FW0510 19.0v1 Sophos Firewall Features and The Attack Kill Chain Port

Machine Translated by Google
Recursos do Sophos Firewall

e a Cadeia de Ataques
Versão do Sophos
Firewall : 19.0v1
[Informações adicionais]
Sophos Firewall
FW0510: Recursos do Sophos Firewall e a cadeia de eliminação de ataques
Versão de
abril de 2022: 19.0v1
© 2022 Sophos Limited. Todos os direitos reservados. Nenhuma parte deste documento pode ser usada ou reproduzida
de qualquer forma ou por qualquer meio sem o consentimento prévio por escrito da Sophos.
Sophos e o logotipo da Sophos são marcas registradas da Sophos Limited. Outros nomes, logotipos e marcas mencionados
neste documento podem ser marcas comerciais ou marcas registradas da Sophos Limited ou de seus respectivos
proprietários.
Embora tenha sido tomado cuidado razoável na preparação deste documento, a Sophos não oferece garantias,
condições ou representações (expressas ou implícitas) quanto à sua integridade ou precisão. Este documento está sujeito
a alterações a qualquer momento sem aviso prévio.
A Sophos Limited é uma empresa registrada na Inglaterra sob o número 2096520, com sede em The Pentagon, Abingdon
Science Park, Abingdon, Oxfordshire, OX14 3YP.
Recursos do Sophos Firewall e a Cadeia de Abates de Ataques - 1

Recursos do Sophos Firewall e a Cadeia de Ataques
Neste capítulo, você aprenderá CONHECIMENTO E EXPERIÊNCIA RECOMENDADOS
quais recursos de segurança o

ÿ Como o Sophos Firewall atua como um firewall baseado em zona
Sophos Firewall usa para com políticas baseadas em
proteger as redes e como eles identidade ÿ O uso de tecnologias de proteção de última
geração para interromper
mapeiam a cadeia de eliminação do ataque.
ameaças desconhecidas ÿ Como a resposta automática a
ameaças identifica e isola sistemas comprometidos
DURAÇÃO
20 minutos
Neste capítulo, você aprenderá quais recursos de segurança o Sophos Firewall usa para proteger as redes e como eles
mapeiam a cadeia de eliminação do ataque.

Recursos de firewall
O Sophos Firewall é um firewall completo e um dispositivo de segurança que pode ser usado em muitos cenários
diferentes. Ele pode ser colocado na borda da rede ou alinhado atrás de outros dispositivos de segurança. Ele pode
ser o único ponto de segurança para uma rede, operando na borda e fornecendo vários serviços, ou pode ser usado
para aumentar uma implementação existente, fornecendo serviços que outros dispositivos não possuem.

Ataque Kill Chain
Colheita de endereços Acoplar exploração Entregar Aproveitar uma Instalando malware Canal de comando Com o acesso
de e-mail , com backdoor em pacote armado à vítima vulnerabilidade ou no ativo para 'mãos no teclado', os
informações carga útil entregável via e-mail, web… funcionalidade manipulação remota intrusos
de conferências, etc. para executar código da vítima atingem seu objetivo
na máquina da vítima
Comando e
Reconhecimento armamento Entrega Exploração Instalação Comportamento
Ao controle
PRÉ-VIOLAÇÃO PÓS-VIOLAÇÃO
Veremos agora os recursos de proteção oferecidos pelo firewall Sophos. Para fazer isso, mostraremos as táticas e
técnicas do adversário e como o Sophos Firewall é capaz de interromper ataques complexos em cada fase de um ataque.
Ao revisar essas técnicas, você obterá uma compreensão melhor e mais confiável da capacidade da
Sophos de interromper as técnicas do invasor em cada uma das fases.

Protegendo contra a entrega de malware
Comando e
Ao controle
A primeira parte da anatomia de um ataque cibernético é o reconhecimento e o armamento. Os hackers geralmente

começam pesquisando e coletando informações passivamente sobre a organização-alvo, por exemplo, endereços de e-
mail dos principais participantes da organização, como CEOs e diretores de empresas.
Durante o reconhecimento passivo, o invasor não está tocando sua rede ou sistemas, então não há nada para
detectar.
Durante o reconhecimento ativo, eles podem procurar ativamente intervalos de rede, endereços IP e nomes de domínio,
usando scanners de porta ou encontrando informações sobre a empresa que está sendo vendida na dark web.
A armação é feita no dispositivo dos invasores, então não há nada para detectar com o Sophos Firewall.
Agora chegamos ao estágio de entrega. Esse estágio de um ataque é definido pelo invasor poder acessar sua
propriedade por meio de um vetor de ataque, por exemplo, um e-mail, e entregar malware a um alvo específico.
Às vezes, isso é chamado de entrega de um pacote armado a um alvo.

