmicas de gerenciamento de aplicativos são necessárias para identificar e gerenciar corretamente aplicativos desconhecidos, dada a crescente ineficiência de mecanismos de assinatura para identificar os mais recentes protocolos de aplicativos, aplicativos de usuário e aplicativos usando protocolos HTTP / HTTPS comuns.
Para piorar a situação, a maioria dos firewalls modernos está se tornando mais complexa, usando várias soluções separadas e pouco integradas contra vários vetores de ameaças e conformidade com requisitos diferentes. Como resultado, o gerenciamento de um zoológico de soluções tornou-se muito difícil, e a quantidade de informações e dados produzidos por esses sistemas é simplesmente enorme.
De fato, uma análise recente da satisfação dos firewalls dos administradores de TI (Pesquisa de satisfação de firewall dos administradores de TI) revelou vários problemas comuns para a maioria dos firewalls em uso atualmente:
- Demora muito tempo para obter as informações necessárias.
- Não é fornecido um nível aceitável de detecção de ameaças e riscos na rede
- Muitas funções, mas muito difíceis de entender como usá-las
Sophos XG Firewall
Desde o início, o Sophos XG Firewall foi projetado para enfrentar os desafios atuais e emergentes, além de fornecer uma plataforma que se adapta às mudanças na arquitetura da rede. O XG Firewall oferece uma nova abordagem para identificar riscos ocultos, proteger a rede, identificar e responder a ameaças.
O XG Firewall oferece visibilidade incomparável para usuários em risco, aplicativos indesejados, dados suspeitos e ameaças persistentes. Possui um conjunto completo de tecnologias modernas para proteção contra ameaças e, ao mesmo tempo, é fácil de configurar e manter. Diferentemente de qualquer outro firewall anterior, o XG Firewall interage com outros sistemas de segurança da rede, o que lhe permite efetivamente se tornar um ponto confiável de proteção, impedir ameaças, impedir que malware espalhe ou exfiltrue dados da rede - automaticamente, em tempo real.
O Sophos XG Firewall possui três vantagens principais sobre outros firewalls:
- Identificação de riscos ocultos: O XG Firewall faz um excelente trabalho na identificação de riscos ocultos usando um painel visual, uma ampla seleção de relatórios prontos para uso e informações exclusivas sobre riscos.
- Bloquear ameaças desconhecidas: o XG Firewall bloqueia ameaças desconhecidas com mais facilidade e eficiência, com um conjunto completo de métodos de proteção contra ataques avançados que são muito fáceis de configurar e gerenciar.
- Resposta automática a incidentes: o XG Firewall with Synchronized Security responde automaticamente a incidentes de rede com a tecnologia Security Heartbeat.
Identificação de riscos ocultos
É fundamental que um firewall moderno analise as grandes quantidades de dados que coleta, correlacione os dados sempre que possível e destaque apenas os mais importantes que requerem ação - idealmente, antes que seja tarde demais.
Centro de controle
O XG Firewall Management Center fornece um nível sem precedentes de visibilidade das atividades, riscos e ameaças da sua rede.
Ele usa indicadores de estilo "semáforo" para chamar sua atenção para o que é realmente importante:
Se algo estiver destacado em vermelho, isso requer atenção imediata. Se algo estiver destacado em amarelo, isso é uma indicação de um problema em potencial. Se tudo estiver verde, nenhuma ação adicional será necessária. Cada widget no Centro de Controle oferece informações adicionais que são fáceis de abrir, basta clicar neste widget. Por exemplo, o status das interfaces em um dispositivo pode ser facilmente obtido clicando no widget "Interfaces" no Centro de Controle.
O host, o usuário e a fonte da ameaça avançada também são fáceis de identificar, basta clicar no widget ATP (proteção avançada contra ameaças) no painel.
Os gráficos do sistema também mostram a largura de banda em uma linha do tempo com uma escolha de período, se você precisa observar as últimas duas horas ou o último mês ou ano. E eles fornecem acesso rápido às ferramentas de solução de problemas mais usadas.
