lunedì 2 marzo 2020

Sophos XG Firewall Xstream contro hacker che sfruttano crittografia


Sophos, leader globale nella sicurezza degli endpoint e della rete, ha presentato oggi la nuova versione "Xstream" per i firewall Sophos XG, caratterizzata da funzionalità ad alte prestazioni per la decifrazione del traffico TLS (Transport Layer Security). Grazie a questa nuova soluzione, sarà possibile  eliminare i considerevoli rischi associati al traffico di rete crittografato, un elemento spesso sottovalutato dai team responsabili della sicurezza per via delle problematiche di performance e complessità che esso comporta. Oltre a un incremento delle prestazioni applicative, ora XG Firewall integra anche le capacità SophosLabs basate su AI per l'analisi delle minacce.

Sophos ha inoltre condiviso un nuovo articolo SophosLabs Uncut dal titolo "Quasi un quarto del malware adesso comunica utilizzando TLS" che mette in evidenza come il 23% delle famiglie di malware in circolazione sfrutti la cifratura per tutte le comunicazioni necessarie all'installazione o alla comunicazione con i server di Command and Control (C2). L'articolo si sofferma per esempio su tre diffusissimi esemplari di Trojan - Trickbot, IcedID e Dridex - che ricorrono al traffico TLS nel corso dei loro attacchi. Per evitare di essere rilevati, i cybercriminali utilizzano TLS anche per nascondere exploit, payload e contenuti sottratti. Il 44% dei più diffusi information-stealer ricorre infatti alla crittografia per far uscire di nascosto dalle organizzazioni colpite dati come password di conti bancari e finanziari e altre credenziali sensibili.

Gli aggressori stanno sfruttando i canali crittografati attraverso le diverse fasi del ciclo di infezione. "Come dimostra la ricerca di SophosLabs, i cybercriminali sono passati a usare con decisione la crittografia nel tentativo di aggirare i prodotti per la sicurezza. Sfortunatamente la maggior parte dei firewall non è dotata di funzionalità crittografiche scalabili per il traffico TLS e quindi non riesce a ispezionare il traffico cifrato evitando il malfunzionamento delle applicazioni o il rallentamento delle prestazioni della rete", ha dichiarato Dan Schiappa, chief product officer di Sophos. "Con la nuova architettura Xstream di XG Firewall, Sophos fornisce finalmente visibilità là dove finora c'è stato un enorme punto cieco della rete eliminando i fastidiosi problemi di compatibilità e latenza con il pieno supporto dello standard TLS 1.3".

"I benchmark condotti internamente da Sophos hanno registrato un incremento delle prestazioni dell'engine di ispezione del traffico TLS del nuovo XG Firewall equivalente al doppio rispetto a quello delle precedenti versioni di XG. Si tratta di una svolta davvero rivoluzionaria". La latenza è il motivo che troppo spesso scoraggia gli amministratori IT dall'abilitare la decifrazione crittografica, come verificato da un sondaggio indipendente di Sophos su 3.100 IT manager di 12 Paesi. Il white paper che presenta i risultati di questo sondaggio, "Il tallone d'Achille dei firewall next-gen", ha scoperto che, sebbene l'82% degli intervistati concordi sulla necessità di ispezionare il traffico TLS, solo il 3,5% delle aziende decifra il proprio traffico per poterlo analizzare in modo appropriato. Le principali novità di XG Firewall comprendono:

• Ispezione del traffico TLS 1.3 per intercettare il malware nascosto: Il nuovo engine TLS port-agnostic raddoppia le prestazioni delle operazioni crittografiche rispetto alla precedenti versioni di XG; • Ottimizzazione delle prestazioni application-critical: I nuovi controlli di policy FastPath accelerano le prestazioni delle applicazioni e del traffico SD-WAN come Voice over IP, SaaS e altro ancora fino a raggiungere velocità wire-speed; • Scansione adattativa del traffico: Il nuovo engine DPI (Deep Packet Inspection*) valuta dinamicamente il rischio dei flussi di traffico associandoli al livello di scansione appropriato con la conseguenza di migliorare il throughput fin del 33% nella maggior parte degli ambienti di rete; *L'ispezione profonda dei pacchetti o estrazione delle informazioni, nota anche come DPI, è un tipo di filtro dei pacchetti di rete.