Informações adicionais em
Ataques por e-mail as notas

Entrega
cibernético
Criminoso
Infiltrar
Site de phishing
Atacante envia um e-
Roubo de dados O invasor coleta as credenciais da vítima
mail para a vítima
O invasor usa as credenciais das vítimas
para acessar o site legítimo
sua rede Kit de exploração

• Verifica vulnerabilidades no
computador da vítima
• Explorar as vulnerabilidades para
baixar o código malicioso exploits no
Vítima
sistema
A vítima clica no e-mail
e vai para o site de phishing
Os invasores podem enviar e-mails aos usuários solicitando que cliquem em um link ou acessem um site
comprometido . Isso é conhecido como Phishing. Normalmente, em um golpe de phishing, você e muitos de seus colegas
recebem um e-mail que parece vir de uma organização respeitável e às vezes inclui anexos que, se abertos, podem
infectar um dispositivo. Os invasores usarão táticas de engenharia social em redes sociais, e-mails, aplicativos,
chamadas telefônicas, mensagens de texto e pessoalmente para fazer com que as pessoas revelem informações
confidenciais. Normalmente, o ataque é projetado para algumas das seguintes finalidades:
• Phishing de números e senhas de cartões de crédito • Hacking

de e-mails privados e históricos de bate-papo •
Hacking de sites de empresas ou organizações e destruição de sua reputação • Fraudes de vírus
de computador • E convencer
usuários a executar códigos maliciosos
Muitas infecções por malware começam com um usuário visitando um site especificamente projetado que explora
uma ou mais vulnerabilidades de software. Isso pode ser acionado por um usuário clicando em um link dentro de
um e-mail ou navegando na Internet. Esse tipo de infecção acontecerá silenciosamente.
Sites genuínos podem ser comprometidos por invasores que colocam anúncios maliciosos no site. Em outros casos, o
tráfego para o site pode ser redirecionado para o servidor do invasor. O site redirecionado é projetado para
parecer autêntico e geralmente solicita um nome de usuário e senha para fazer login.
[Informações adicionais]
Você pode descobrir mais sobre engenharia social e como ela pode ser evitada assistindo ao vídeo na página Naked
Security da Sophos.

https://nakedsecurity.sophos.com/tag/social-engineering/

Proteção Web
Entrega
As políticas permitem que você

configure filtros para bloquear
automaticamente sites categorizados
Se um usuário visitar um site bloqueado,

ele não poderá acessar o site
O Sophos Firewall protege você verificando o tráfego HTTP e HTTPS em busca de conteúdo indesejado ou
malware.
• Web Filtering fornece filtros predefinidos que bloqueiam automaticamente o acesso a sites categorizados, como
jogos de azar ou pornografia • Live Protection fornece
pesquisas em tempo real para SophosLabs para verificar quaisquer ameaças e impedir que elas infectem o dispositivo/
rede • Pharming Protection impede os usuários de
ser redirecionado para sites falsos ou comprometidos • A validação do certificado valida os certificados dos sites para
garantir a legitimidade • A filtragem de tipo de arquivo é baseada no tipo MIME, extensão e
tipos de conteúdo ativo. Isso pode ser usado
para bloquear documentos habilitados para macro, por exemplo
• Aplicação do SafeSearch, que é um recurso da Pesquisa Google que atua como um filtro automatizado de
pornografia e conteúdo potencialmente ofensivo
O recurso Web Protection é personalizável, por exemplo, restringir a cota de navegação dos usuários e o tempo de acesso permite
o controle sobre o que os usuários podem ter acesso e quando. Se você quiser impedir que seus usuários acessem sites que
não são essenciais para os negócios, você pode colocar uma restrição na política da web que bloqueia o acesso a sites não
comerciais, por exemplo, sites de redes sociais.