A visualização de logs em tempo real está disponível em cada tela com apenas um clique. Você pode abri-lo em uma nova janela para monitorar o log correspondente enquanto trabalha no console. Consiste em duas guias, um formato de coluna simples, baseado no módulo de firewall, e também fornece uma visualização unificada mais detalhada, com amplas opções de filtro e classificação, que agregam os logs de todo o sistema em uma visualização em tempo real.
Se você, como a maioria dos administradores de rede, provavelmente está se perguntando, existem muitas regras e quais são realmente necessárias e quais não são realmente usadas? Com o Sophos XG Firewall, isso fará com que você se preocupe.
O widget Active Firewall Rules mostra os gráficos do fluxo de tráfego processado em tempo real, classificados pelo tipo de regra: aplicativo de negócios, usuário e regras de rede. Ele também mostra totais ativos para cada regra e status, incluindo regras não utilizadas que você pode excluir. Como em outras áreas do Centro de Controle, clicar em qualquer uma delas expandirá a tabela de regras classificada pelo tipo ou status da regra.
Controle de aplicativo sincronizado
Hoje, o problema de gerenciar aplicativos em todos os firewalls de última geração é que a maior parte do tráfego de aplicativos permanece desconhecida.
Esse problema tem um motivo simples: todos os mecanismos de controle de aplicativos usam assinaturas e modelos para identificar aplicativos. E, como você pode esperar, qualquer aplicativo de marketing personalizado, como aplicativos médicos ou financeiros, nunca terá assinaturas, e alguns tipos de aplicativos, como clientes bittorrent ou aplicativos de VoIP e de mensagens, mudam constantemente seu comportamento e assinaturas para evitar detecção e controle. Muitos aplicativos usam criptografia para evitar a detecção, enquanto outros simplesmente recorrem ao uso de conexões comuns, como um navegador da Web, para se comunicar através de um firewall, porque as portas 80 e 443 geralmente são desbloqueadas na maioria delas.
O resultado final é uma total falta de visibilidade dos aplicativos na rede e você não pode controlar o que não vê.
A solução para esse problema é muito elegante e eficaz: Controle de Aplicativo Sincronizado , que usa a tecnologia de Segurança Sincronizada exclusiva em conjunto com os produtos Sophos nos dispositivos finais.
Quando o XG Firewall vê o tráfego do aplicativo que não pode ser identificado por assinatura, ele pode perguntar ao terminal que aplicativo gera esse tráfego. Em seguida, o software no nó de extremidade pode exibir o arquivo executável, o caminho e, frequentemente, determinar a categoria do aplicativo e transferir essas informações de volta para o XG. Em seguida, o XG Firewall, na maioria dos casos, pode usar essas informações para classificar e gerenciar automaticamente o aplicativo.
Se o XG Firewall não puder determinar automaticamente a categoria apropriada para o aplicativo, o administrador poderá definir a categoria desejada ou atribuir uma política existente ao aplicativo.
Depois de classificar o aplicativo - seja automático ou pelo administrador da rede - o aplicativo está sujeito às mesmas políticas que todos os outros aplicativos desta categoria, o que facilita o bloqueio de todos os aplicativos não identificados que não são necessários e a priorização dos aplicativos necessários.
O Controle de Aplicativo Sincronizado é uma inovação na exibição e controle de aplicativos, fornecendo clareza de propósito absoluta para todos os aplicativos que funcionavam anteriormente na rede e permaneciam não identificados e não controlados.
Principais usuários em risco
Estudos comprovaram que os usuários são o elo mais fraco da cadeia de segurança e modelos de comportamento humano podem ser usados para prever e impedir ataques. Além disso, os padrões de uso podem ajudar a ilustrar como os recursos corporativos são usados com eficiência e a necessidade de ajustar as políticas do usuário.
