Die Sophos Firewall v21 bietet ein innovatives neues Feature, das bislang in der Branche einmalig ist: Network Detection and Response (NDR) – integriert in Ihre Firewall.
Was ist NDR?
Network Detection and Response (NDR) ist eine Kategorie von Network-Security-Produkten, die Datenverkehrs-Anomalien erkennen können. Oft sind Eindringlinge schlau genug, erste Erkennungen zu umgehen, aber um einen Angriff durchzuführen, müssen sie sich irgendwann im Netzwerk bewegen oder nach außen kommunizieren. In der Regel ist NDR mitten im Netzwerk positioniert und entdeckt solche Aktivitäten mittels Sensoren zum Überwachen und Analysieren des Netzwerk-Traffics.
NDR-Produkte gibt es bereits seit vielen Jahren, und auch bei Sophos ist NDR seit Anfang 2023 in unserem MDR/XDR-Portfolio enthalten. Doch ab SFOS v21.5 integrieren wir NDR nun in die Sophos Firewall – als branchenweit erster Anbieter. Für Kunden der Sophos Firewall mit Xstream Protection fallen nicht einmal zusätzliche Kosten an.
Die Integration von NDR in eine Next-Gen Firewall scheint ein logischer Schritt zu sein. Die Herausforderung besteht jedoch darin, die Performance der Firewall nicht zu behindern. NDR-Traffic-Analysen erfordern nämlich beachtliche Rechenleistung. Deshalb haben wir uns entschlossen, unsere NDR-Lösung in der Sophos Cloud bereitzustellen – und zusätzliche Belastungen der Firewall zu umgehen.
Sophos NDR Essentials
Mit der Sophos Firewall v21.5 führen wir NDR Essentials ein – eine cloudbasierte Network-Detection-and-Response-Plattform. Sie nutzt aktuelle KI-Erkennungen, um aktive Angreifer zu finden, und gibt diese Daten über die Sophos Firewall und die Bedrohungsfeed-API als Teil der Active Threat Response weiter. So bleiben Sie stets über alle Erkennungen und deren Risiken informiert.
In diesem kurzen Demo-Video sehen Sie NDR Essentials in Aktion. Detaillierte Informationen finden Sie im darauffolgenden Text.
Funktionen
Die Sophos Firewall erfasst Metadaten des TLS-verschlüsselten Datenverkehrs sowie DNS-Abfragen und sendet diese Informationen an NDR Essentials in der Sophos Cloud, wo sie mit mehreren KI-Engines analysiert werden. Unsere neue Lösung erkennt schädliche verschlüsselte Payloads, ohne eine TLS-Verschlüsselung durchzuführen, sowie neue und unübliche Domains, die von Algorithmen erstellt wurden – das ist oft ein wichtiger Indikator für eine Kompromittierung.
Diese Metadaten-Extrahierung erfolgt über eine neue, leichte Engine auf dem Xstream FastPath. Deshalb ist NDR Essentials derzeit auch nur für Hardware-Firewalls der XGS-Serie verfügbar. Für virtuelle, Software- und Cloud-Firewalls wird die neue NDR-Integration ggf. in Zukunft angeboten, jedoch noch nicht in v21.5.
Der NDR Essentials Feed lässt sich unter Active Threat Response gemeinsam mit anderen Bedrohungsfeeds einrichten und überwachen
Der neue NDR-Essentials-Bedrohungsfeed wird neben Ihren anderen Bedrohungsfeeds (Sophos X-Ops, MDR, Drittanbieter) im Bereich für die Active Threat Response der Firewall verwaltet, wie der Screenshot oben zeigt. Die Einrichtung ist ganz einfach: Zum Aktivieren legen Sie einen Schalter um. Dann wählen Sie aus, welche internen Schnittstellen überwacht werden und wo der untere Schwellenwert für die Erkennungsrisiken liegen soll.