Criptografia e controle de e-mail Entrega
Servidores de e-mail
Sophos
Firewall
criminoso cibernético
Quarentena
Para proteger contra ataques de e-mail, pode ser usado Criptografia e controle de e-mail.
O mecanismo de verificação de e-mail verificará todos os e-mails de entrada em busca de conteúdo malicioso. Você controla quais
e-mails podem ser recebidos em sua rede:
• A reputação de IP está habilitada, permitindo que você determine se aceita, rejeita ou descarta e-mails
que são enviados de remetentes de spam conhecidos
• A detecção de tipo de arquivo é configurada para verificar e bloquear tipos de arquivo específicos. Por exemplo, você pode
bloquear ou colocar em quarentena qualquer arquivo habilitado para macro de ser recebido por qualquer remetente
O mecanismo de verificação de e-mail também detectará URLs de phishing em e-mails e bloqueará esses e-mails de acordo. Além
de verificar e-mails de entrada e saída em busca de conteúdo malicioso, a proteção de e-mail permite criptografar e-mails para que
você possa enviar dados confidenciais com segurança para fora de sua rede.
Ele usa criptografia SPX para criptografia de mensagem unidirecional e gerenciamento de senha SPX de
autorregistro do destinatário. Essa criptografia é simples e segura e não requer certificados ou chaves. Ele também
permite que os usuários adicionem anexos às respostas seguras do SPX para permitir que seus usuários enviem arquivos
com segurança.
A proteção de e-mail também usa nosso mecanismo de proteção contra perda de dados (DLP), que verifica automaticamente e-mails e
anexos em busca de dados confidenciais. Esse também é um benefício importante no último estágio do ataque, sobre o qual
falaremos mais adiante neste módulo.

Proteção de dia zero Entrega
Proteção de dia zero da Sophos
Determinar o comportamento
CERQUILHA
Suspeito Ao controle Relatório
Sophos Firewall
A proteção de dia zero da Sophos usa tecnologia de sandbox de última geração com aprendizado profundo integrado,
dando à sua organização uma camada extra de segurança contra ransomware e ataques direcionados. Ele se integra
ao seu Sophos Firewall e é fornecido na nuvem, portanto, não é necessário nenhum hardware adicional. É a melhor
defesa contra o mais recente malware baseado em carga útil à espreita em ataques de phishing, spam e downloads de
arquivos.
Vejamos como a proteção de dia zero da Sophos testa e identifica possíveis malwares.
O Sophos Firewall pré-filtra com precisão o tráfego usando todas as verificações de segurança convencionais,
incluindo assinaturas anti-malware, URLs ruins conhecidos e assim por diante, para que apenas arquivos suspeitos
não vistos anteriormente sejam enviados à Sophos, garantindo latência mínima e impacto ao usuário final.
Se o arquivo for executável ou tiver conteúdo executável, o arquivo será tratado como suspeito. O Sophos Firewall envia o
hash do arquivo para a Sophos, para determinar se ele foi analisado anteriormente.
Se o arquivo foi analisado anteriormente, a Sophos passa a inteligência de ameaças para o Sophos Firewall. Aqui, o
arquivo será entregue no dispositivo do usuário ou bloqueado, dependendo das informações fornecidas pela
proteção de dia zero.
O Sophos Firewall mantém um cache local de hashes de arquivo e os resultados em um banco de dados local para evitar
pesquisas desnecessárias.
Por fim, o Sophos Firewall usa a inteligência detalhada fornecida pela proteção de dia zero para criar relatórios forenses
profundos sobre cada incidente de ameaça.

Proteção de dia zero Entrega
Proteção de dia zero da Sophos
Determinar o comportamento
Suspeito Ao controle Relatório
Sophos Firewall
Se o hash não foi visto antes, uma cópia do arquivo suspeito é enviada para a Sophos.
Aqui, o arquivo é executado e seu comportamento é monitorado. Depois de totalmente analisado, o Sophos passa a
inteligência de ameaças para o Sophos Firewall, que determinará se o arquivo é permitido ou bloqueado.
Assim como nas ameaças anteriores, um relatório é criado para o incidente de ameaça.

