Zero-Day Protection یکی از ماژول امنیتی و مهم فایروال سوفوس است که به جهت محافظت در برابر تهدیدات ناشناخته (Unknown Threats) طراحی شده است. این ماژول فایروال سوفوس از فناوری های پیشرفته Sandboxing برای اجرا و تجزیه و تحلیل فایل های مشکوک در یک محیط ایمن و ایزوله استفاده می کند. این قابلیت فایروال سوفوس اجازه می دهد تا تهدیدها قبل از ایجاد هر گونه آسیب، شناسایی و مسدود شوند.Zero-Day Protection فایروال سوفوس با ارائه یک لایه حفاظتی اضافی به ویژه در زمانی که آسیبپذیریهای جدید و حتی ناشناخته قبلی در شبکه ممکن است به سرعت مورد سوء استفاده مهاجمین قرار گیرند، بسیار مفید و ارزشمند خواهد بود. در این مقاله، نحوه عملکرد Zero-Day Protection فایروال سوفوس، فرمتهای فایل پشتیبانی شده و اقداماتی که برای شناسایی و خنثی کردن یک تهدید بالقوه انجام میگیرد را توضیح خواهیم داد.
هنگامی که فایلی چه از طریق دانلود از یک وبسایت و یا چه به صورت پیوست ایمیل، وارد شبکه می شود، فایروال سوفوس به طور خودکار این فایل را شناسایی میکند.هیچ تفاوتی وجود ندارد که فایل شناخته شده یا ناشناخته باشد .به محض اینکه فایل شناسایی شد، فایروال سوفوس آن را برای تجزیه و تحلیل بیشتر به SophosLabs Intelix، که سرویس ابری سوفوس میباشد، ارسال می کند.به جهت انجام اینکار الزاماتی وجود دارد:
لایسنس فایروال سوفوس: اطمینان حاصل نمایید که برای کارکرد صحیح این ماژول حتما دستگاه فایروال سوفوس باید دارای لایسنس های معتبر Web Protection و E-Mail Protection باشند، زیرا این ماژول ها برای تجزیه و تحلیل صحیح فایل بسیار ضروری ومهم هستند.اندازه و سایز فایل ها: اندازه و سایز فایل ها میبایست کوچکتر از 10 مگابایت باشد تا توسط ماژول Zero-Day Protection فایروال سوفوس پردازش شود.
فایل فرمت های پشتیبانی شده: فقط فایل فرمتهای خاصی توسط Zero-Day Protection فایروال سوفوس پشتیبانی میشوند که این فرمت ها عبارتند از:
1. فایل های اجرایی Executable files (.exe, .dll)
2. اسناد و فایل های متنی (PDF, Microsoft Office formats such as .docx, .xlsx)
3. فایل های فشرده Archives (ZIP, RAR, 7-Zip)
4. اسکریپت ها (JavaScript, VBScript)
Other formats such as JAR, BAT, RTF and LNK files.
به محض برآورده شدن این الزامات ذکر شده در بالا، فایل برای تجزیه و تحلیل بیشتر به SophosLabs Intelix سوفوس ارسال می شود.
هنگامی که یک فایل توسط فایروال سوفوس برای تجزیه و تحلیل ضروری تشخیص داده شد، در Sophos Cloud آپلود می شود، تا فرآیند تجزیه و تحلیل آغاز شود.
SophosLabs Intelix برای تجزیه و تحلیل فایل از نظر خطرات احتمالی، از یادگیری ماشینی، sandboxing و تحقیقات تهدید استفاده می کند. فایل در یک محیط کاملا ایزوله که سیستمعاملهای مختلف شبیهسازی شده اند اجرا میشود تا اطمینان حاصل شود که اولا آزمایش تحت شرایط واقعی انجام می پذیرد، ثانیا سیستم شما را در معرض خطر قرار نگیرد.
مرکز داده های (Data Center) موجود:
Asia-Pacific (Sydney, Tokyo)
Europe (Frankfurt, London)
United States
اگر منطقه خاصی انتخاب نشده باشد، سیستم بر اساس تأخیر از نزدیکترین مرکز داده شرکت سوفوس استفاده خواهد کرد.
اولین ابزار تحلیلی که استفاده می شود، یادگیری ماشینی است. SophosLabs Intelix از چندین مدل برای ارزیابی ویژگی ها و شهرت جهانی (Global Reputation) فایل ها استفاده می کند. فایل مشکوک با میلیون ها فایل ایمن و مخرب شناخته شده مقایسه می شود تا مخرب بودن احتمالی آن مشخص گردد. پس از این ارزیابی، فایل مورد تجزیه و تحلیل جعبه شنی(Sandbox analysis) که از تکنیک های پویا و استاتیک استفاده می کند قرار می گیرد.
