O Intercept X se destaca como um produto de grande potencial. Ele incorpora múltiplas camadas de defesa, visando uma ampla gama de vetores de ameaças distintos, e não se restringe a um único método de verificação. No entanto, é importante reconhecer que a magnitude desse poder acarreta uma correspondente responsabilidade. Neste contexto, essa responsabilidade se manifesta na configuração das diretrizes.
A má configuração das políticas pode resultar na inatividade de componentes cruciais desse bastião protetivo quando confrontado por invasores, colocando-o em uma posição indesejada, como o profissional de TI. Conscientes da abrangência das opções de ajustes disponíveis, entendemos que pode ser um tanto intimidante inicialmente.
Portanto, nos propomos a analisar as políticas de proteção contra ameaças neste blog, visando conceder-lhe a capacidade de configurar sua política de maneira mais sólida e segura.
MFA - Multi-Factor Authentication
Antes de adentrarmos nas políticas, é imprescindível falar sobre a autenticação multifator, também conhecida como MFA. A ativação do MFA implica que, ao efetuar o login na Central, será necessária a inserção de um segundo fator. Diversas alternativas estão à sua disposição, tais como o Google Authenticator ou códigos via SMS. Opte por aquela que melhor se adequar às suas preferências.
O MFA adiciona um grau adicional de complexidade à tentativa de indivíduos mal-intencionados de comprometerem sua conta, visto que seria necessário o acesso a esse segundo fator. A adivinhação ou tentativas de força bruta na sua senha tornam-se insuficientes. Vale reiterar que o MFA se fundamenta na premissa de que a combinação de dois atributos distintos é consideravelmente mais robusta. A senha é um conhecimento exclusivo seu, enquanto o código de autenticação é um item de posse, em constante mutação, acessível somente por meio do dispositivo designado para a sua geração.
O acesso à sua plataforma é, indubitavelmente, o alicerce da segurança que você detém, logo, zelar para que não caia em mãos inapropriadas é de extrema relevância.
O MFA já vem habilitado por padrão em todas as contas da Sophos Central. Caso ainda não tenha feito, é altamente recomendado que ative o MFA em todas as suas soluções que suportam essa funcionalidade.
Política de proteção contra ameaças de endpoint
Para acessar a Política de proteção contra ameaças, navegue até Endpoint Protection>Policies e selecione uma política existente ou crie uma nova política. Clique na guia de configurações quando estiver em uma política para visualizar as definições de configuração.
Essas configurações serão diferentes para a política de Endpoint e para a política de Servidor. Na maioria das vezes, as configurações são idênticas, mas o posicionamento das configurações é um pouco diferente. Analisaremos primeiro a política de endpoint e, em seguida, abordaremos as diferenças na política de servidor.
Configurações recomendadas
Na parte superior, vemos "Use Recommended Settings".
Recomendamos deixar isso ativado. A seleção dessa opção garantirá que seus dispositivos recebam uma política que consideramos segura hoje e a atualizaremos de acordo quando adicionarmos novos recursos no futuro. Para a maioria dos clientes, esta é a opção mais importante que você precisa selecionar. No entanto, se quiser personalizar a política, você pode.
Agora há mais na política, como verificações de sistema agendadas, isolamento de dispositivos e exclusões , mas falaremos sobre isso em um minuto.
Vamos detalhar algumas dessas configurações recomendadas por enquanto, caso você realmente precise se desviar das recomendações .
Configurações inicias de digitalização
Live Protection permite que o Endpoint procure as informações de ameaças mais recentes do Sophos Labs on-line sobre itens que estão sendo verificados.
Deep Learning é aprendizado de máquina ou IA que pode detectar ameaças sem o uso de assinaturas tradicionais.
Ele verifica arquivos executáveis portáteis, ou PEs, antes da execução e fornece uma pontuação de confiança se o PE é malicioso ou não
Essa varredura é rápida e sempre é feita em um PE – mesmo que você o tenha excluído, mas se você excluiu um PE, ele desconsiderará o resultado da varredura e permitirá a passagem do PE. Como não precisa de assinatura, tem a capacidade de detectar malware polimórfico ou mesmo malware que nunca foi visto antes – ameaças de dia 0
Testamos extensivamente os modelos de detecção antes do lançamento para reduzir o número de falsos positivos, mas há uma pequena chance de que eles ainda ocorram.
Real-time Scanning é sua principal proteção no dispositivo.
