2021-09-23
Sophos
SOPHOS XGS Firewall

在現在網路中的攻擊不斷,病毒變種速度越來越快,已經不在是傳統防火牆可以應付的環境,在閘道端防火牆除了須具備七層應用程式的識別能力外,當然也必須具備第一線的防毒、弱點攻擊的守門員,加上近一兩年WannaCry類型的加密軟體類型的攻擊閘道的防護更是極為重要,早年駭客的攻擊可能是炫耀自己的實力而進行攻擊,但後來也轉變成為了金錢無所不用其極的入侵個人或是公司的設備竊取個人或公司機敏資料來加以販售,或是用來勒索企業付出高額的贖金,嚴重時會造成企業間的營運損失,Sophos在近期也推出了XGS系列的防火牆除了改善效能外也大大的提升了防毒防駭的能力,並提供一目了然的儀表板除了方便管理者找出事件的根本外,也可以輕易的發現高風險的設備,除之外以往為了網站的安全通常會使用TLS的加密演算法來實現Client與Server端的安全連線,現在也被駭客拿來當作惡意軟體的傳播方法,為了應付這樣的手法,在新一代的XGS防火牆加入新的Xstream的晶片來協助解密TLS的流量,並且減輕系統的負載讓XGS防火牆具備更高的處理效能。

在新版的XGS防火牆具備了以下幾點重要功能
應用程式的識別:
傳統防火牆只具備了端口識別的方式來阻擋外來的威脅,但是這樣的方式已不敷目前險惡的網路環境,駭客甚至可以偽造端口來模仿應用程式,例如管理者最常用的RDP端口3389,如果管理者想要遠端連線使用者的電腦就勢必得開放此端口否則無法連線,但駭客就可以利用此開放的端口將惡意軟體傳入到使用者的電腦中,所以必須使用新型態的應用程式識別來開放或阻擋所要使用的應用程式,該方式是以應用程式的指紋、識別碼來判定可開放的應用程式,就如同人的DNA一樣無法偽造能更精準的放行所需要的流量,Sophos XGS目前可以識別的應用程式多達3000多種,足夠企業應付目前的網路環境所用的應用程式,針對應用程式也貼心的區分為地端應用程式及雲端應用程式方便使用者可以清楚明瞭的知道是哪種應用程式在內部使用。

雲端沙箱:
Sophos Sandstorm也就是一般所稱的雲端沙箱,為了防禦Zero day的攻擊,所謂的Zero day攻擊簡單的來說是新型態的病毒或是攻擊出現,此時各家防毒廠商並未知曉或是尚未更新其指紋資料庫故無法防禦此時病毒的攻擊,而Sophos的防火牆會將該未知的檔案上傳至雲端沙箱並使用靜態及動態式的比對來檢驗該為之檔案的風險性,靜態比對來至於Sophos Labs也就是網路安全威脅研究室,該研究室不斷的研究每天所產生的新形態病毒,並為其建立相關指紋資料提供第一階段的資料比對,當靜態資料比對無法識別時就會轉入動態分析來分析該檔案的各種特徵行為來為其檔案定義其屬性,最後將該檔案的判定資料回傳到Sophos XGS,藉由該資料的回傳來允取該檔案是否可以發送至企業內部

ATP攻擊防護:
雖然防火牆會阻擋來自外部所有攻擊,但有些未經過防火牆的資料還是有可能讓內部資料受到損害例如USB、光碟機這類移動型裝置所傳遞的資料就可能會有問題的檔案產生,當使用者的電腦受到木馬病毒的侵襲時就會嘗試的連接外部的C2網站藉此跟駭客有所連線,或是使用者在瀏覽網頁時誤觸了木馬程式ATP的防護就會將其連線終止,通常這樣的事件就得從log去發掘,但在Sophos的防火牆就貼心的在儀表板提供一個獨立的ATP事件的欄位以方便管理者可以很簡單的知道ATP的攻擊狀態

