Saque el máximo partido de XG Firewall v18 – 4ª parte

ProductsXG Firewall
10 Ago 2020 Por

Protección contra ransomware y amenazas de día cero

En el informe El estado del ransomware 2020, más de la mitad de las empresas participantes encuestadas en 26 países afirmaron haber sido víctimas del ransomware en el último año.  Este resultado demuestra la necesidad crítica de la identificación y protección predictivas contra amenazas de día cero a medida que las amenazas avanzadas como el ransomware son cada vez más dirigidas y esquivas.

En esta cuarta parte de una serie de artículos sobre cómo sacar el máximo partido de las grandes novedades de XG Firewall v18, vamos a centrarnos específicamente en las nuevas funciones de XG Firewall v18 diseñadas para protegerse contra las últimas amenazas de día cero, como las nuevas variantes de ransomware.

Protección contra amenazas de Xstream

En artículos anteriores, tratamos la arquitectura de Xstream y el nuevo motor DPI, la nueva solución de inspección TLS y la ruta rápida FastPath del flujo de red.  Todos ellos desempeñan un papel decisivo en la identificación y detención de las amenazas de día cero más recientes.  Este artículo destaca las nuevas tecnologías basadas en la nube de información sobre amenazas y de espacio seguro de Sandstorm que forman parte de la suscripción a la protección de Sandstorm.

Cómo funciona

XG Firewall v18 incluye la nueva información sobre amenazas basada en el Machine Learning y una nueva versión mejorada de los espacios seguros de Sandstorm para detectar las últimas amenazas.  Ambos componentes trabajan juntos para identificar las últimas amenazas de día cero.  Se basan en SophosLabs Intelix, que utiliza la tecnología de Machine Learning, décadas de investigación sobre amenazas y petabytes de información, ofreciendo una protección inigualable contra amenazas nuevas y desconocidas.

Cuando el motor DPI de Xstream de XG Firewall realiza un análisis AV de un archivo que entra en la red y determina que hay un código activo, retiene el archivo temporalmente y lo envía al servicio SophosLabs Intelix en la nube para realizar un análisis tanto estático como dinámico (espacio seguro).  A continuación, proporciona un resumen detallado de los resultados y solo libera el archivo a la aplicación de descarga o al destinatario del correo electrónico si el archivo se declara seguro.

Este último paso es importante, ya que muchas soluciones antimalware avanzadas en firewalls liberan un archivo al usuario final antes de que se complete el análisis, lo que puede dar lugar a una limpieza extensa y costosa si el archivo es finalmente clasificado como una amenaza una vez completado todo el análisis.

Veamos con algo más de detalle lo que sucede con un archivo que se escanea:

Análisis de información sobre amenazas

La información sobre amenazas utiliza múltiples modelos de Machine Learning para analizar las funciones, los rasgos, la genética y la reputación global del archivo. Compara el nuevo archivo con millones de archivos benignos y maliciosos conocidos en la base de datos de SophosLabs para emitir un veredicto en segundos sin necesidad de ejecutarlo en tiempo real.  Esto hace que sea notablemente rápido y eficaz a la hora de identificar nuevas amenazas y nuevas variantes de amenazas existentes, en particular con archivos que no son fáciles de aislar en un espacio seguro, como los documentos protegidos por contraseña.

Análisis de espacio seguro de Sandstorm

Al mismo tiempo que se envía un archivo para el análisis de información sobre amenazas, también se envía para el análisis de comportamiento dinámico en nuestro entorno de espacio seguro en la nube. Como está basado en la nube, no se necesita ningún software ni hardware adicional, y el rendimiento del firewall no se ve afectado.

Para identificar las amenazas en función de su comportamiento, SophosLabs ha integrado en los espacios seguros de Sophos Sandstorm las últimas tecnologías de protección de nuestro producto para endpoints next-gen líder del sector Intercept X. Estas incluyen el análisis con Deep Learning, la detección de exploits y CryptoGuard para detectar el ransomware activo que cifra los archivos en tiempo real.  El espacio seguro también monitoriza toda la actividad de los archivos, la memoria, el registro y la red, así como las técnicas de evasión de espacio seguro.  Ningún otro firewall puede ofrecer este tipo de análisis en tiempo de ejecución con la mejor protección contra amenazas del mundo, Intercept X. Y ningún otro firewall ofrece el nivel de visibilidad e información que ofrece XG Firewall, incluida una serie de capturas de pantalla que muestran los eventos durante la ejecución del archivo.