Ele determina se o ponto de extremidade fará a varredura de PEs durante a execução. Isso inclui (em ordem):
Reputation scan;
Deep Learning scanner;
O escaneamento tradicional signature-based;
A verificação Application Control;
Se você desativar a verificação em tempo real, todos os outros elementos não funcionarão.
Opções:
Scan downloads in progress.
Block access to malicious websites: nega o acesso a sites conhecidos por hospedar malware.
Detect low-reputation files: avisa se um download tem uma reputação baixa. A reputação é baseada na origem de um arquivo, na frequência com que ele é baixado e em outros fatores. Você pode especificar:
Action to take on low-reputation downloads: Se você selecionar Prompt user , os usuários verão um warning quando fizerem o download de um arquivo de baixa reputação. Eles podem confiar ou excluir o arquivo. Esta é a configuração padrão.
Reputation level: Se você selecionar Strict, arquivos de reputação média, bem como de baixa reputação, serão detectados. A configuração padrão é Recommended.
Remediation
Remediação é quais ações tomar quando uma ameaça é realmente detectada. Podemos ver o controle deslizante "Ativar criação de caso de ameaça", o que significa que, quando uma ameaça é detectada, um caso de ameaça é gerado no Centro de análise de ameaças. Os casos de ameaças são incrivelmente benéficos ao investigar o que aconteceu ao lidar com uma infecção, então você vai querer manter isso ativado.
Lembre-se de que nem toda detecção gerará um Caso de Ameaça. Mais informações sobre casos de ameaças:
https://support.sophos.com/support/s/article/KB-000036336?language=en_US
Por que temos tantas varreduras, você pergunta? É como uma pilha de peneiras . Algumas varreduras são melhores na detecção de diferentes tipos de coisas ou são mais eficientes. Empilhá-los juntos significa que, se uma detecção ocorrer em uma camada, não prosseguiremos para a próxima. Isso nos permite otimizar a proteção e o desempenho.
Proteção em tempo de execução
Exploits ativos
Exploits ativos são ações que aplicativos bons conhecidos podem ser forçados a realizar – o que pode ser malicioso . Pense em macros no Word Docs – o Word é um bom aplicativo e não será interrompido pela digitalização do PE. No entanto, a Macro que você acabou de carregar faz com que ela chame o PowerShell e edite suas variáveis de ambiente local, alterando o caminho do File Explorer para um PE malicioso que veio junto com o Word Doc .
Basicamente, o Active Exploit Mitigation analisa o que um aplicativo está fazendo e determina se essa ação é maliciosa ou preocupante, independentemente de qual PE ou processo está realizando a ação.
As configurações de proteção de tempo de execução são sua proteção de “exploração ativa”, monitorando o comportamento depois que os arquivos foram executados e eles estão tentando causar danos. Recomendamos que todas essas configurações sejam ativadas.
"Cryptoguard" é sua principal proteção contra ransomware para arquivos de documentos, que são comumente visados.
Ele examina extensões de arquivo específicas e é acionado se um PE ou processo alterar mais do que um número limite de arquivos em um período de tempo específico. Essa alteração resulta em uma alteração suspeita no arquivo, como se o arquivo fosse excluído ou a extensão alterada. Isso significa que alguns softwares de arquivamento podem acionar o CryptoGuard, mas temos exclusões para evitar isso
"Protect from master boot record ransomware" protege os dispositivos contra Ransomware que criptografa o MBR, o que pode impedir a inicialização e contra ataques que limpam o disco rígido.
"Protect critical functions in web browsers (Safe Browsing)" protege os navegadores da web de serem explorados.
Lembre-se de que isso não é controle da Web ou proteção de download. Essas também são camadas importantes de segurança, que você pode configurar na política de controle da Web.
Isso está procurando por coisas como injeções de Javascript, scripts entre sites SQL e outras explorações que o site pode forçar seu navegador a executar em seu dispositivo.
"Mitigate exploits in vulnerable applications." e "Protect process" protege aplicativos e processos mais propensos à exploração.
Temos opções para quais tipos proteger, mas recomendamos ativar todos eles. Esses são vetores de exploração comuns, como JAVA, Office Docs e assim por diante. Esses aplicativos não são maliciosos, são os dados que estão sendo inseridos neles, fazendo com que façam algo malicioso
EAP/New Features section:
As configurações destacadas em azul são novos recursos que acabamos de lançar no software ou recursos que estão disponíveis apenas em nossos programas de acesso antecipado. Portanto, se as configurações indicarem ingressar no EAP agora, elas se aplicarão apenas aos dispositivos no EAP.