NDR-Essentials-Erkennungen werden auf einer Skala von 1 (geringes Risiko) bis 10 (hohes Risiko) eingeordnet. Sie entscheiden für Ihre Umgebung, ab welchem Wert ein Alert ausgegeben werden soll. Empfohlen wird ein Wert, der einem hohen Risiko entspricht (9–10). Alle Erkennungen größer oder gleich 6 werden protokolliert, aber nur diejenigen, die den Schwellenwert erreichen, werden auf dem neuen Control Center Dashboard Widget als Alerts ausgegeben. Alle Erkennungen unter 6 können falsch positiv sein und werden deshalb nicht protokolliert. Derzeit werden keine NDR-Essentials-Erkennungen blockiert, in Zukunft könnte dies allerdings als Option angeboten werden. Alle Erkennungen sind vollständig über den Bericht zur Active Threat Response zugänglich, sowohl über das On-Box Reporting als auch das Sophos Central Firewall Reporting.
NDR Essentials und Sophos NDR – ein Vergleich
Sophos NDR Essentials ist eine Light-Version von Sophos NDR.
Sophos NDR ist tief im Netzwerk verankert, damit es verdächtige Aktivitäten sowie North-South Traffic (oder Inside-Outside Traffic) und East-West Traffic (der intern im LAN unterwegs ist) überwachen und erkennen kann. Wie Sie wissen, befindet sich eine Firewall am Netzwerk-Gateway und prüft den North-South Traffic. Entsprechend hat NDR Essentials an seiner Position am Netzwerk-Gateway nicht dieselbe Transparenz wie eine vollständige NDR-Lösung tiefer im Netzwerk.
Während unsere vollständige Sophos-NDR-Lösung fünf verschiedene KI-Erkennungs-Engines nutzt, haben wir in der jetzigen ersten Version von NDR Essentials die zwei Engines implementiert, die besonders relevant und sinnvoll für die Prüfung des Gateway-Datenverkehrs sind: die Engine für die Analyse verschlüsselter Payloads und den Algorithmus zur Domänen-Generierung. Entsprechend bietet Sophos NDR mit den weiteren Engines derzeit die umfassendere Abdeckung und bessere Erkennungskapazitäten als NDR Essentials.
Zusammengefasst lässt sich sagen, dass NDR Essentials eine zusätzliche Schicht zur aktiven Bedrohungserkennung der Sophos Firewall bietet – und das ohne zusätzliche Kosten und Performance-Einbußen. NDR Essentials ist jedoch kein Ersatz für eine vollständige Sophos-NDR-Implementierung für Kunden, die unsere XDR-Plattform oder den MDR-Service nutzen. Wenn Sie Ihre Bedrohungserkennung verbessern und Threat-Hunting-Kapazitäten erweitern möchten, sollten Sie sich Sophos Extended Detection and Response (XDR) ansehen – unsere Lösung, bei der Sophos NDR von Anfang an implementiert wird. Auch unsere neue NDR-Analyse-Konsole ist einen Blick wert. Außerdem bieten wir 24/7 Managed Detection and Response Services an. All diese Produkte und Services funktionieren besser gemeinsam mit Ihren Sophos Firewalls.
Die Sophos Firewall v21 bietet ein innovatives neues Feature, das bislang in der Branche einmalig ist: Network Detection and Response (NDR) – integriert in Ihre Firewall.
Was ist NDR?
Network Detection and Response (NDR) ist eine Kategorie von Network-Security-Produkten, die Datenverkehrs-Anomalien erkennen können. Oft sind Eindringlinge schlau genug, erste Erkennungen zu umgehen, aber um einen Angriff durchzuführen, müssen sie sich irgendwann im Netzwerk bewegen oder nach außen kommunizieren. In der Regel ist NDR mitten im Netzwerk positioniert und entdeckt solche Aktivitäten mittels Sensoren zum Überwachen und Analysieren des Netzwerk-Traffics.
