Escolar Documentos
Profissional Documentos
Cultura Documentos
Versão do Sophos
Firewall : 19.0v1
[Informações adicionais]
Sophos Firewall
FW0510: Recursos do Sophos Firewall e a cadeia de eliminação de ataques
Versão de
abril de 2022: 19.0v1
© 2022 Sophos Limited. Todos os direitos reservados. Nenhuma parte deste documento pode ser usada ou reproduzida
de qualquer forma ou por qualquer meio sem o consentimento prévio por escrito da Sophos.
Sophos e o logotipo da Sophos são marcas registradas da Sophos Limited. Outros nomes, logotipos e marcas mencionados
neste documento podem ser marcas comerciais ou marcas registradas da Sophos Limited ou de seus respectivos
proprietários.
Embora tenha sido tomado cuidado razoável na preparação deste documento, a Sophos não oferece garantias,
condições ou representações (expressas ou implícitas) quanto à sua integridade ou precisão. Este documento está sujeito
a alterações a qualquer momento sem aviso prévio.
A Sophos Limited é uma empresa registrada na Inglaterra sob o número 2096520, com sede em The Pentagon, Abingdon
Science Park, Abingdon, Oxfordshire, OX14 3YP.
DURAÇÃO
20 minutos
Neste capítulo, você aprenderá quais recursos de segurança o Sophos Firewall usa para proteger as redes e como eles
mapeiam a cadeia de eliminação do ataque.
Recursos de firewall
O Sophos Firewall é um firewall completo e um dispositivo de segurança que pode ser usado em muitos cenários
diferentes. Ele pode ser colocado na borda da rede ou alinhado atrás de outros dispositivos de segurança. Ele pode
ser o único ponto de segurança para uma rede, operando na borda e fornecendo vários serviços, ou pode ser usado
para aumentar uma implementação existente, fornecendo serviços que outros dispositivos não possuem.
Colheita de endereços Acoplar exploração Entregar Aproveitar uma Instalando malware Canal de comando Com o acesso
de e-mail , com backdoor em pacote armado à vítima vulnerabilidade ou no ativo para 'mãos no teclado', os
informações carga útil entregável via e-mail, web… funcionalidade manipulação remota intrusos
de conferências, etc. para executar código da vítima atingem seu objetivo
na máquina da vítima
Comando e
Reconhecimento armamento Entrega Exploração Instalação Comportamento
Ao controle
PRÉ-VIOLAÇÃO PÓS-VIOLAÇÃO
Veremos agora os recursos de proteção oferecidos pelo firewall Sophos. Para fazer isso, mostraremos as táticas e
técnicas do adversário e como o Sophos Firewall é capaz de interromper ataques complexos em cada fase de um ataque.
Ao revisar essas técnicas, você obterá uma compreensão melhor e mais confiável da capacidade da
Sophos de interromper as técnicas do invasor em cada uma das fases.
Colheita de endereços Acoplar exploração Entregar Aproveitar uma Instalando malware Canal de comando Com o acesso
de e-mail , com backdoor em pacote armado à vítima vulnerabilidade ou no ativo para 'mãos no teclado', os
informações carga útil entregável via e-mail, web… funcionalidade manipulação remota intrusos
de conferências, etc. para executar código da vítima atingem seu objetivo
na máquina da vítima
Comando e
Reconhecimento armamento Entrega Exploração Instalação Comportamento
Ao controle
PRÉ-VIOLAÇÃO PÓS-VIOLAÇÃO
Durante o reconhecimento ativo, eles podem procurar ativamente intervalos de rede, endereços IP e nomes de domínio,
usando scanners de porta ou encontrando informações sobre a empresa que está sendo vendida na dark web.
A armação é feita no dispositivo dos invasores, então não há nada para detectar com o Sophos Firewall.
Agora chegamos ao estágio de entrega. Esse estágio de um ataque é definido pelo invasor poder acessar sua
propriedade por meio de um vetor de ataque, por exemplo, um e-mail, e entregar malware a um alvo específico.