O UTQ (User Threat Factor) ajuda o administrador de segurança a identificar usuários que apresentam riscos com base em comportamentos suspeitos da Internet e um histórico de ameaças e infecções. Uma avaliação de alto risco da UTQ de um usuário pode ser um sinal de ação não intencional devido a falta de conhecimento de segurança, infecção por malware ou ação intencional.
O conhecimento das ações do usuário que causaram o risco pode ajudar o administrador de segurança da rede a tomar as ações necessárias e educar seus usuários com UTQs altas ou aplicar políticas mais rigorosas ou mais apropriadas para controlar seu comportamento.
Uma ampla variedade de relatórios prontos para uso
O XG Firewall é um produto UTM exclusivo que fornece uma ampla e abrangente seleção de relatórios prontos para uso, sem custo adicional. Obviamente, uma plataforma centralizada e autônoma de relatórios do Sophos iView também é oferecida se você precisar agregar relatórios de diferentes XGs em um servidor separado. O Sophos iView é gratuito até 100 GB de logs. Porém, a maioria das organizações de pequeno e médio porte aprecia a capacidade de receber relatórios no próprio dispositivo, sem o custo de sistemas de armazenamento adicionais.
O XG Firewall fornece um conjunto completo de relatórios, convenientemente organizados por tipo, com vários painéis integrados para você escolher. Existem literalmente centenas de relatórios com configurações personalizáveis em todas as áreas do XG Firewall, incluindo atividade de tráfego, segurança, usuários, aplicativos, web, redes, ameaças, VPNs, email e conformidade do setor. Com base nos resultados da auditoria, você pode gerar facilmente um relatório em PDF sobre o status de segurança de toda a rede - Relatório de Auditoria de Segurança. Você pode agendar relatórios periódicos por e-mail para você ou para os destinatários pretendidos e salvar os relatórios nos formatos HTML, PDF ou CSV.
Bloqueando ameaças desconhecidas
A proteção contra as ameaças de rede mais recentes requer uma ampla gama de tecnologias que trabalham juntas e são gerenciadas pelo administrador. Infelizmente, a maioria dos produtos é mais como um “jogo de malabarismo com faca”, com a definição de regras de firewall em uma área, política da web em outra, verificação de SSL em outro lugar e controle de aplicativos em uma parte completamente diferente do produto.
A Sophos acredita que há uma necessidade urgente das tecnologias de segurança mais avançadas, que deve ser fácil de configurar e gerenciar, porque a proteção configurada incorretamente geralmente é pior do que não ter.
O compromisso com a simplicidade sempre foi uma parte essencial da Sophos. Mais importante, porém, a Sophos está pronta para aceitar as alterações e tomar medidas ousadas para fornecer o melhor nível de proteção e a melhor interface do usuário.
Gerenciamento unificado de regras
O gerenciamento de firewall pode ser incrivelmente complexo. Para esses fins, muitas regras, políticas e configurações de segurança podem ser criadas, distribuídas por diferentes áreas funcionais.
O XG Firewall redefine completamente como as regras são organizadas e como as provisões de segurança são gerenciadas. Em vez de procurar as políticas corretas no console de gerenciamento, tudo é montado em uma única tela - regras e controles. Agora você pode visualizar, filtrar, pesquisar, editar, adicionar, modificar e organizar todas as regras de firewall em um único local.
As regras para usuários, aplicativos de negócios, NAT e redes facilitam a visualização apenas das políticas necessárias, fornecendo uma tela conveniente para o gerenciamento.
Os ícones indicadores fornecem informações importantes sobre políticas como tipo, status, uso e muito mais.
Visão geral do gerenciamento de segurança
O XG Firewall simplifica a configuração e o gerenciamento da proteção avançada, colocando todas as configurações em uma tela.
, SSL, , IPS, , -, , Heartbeat , NAT, , .
, , , , .
, , , Active Directory, eDirectory LDAP, NTLM, RADIUS, TACACS+, RSA, Captive Portal. Sophos Transparent Authentication Suite (STAS) , Microsoft Active Directory, , . SATC (Sophos Authentication For Thin Client), , XG — .