Configurações avançadas
As configurações avançadas contêm mais algumas opções para solução de problemas que devem ser desativadas apenas temporariamente. Essas configurações podem desativar recursos que podem abrir grandes vulnerabilidades para que você não queira brincar. Deixe-os como as configurações padrão.
Descriptografia SSL/TLS de sites HTTPS
Malware, ransomware e ameaças modernas tentam se esconder no tráfego de rede criptografado. Por exemplo, eles fazem isso quando estão tentando baixar um código ou se comunicar com um site de comando e controle. Isso pode ser um ponto cego e habilitar essa configuração permite que você inspecione o tráfego para determinar se é malicioso. Observe que, após a inspeção, o tráfego de rede continuará em seu estado criptografado original se não for malicioso.
Isolamento do dispositivo
O isolamento de dispositivos foi projetado para impedir o movimento lateral de malware, como worms, em infraestrutura crítica. Ele injeta um bloco na pilha de rede do dispositivo quando um status de integridade vermelho é detectado.
Nenhum tráfego de rede será permitido desse dispositivo , exceto para Sophos ou para dispositivos e portas definidos que você configurou na política . Você pode configurar esses dispositivos e portas definidos como exclusões na seção de exclusão.
Isso pode ser ótimo para infecções por malware, mas como coisas como falhas de atualização e serviços ausentes também acionam o isolamento , você deve equilibrar a experiência do usuário e sua postura de segurança. Ative essa configuração apenas para sistemas que tenham acesso a áreas críticas de sua rede. Mais informações: https://support.sophos.com/support/s/article/KB-000038424?language=en_US
Varreduras agendadas
Por causa da varredura em tempo real e da varredura em segundo plano que está sempre em execução, não há muita necessidade de varreduras completas do sistema. Se você estiver usando verificações agendadas, lembre-se de que a verificação de arquivos compactados diminuirá significativamente a velocidade, portanto, é melhor deixar isso desativada. Lembre-se de que um PE malicioso não pode ser executado de dentro de um arquivo. Quando o arquivo é extraído, verificamos o conteúdo e o capturamos. Também é importante observar que, se uma verificação for acionada antes que uma verificação completa do sistema seja concluída, ela encerrará a primeira verificação. Portanto, considere quanto tempo leva para verificar seus dispositivos. Considere a quantidade de dados nos dispositivos. Servidores de arquivos com centenas de gigabytes vão demorar mais do que o seu laptop com Windows 10. Uma varredura por semana, fora do horário de trabalho, geralmente será suficiente.
Exclusões
Agora para a zona de perigo, vamos com exclusões. Em algumas situações, as exclusões podem ser inevitáveis. Tente usar um bisturi ao fazer exclusões, não um martelo. O que queremos dizer é tentar ser o mais exato e preciso possível. Não exclua unidades inteiras .
Exclua arquivos ou detecções específicas em vez de pastas inteiras. Fazemos verificações de saúde nos clientes e, às vezes, vemos coisas como as unidades "D" a "H" excluídas, o que é muito arriscado.
Lembre-se de que qualquer PE que se enquadrar em uma exclusão não terá restrições de execução. Ele será capaz de fazer qualquer ação maliciosa que desejar.
Antes de fazer exclusões, leia nossa documentação sobre exclusões de verificação e, ao fazer exclusões, leia a descrição da exclusão exibida para garantir que você esteja usando o tipo certo de exclusão.
Documento da política de proteção contra ameaças:
https://docs.sophos.com/central/Customer/help/en-us/central/Customer/concepts/ConfigureMalwareProtection.html
Varredura de curingas e variáveis de exclusão:
https://docs.sophos.com/central/Customer/help/en-us/central/Customer/references/ep_ExclusionVariablesWindows.html
Exclusões recomendadas de fornecedores
Por exemplo, se o Active Exploit Mitigation detectar uma ameaça, ela aparecerá na opção Detected Exploits .
Tentar fazer uma exclusão de arquivo ou pasta para essa detecção não funcionará porque isso se aplica à verificação em tempo real, não à mitigação de exploração ativa .
Se você estiver colocando exclusões em sua política, crie políticas separadas para os usuários ou dispositivos que precisam dessas exclusões, se possível, para minimizar o escopo das exclusões . Vimos algumas situações confusas devido ao uso indevido de exclusões e não queremos que isso aconteça com você, então tome cuidado!
Política de proteção contra ameaças do servidor
Mudando para o lado do servidor, embora todas as configurações sejam praticamente as mesmas, elas são ordenadas de maneira um pouco diferente. Todos os recursos avançados do Intercept X ficam na parte superior e a proteção padrão está embaixo. Se você tiver a licença avançada do Intercept X, habilite todos os recursos avançados para proteção total.