Às vezes, isso é chamado de entrega de um pacote armado a um alvo.
Informações adicionais em
cibernético
Criminoso
Infiltrar
Site de phishing
Atacante envia um e-
Roubo de dados O invasor coleta as credenciais da vítima
mail para a vítima
O invasor usa as credenciais das vítimas
para acessar o site legítimo
Os invasores podem enviar e-mails aos usuários solicitando que cliquem em um link ou acessem um site
comprometido . Isso é conhecido como Phishing. Normalmente, em um golpe de phishing, você e muitos de seus colegas
recebem um e-mail que parece vir de uma organização respeitável e às vezes inclui anexos que, se abertos, podem
infectar um dispositivo. Os invasores usarão táticas de engenharia social em redes sociais, e-mails, aplicativos,
chamadas telefônicas, mensagens de texto e pessoalmente para fazer com que as pessoas revelem informações
confidenciais. Normalmente, o ataque é projetado para algumas das seguintes finalidades:
Muitas infecções por malware começam com um usuário visitando um site especificamente projetado que explora
uma ou mais vulnerabilidades de software. Isso pode ser acionado por um usuário clicando em um link dentro de
um e-mail ou navegando na Internet. Esse tipo de infecção acontecerá silenciosamente.
Sites genuínos podem ser comprometidos por invasores que colocam anúncios maliciosos no site. Em outros casos, o
tráfego para o site pode ser redirecionado para o servidor do invasor. O site redirecionado é projetado para
parecer autêntico e geralmente solicita um nome de usuário e senha para fazer login.
[Informações adicionais]
Você pode descobrir mais sobre engenharia social e como ela pode ser evitada assistindo ao vídeo na página Naked
Security da Sophos.
https://nakedsecurity.sophos.com/tag/social-engineering/
Proteção Web
Entrega
O Sophos Firewall protege você verificando o tráfego HTTP e HTTPS em busca de conteúdo indesejado ou
malware.
• Web Filtering fornece filtros predefinidos que bloqueiam automaticamente o acesso a sites categorizados, como
jogos de azar ou pornografia • Live Protection fornece
pesquisas em tempo real para SophosLabs para verificar quaisquer ameaças e impedir que elas infectem o dispositivo/
rede • Pharming Protection impede os usuários de
ser redirecionado para sites falsos ou comprometidos • A validação do certificado valida os certificados dos sites para
garantir a legitimidade • A filtragem de tipo de arquivo é baseada no tipo MIME, extensão e
tipos de conteúdo ativo. Isso pode ser usado
para bloquear documentos habilitados para macro, por exemplo
• Aplicação do SafeSearch, que é um recurso da Pesquisa Google que atua como um filtro automatizado de
pornografia e conteúdo potencialmente ofensivo
O recurso Web Protection é personalizável, por exemplo, restringir a cota de navegação dos usuários e o tempo de acesso permite
o controle sobre o que os usuários podem ter acesso e quando. Se você quiser impedir que seus usuários acessem sites que
não são essenciais para os negócios, você pode colocar uma restrição na política da web que bloqueia o acesso a sites não
comerciais, por exemplo, sites de redes sociais.
Servidores de e-mail
Sophos
Firewall
criminoso cibernético
Quarentena
Para proteger contra ataques de e-mail, pode ser usado Criptografia e controle de e-mail.
O mecanismo de verificação de e-mail verificará todos os e-mails de entrada em busca de conteúdo malicioso. Você controla quais
e-mails podem ser recebidos em sua rede:
• A reputação de IP está habilitada, permitindo que você determine se aceita, rejeita ou descarta e-mails
que são enviados de remetentes de spam conhecidos
• A detecção de tipo de arquivo é configurada para verificar e bloquear tipos de arquivo específicos. Por exemplo, você pode
bloquear ou colocar em quarentena qualquer arquivo habilitado para macro de ser recebido por qualquer remetente
O mecanismo de verificação de e-mail também detectará URLs de phishing em e-mails e bloqueará esses e-mails de acordo. Além
de verificar e-mails de entrada e saída em busca de conteúdo malicioso, a proteção de e-mail permite criptografar e-mails para que
você possa enviar dados confidenciais com segurança para fora de sua rede.