El uso de espacios seguros es particularmente eficaz para detectar amenazas que pueden acechar en archivos normalmente benignos que pueden no tener ninguna característica maliciosa evidente.  Los archivos de Office con macros o los ejecutables benignos y actualizaciones de aplicaciones que han sido alterados por hackers son los principales candidatos para la detección a través de espacios seguros.

Cómo aprovechar al máximo esta protección contra amenazas

Hay tres elementos clave que necesita para activar esta protección tan importante:

  1. Asegúrese de que todas las licencias de XG Firewall de sus clientes incluyan las suscripciones a la protección web y a la protección de Sandstorm. Ambas suscripciones deben estar activas para tener protección contra las últimas amenazas. El nuevo análisis de información sobre amenazas de XG Firewall v18 es parte de la licencia de Sandstorm y añade un enorme valor sobre la versión anterior sin costes adicionales.  Inicie sesión en XG Firewall y vaya al menú Administración para ver una lista de las suscripciones activas.  No olvide actualizar de forma proactiva a los clientes que no dispongan de esta importante protección.
  2. La nueva tecnología de protección contra amenazas en XG Firewall solo puede inspeccionar y analizar el tráfico descifrado para garantizar que se inspecciona el tráfico web cifrado por TLS. Ahora que la gran mayoría del tráfico web está cifrado, es crítico que para descifrar e inspeccionar los archivos que se descargan en la red se analicen en busca de posibles amenazas.  Eche un vistazo a nuestro reciente artículo sobre la fantástica solución de inspección TLS de alto rendimiento en XG Firewall v18 para saber más sobre cómo aprovechar esta increíble nueva función.
  3. En todas las reglas de firewall que rigen el tráfico web, asegúrese de que las siguientes dos opciones de seguridad de filtrado web estén configuradas para escanear el tráfico web y utilizar las últimas tecnologías de protección contra amenazas de día cero como se indica aquí.

Y ya está, es así de fácil.

Eche un vistazo a este vídeo para obtener un análisis en profundidad sobre cómo sacar el máximo provecho de esta nueva función y conocer en detalle la nueva y mejorada generación de informes de información sobre amenazas y cómo interpretar los resultados:

Compruébelo usted mismo

Disponemos de un práctico archivo de pruebas inofensivo en SophosTest.com que le proporcionará un informe de muestra para que lo revise.

Esté pendiente también del widget del centro de control para ver si hay descargas de archivos recientes que se hayan analizado, con la posibilidad de profundizar en los datos para obtener más detalles.

Al hacer clic en el widget del centro de control (resaltado arriba), se profundiza en una lista detallada de archivos analizados y sus resultados.  Pase el ratón por la columna de resultados para mostrar el medidor de amenazas que ofrece información general de alto nivel de los resultados del análisis (como se muestra a continuación).

Este es un resumen de los recursos disponibles para ayudarle a sacar el máximo partido de las nuevas funciones de XG Firewall v18, incluidas las nuevas funciones de protección contra amenazas de día cero:

Si es la primera vez que utiliza Sophos XG Firewall, obtenga más información sobre las grandes ventajas y funciones que XG Firewall puede ofrecer a las redes de sus clientes.

 

Vender XG Firewall

En el portal para partners de Sophos, le ofrecemos una gran cantidad de recursos de ventas. Para filtrar la lista de recursos, seleccione una categoría para reducir los resultados. Y no olvide comprobar si hay alguna promoción de ventas disponible para su región. Vale la pena comprobarlo de vez en cuando para asegurarse de que no se está perdiendo una gran oportunidad.

Acerca del autor

Chris McCormack is a network security specialist at Sophos where he has been focused on firewall and network protection since joining Sophos in 2008. When not evangelizing Sophos network security products, Chris specializes in providing advice and insight into the latest threats and network protection technologies and strategies.