A maioria das configurações são as mesmas de um Endpoint. Gostaria de destacar uma diferença nas configurações de proteção de tempo de execução do servidor.
O "rastreamento de ramificação da CPU" é específico para processadores Intel e permite o rastreamento da atividade do processador para detecções.
Ele tenta descobrir todos os elementos da ramificação e ver se algo está tentando manipulá-los maliciosamente. Dependendo do que está sendo executado em um sistema, há diferentes benefícios/desvantagens dessa proteção. para servidores de baixa carga de aplicativos (como um servidor de arquivos), há pouco impacto - não apenas haverá menos cenários em que esse tipo de proteção será acionado, mas também haverá menos impacto no desempenho. Por outro lado, os servidores de alta carga são expostos com mais frequência a esses tipos de coisas, mas também podem ter um impacto muito alto no desempenho.
Quando você cria uma nova política, todas as configurações recomendadas serão ativadas, mas as opções avançadas de interceptação X não têm a caixa de seleção "recommended settings" que vimos no lado do endpoint. A seção de configurações padrão da proteção do servidor tem uma caixa de seleção habilitar tudo que recomendamos deixar marcada.
A proteção do servidor pode ser mais sensível do que o endpoint, portanto, pode ser necessário definir mais essas configurações para otimizar o desempenho. Novamente, todas essas configurações são as mesmas que mencionei para endpoint, menos o isolamento do dispositivo. Mais informações: https://docs.sophos.com/central/Customer/help/en-us/central/Customer/concepts/ServerConfigureMalwareProtection.html
Configurações globais
Segurança sincronizada
A maior parte da correção automatizada de Segurança Sincronizada não exige nada além de garantir que seu Sophos Firewall esteja se comunicando com o Sophos Central. No entanto, há uma opção disponível para clientes que usam o Sophos Endpoint e o Sophos Email.
Para acessar a Configuração de segurança sincronizada, navegue até Global Settings e procure General > Synchronized Security.
Ativar esta opção forçará uma varredura de um dispositivo se o gateway de e-mail detectar spam ou vírus em e-mail de saída.
Configurações XDR
Se você estiver usando o Intercept X com XDR, há algumas configurações adicionais que você deve ativar para garantir a melhor visibilidade e oferecer opções adicionais para uma resposta manual.
O primeiro é o Live Response. O Live Response permite que um administrador ou analista de segurança se conecte diretamente a um dispositivo protegido pelo Intercept X e tenha um shell de comando. Isso lhes permite acesso direto para esforços de correção manual.
Para encontrar a Configuração de resposta ao vivo para endpoints, navegue até Configurações globais e procure Endpoint Protection > Resposta ao vivo
Para encontrar a Configuração de resposta ao vivo para servidores, navegue até Configurações globais e procure Proteção do servidor > Resposta ao vivo
A segunda é o upload de dados para o Sophos Data Lake. Isso permite que você tenha uma visão histórica do que aconteceu em seus Endpoints e Servidores. Isso pode ser útil em cenários de caça e investigação de ameaças.
Para encontrar a configuração de upload do Data Lake para endpoints, navegue até Global Settings, em seguida, procure Endpoint Protection > Data Lake Uploads para encontrar a configuração de upload do Data Lake para servidores, navegue até Global Settings e procure Server Protection > Data Lake Uploads
Consultoria Sophos Platinum
Caso tenha problemas de configuração ou precisa da implantação dos produtos Sophos, estamos capacitados para oferecer o portfólio completo de software e hardware de segurança, abrangendo antivírus, anti-spyware, anti-spam, controle de acesso de rede, software de criptografia e prevenção de perda de dados para desktops e servidores.
Nossa equipe altamente qualificada e especializada trabalha incansavelmente para criar soluções personalizadas, garantindo que sua empresa esteja protegida contra as ameaças mais avançadas de segurança cibernética. Não comprometa seus sistemas e dados críticos, escolha a Audere e desfrute da tranquilidade de uma segurança imbatível.
Proteção é o nosso compromisso, e seu sucesso é a nossa prioridade. Junte-se a nós e descubra por que somos a escolha preferida de empresas que buscam uma proteção completa e eficiente para seus ativos digitais.
Proteja-se com quem entende do seu negócio!
Venha agora mesmo aderir a Audere!
☎️ (11) 4063-2655
✉️ vendas@audere.com.br