Ele usa criptografia SPX para criptografia de mensagem unidirecional e gerenciamento de senha SPX de
autorregistro do destinatário. Essa criptografia é simples e segura e não requer certificados ou chaves. Ele também
permite que os usuários adicionem anexos às respostas seguras do SPX para permitir que seus usuários enviem arquivos
com segurança.
A proteção de e-mail também usa nosso mecanismo de proteção contra perda de dados (DLP), que verifica automaticamente e-mails e
anexos em busca de dados confidenciais. Esse também é um benefício importante no último estágio do ataque, sobre o qual
falaremos mais adiante neste módulo.
Determinar o comportamento
CERQUILHA
Sophos Firewall
A proteção de dia zero da Sophos usa tecnologia de sandbox de última geração com aprendizado profundo integrado,
dando à sua organização uma camada extra de segurança contra ransomware e ataques direcionados. Ele se integra
ao seu Sophos Firewall e é fornecido na nuvem, portanto, não é necessário nenhum hardware adicional. É a melhor
defesa contra o mais recente malware baseado em carga útil à espreita em ataques de phishing, spam e downloads de
arquivos.
Vejamos como a proteção de dia zero da Sophos testa e identifica possíveis malwares.
O Sophos Firewall pré-filtra com precisão o tráfego usando todas as verificações de segurança convencionais,
incluindo assinaturas anti-malware, URLs ruins conhecidos e assim por diante, para que apenas arquivos suspeitos
não vistos anteriormente sejam enviados à Sophos, garantindo latência mínima e impacto ao usuário final.
Se o arquivo for executável ou tiver conteúdo executável, o arquivo será tratado como suspeito. O Sophos Firewall envia o
hash do arquivo para a Sophos, para determinar se ele foi analisado anteriormente.
Se o arquivo foi analisado anteriormente, a Sophos passa a inteligência de ameaças para o Sophos Firewall. Aqui, o
arquivo será entregue no dispositivo do usuário ou bloqueado, dependendo das informações fornecidas pela
proteção de dia zero.
O Sophos Firewall mantém um cache local de hashes de arquivo e os resultados em um banco de dados local para evitar
pesquisas desnecessárias.
Por fim, o Sophos Firewall usa a inteligência detalhada fornecida pela proteção de dia zero para criar relatórios forenses
profundos sobre cada incidente de ameaça.
Determinar o comportamento
Sophos Firewall
Se o hash não foi visto antes, uma cópia do arquivo suspeito é enviada para a Sophos.
Aqui, o arquivo é executado e seu comportamento é monitorado. Depois de totalmente analisado, o Sophos passa a
inteligência de ameaças para o Sophos Firewall, que determinará se o arquivo é permitido ou bloqueado.
Assim como nas ameaças anteriores, um relatório é criado para o incidente de ameaça.
Aprendizado Profundo
Entrega
Características do Características do
Milhões de Amostras
Arquivos Definidos Arquivos rotulados Aprendido
Malicioso
OU
Entre as camadas de proteção em nosso sandbox está algo chamado deep learning, que protege contra as mais
recentes ameaças avançadas não vistas, como ransomware, mineração criptográfica, bots, worms, hacks, violações e
ameaças persistentes avançadas sem o uso de assinaturas.
O Deep Learning usa um conjunto de algoritmos que tentam replicar a maneira como um cérebro humano resolveria
um problema. Olhando para as características de um objeto, ele decide o que é esse objeto.