Aprendizado Profundo
Entrega
Modelo treinado para determinar recursos de um arquivo
Características do Características do
Milhões de Amostras
Arquivos Definidos Arquivos rotulados Aprendido
Windows EXE Modelo

Fornecedor Metadados
Documentos com macros (Profundo
Tamanho
Importar
PDFs com scripts
Configurações imprimíveis Aprendizado)
Byte Contextual
Malicioso
OU
Arquivos PE Mecanismo de aprendizado profundo Legítimo
Entre as camadas de proteção em nosso sandbox está algo chamado deep learning, que protege contra as mais
recentes ameaças avançadas não vistas, como ransomware, mineração criptográfica, bots, worms, hacks, violações e
ameaças persistentes avançadas sem o uso de assinaturas.
O Deep Learning usa um conjunto de algoritmos que tentam replicar a maneira como um cérebro humano resolveria
um problema. Olhando para as características de um objeto, ele decide o que é esse objeto.
Vamos relacionar isso com a proteção de sua rede. O modelo de aprendizado profundo é treinado em milhões
de amostras de arquivos bons e ruins conhecidos, alguns exemplos mostrados aqui. São ensinados os recursos
( tamanho, configuração de compactação, strings imprimíveis, fornecedor e assim por diante) desses arquivos que
são então rotulados. O modelo é então treinado para determinar os recursos de um arquivo para criar um modelo aprendido.
Quando um arquivo é testado com esse modelo, o aprendizado profundo avalia os arquivos executáveis portáteis (PE)
em uma máquina no momento da execução dentro do sandbox. O mecanismo prevê se o arquivo é malicioso
ou legítimo com base nas características do arquivo, que foram aprendidas com as amostras nas quais o modelo foi
treinado. A previsão é retornada e o arquivo é classificado como malicioso ou legítimo.

Controle de aplicativos Entrega

Configurar regras de aplicativos para restringir
o acesso a aplicativos específicos
O controle de aplicativos funciona em vários níveis para ajudar a proteger sua rede, o mais óbvio deles é reduzir a
superfície de ataque controlando quais aplicativos são permitidos. Por exemplo, os usuários não podem baixar
arquivos infectados por meio de aplicativos ponto a ponto se você os estiver bloqueando.
O Controle de Aplicativos pode ser usado para bloquear vários tipos de aplicativos; incluindo:
• Aplicativos indesejados. Alguns aplicativos não são maliciosos e podem ser úteis no contexto certo, mas não
são adequados para redes corporativas. Exemplos são adware, ferramentas para administrar PCs
remotamente e scanners que identificam vulnerabilidades em sistemas de computador. • Aplicativos de
rede ponto a ponto, ou P2P. Os aplicativos P2P podem conter vulnerabilidades e também podem atuar como
servidores e clientes, o que significa que podem ser mais vulneráveis a explorações remotas.
• Aplicações de alto risco. A Sophos categoriza todos os aplicativos, isso significa que você pode aplicar o
política de controle de aplicativos de alto risco e bloqueará todos (e quaisquer novos) aplicativos classificados
como de alto risco. Por exemplo, aplicativos de proxy e armazenamento na Web costumam
ser de alto risco. • E aplicações de altíssimo risco. Da mesma forma que para a categoria de alto risco, a
categoria de risco muito alto permite bloquear todos os aplicativos classificados como de risco muito alto.
Um exemplo desses aplicativos seria o proxy TOR, SuperVPN e AppVPN.

Controle de aplicativo sincronizado

Entrega
O Sophos Endpoint compartilha o nome do aplicativo, o

O Sophos Firewall detecta o tráfego de aplicativos que não
caminho e até mesmo a categoria para o Sophos
corresponde a uma assinatura
Firewall para classificação
Categorize e controle automaticamente sempre que possível ou o

administrador pode definir manualmente a categoria ou política a ser aplicada
Em média, 60% do tráfego de aplicativos não é identificado. As assinaturas de aplicativos estáticos não funcionam para
aplicativos personalizados, obscuros, evasivos ou quaisquer aplicativos que usem HTTP ou HTTPS genérico. O controle de
aplicativos sincronizado no Sophos Firewall identifica automaticamente todos os aplicativos desconhecidos, permitindo que
você bloqueie facilmente os aplicativos indesejados e priorize os que deseja.
Isso significa que agora você pode identificar – e lidar com – ameaças desconhecidas e aplicativos
indesejados que estão em execução na sua rede, colocando a organização em risco e impactando a
produtividade do usuário.

Proteção contra Exploits
Comando e
Ao controle
Os usuários continuam a ser o alvo mais fácil para os invasores, mas um exército de funcionários treinados e
cientes de phishing pode fornecer a você um firewall humano contra essas ameaças.
Vejamos o próximo estágio, a exploração, que é definida pelo aproveitamento de uma vulnerabilidade para executar o
código na máquina da vítima. Uma exploração é basicamente um método ou uma ferramenta usada para abusar de
bugs de software para fins nefastos.