-
- , , , . - Sophos - -, SWG . , . , , — , . , XG , .
, Sophos , - — . , (, ) URL-, , , .
- , . , , , , . XG Firewall - -, , .
, , . , .
- .
- NAT
, - -, Exchange, SharePoint -, , . . - , . .
-, , , . , , , .
WAF , . . XG Firewall.
Sandstorm
, , , ( ). , , . , , Sophos Sandstorm, . , .
Sophos Sandstorm , , , - — . XG Firewall , , . , , .
Sophos Sandstorm XG Firewall Control Center , .
, XG Firewall Sophos Sandstorm , .
Advanced Threat Protection
Advanced Threat Protection , , . XG Firewall , - C&C. IPS, DNS URL-, , .
, . , XG Firewall Control Center . , , . Sophos Synchronized Security XG Firewall, , , .
8
.
Sophos XG Firewall — , . Sophos Security Heartbeat , .
XG Firewall , , . , .
Security Heartbeat
Sophos Security Heartbeat ( Synchronized Security) , https , . , , .
O Heartbeat de segurança pode não apenas detectar instantaneamente a presença de ameaças avançadas, mas também pode ser usado para transmitir informações importantes sobre a natureza da ameaça, o sistema host e o usuário. E, talvez o mais importante, o Security Heartbeat também pode ser usado para tomar automaticamente medidas para isolar ou restringir o acesso a um sistema comprometido até que ele seja limpo. Essa é uma tecnologia interessante que altera a maneira como as soluções de segurança da informação funcionam e respondem a ameaças complexas.
O Heartbeat de segurança é executado em estações de trabalho ou servidores. A pulsação pode estar em um dos três estados:
O status Verde de pulsação indica que o local de trabalho está operacional e o acesso a todos os recursos relevantes da rede será permitido.
O status Amarelo de pulsação indica um aviso de que o sistema pode ter um aplicativo potencialmente indesejado (PUA), não atende aos requisitos ou tem qualquer outro problema. Você pode escolher quais recursos de rede têm permissão para acessar sistemas com um status amarelo até que o problema seja resolvido.
O status Red Heartbeat indica um sistema que está em risco de infecção por ameaças avançadas e pode tentar entrar em contato com uma botnet ou servidor C&C. Usando políticas de segurança de pulsação, você pode isolar facilmente sistemas com esse status até que sejam limpos para reduzir o risco de perda de dados ou infecção adicional.
Somente a Sophos pode fornecer uma solução como o Security Heartbeat, porque somente a Sophos é líder em software para terminais e soluções de segurança de rede. Por exemplo, você pode ver o teste do NSS Labs Advanced Endpoint Protection, 2019:
- Classificação de desempenho de segurança nº 1 e
- Classificação nº 1 com a melhor oferta de preço
Adicione o XG Firewall a qualquer rede - fácil
O equipamento mais recente da série XG oferece implantação mais flexível com portas abertas a falhas em todos os modelos de 1U, bem como nos dispositivos 2U mais recentes da nova porta FleXi. Novas portas permitem que o XG Firewall seja instalado no modo de ponte com o equipamento existente e, se o XG Firewall for desativado ou reiniciado para atualizar o firmware, as portas permitirão que o tráfego continue sem falhas - desvio de hardware. Esse recurso permite usar novos parâmetros de instalação que são completamente seguros e simples, sem substituir a infraestrutura de rede existente. Além disso, o antivírus de próxima geração, o Intercept X , funciona com qualquer produto antivírus existente, permitindo que você implante a solução completa de Segurança Sophos Synchronized Security em qualquer rede sem substituir nada.
É a segurança simplificada.
Este artigo foi escrito usando o Sophos XG Firewall Solution Brief .
Se você estiver interessado na solução, entre em contato conosco - empresa do Grupo Factor , distribuidor Sophos. Basta escrever de forma livre para sophos@fgts.ru .