Vamos relacionar isso com a proteção de sua rede. O modelo de aprendizado profundo é treinado em milhões
de amostras de arquivos bons e ruins conhecidos, alguns exemplos mostrados aqui. São ensinados os recursos
( tamanho, configuração de compactação, strings imprimíveis, fornecedor e assim por diante) desses arquivos que
são então rotulados. O modelo é então treinado para determinar os recursos de um arquivo para criar um modelo aprendido.
Quando um arquivo é testado com esse modelo, o aprendizado profundo avalia os arquivos executáveis portáteis (PE)
em uma máquina no momento da execução dentro do sandbox. O mecanismo prevê se o arquivo é malicioso
ou legítimo com base nas características do arquivo, que foram aprendidas com as amostras nas quais o modelo foi
treinado. A previsão é retornada e o arquivo é classificado como malicioso ou legítimo.
O controle de aplicativos funciona em vários níveis para ajudar a proteger sua rede, o mais óbvio deles é reduzir a
superfície de ataque controlando quais aplicativos são permitidos. Por exemplo, os usuários não podem baixar
arquivos infectados por meio de aplicativos ponto a ponto se você os estiver bloqueando.
O Controle de Aplicativos pode ser usado para bloquear vários tipos de aplicativos; incluindo:
• Aplicativos indesejados. Alguns aplicativos não são maliciosos e podem ser úteis no contexto certo, mas não
são adequados para redes corporativas. Exemplos são adware, ferramentas para administrar PCs
remotamente e scanners que identificam vulnerabilidades em sistemas de computador. • Aplicativos de
rede ponto a ponto, ou P2P. Os aplicativos P2P podem conter vulnerabilidades e também podem atuar como
servidores e clientes, o que significa que podem ser mais vulneráveis a explorações remotas.
• Aplicações de alto risco. A Sophos categoriza todos os aplicativos, isso significa que você pode aplicar o
política de controle de aplicativos de alto risco e bloqueará todos (e quaisquer novos) aplicativos classificados
como de alto risco. Por exemplo, aplicativos de proxy e armazenamento na Web costumam
ser de alto risco. • E aplicações de altíssimo risco. Da mesma forma que para a categoria de alto risco, a
categoria de risco muito alto permite bloquear todos os aplicativos classificados como de risco muito alto.
Um exemplo desses aplicativos seria o proxy TOR, SuperVPN e AppVPN.
Em média, 60% do tráfego de aplicativos não é identificado. As assinaturas de aplicativos estáticos não funcionam para
aplicativos personalizados, obscuros, evasivos ou quaisquer aplicativos que usem HTTP ou HTTPS genérico. O controle de
aplicativos sincronizado no Sophos Firewall identifica automaticamente todos os aplicativos desconhecidos, permitindo que
você bloqueie facilmente os aplicativos indesejados e priorize os que deseja.
Isso significa que agora você pode identificar – e lidar com – ameaças desconhecidas e aplicativos
indesejados que estão em execução na sua rede, colocando a organização em risco e impactando a
produtividade do usuário.
Colheita de endereços Acoplar exploração Entregar Aproveitar uma Instalando malware Canal de comando Com o acesso
de e-mail , com backdoor em pacote armado à vítima vulnerabilidade ou no ativo para 'mãos no teclado', os
informações carga útil entregável via e-mail, web… funcionalidade manipulação remota intrusos
de conferências, etc. para executar código da vítima atingem seu objetivo
na máquina da vítima
Comando e
Reconhecimento armamento Entrega Exploração Instalação Comportamento
Ao controle
PRÉ-VIOLAÇÃO PÓS-VIOLAÇÃO
Os usuários continuam a ser o alvo mais fácil para os invasores, mas um exército de funcionários treinados e
cientes de phishing pode fornecer a você um firewall humano contra essas ameaças.
Vejamos o próximo estágio, a exploração, que é definida pelo aproveitamento de uma vulnerabilidade para executar o
código na máquina da vítima. Uma exploração é basicamente um método ou uma ferramenta usada para abusar de
bugs de software para fins nefastos.