Proteção do Servidor Web

Exploração
XSSName
Injeção SQL Firewall
10101010101010
0101010101010101010101
0101010101010101011010
1010101010101010101010
Internet
Atacante
Violações de protocolo Ataques Genéricos Servidores Web
Por sua própria natureza, os servidores da Web precisam ser acessíveis pela Internet, mas isso os torna alvos de
invasores que podem estar tentando extrair dados ou instalar malware para comprometer outros usuários que visitam
o site.
Os ataques podem assumir várias formas, incluindo ataques de script entre sites (XSS), usando violações e
anomalias de protocolo, assinatura de cookie, injeção de SQL ou outros ataques genéricos.

Proteção do Servidor Web

Exploração
XSSName
Injeção SQL Sophos Firewall
10101010101010
0101010101010101010101
0101010101010101011010
1010101010101010101010
Internet
Atacante
Violações de protocolo Ataques Genéricos Servidores Web
O Sophos Firewall inclui proteção de servidor Web abrangente, que vem com modelos pré-configurados para
tornar a proteção de servidores voltados para a Web comumente usados, como o Microsoft Exchange, o mais fácil
possível.
A proteção do servidor da Web atua como um proxy reverso protegendo os servidores da Web na rede interna
ou DMZ do tráfego de entrada. O Web Server Protection usa um firewall de aplicativo da web para filtrar o
tráfego, proteger formulários, assinar cookies e verificar malware.
O Web Server Protection também pode autenticar as conexões de entrada com um nome de usuário e senha antes mesmo
de chegarem ao servidor da web.

Sistema de Prevenção de Intrusão (IPS) Exploração
Monitora o tráfego de rede em busca de atividade

maliciosa
Internet
Ponto final
Sophos Firewall
Bloqueia e relata atividades para prevenir

infecções de rede
Vulnerabilidades e exploit kits podem ser protegidos contra o uso de Sistemas de Prevenção de Intrusão (IPS).
O IPS monitora o tráfego de rede à medida que passa pelo firewall em busca de atividades maliciosas. Ele
registra a atividade e tenta bloquear e prevenir a infecção e, em seguida, relata a atividade.
Observe que o Intrusion Prevention não foi projetado para substituir a aplicação de patches de software para corrigir
bugs e vulnerabilidades de segurança.

Exploração e Conexões de Comando e Controle
Comando e
Ao controle
Esta fase de ataque é onde o malware instalado faz uma conexão com um comando e controle
servidor.
Em um ciclo de vida típico de ameaça persistente avançada, a comunicação com um host de comando e controle é um processo
repetido. Isso permite que o malware se adapte à medida que mais conhecimento é adquirido pelo invasor.
Alguns dos malwares mais complexos, como o Emotet, incluem comunicação com servidores remotos para obter mais instruções e/
ou atualizações ou para carregar ou baixar outros arquivos.

Proteção avançada contra ameaças (ATP) Comando e

Ao controle
Permite o isolamento do dispositivo
e ameaça de limpeza Detecta e bloqueia o
tráfego de saída malicioso
Internet
Sophos Registra um alerta no

Monitora globalmente todo Firewall Centro de Controle do
o tráfego de saída
Sophos Firewall
Computadores
A proteção avançada contra ameaças monitora o tráfego de saída global. Ele bloqueia o tráfego de rede de saída
que tenta acessar servidores mal-intencionados. Isso impede que os trojans de acesso remoto reportem aos seus
servidores mal-intencionados.
Se o ATP detectar uma ameaça, um alerta será registrado e o número de detecções será mostrado no
centro de controle. O administrador pode verificar o alerta para obter informações adicionais sobre
a ameaça, como:
• O endereço IP do dispositivo
afetado • O nome do host do
dispositivo afetado • A ameaça e o número de vezes que a
regra foi acionada • E o usuário e o processo ofensivo
Esse processo permite que o administrador limpe a ameaça enquanto o dispositivo está isolado,
protegendo o resto da rede de ser infectado.
Recursos do Sophos Firewall e a Cadeia de Ataques - 19

Proteção contra comportamento malicioso
Comando e
Ao controle
Este estágio do ataque varia dependendo do tipo de malware, por exemplo, um ataque de ransomware procurará
criptografar dados e exigir resgate. Considerando que o spyware tende a registrar as teclas digitadas pelas vítimas e obter
acesso a senhas ou propriedade intelectual.
A seguir, revisaremos alguns dos componentes de proteção do Sophos Firewall que detectam ameaças
maliciosas.

