在2015年11月,Sophos結合原本SG系列防火牆所用的韌體UTM 9平臺,以及名為Security Heartbeat的同步安全(Synchronized Security)技術,而推出了新一代的防火牆產品XG Firewall,所用的系統韌體稱為SFOS,而與既有的SG UTM系列設備有所區隔。

到了2016年底,SFOS正式推出16.05版,當中最主要的特色,是加入Sophos在2015年發表的Sandstorm雲端沙箱技術。有了這項功能,XG Firewall可延伸同步安全防護技術Security Heartbeat的效果,自動隔離已失去同步訊號(心跳)的端點裝置,並且能夠動態辨識應用程式流量,同時,還可以獲得進階的網頁安全閘道功能,藉此運用簡化的政策管理與強制實施,大幅改善相關的防護成效。 

就Sandstorm而論,它能在不需額外硬體資源的組態下,強化對於零時差漏洞攻擊的防護能力,裡面會分析惡意軟體的「彈頭(payload)」,擋下那些會閃避偵測的威脅,就如同勒索軟體會偽裝成執行檔、PDF或微軟Office文件,試圖滲透進來。用戶可將這些可疑的檔案交給Sandstorm雲端沙箱進行分析,以便在安全的環境下,進行「引爆」與觀察。而當中所得到的威脅情報,會回報到Sophos的解決方案中,促使相關的檔案存取行為受到禁止或批准。

Sophos也強調,Sandstorm這套沙箱分析技術採取了透明呈現的作法,促進企業對於這些威脅的掌握,例如,針對每次的突發事件,能提供詳細的威脅分析報告給IT人員處理,企業也可基於更整體、高階的層次,來審視網路事件。

目前SFOS 16.05當中所整合的Sandstorm功能,針對的目標主要是網頁下載與郵件附檔。以前者為例,管理者可以在XG Firewall上設定,一旦發現使用者打算要下載可疑檔案,能在開始進行之前,就將這些檔案安全傳送到Sandstorm伺服器當中分析,以便就近進行檢測,之後,管理者將會在Sandstorm Activity Page頁面,看到系統產生出詳細的分析報告;此外,管理者可以設定在Sandstorm伺服器傳送結果之前,就先放行檔案,或者針對特定網域、檔案類型,建立例外處理的作法。

而在Sandstorm分析郵件附檔的作法上,XG Firewall可支援以郵件伺服器慣用的MTA(Mail Transfer Agent)模式,來執行郵件附檔判斷的作業,對於可疑檔案,系統會轉送至Sandstorm伺服器,執行進一步分析。而且,管理者可以在設定SMTP政策的組態時,就調整Sandstorm Protection防護項目,並且能夠在郵件Spool當中,檢視那些等待Sandstorm分析結果的郵件狀態。然而,要注意的是,Sandstorm並不支援在郵件伺服器的傳統模式下運行,也無法針對外寄信件進行分析檢測。

至於XG Firewall先前早已內建的Security Heartbeat,主要功能在於針對端點、網路防火牆之間出現的可疑行為或惡意活動,發出相關的即時資訊,能為各種傳統的獨立資安產品,提供直接共享威脅情報的能力,同時,能快速觸發對應的反制動作,以阻止惡意軟體爆發或資料外洩事件的發生。

Sophos在更早之前發布的SFOS 16.01新版當中,也增加許多值得一提的特色,例如,可偵測「安全心跳」失靈的狀況(Missing Heartbeat),因為這意味著端點系統可能已經遭到竄改,或是受到惡意程式的感染,而當企業察覺狀況之後,便可及早採取修復措施。

在這項機制的保護下,一旦發現有些電腦雖然能連上網路,卻沒有「安全心跳」,XG Firewall可以針對這群疑似受感染的設備,進行網路隔離與限制存取,自動採取減緩攻擊威脅的矯正動作。

SFOS 16.01另一個新功能也和同步安全有關,Sophos稱為目標心跳(Destination Heartbeat)防護,可以阻擋任何試圖連往受感染電腦或伺服器的網路流量,預防內部網路出現更大規模的感染情況。

產品資訊

Sophos XG Firewall
●原廠:Sophos(02)7709-1980
●建議售價:廠商未提供
●產品形式:硬體設備、軟體應用設備、虛擬應用設備
●軟體應用設備系統需求:2GB記憶體、64GB硬碟空間
●虛擬應用設備系統需求:提供OVF格式映像檔,支援VMware ESX、微軟Hyper-V、KVM、Citrix XenServer

【註:規格與價格由廠商提供,因時有異動,正確資訊請洽廠商】


Advertisement

更多 iThome相關內容