Sophos Security Heartbeat:
在先前有提到過雖然防火牆可以提供閘道的安全防護,但是針對未經過防火牆的檔案就無法阻擋此時就可以搭配Sophos Intercept X的端點防護軟體來進行端點間的防護,雖然Sophos Intercept X可以防護住本機的使用者,但如果該使用者嘗試跟其他使用者連線或是其他使用者想要跟受害主機連線就有可能造成病毒的傳染鏈的擴散,透由Sophos Security Heartbeat端點就會受感染設備的狀態回復給Sophos防火牆,並阻擋端點與端點間的連線避免病毒的擴散,在儀錶板也有獨立的欄位方便使用者一目了然知道那些電腦受到感染,那些電腦是正常連線

除此之外Sophos XGS有別於其他品牌的防火牆多了端點狀態防護

在防火牆的設定內可以設定除了傳統的Zone、網段以外還多了端點狀態的防護,如果使用者受到感染警示狀態就會是紅色此時所有經過的流量就會被阻擋,除了紅色狀態也有黃色、綠色狀態,黃色代表使用者可能性的使用了一些共享或是免費軟體,如果這些軟體可能具有小程度的威脅就會被判定為黃燈,甚至在設定上可以設定成必須是綠燈完全正常的使用者才可以連線,另外也可以設定成如果沒有安裝端點就不能連線的功能,這是其他友商無法實現的端點防護與防火牆之間的聯合防禦。

Sophos Central統一管理:
如果企業內部具備多台Sophos 防火牆可以整合至Sophos Central統一管理,管理者不需要記住每一台防火牆的IP,只要點擊Central上受管理的防火牆即可連線到該台防火牆設定,除此之外可以透由Sophos Central來快速的佈署新的防火牆及備份設定檔案,並且可以統一的設定防火牆的政策測,另外也可以在Sophos Central來管理防火牆的狀態及各種事件,並且可以定期產生報表方便使用者管理

簡易的VPN硬體SD-RED:

在現今的工作環境已經沒有區域之分,都會透由VPN將各個區域不論是國內或是國外將其整合成一個跨國區域的網路,以目前的環境幾乎都是由防火牆來擔任VPN設備的腳色,雖然市場上還是有獨立的VPN設備,但大多數的情況都是使用防火牆來執行該項任務,對外部較小的據點沒有獨立的MIS這將是一大難題,SD-RED標榜的簡易設定隨插即用的定位方便管理者統一集中管理外部據點的VPN設定,當總部的管理者拿到SD-RED設備時只要透由一頁設定就可以完成VPN的相關設定。

當遠端的使用者收到設備時只要插上可以上網的線路VPN就會自動成立,對於總部的管理者該SD-RED就會成為防火牆的一個端口,藉此就可以統一設定外部的防火牆政策。

Synchronized Application Control:
目前application識別已經是防火牆具備的基本功能,但是針對應用程式如果是由企業內部自行開發的應用程式,那肯定是防火牆無法識別的,但是在其他供應商都有提供自行開發Application的指紋的工具讓管理者可以自行建立Application的識別碼以便防火牆可以辨識,但開發工具對於非coding的人員來說是一大的沉重負擔,在Sophos的解決方案透過Synchronized Application Control整合了端點識別,可以將客戶端安裝異常的application傳送至XGS防火牆,除了會傳送自行開發的APP外也會傳送安裝非正常路徑的Application,這時候管理者只要針對這些清單點選阻擋或是放行既可,無須撰寫任何程式碼既可實現內部開發的App識別

除了以上的功能外Sophos XGS也具備WAF、無線控制器、Email spam…等多種功能,依據使用者的需求購買相對應的授權既可,並且具備了完整的報表系統,可以排程產出,也內建了除錯工具協助使用者找出問題之關鍵,在資訊安全如此重要的環境中Sophos XGS絕對是企業不可或缺的閘道守門員,在企業內部也提供端點Intercept X協助東西向流量的監控同時可藉由Security Heartbeat 與XGS進行聯防以實現全方位的防禦系統,最後透由Sophos Central統一管理端點狀態及XGS防火牆以簡化管理者的負擔,Sophos 在資訊安全上絕對是企業的最佳選擇。