تمامی موارد از جمله دسترسی به فایل ها، دسترسی به حافظه و دستکاری رجیستری و فعالیت های شبکه نظارت خواهند شد. علاوه بر این، از ویژگی یادگیری عمیق (Deep learning) برای شناسایی Exploit ها و از ویژگی دیگری بنام CryptoGuard برای شناسایی رفتار باج افزار ها استفاده می شود. این مرحله، از شبکه شما در برابر تهدیدات روز صفر مانند باج افزار و حملات هدفمند(targeted attacks) محافظت می کند.
فایروال سوفوس هنگام اجرا در sandbox به طور مداوم پارامترهای مختلف را برای تشخیص رفتارهای مخرب بالقوه کنترل می کند. این موارد عبارتند از:
Unexpected network activities
Manipulation of the operating system
Attempts to access sensitive data
Self-replication or other typical viral behaviors
این فرآیند تجزیه و تحلیل کامل می تواند چندین دقیقه طول بکشد، به همین دلیل است که ممکن است فرآیند دانلود یک فایل از طریق یک وبسایت یا دانلود یک فایل ضمیمه ایمیل تا 15 دقیقه تاخیر داشته باشد تا تجزیه و تحلیل کامل شود.
علاوه بر تجزیه و تحلیل فنی فایل، SophosLabs Intelix تجزیه و تحلیل شهرت (Reputation) فایل را نیز انجام می دهد. این تجزیه و تحلیل میزان گستردگی فایل را ارزیابی میکند و بررسی میکند چگونه در گذشته توسط سایر راه حل های امنیتی درمان شده است.
در انتها بر اساس نتایج حاصل از تجزیه و تحلیل سندباکس، فایل با دو حالت در فایروال سوفوس مواجه میشود. اگر فایل به عنوان یک فایل امن دسته بندی یا شناخته شود، کاربر می تواند بلافاصله آن را دانلود کند، در غیر این صورت بروسه دانلود فایل متوقف شده و مدیر فایروال سوفوس از تهدید ایجاد شده مطلع خواهد شد. بخاطر داشته باشی، همانطور که در بالا اشاره شد برای کارکرد صحیح این ماژول حتما دستگاه فایروال سوفوس باید دارای لایسنس های معتبر Web Protection و E-Mail Protection باشند.
پس از اتمام و تکمیل تجزیه و تحلیل، گزارش کاملی که نتایج مراحل مختلف تجزیه و تحلیل را خلاصه می کند، تهیه می شود. این گزارش در فایروال سوفوس حاوی اطلاعاتی زیر میباشد:
Download details: شامل اطلاعاتی از منبع فایل، زمان دانلود و کاربرانی که فایل را دانلود کرده اند.
Summary of the analysis: یک مروری کلی از نتایج تجزیه و تحلیل حفاظت از روز صفر (Zero-Day Protection)، طبقه بندی فایل (به عنوان مثال پاک، مشکوک، مخرب) و شرح مختصری از تهدیدات شناسایی شده در فایروال سوفوس میباشد.
Results of the machine learning analysis: جزئیات در مورد تجزیه و تحلیل ویژگی های فایل، ساختار و ترکیبی از ویژگی های فایل ها.
Zero-Day Protection detonation results: اطلاعات مربوط به فعالیت هایی که فایل انجام می دهد، از جمله Screenshot صفحه و جزئیات فرآیندها و فعالیت رجیستری استفاده شده.
Complete file analysis: جزئیات فایل جامع، از جمله امضاها، گواهی های استفاده شده، منابع قابل دسترسی و توابع import/Export
VirusTotal report: تعداد ورودیهای پایگاه داده VirusTotal و تعداد محصولات شناسایی بدافزار فایل را به عنوان یک تهدید شناسایی میکنند.
مدیران شبکه می توانند گزارش های دقیق تجزیه و تحلیل حفاظت از روز صفر را در هر زمان در فایروال سوفوس و در بخش Zeroday Protection مشاهده کنند تا خطر را بهتر درک کنند. همچنین امکان Release فایلها یا پیامهای ایمیل که هنوز در حال تجزیه و تحلیل هستند یا در جایی که خطایی رخ داده است برای کاربران وجود دارد. با این حال، در اینجا توصیه می شود، احتیاط را رعایت کنید. زیرا اشتراک گذاری قبل از تکمیل تجزیه و تحلیل خطر دانلود محتوای مخرب را به همراه دارد.
در صورت هر گونه سوال و مشاوره در خصوص خرید لایسنس Zeroday Protection فایروال سوفوس میتوانید با شماره 91008062 حاصل فرمایید.
شرکت برنا رهپو موفق به انجام پروژه های متعددی در حوزه راه اندازی و نگهداری از فایروال ها و UTM ها گریده است. همچنین این شرکت جهت ارائه خدمات در بالاترین سطح اقدام به اخذ نمایندگی رسمی برندهای معتبری نظیر کسپرسکی، ولیکس، سیفتیکا و … نموده است.
