- TỔNG QUAN
- Zero-day là gì?
Zero-day là những lỗ hổng bảo mật chưa được phát hiện hoặc chưa có bản vá từ nhà cung cấp. Tin tặc có thể khai thác những lỗ hổng này để tấn công hệ thống trước khi các biện pháp bảo mật kịp thời ngăn chặn.
- Cách Sophos bảo vệ trước các mối đe dọa zero-day
Sophos sử dụng nhiều công nghệ tiên tiến để nhận diện và ngăn chặn tấn công zero-day, bao gồm:
- Deep Learning AI: Sophos Intercept X tích hợp công nghệ trí tuệ nhân tạo (AI) để phân tích hành vi của tệp tin, từ đó phát hiện các mối đe dọa chưa từng được biết đến trước đó. Hệ thống này không dựa vào chữ ký (signature-less detection), giúp bảo vệ hiệu quả trước cả các loại malware mới.
- Exploit Prevention: Ngăn chặn các kỹ thuật khai thác lỗ hổng thường được tin tặc sử dụng, chẳng hạn như Code Injection, ROP Exploit và API Hijacking.
- Phân tích hành vi (Behavioral Analysis): Sophos giám sát quá trình thực thi của ứng dụng, nếu phát hiện hành vi bất thường như ghi mã độc vào bộ nhớ hoặc thực thi script nguy hiểm, hệ thống sẽ tự động cách ly để ngăn chặn kịp thời.
- Kiểm tra gói dữ liệu sâu (DPI) & Sandboxing: Sophos Firewall và Intercept X sử dụng công nghệ Deep Packet Inspection (DPI) để phân tích lưu lượng mạng theo thời gian thực. Nếu phát hiện tệp đáng ngờ, hệ thống sẽ gửi lên Cloud Sandbox để phân tích kỹ hơn và xác định nguy cơ nhiễm mã độc.
- Bảo mật đồng bộ (Synchronized Security): Sophos Intercept X (Endpoint) và Sophos Firewall (XGS) có thể chia sẻ dữ liệu về mối đe dọa với nhau, giúp phát hiện và phản ứng nhanh hơn khi có dấu hiệu tấn công zero-day.
- TÌNH HUỐNG CẤU HÌNH
Tình huống: Máy tính trong mạng LAN tải file chứa virus và bị Sophos Firewall chặn
Một máy tính trong mạng LAN cố gắng tải về một tệp tin từ Internet, nhưng tệp này có chứa virus. Sophos Firewall phát hiện mối đe dọa và ngay lập tức ngăn chặn quá trình tải xuống, ngăn chặn virus xâm nhập vào hệ thống.
Sơ đồ tình huống cấu hình:
- HƯỚNG DẪN CẤU HÌNH
Bước 1. Hướng dẫn cấu hình.
Tạo Firewall rule và bật tính năng Zero-day Protection
Truy cập Rule and policies > Firewall rules > Add firewall rule > New firewall rule
Rule Name: Điền tên bạn muốn
Action: chọn Accept
Tích chọn Log firewall traffic để xem log match với rule này
Source zone: LAN
Source networks and devices: 192.168.23.0/24
Destination Zones: WAN
Destination networks: Any
Services: Any
Trong Web Policy chọn Scan HTTP and Decrypted HTTPS và Use Zero-day Protection để sử dụng tính năng này.
Nhấn Save để lưu
Giải thích thêm:
Apply web category-based traffic shaping
Bạn có thể giới hạn băng thông dựa trên danh mục website, ví dụ như giới hạn tốc độ tải file từ các trang chia sẻ dữ liệu. Nếu không chọn, mọi trang web sẽ sử dụng tốc độ tối đa mà không có giới hạn băng thông.
Block QUIC protocol
QUIC là giao thức tăng tốc truy cập web, nhưng có thể làm giảm khả năng kiểm soát nội dung web trên firewall. Nếu chọn chặn QUIC, trình duyệt Chrome hoặc Edge sẽ phải sử dụng HTTP/HTTPS qua firewall, giúp kiểm soát tốt hơn. Nếu không chọn, trình duyệt có thể sử dụng QUIC (UDP/443), làm giảm khả năng kiểm soát lưu lượng web.
Scan HTTP and decrypted HTTPS
Firewall có thể kiểm tra tất cả trang web để phát hiện mã độc. Nếu chọn quét HTTP và HTTPS, tất cả các trang web sẽ được phân tích. Nếu không chọn, chỉ các trang HTTP mới được quét, còn các trang HTTPS sẽ không được kiểm tra, có thể bỏ lỡ các mối đe dọa tiềm ẩn.
Use zero-day protection
Zero-day Protection giúp phát hiện các mối đe dọa mới chưa có trong danh sách chữ ký virus. Nếu bật tính năng này, firewall sẽ sử dụng sandboxing để phân tích các mối đe dọa chưa có chữ ký. Nếu không bật, firewall chỉ dựa vào chữ ký virus truyền thống và có thể không phát hiện được mã độc mới.
Scan FTP for malware
Bạn có thể yêu cầu firewall quét tất cả các tệp tải xuống qua FTP để phát hiện virus. Nếu không bật tính năng này, các tệp tải xuống từ FTP sẽ không được kiểm tra, có thể chứa mã độc.
Use web proxy instead of DPI engine
Web Proxy giúp kiểm soát nội dung web tốt hơn, trong khi DPI Engine giúp tốc độ nhanh hơn. Nếu bật Web Proxy, tất cả lưu lượng web sẽ được chuyển qua proxy để kiểm soát nội dung. Nếu chọn DPI Engine, firewall sẽ quét trực tiếp mà không qua proxy, giúp tăng hiệu suất nhưng có thể kém hiệu quả với HTTPS.
Decrypt HTTPS during web proxy filtering
Giải mã HTTPS cho phép firewall kiểm tra nội dung của các trang web HTTPS. Tuy nhiên, tính năng này yêu cầu bạn phải cài đặt chứng chỉ CA trên máy trạm. Nếu không chọn, firewall sẽ không thể kiểm tra nội dung của trang web HTTPS, chỉ có thể dựa vào danh mục URL hoặc kiểm tra theo tên miền.
Bước 2. Kiểm tra tính năng Zero-day Protection
Truy cập trang web: https://www.wicar.org/ và chọn download cái file test phía dưới
Kết quả sau khi cấu hình.
Để kiểm tra kết quả trên Sophos Firewall chọn Zero-day Protection > Dowloads and Attachments.