 • Analisi delle minacce mediante intelligence SophosLabs: Mette a disposizione degli amministratori di rete le capacità di SophosLabs basate su AI per l'analisi delle minacce necessarie a comprendere e ottimizzare le difese che proteggono da un panorama di rischi in costante evoluzione; • Funzionalità complete di gestione e reporting in cloud su Sophos Central: la centralizzazione delle funzioni di gestione e reporting all'interno di Sophos Central fornisce ai clienti la possibilità di gestire i firewall in gruppo e di produrre report flessibili dell'intero ambiente senza costi aggiuntivi; • Integrazione con il servizio Sophos Managed Threat Response (MTR): Grazie a questa integrazione, i clienti di XG Firewall che si abbonano anche al servizio Sophos MTR Advanced hanno a disposizione un'intelligence ancora più approfondita per prevenire, rilevare e neutralizzare le minacce.

"Il nuovo XG Firewall di Sophos propone una vasta gamma di funzionalità di livello enterprise con una crescente base installata che rappresenta oggi uno dei firewall next-gen più diffusamente installati nel settore”, ha commentato Eric Parizo, senior analyst for enterprise IT strategy di Omdia. "XG Firewall può battere la concorrenza in gran parte grazie a Sophos Central, il sistema di gestione SaaS centralizzato per la supervisione delle operazioni di deployment, gestione, creazione di policy, aggiornamento e risposta alle minacce con capacità opzionali per la gestione e l'analisi dei log. Questa piattaforma di gestione cloud con le sue funzionalità Firewall Management and Reporting unite alla capacità di ispezione del traffico TLS mette Sophos XG Firewall nella posizione di rappresentare un'opzione davvero interessante per una grande varietà di aziende".

Data la natura dinamica dei cyberattacchi, è diventato quasi impossibile per le aziende tenere il passo con il panorama delle minacce in evoluzione. "In Convergent Information Security Solutions ci occupiamo della gestione e del monitoraggio della cybersicurezza perimetrale e di quella interna dei nostri clienti, e finora siamo stati in qualche modo limitati nella capacità di monitorare i flussi di dati cifrati con SSL/TLS. Sophos XG Firewall ci aiuta a risolvere questo problema con efficienza e in modo economicamente conveniente grazie all'engine DPI accelerato presente nell'ultima versione della soluzione. In combinazione con i nuovi ruleset IPS personalizzati e gestiti automaticamente, questo ci fornisce molta più visibilità all'interno del traffico criptato che transita attraverso la rete di quanta ne abbiamo mai avuta sinora, ha detto Bruce Kneece, CTO di Convergent Information Security Solutions.

"Riteniamo che questa capacità, che aumenterà immensamente la sicurezza dei nostri clienti, rivesta un'importanza critica considerando quanto frequentemente i cybercriminali sfruttino la crittografia TLS per dissimulare e portare a termine i loro attacchi. Siamo inoltre consapevoli della velocità con la quale i cyberattacchi si trasformano. Grazie alla capacità di intercettare file potenzialmente dannosi trasportati all'interno di tunnel SSL/TLS, in aggiunta all'engine Sandstorm per il rilevamento delle minacce del giorno zero, possiamo fornire ai clienti un livello di protezione, rilevamento e servizio migliore e più tempestivo". Il Sophos XG Firewall comunica automaticamente con i prodotti per la sicurezza degli endpoint di Sophos. Sophos XG Firewall è gestibile in cloud tramite la console Sophos Central insieme all'intero portafoglio di soluzioni next-gen Sophos per la cybersicurezza.

L'esclusivo approccio Sophos Synchronized Security consente a queste soluzioni di funzionare insieme per condividere le informazioni in tempo reale e rispondere alle minacce.  Ulteriori risorse: • Il video relativo alla cifratura TLS spiega come i cyber criminali sfruttino questa modalità di attacco; • Maggiori informazioni sul rapporto sempre più stretto tra malware e cifratura sono disponibili nell'articolo "Malware e cifratura: una storia d'amore"; • Quali sono le cinque capacità di ispezione TLS che occorrono a un firewall? È possibile scoprirlo nel white paper Has Encryption Made Your Firewall Irrelevant? (La crittografia ha reso irrilevante il tuo firewall?); • Uno sguardo allo scenario delle minacce e alle tendenze del 2020: SophosLabs Threat Report; • Il report Sophos Snatch Ransomware; • Tutti gli ultimi aggiornamenti sulla sicurezza e sulle novità dell'azienda: Naked Security e Sophos News. Fonte: Sound PR



Nessun commento:

Posta un commento