Isolamento automático do dispositivo

Comportamento
O Sophos Firewall informa instantaneamente todos os

endpoints saudáveis para ignorar qualquer tráfego
de um dispositivo comprometido.
Servidores
Infetado
Security Heartbeat™
Hospedar
Internet
Sophos Firewall
Ponto final
O Server Protection e o Intercept X podem ser usados para atribuir um status de integridade a cada dispositivo. Caso um
dispositivo seja comprometido, ele pode ser automaticamente isolado de outras partes da rede no firewall, além de
bloquear conexões de rede entre outros dispositivos saudáveis. Isso limita as consequências de uma violação ou a
disseminação de malware ou o movimento lateral de um invasor. Mesmo no mesmo domínio de broadcast ou segmento
de rede onde o firewall não tem oportunidade de bloquear o tráfego.
Estamos efetivamente forçando a aplicação do isolamento aos endpoints para que eles possam ajudar o
firewall a isolar quaisquer ameaças e manter a rede segura. Isso impedirá que qualquer ameaça ou invasor tente
se mover lateralmente.

Proteção de e-mail
Comportamento
A proteção de e-mail impede que os dados vazem para fora da organização por e-mail. Você pode criar listas de controle
de dados a partir da lista de controle de conteúdo (CCL). CCLs são baseados em tipos comuns de dados financeiros
e de identificação pessoal, por exemplo, números de cartão de crédito ou de seguridade social, endereços postais ou
de e-mail. Quando o Sophos Firewall encontra uma correspondência para as informações especificadas, ele aplica a
ação especificada na política.

SEGURANÇA SINCRONIZADA
Resumo PROTEÇÃO DA WEB

Heartbeat™ conecta seus endpoints com o Sophos Firewall
Isolamento automático do dispositivo
Controle de aplicativo sincronizado

Bloqueio de site proibido
Identificar sistemas infectados
Monitorar integridade da rede
PROTEÇÃO DE E-MAIL
Varredura antivírus e anti-spam de entrada (com SPF e PREVENÇÃO DE INTRUSÕES

DKIM)
Autoridade de segurança local (LSASS)
Criptografia de e-mail SPX
Gerente de contas de segurança (SAM)
PROTEÇÃO DE DIA ZERO COM APRENDIZAGEM PROFUNDA
Hora do clique Proteção de URL
Comando e
Ao controle
PROTEÇÃO DE REDE PROTEÇÃO DO SERVIDOR WEB PROTEÇÃO AVANÇADA CONTRA AMEAÇAS
Interrompa ameaças desconhecidas e sofisticadas Bloqueia técnicas de ataque conhecidas Detecte e bloqueie o tráfego C&C
Proteção de rede avançada Mitigações de adversários ativos
Responde automaticamente a incidentes Autenticação de proxy reverso.
CONTROLE DE APLICAÇÕES PREVENÇÃO DE PERDA DE DADOS

VERIFICAÇÃO DE MALWARE
Bloquear aplicativos indesejados E-mail
Mecanismos antivírus integrados
Proxies, ferramentas de hacking, sniffers
Proteção de dia zero
Navegadores desatualizados, aplicativos de escritório
A segurança digital e a segurança física têm muitos paralelos. Pense em um edifício e como ele poderia ser protegido.
Se você não construir nada além de uma parede gigante, pode ser difícil escalar, mas eventualmente alguém
encontrará uma maneira de passar por cima dela (ou por baixo dela).
Agora considere uma fortaleza. Guardas armados, cães de ataque, CCTV, armadilhas, arame farpado, sensores de movimento.
Pode ser possível pular a parede, mas você ainda tem muitos obstáculos adicionais pela frente.
Camadas únicas são simples de construir, mas também simples de contornar. Nosso objetivo sempre foi construir
fortalezas para que vários elementos de segurança estivessem presentes para detectar o movimento entre os ativos e para
que os ataques fossem detectados e interrompidos.

