Una ricerca SophosLabs indica come il 44% dei più diffusi information-stealer utilizzi la crittografia per nascondere i dati che vengono sottratti
Sophos (LSE: SOPH), leader globale nella sicurezza degli endpoint e della rete, ha presentato oggi la nuova versione “Xstream” per i firewall Sophos XG, caratterizzata da funzionalità ad alte prestazioni per la decifrazione del traffico TLS (Transport Layer Security). Grazie a questa nuova soluzione, sarà possibile eliminare i considerevoli rischi associati al traffico di rete crittografato, un elemento spesso sottovalutato dai team responsabili della sicurezza per via delle problematiche di performance e complessità che esso comporta. Oltre a un incremento delle prestazioni applicative, ora XG Firewall integra anche le capacità di SophosLabs basate su AI per l'analisi delle minacce.
Sophos ha inoltre condiviso un nuovo articolo dei SophosLabs Uncut dal titolo “Quasi un quarto del malware adesso comunica utilizzando TLS” che mette in evidenza come il 23% delle famiglie di malware in circolazione sfrutti la cifratura per tutte le comunicazioni necessarie all'installazione o alla comunicazione con i server di Command and Control (C2).
L'articolo si sofferma per esempio su tre diffusissimi esemplari di Trojan – Trickbot, IcedID e Dridex – che ricorrono al traffico TLS nel corso dei loro attacchi. Per evitare di essere rilevati, i cybercriminali utilizzano TLS anche per nascondere exploit, payload e contenuti sottratti. Il 44% dei più diffusi information-stealer ricorre infatti alla crittografia per far uscire di nascosto dalle organizzazioni colpite dati come password di conti bancari e finanziari e altre credenziali sensibili.
“Come dimostra la ricerca dei SophosLabs, i cybercriminali sono passati a usare con decisione la crittografia nel tentativo di aggirare i prodotti per la sicurezza. Sfortunatamente la maggior parte dei firewall non è dotata di funzionalità crittografiche scalabili per il traffico TLS e quindi non riesce a ispezionare il traffico cifrato evitando il malfunzionamento delle applicazioni o il rallentamento delle prestazioni della rete”, ha dichiarato Dan Schiappa, chief product officer di Sophos. “Con la nuova architettura Xstream di XG Firewall, Sophos fornisce finalmente visibilità là dove finora c'è stato un enorme punto cieco della rete eliminando i fastidiosi problemi di compatibilità e latenza con il pieno supporto dello standard TLS 1.3. I benchmark condotti internamente da Sophos hanno registrato un incremento delle prestazioni dell'engine di ispezione del traffico TLS del nuovo XG Firewall equivalente al doppio rispetto a quello delle precedenti versioni di XG. Si tratta di una svolta davvero rivoluzionaria “.
La latenza è il motivo che troppo spesso scoraggia gli amministratori IT dall'abilitare la decifrazione crittografica, come verificato da un sondaggio indipendente di Sophos su 3.100 IT manager di 12 Paesi. Il white paper che presenta i risultati di questo sondaggio, “Il tallone d'Achille dei firewall next-gen”, ha scoperto che, sebbene l'82% degli intervistati concordi sulla necessità di ispezionare il traffico TLS, solo il 3,5% delle aziende decifra il proprio traffico per poterlo analizzare in modo appropriato.
