Sophos Firewall v21.5 presenta una innovadora primicia en el sector: Network Detection and Response (NDR) integrado con un firewall.
Por qué es importante NDR
NDR es una categoría de productos de seguridad de red diseñados para detectar comportamientos anormales en el tráfico, lo que ayuda a identificar a los adversarios activos que operan en la red.
Los atacantes expertos son muy eficaces a la hora de evadir la detección, pero al final necesitan moverse por la red o comunicarse fuera de ella para llevar a cabo un ataque.
NDR suele ubicarse dentro de la red y utiliza sensores que supervisan y analizan el tráfico de red que se mueve tanto en dirección norte-sur (entrada y salida) como este-oeste (lateralmente a través de la red) para identificar actividades sospechosas.
Los productos NDR existen desde hace muchos años. Sophos NDR forma parte de nuestra cartera de productos MDR/XDR desde principios de 2023. Sin embargo, con SFOS v21.5, estamos integrando NDR con Sophos Firewall, una novedad en el sector y sin coste adicional para los clientes de Sophos Firewall XGS Series con Xstream Protection.
Integrar NDR con un firewall de última generación puede parecer una opción obvia, pero nadie lo había hecho antes. El reto es hacerlo de forma que no afecte al rendimiento del firewall.
NDR requiere una potencia de procesamiento significativa para sus diversos motores de análisis de tráfico con IA. Como resultado, hemos adoptado un enfoque novedoso que consiste en implementar una solución NDR en Sophos Cloud para descargar el trabajo pesado del firewall.
Una nueva era para los firewalls: detección y respuesta
Hasta ahora, la mayoría de los firewalls se han centrado en la prevención, es decir, en mantener alejados de la red a los adversarios activos y las amenazas. Pero todos sabemos que no es cuestión de si una amenaza va a atravesar las defensas perimetrales y empezar a comprometer la red, sino de cuándo lo hará.
En estas situaciones, los tiempos de detección y respuesta son críticos. Sin embargo, la mayoría de las soluciones de firewall que existen simplemente son incapaces de hacer nada. Tienen una visibilidad limitada de lo que atraviesa la red interna e, incluso si descubren una amenaza que intenta comunicarse con el exterior, no están equipadas para proporcionar ningún tipo de respuesta.
Esto es lo que diferencia a Sophos Firewall del resto. Sophos es desde hace tiempo pionera en la respuesta automatizada a amenazas con tecnologías como Synchronized Security y Active Threat Response. Sophos Firewall también integra de forma única la inteligencia sobre amenazas de otros productos de Sophos y de múltiples fuentes externas para detectar e identificar lo más rápido posible las amenazas.
Estas fuentes de información sobre amenazas incluyen nuestro propio equipo Sophos X-Ops, un analista MDR o XDR, una fuente de inteligencia sobre amenazas de terceros y, ahora, NDR. Por lo tanto, Sophos Firewall ofrece una detección mucho más amplia y profunda, pero lo que es más importante, cuenta con capacidades de respuesta automatizada que pueden detener los ataques en seco, coordinándose en tiempo real con otros productos de Sophos, como endpoints, switches y puntos de acceso inalámbricos.
Sophos Firewall está marcando el comienzo de una nueva era de capacidades de firewall ideales para casos de uso de detección y respuesta a amenazas XDR y MDR.
Cómo funcionan conjuntamente Sophos Firewall y NDR
Sophos Firewall captura metadatos del tráfico cifrado con TLS y de las consultas DNS, y envía esa información a nuestra nueva solución NDR Essentials en Sophos Cloud, donde los datos se analizan mediante los motores de algoritmo de generación de dominios (DGA) y análisis de carga útil cifrada (EPA) basados en IA.
EPA es revolucionario por su capacidad para detectar cargas útiles cifradas maliciosas sin realizar el descifrado TLS, una innovación muy potente.
La gran mayoría de las amenazas utilizan el cifrado para comunicarse dentro y fuera de la red, pero solo un pequeño subconjunto de organizaciones del mercado medio utiliza el descifrado TLS para inspeccionar este tráfico.
Esto se debe a que la inspección TLS intensiva puede causar problemas de usabilidad y presenta sus propios retos de seguridad. Como resultado, la mayoría de las organizaciones están ignorando el tráfico cifrado.
Por eso es tan importante el análisis del tráfico cifrado que realiza NDR mediante una red neuronal convolucional (CNN) de IA, ya que no presenta ningún tipo de compromiso y elimina las barreras que impiden ver este tráfico.
DGA detecta dominios nuevos e inusuales generados mediante algoritmos que suelen ser un indicador clave de compromiso. En ocasiones, el malware crea múltiples dominios de forma algorítmica una vez que se encuentra en la red y comienza a probarlos sistemáticamente para ver cuáles están disponibles para comunicarse con el exterior. Esto activará una detección incluso antes de que se establezcan las comunicaciones.
Sophos Firewall hace que NDR sea muy fácil: las detecciones de NDR Essentials se puntúan en una escala del 1 (riesgo bajo) al 10 (riesgo más alto) y se devuelven al firewall a través de la API de feeds de amenazas, que forma parte de la función Active Threat Response del firewall.
El administrador decide qué puntuación de riesgo establece el umbral para una alerta en función de su entorno particular. El valor predeterminado recomendado es alto riesgo (9-10).
Todas las detecciones con una puntuación igual o superior a 6 se registran, pero solo aquellas que alcanzan o superan el umbral establecido activan notificaciones y se muestran como alertas en el nuevo widget del panel de control del Centro de control (en la imagen). Las detecciones con una puntuación inferior a 6 pueden ser falsos positivos y, por lo tanto, no se registran.
En este momento no se bloquea ninguna detección de NDR Essentials, pero es posible que esta opción esté disponible en el futuro. Se puede acceder a todas las detecciones a través del informe de respuesta a amenazas activas, disponible tanto en el dispositivo como a través de Sophos Central Firewall Reporting.
El resultado: mejores tiempos de detección y respuesta
El resultado de este enfoque innovador para integrar NDR con Sophos Firewall es que los clientes obtienen información más rápida y detallada sobre los adversarios activos que operan en su red en las primeras etapas de un ataque, lo que les permite detenerlos antes de que se conviertan en un problema grave.
La combinación de Sophos NDR Essentials, Active Threat Response y Synchronized Security con Sophos Firewall permite responder a una amenaza activa en cuestión de segundos o minutos, en lugar de días con otras soluciones.
Sophos Firewall vuelve a ser pionero en innovaciones de seguridad de red que crean mejores resultados de ciberseguridad para partners y clientes, y ofrece el máximo valor al proporcionar estas innovaciones sin coste adicional.
Más información
Vea este vídeo de demostración para obtener más información sobre cómo funciona NDR Essentials con Sophos Firewall:
Más información sobre las novedades de Sophos Firewall v21.5.
Dejar un comentario