NDR-Produkte gibt es bereits seit vielen Jahren, und auch bei Sophos ist NDR seit Anfang 2023 in unserem MDR/XDR-Portfolio enthalten. Doch ab SFOS v21.5 integrieren wir NDR nun in die Sophos Firewall – als branchenweit erster Anbieter. Für Kunden der Sophos Firewall mit Xstream Protection fallen nicht einmal zusätzliche Kosten an.
Die Integration von NDR in eine Next-Gen Firewall scheint ein logischer Schritt zu sein. Die Herausforderung besteht jedoch darin, die Performance der Firewall nicht zu behindern. NDR-Traffic-Analysen erfordern nämlich beachtliche Rechenleistung. Deshalb haben wir uns entschlossen, unsere NDR-Lösung in der Sophos Cloud bereitzustellen – und zusätzliche Belastungen der Firewall zu umgehen.
Sophos NDR Essentials
Mit der Sophos Firewall v21.5 führen wir NDR Essentials ein – eine cloudbasierte Network-Detection-and-Response-Plattform. Sie nutzt aktuelle KI-Erkennungen, um aktive Angreifer zu finden, und gibt diese Daten über die Sophos Firewall und die Bedrohungsfeed-API als Teil der Active Threat Response weiter. So bleiben Sie stets über alle Erkennungen und deren Risiken informiert.
In diesem kurzen Demo-Video sehen Sie NDR Essentials in Aktion. Detaillierte Informationen finden Sie im darauffolgenden Text.
Funktionen
Die Sophos Firewall erfasst Metadaten des TLS-verschlüsselten Datenverkehrs sowie DNS-Abfragen und sendet diese Informationen an NDR Essentials in der Sophos Cloud, wo sie mit mehreren KI-Engines analysiert werden. Unsere neue Lösung erkennt schädliche verschlüsselte Payloads, ohne eine TLS-Verschlüsselung durchzuführen, sowie neue und unübliche Domains, die von Algorithmen erstellt wurden – das ist oft ein wichtiger Indikator für eine Kompromittierung.
Diese Metadaten-Extrahierung erfolgt über eine neue, leichte Engine auf dem Xstream FastPath. Deshalb ist NDR Essentials derzeit auch nur für Hardware-Firewalls der XGS-Serie verfügbar. Für virtuelle, Software- und Cloud-Firewalls wird die neue NDR-Integration ggf. in Zukunft angeboten, jedoch noch nicht in v21.5.
Der NDR Essentials Feed lässt sich unter Active Threat Response gemeinsam mit anderen Bedrohungsfeeds einrichten und überwachen
Der neue NDR-Essentials-Bedrohungsfeed wird neben Ihren anderen Bedrohungsfeeds (Sophos X-Ops, MDR, Drittanbieter) im Bereich für die Active Threat Response der Firewall verwaltet, wie der Screenshot oben zeigt. Die Einrichtung ist ganz einfach: Zum Aktivieren legen Sie einen Schalter um. Dann wählen Sie aus, welche internen Schnittstellen überwacht werden und wo der untere Schwellenwert für die Erkennungsrisiken liegen soll.
NDR-Essentials-Erkennungen werden auf einer Skala von 1 (geringes Risiko) bis 10 (hohes Risiko) eingeordnet. Sie entscheiden für Ihre Umgebung, ab welchem Wert ein Alert ausgegeben werden soll. Empfohlen wird ein Wert, der einem hohen Risiko entspricht (9–10). Alle Erkennungen größer oder gleich 6 werden protokolliert, aber nur diejenigen, die den Schwellenwert erreichen, werden auf dem neuen Control Center Dashboard Widget als Alerts ausgegeben. Alle Erkennungen unter 6 können falsch positiv sein und werden deshalb nicht protokolliert. Derzeit werden keine NDR-Essentials-Erkennungen blockiert, in Zukunft könnte dies allerdings als Option angeboten werden. Alle Erkennungen sind vollständig über den Bericht zur Active Threat Response zugänglich, sowohl über das On-Box Reporting als auch das Sophos Central Firewall Reporting.