Le principali novità di XG Firewall comprendono:
- Ispezione del traffico TLS 1.3 per intercettare il malware nascosto: Il nuovo engine TLS port-agnostic raddoppia le prestazioni delle operazioni crittografiche rispetto alla precedenti versioni di XG
- Ottimizzazione delle prestazioni application-critical: I nuovi controlli di policy FastPath accelerano le prestazioni delle applicazioni e del traffico SD-WAN come Voice over IP, SaaS e altro ancora fino a raggiungere velocità wire-speed
- Scansione adattativa del traffico: Il nuovo engine DPI (Deep Packet Inspection) valuta dinamicamente il rischio dei flussi di traffico associandoli al livello di scansione appropriato con la conseguenza di migliorare il throughput fin del 33% nella maggior parte degli ambienti di rete
- Analisi delle minacce mediante intelligence dei SophosLabs: Mette a disposizione degli amministratori di rete le capacità dei SophosLabs basate su AI per l'analisi delle minacce necessarie a comprendere e ottimizzare le difese che proteggono da un panorama di rischi in costante evoluzione
- Funzionalità complete di gestione e reporting in cloud su Sophos Central: La centralizzazione delle funzioni di gestione e reporting all'interno di Sophos Central fornisce ai clienti la possibilità di gestire i firewall in gruppo e di produrre report flessibili dell'intero ambiente senza costi aggiuntivi
- Integrazione con il servizio Sophos Managed Threat Response (MTR): Grazie a questa integrazione, i clienti di XG Firewall che si abbonano anche al servizio Sophos MTR Advanced hanno a disposizione un'intelligence ancora più approfondita per prevenire, rilevare e neutralizzare le minacce
“Il nuovo XG Firewall di Sophos propone una vasta gamma di funzionalità di livello enterprise con una crescente base installata che rappresenta oggi uno dei firewall next-gen più diffusamente installati nel settore”, ha commentato Eric Parizo, senior analyst for enterprise IT strategy di Omdia [1]. “XG Firewall può battere la concorrenza in gran parte grazie a Sophos Central, il sistema di gestione SaaS centralizzato per la supervisione delle operazioni di deployment, gestione, creazione di policy, aggiornamento e risposta alle minacce con capacità opzionali per la gestione e l'analisi dei log. Questa piattaforma di gestione cloud con le sue funzionalità Firewall Management and Reporting unite alla capacità di ispezione del traffico TLS mette Sophos XG Firewall nella posizione di rappresentare un'opzione davvero interessante per una grande varietà di aziende”.
“In Convergent Information Security Solutions ci occupiamo della gestione e del monitoraggio della cybersicurezza perimetrale e di quella interna dei nostri clienti, e finora siamo stati in qualche modo limitati nella capacità di monitorare i flussi di dati cifrati con SSL/TLS. Sophos XG Firewall ci aiuta a risolvere questo problema con efficienza e in modo economicamente conveniente grazie all'engine DPI accelerato presente nell'ultima versione della soluzione. In combinazione con i nuovi ruleset IPS personalizzati e gestiti automaticamente, questo ci fornisce molta più visibilità all'interno del traffico criptato che transita attraverso la rete di quanta ne abbiamo mai avuta sinora. Riteniamo che questa capacità, che aumenterà immensamente la sicurezza dei nostri clienti, rivesta un'importanza critica considerando quanto frequentemente i cybercriminali sfruttino la crittografia TLS per dissimulare e portare a termine i loro attacchi”, ha concluso Bruce Kneece, CTO di Convergent Information Security Solutions. “Siamo inoltre consapevoli della velocità con la quale i cyberattacchi si trasformano. Grazie alla capacità di intercettare file potenzialmente dannosi trasportati all'interno di tunnel SSL/TLS, in aggiunta all'engine Sandstorm per il rilevamento delle minacce del giorno zero, possiamo fornire ai clienti un livello di protezione, rilevamento e servizio migliore e più tempestivo”.
Sophos XG Firewall è gestibile in cloud tramite la console Sophos Central insieme all’intero portafoglio di soluzioni next-gen Sophos per la cybersicurezza. L'esclusivo approccio Sophos Synchronized Security consente a queste soluzioni di funzionare insieme per condividere le informazioni in tempo reale e rispondere alle minacce.
[1] Omdia, Enterprise Decision Maker, gennaio 2020. I risultati non rappresentano un sostegno di Sophos né dei SophosLabs. L'utilizzo di questi risultati è a rischio di chi lo effettua.