Revisão do capítulo
O Sophos Firewall fornece várias camadas de proteção para detectar e bloquear ataques
As fases de entrega e exploração destinam-se a obter código malicioso em um

dispositivo e executá-lo
Depois que o malware está em execução ou um invasor está em um dispositivo, os ataques podem ser detectados com base no
comportamento
Aqui estão as três principais coisas que você aprendeu neste capítulo.
O Sophos Firewall fornece várias camadas de proteção para detectar e bloquear ataques.
As fases de entrega e exploração destinam-se a obter código malicioso em um dispositivo e executá-lo.
Depois que o malware está em execução ou um invasor está em um dispositivo, os ataques podem ser detectados com base no comportamento.


FW0510 19.0v1 Sophos Firewall Features and The Attack Kill Chain Port

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

FW0510 19.0v1 Sophos Firewall Features and The Attack Kill Chain Port

Enviado por

Direitos autorais:

Formatos disponíveis

Machine Translated by Google

Recursos do Sophos Firewall

Recursos do Sophos Firewall e a Cadeia de Abates de Ataques - 1

Recursos do Sophos Firewall e a Cadeia de Ataques

Neste capítulo, você aprenderá CONHECIMENTO E EXPERIÊNCIA RECOMENDADOS

quais recursos de segurança o

Recursos do Sophos Firewall e a Cadeia de Abates de Ataques - 2

Recursos do Sophos Firewall e a Cadeia de Abates de Ataques - 3

Ataque Kill Chain

Recursos do Sophos Firewall e a Cadeia de Abates de Ataques - 4

Protegendo contra a entrega de malware

A primeira parte da anatomia de um ataque cibernético é o reconhecimento e o armamento. Os hackers geralmente

Recursos do Sophos Firewall e a Cadeia de Abates de Ataques - 5

Ataques por e-mail as notas

sua rede Kit de exploração

• Phishing de números e senhas de cartões de crédito • Hacking

Recursos do Sophos Firewall e a Cadeia de Abates de Ataques - 6

Recursos do Sophos Firewall e a Cadeia de Abates de Ataques - 6

As políticas permitem que você

Se um usuário visitar um site bloqueado,

Recursos do Sophos Firewall e a Cadeia de Abates de Ataques - 7

Criptografia e controle de e-mail Entrega

Recursos do Sophos Firewall e a Cadeia de Abates de Ataques - 8

Proteção de dia zero Entrega

Proteção de dia zero da Sophos

Suspeito Ao controle Relatório

Recursos do Sophos Firewall e a Cadeia de Abates de Ataques - 9

Proteção de dia zero Entrega

Proteção de dia zero da Sophos

Suspeito Ao controle Relatório

Recursos do Sophos Firewall e a Cadeia de Abates de Ataques - 10

Modelo treinado para determinar recursos de um arquivo

Windows EXE Modelo

Arquivos PE Mecanismo de aprendizado profundo Legítimo

Recursos do Sophos Firewall e a Cadeia de Abates de Ataques - 11

Controle de aplicativos Entrega

Recursos do Sophos Firewall e a Cadeia de Abates de Ataques - 12

Controle de aplicativo sincronizado

O Sophos Endpoint compartilha o nome do aplicativo, o

Categorize e controle automaticamente sempre que possível ou o

Recursos do Sophos Firewall e a Cadeia de Abates de Ataques - 13

Proteção contra Exploits

Recursos do Sophos Firewall e a Cadeia de Abates de Ataques - 14

Proteção do Servidor Web

Violações de protocolo Ataques Genéricos Servidores Web

Recursos do Sophos Firewall e a Cadeia de Abates de Ataques - 15

Proteção do Servidor Web

Violações de protocolo Ataques Genéricos Servidores Web

Recursos do Sophos Firewall e a Cadeia de Abates de Ataques - 16

Sistema de Prevenção de Intrusão (IPS) Exploração

Monitora o tráfego de rede em busca de atividade

Bloqueia e relata atividades para prevenir

Recursos do Sophos Firewall e a Cadeia de Abates de Ataques - 17

Exploração e Conexões de Comando e Controle

Recursos do Sophos Firewall e a Cadeia de Abates de Ataques - 18

Proteção avançada contra ameaças (ATP) Comando e

tráfego de saída malicioso

Sophos Registra um alerta no

Recursos do Sophos Firewall e a Cadeia de Ataques - 19

Proteção contra comportamento malicioso

Recursos do Sophos Firewall e a Cadeia de Abates de Ataques - 20

Isolamento automático do dispositivo

O Sophos Firewall informa instantaneamente todos os