XSSName
Injeção SQL Firewall
10101010101010
0101010101010101010101
0101010101010101011010
1010101010101010101010
Internet
Atacante
Por sua própria natureza, os servidores da Web precisam ser acessíveis pela Internet, mas isso os torna alvos de
invasores que podem estar tentando extrair dados ou instalar malware para comprometer outros usuários que visitam
o site.
Os ataques podem assumir várias formas, incluindo ataques de script entre sites (XSS), usando violações e
anomalias de protocolo, assinatura de cookie, injeção de SQL ou outros ataques genéricos.
XSSName
Injeção SQL Sophos Firewall
10101010101010
0101010101010101010101
0101010101010101011010
1010101010101010101010
Internet
Atacante
O Sophos Firewall inclui proteção de servidor Web abrangente, que vem com modelos pré-configurados para
tornar a proteção de servidores voltados para a Web comumente usados, como o Microsoft Exchange, o mais fácil
possível.
A proteção do servidor da Web atua como um proxy reverso protegendo os servidores da Web na rede interna
ou DMZ do tráfego de entrada. O Web Server Protection usa um firewall de aplicativo da web para filtrar o
tráfego, proteger formulários, assinar cookies e verificar malware.
O Web Server Protection também pode autenticar as conexões de entrada com um nome de usuário e senha antes mesmo
de chegarem ao servidor da web.
Internet
Ponto final
Sophos Firewall
Vulnerabilidades e exploit kits podem ser protegidos contra o uso de Sistemas de Prevenção de Intrusão (IPS).
O IPS monitora o tráfego de rede à medida que passa pelo firewall em busca de atividades maliciosas. Ele
registra a atividade e tenta bloquear e prevenir a infecção e, em seguida, relata a atividade.
Observe que o Intrusion Prevention não foi projetado para substituir a aplicação de patches de software para corrigir
bugs e vulnerabilidades de segurança.
Colheita de endereços Acoplar exploração Entregar Aproveitar uma Instalando malware Canal de comando Com o acesso
de e-mail , com backdoor em pacote armado à vítima vulnerabilidade ou no ativo para 'mãos no teclado', os
informações carga útil entregável via e-mail, web… funcionalidade manipulação remota intrusos
de conferências, etc. para executar código da vítima atingem seu objetivo
na máquina da vítima
Comando e
Reconhecimento armamento Entrega Exploração Instalação Comportamento
Ao controle
PRÉ-VIOLAÇÃO PÓS-VIOLAÇÃO
Esta fase de ataque é onde o malware instalado faz uma conexão com um comando e controle
servidor.
Em um ciclo de vida típico de ameaça persistente avançada, a comunicação com um host de comando e controle é um processo
repetido. Isso permite que o malware se adapte à medida que mais conhecimento é adquirido pelo invasor.
Alguns dos malwares mais complexos, como o Emotet, incluem comunicação com servidores remotos para obter mais instruções e/
ou atualizações ou para carregar ou baixar outros arquivos.
Internet
Computadores
A proteção avançada contra ameaças monitora o tráfego de saída global. Ele bloqueia o tráfego de rede de saída
que tenta acessar servidores mal-intencionados. Isso impede que os trojans de acesso remoto reportem aos seus
servidores mal-intencionados.
Se o ATP detectar uma ameaça, um alerta será registrado e o número de detecções será mostrado no
centro de controle. O administrador pode verificar o alerta para obter informações adicionais sobre
a ameaça, como:
• O endereço IP do dispositivo
afetado • O nome do host do
dispositivo afetado • A ameaça e o número de vezes que a
regra foi acionada • E o usuário e o processo ofensivo
Esse processo permite que o administrador limpe a ameaça enquanto o dispositivo está isolado,
protegendo o resto da rede de ser infectado.
