Zero-day Protection được vận hành bởi SophosLabs Intelix, là một dịch vụ đám mây kết hợp machine learning, sandboxing và năng lực nghiên cứu mối đe dọa để phát hiện cả các mối nguy đã biết và chưa biết thông qua việc phân tích các tệp tải xuống đáng ngờ và file đính kèm email.
Sophos Firewall sẽ gửi các tệp mới đến SophosLabs Intelix để thực hiện phân tích bảo vệ zero-day khi các tệp này đi vào mạng của bạn. Intelix sử dụng nhiều lớp phân tích để xác định mức độ rủi ro mà từng tệp có thể gây ra cho hệ thống mạng. Ngoài việc chặn các tệp nguy hiểm, tính năng zero-day protection còn cung cấp các báo cáo phân tích chi tiết giúp bạn hiểu rõ mức độ rủi ro của từng tệp.
SophosLabs Intelix sử dụng nhiều mô hình machine learning để phân tích đặc điểm, tính năng, mã di truyền (genetics) và uy tín toàn cầu của tệp. Hệ thống sẽ so sánh các tệp mới với hàng triệu tệp đã được xác định là an toàn hoặc độc hại để đánh giá khả năng tệp mới có phải là mã độc hay không.
Phân tích sandbox thực hiện cả phân tích động và phân tích tĩnh đối với các tệp mới đi vào mạng của bạn. Quá trình này bao gồm:
- Phân tích bằng deep learning
- Phát hiện khai thác lỗ hổng (exploit detection)
- Công nghệ CryptoGuard để phát hiện ransomware đang mã hóa dữ liệu theo thời gian thực
PC/laptop người dùng trong mạng sẽ thực hiện download các tệp đáng ngờ trên trình duyệt Chrome, khi đó Sophos firewall đã cấu hình tính năng Zero-day sẽ thực hiệnscan file download từ trình duyệt Chrome với protocol HTTP/HTTPS, với các tệp đáng ngờ sẽ có action là block download.
Kiểm tra cài đặt Zero-day Protection vào mục Zero-day Protection > Protection Settings > Data Center Location chọn Let Sophos Decide.
Di chuyển xuống mục Certificate > Certificate Authorities > chọn download Security Appliance SSL_CA.
Di chuyển qua máy tính của người dùng, add Certificates, chọn All tasks > Import
Chọn Browse, click chọn Certificates SSL_CA vừa tải xuống ở bước trên. Click Next
Chọn Place all certificates in following store. Chọn Trust root Certificates Authorities. Click Next
Chọn Finish. Import thành công.
Truy cập Rule and policies > Firewall rules > Add firewall rule > New firewall rule.
- Rule Name: Điền tên bạn muốn
- Action: chọn Accept
- Tích chọn Log firewall traffic để xem log match với rule này
- Source zone: LAN
- Source networks and devices: Test_VM (IP:123.123.123.203/24)
- Destination Zones: WAN
- Destination networks: Any
- Services: Any
Trong Web Policy chọn Scan HTTP and Decrypted HTTPS và Use Zero-day Protection để sử dụng tính năng này.
Nhấn Save để lưu
Di chuyển đến tab Rules and policies. > Chọn tab SSL/TLS inspection rules > Click Add
- Name: Đặt tên policy bạn muốn
- Source zones: LAN.
- Source networks and devices: chọn Test VM.
- Destination zones: WAN.
- Action: Chọn Decrypt.
- Profile: chọn Maximum compatibility.
Nhấn Save.
Đối với trình duyệt Chrome thường dùng kho chứng chỉ riêng nên nếu muốn scan http/https 1 cách hiệu quả phải add thêm chứng chỉ SSL_CA của Sophos.
Mở trình duyệt, vào Settings (Cài đặt).Tìm kiếm từ khóa “Quản lý chứng chỉ”. Click chọn “Chứng chỉ được nhập từ windows” chọn tab Trust root Certification Authorities > Import.
Click Browse > chọn SSL_CA.pem của Sophos > click Next.
Import thành công. Click OK.
Kiểm tra chứng chỉ SSL_CA đã được add vào trình duyệt.
Truy cập vào trang Sophostest của Sophos, kiểm tra trang web đang sử dụng chứng chỉ SSL_CA.
Click chọn Anti-virus Eicar > Download
Trình duyệt báo lỗi không thể truy cập
Kiểm tra log Malware trên Sophos firewall báo đã block file tải xuống với protocol Https.
Truy cập Sophostest > chọn Intelix Potentially Unwanted Application (PUA) Reputation EXE file > Download.
Trình duyệt báo lỗi truy cập
Kiểm tra log Zero-day Protection đã block file tải xuống.
Bạn có thể truy cập bào tab Zero-day protection > Download and attachments để có các thông tin rõ ràng hơn về các file đã tải xuống.
Click chọn icon 3 chấm > View report về 1 file cụ thể
Vậy, bạn đã hoàn thành cấu hình tính năng Zero-Day Protection trên Sophos Firewall