SonicWALL Firewall Advanced Threat Protection

Nová funkce firewallů SonicWALL spočívá v porovnávání a odesílání vzorků stahovaných souborů k analýze jejich potenciální škodlivosti. Hodnotí spustitelné soubory, PDF a Office dokumentů (bez makra i s makrem) a vyjmenované archivy (.jar, .zip apod.).

Přístup k bezpečnosti sítě může být dvojí – „restriktivní“ nebo „tolerantní“.

  • V prvním případě musí soubor projít napřed kontrolou a teprve poté po zjištění pozitivního hodnocení je povoleno jeho stažení směrem k uživateli (uživateli se při stahování zobrazí hlášení o dočasné karanténě souboru; samotné testování trvá max. 3 minuty).
  • Ve druhém případě je stažení povoleno okamžitě a na případnou škodlivost je administrátor upozorněn následně (včetně informace o IP adrese ve vnitřní síti, která stažení iniciovala)

Opakované stažení stejného souboru je vyhodnoceno okamžitě na základě kontrolního hashe (týká se i případu, kdy byl soubor odeslán na analýzu jiným firewallem). Uvedené funkce samozřejmě dosahují nejlepšího výsledku při zapnutém klientským DPI-SSL.

Stručný popis kontroly

  • Soubor projde standardní kontrolou GAV/IPS apod.
  • Základní analýzou je vyhodnoceno, zda se jedná o soubor podezřelý či nikoli (např. nestandardní DLL, nestandardní PDF či podobný spustitelný soubor či dokument, který může obsahovat malicious kód).
  • V případě podezření (a je-li tato funkce zároveň aktivována) je soubor odeslán do datového centra k detailní analýze (3 enginy – jeden SonicWALLu a dva třetích stran, které se technologií sandboxingu dlouhodobě zabývají – LastLine a VMRAY).
  • Datová centra, ve kterých probíhá analýza, se nacházejí z latenčních i legislativních důvodů v USA, Evropě a Asii.
  • Vyšší nároky na konektivitu nejsou až tak zásadní– APT neposílá každý stahovaný soubor; v mnohých případech (a to i při zero-day útocích) již bude soubor přenesen jiným firewallem (interně zajistí „offloading“ hash).
  • Výhodou APT může být i skutečnost, že soubory nemusejí být odesílány ke cloudové analýze, pouze má firewall v případě aktivace předplatného přístup k časnějším výsledkům těchto analýz a dokáže tedy reagovat v režimu „near-zero“.

Licencování

  • Funkce Capture ATP je dostupná jako doplněk ke Gateway Antiviru/IPS/Application Firewallu.
  • Lze ji zakoupit samostatně (nazývá se „Capture Advanced Threat Protection“), pro srovnání cena odpovídá cca 40 % předplatného balíčku bezpečnostních služeb Comprehensive Gateway Security Suite (zkráceně „CGSS“).
  • Lze ji zakoupit společně s CGSS, tato položka se pak nazývá Advanced Gateway Security Suite Bundle („AGSS“), cena AGSS je cca o 30 % vyšší než CGSS.
  • Pokud máte zájem o Capture ATP a máte již v běhu předplatné CGSS, lze Capture ATP koupit např. na 1 rok a v portálu MySonicWALL.com následně provést ko-terminaci obou předplatných, tedy sjednotit datum expirace Capture ATP a CGSS a následně pokračovat licencí AGSS (My Orders, Service Co-termination).
  • Službu Capture ATP si můžete v portály MySonicWALL.com aktivovat ve zkušebním režimu na dobu 30 dnů.
  • Schopnost analyzovat soubory pomocí Capture ATP je k dispozici ve firewallech TZ300-600 a ve všech modelech NSA x600

Související odkazy