Colheita de endereços Acoplar exploração Entregar Aproveitar uma Instalando malware Canal de comando Com o acesso
de e-mail , com backdoor em pacote armado à vítima vulnerabilidade ou no ativo para 'mãos no teclado', os
informações carga útil entregável via e-mail, web… funcionalidade manipulação remota intrusos
de conferências, etc. para executar código da vítima atingem seu objetivo
na máquina da vítima
Comando e
Reconhecimento armamento Entrega Exploração Instalação Comportamento
Ao controle
PRÉ-VIOLAÇÃO PÓS-VIOLAÇÃO
Este estágio do ataque varia dependendo do tipo de malware, por exemplo, um ataque de ransomware procurará
criptografar dados e exigir resgate. Considerando que o spyware tende a registrar as teclas digitadas pelas vítimas e obter
acesso a senhas ou propriedade intelectual.
A seguir, revisaremos alguns dos componentes de proteção do Sophos Firewall que detectam ameaças
maliciosas.
Servidores
Infetado
Security Heartbeat™
Hospedar
Internet
Sophos Firewall
Ponto final
O Server Protection e o Intercept X podem ser usados para atribuir um status de integridade a cada dispositivo. Caso um
dispositivo seja comprometido, ele pode ser automaticamente isolado de outras partes da rede no firewall, além de
bloquear conexões de rede entre outros dispositivos saudáveis. Isso limita as consequências de uma violação ou a
disseminação de malware ou o movimento lateral de um invasor. Mesmo no mesmo domínio de broadcast ou segmento
de rede onde o firewall não tem oportunidade de bloquear o tráfego.
Estamos efetivamente forçando a aplicação do isolamento aos endpoints para que eles possam ajudar o
firewall a isolar quaisquer ameaças e manter a rede segura. Isso impedirá que qualquer ameaça ou invasor tente
se mover lateralmente.
Proteção de e-mail
Comportamento
A proteção de e-mail impede que os dados vazem para fora da organização por e-mail. Você pode criar listas de controle
de dados a partir da lista de controle de conteúdo (CCL). CCLs são baseados em tipos comuns de dados financeiros
e de identificação pessoal, por exemplo, números de cartão de crédito ou de seguridade social, endereços postais ou
de e-mail. Quando o Sophos Firewall encontra uma correspondência para as informações especificadas, ele aplica a
ação especificada na política.
SEGURANÇA SINCRONIZADA
Comando e
Reconhecimento armamento Entrega Exploração Instalação Comportamento
Ao controle
PRÉ-VIOLAÇÃO PÓS-VIOLAÇÃO
Interrompa ameaças desconhecidas e sofisticadas Bloqueia técnicas de ataque conhecidas Detecte e bloqueie o tráfego C&C
Proteção de rede avançada Mitigações de adversários ativos
A segurança digital e a segurança física têm muitos paralelos. Pense em um edifício e como ele poderia ser protegido.
Se você não construir nada além de uma parede gigante, pode ser difícil escalar, mas eventualmente alguém
encontrará uma maneira de passar por cima dela (ou por baixo dela).
Agora considere uma fortaleza. Guardas armados, cães de ataque, CCTV, armadilhas, arame farpado, sensores de movimento.
Pode ser possível pular a parede, mas você ainda tem muitos obstáculos adicionais pela frente.
Camadas únicas são simples de construir, mas também simples de contornar. Nosso objetivo sempre foi construir
fortalezas para que vários elementos de segurança estivessem presentes para detectar o movimento entre os ativos e para
que os ataques fossem detectados e interrompidos.
Revisão do capítulo
O Sophos Firewall fornece várias camadas de proteção para detectar e bloquear ataques
Depois que o malware está em execução ou um invasor está em um dispositivo, os ataques podem ser detectados com base no
comportamento
Aqui estão as três principais coisas que você aprendeu neste capítulo.
O Sophos Firewall fornece várias camadas de proteção para detectar e bloquear ataques.
Depois que o malware está em execução ou um invasor está em um dispositivo, os ataques podem ser detectados com base no comportamento.