NDR Essentials und Sophos NDR – ein Vergleich
Sophos NDR Essentials ist eine Light-Version von Sophos NDR.
Sophos NDR ist tief im Netzwerk verankert, damit es verdächtige Aktivitäten sowie North-South Traffic (oder Inside-Outside Traffic) und East-West Traffic (der intern im LAN unterwegs ist) überwachen und erkennen kann. Wie Sie wissen, befindet sich eine Firewall am Netzwerk-Gateway und prüft den North-South Traffic. Entsprechend hat NDR Essentials an seiner Position am Netzwerk-Gateway nicht dieselbe Transparenz wie eine vollständige NDR-Lösung tiefer im Netzwerk.
Während unsere vollständige Sophos-NDR-Lösung fünf verschiedene KI-Erkennungs-Engines nutzt, haben wir in der jetzigen ersten Version von NDR Essentials die zwei Engines implementiert, die besonders relevant und sinnvoll für die Prüfung des Gateway-Datenverkehrs sind: die Engine für die Analyse verschlüsselter Payloads und den Algorithmus zur Domänen-Generierung. Entsprechend bietet Sophos NDR mit den weiteren Engines derzeit die umfassendere Abdeckung und bessere Erkennungskapazitäten als NDR Essentials.
Zusammengefasst lässt sich sagen, dass NDR Essentials eine zusätzliche Schicht zur aktiven Bedrohungserkennung der Sophos Firewall bietet – und das ohne zusätzliche Kosten und Performance-Einbußen. NDR Essentials ist jedoch kein Ersatz für eine vollständige Sophos-NDR-Implementierung für Kunden, die unsere XDR-Plattform oder den MDR-Service nutzen. Wenn Sie Ihre Bedrohungserkennung verbessern und Threat-Hunting-Kapazitäten erweitern möchten, sollten Sie sich Sophos Extended Detection and Response (XDR) ansehen – unsere Lösung, bei der Sophos NDR von Anfang an implementiert wird. Auch unsere neue NDR-Analyse-Konsole ist einen Blick wert. Außerdem bieten wir 24/7 Managed Detection and Response Services an. All diese Produkte und Services funktionieren besser gemeinsam mit Ihren Sophos Firewalls.
x
Cookie-Zustimmung verwalten
Unser Webseiten Template mit den darin inkludierten Plugins verwendet Cookies. Sie stimmen der Nutzung von Cookies und unseren Datenschutzbestimmungen zu.
Funktional
Immer aktiv
Die technische Speicherung oder der Zugang ist unbedingt erforderlich für den rechtmäßigen Zweck, die Nutzung eines bestimmten Dienstes zu ermöglichen, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wird, oder für den alleinigen Zweck, die Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz durchzuführen.
Vorlieben
Die technische Speicherung oder der Zugriff ist für den rechtmäßigen Zweck der Speicherung von Präferenzen erforderlich, die nicht vom Abonnenten oder Benutzer angefordert wurden.
Statistiken
Die technische Speicherung oder der Zugriff, der ausschließlich zu statistischen Zwecken erfolgt.Die technische Speicherung oder der Zugriff, der ausschließlich zu anonymen statistischen Zwecken verwendet wird. Ohne eine Vorladung, die freiwillige Zustimmung deines Internetdienstanbieters oder zusätzliche Aufzeichnungen von Dritten können die zu diesem Zweck gespeicherten oder abgerufenen Informationen allein in der Regel nicht dazu verwendet werden, dich zu identifizieren.
Marketing
Die technische Speicherung oder der Zugriff ist erforderlich, um Nutzerprofile zu erstellen, um Werbung zu versenden oder um den Nutzer auf einer Website oder über mehrere Websites hinweg zu ähnlichen Marketingzwecken zu verfolgen.
