Thanh Phương
Intern
Hướng dẫn cấu hình ngăn chặn mã độc bằng Sandboxing (Zero-day protection) trên Sophos Firewall
Mục tiêu: Kích hoạt tính năng Zero-day protection để bảo vệ hệ thống khỏi các mối đe dọa hoàn toàn mới (Zero-day malware) chưa có trong cơ sở dữ liệu nhận diện (Signatures).Nhưng đầu tiên bạn phải import CA của FW vào máy client thì cái này mới hoạt đôbj
Nguyên lý hoạt động: Khi người dùng tải một tệp tin lạ từ Internet, Firewall sẽ tạm giữ tệp tin đó và gửi một bản sao lên môi trường cách ly an toàn trên đám mây (Cloud Sandbox) của SophosLabs. Tại đây, tệp tin sẽ được "kích nổ" và theo dõi hành vi (ví dụ: có cố tình mã hóa ổ cứng hay sửa đổi Registry không). Nếu an toàn, tệp tin được trả về cho người dùng; nếu độc hại, Firewall sẽ chặn đứng kết nối ngay lập tức.
Nhưng bước đầu tiên cho mọi phần security là các bạn phải import cái CA của FW xuống máy client, tham khảo cách làm tại đây
Bước 1: Thiết lập bộ máy phân tích Sandboxing (Global Settings)
Bước đầu tiên là khởi động tính năng và cấu hình máy chủ đám mây tiếp nhận tệp tin phân tích.- Từ menu quản trị bên trái, điều hướng đến Zero-day protection.
- Chọn tab Protection settings.
- Cấu hình các thông số như sau:
- Data center location: Chọn Let Sophos decide (recommended). Tường lửa sẽ tự động đo lường và lựa chọn trung tâm dữ liệu đám mây có tốc độ phản hồi nhanh nhất để tối ưu thời gian chờ của người dùng.
- Exclude file types: Giữ trống (Có thể tải các file nội bộ của bạn để nó không quét).
- Nhấn Apply để lưu cài đặt.
(Lúc này, động cơ phân tích Sandbox đã được bật sẵn sàng, nhưng Firewall chưa biết phải áp dụng nó cho luồng mạng nào).
Bước 2: Áp dụng Sandboxing vào chính sách Firewall (Firewall Rules)
Để Firewall thực sự bắt các tệp tin từ người dùng và ném vào Sandbox, bạn cần gắn tính năng này vào Firewall Rule đang cho phép mạng nội bộ (LAN) truy cập ra Internet (WAN).- Điều hướng đến Rules and policies > Firewall rules.
- Mở Rule đang cấp quyền cho mạng LAN đi Internet (ví dụ: LAN_to_WAN) để chỉnh sửa.
- Cuộn trang xuống phần Security features.
- Tại khu vực kiểm soát Web, thực hiện các yêu cầu bắt buộc sau:
- Đảm bảo tính năng Scan HTTP and decrypted HTTPS đã được tích chọn (Firewall bắt buộc phải bóc tách được luồng mã hóa HTTPS thì mới lấy được tệp tin bên trong ra để phân tích).
- Tích chọn Use Zero-day protection. (Đây là lệnh chỉ định gửi các tệp tin tải về qua luồng web này lên Sandbox).
- Cuộn xuống cuối trang và nhấn Save để hoàn tất.
Bước 3: Nghiệm thu và kiểm tra thực tế (User Experience)
Để kiểm chứng cấu hình đã hoạt động thành công, bạn có thể mô phỏng quá trình tải một tệp tin thực thi (.exe) chưa được biết đến từ mạng LAN:Truy cập vào: https://sophostest.com/
Tải file .exe chưa định danh
- Trình duyệt của máy Client sẽ không tải xong tệp tin ngay lập tức. Thay vào đó, nó sẽ bị tạm giữ và Firewall hiển thị một trang chờ (Patient Page) với thông báo.
- Quản trị viên có thể vào tường lửa, mở menu Zero-day protection > tab Downloads and attachments để theo dõi tiến trình tệp tin đang được xử lý trên đám mây.
- Kết quả trả về:
- Nếu Sophos phân tích tệp tin là An toàn (Clean): Trình duyệt tự động tiếp tục quá trình tải xuống.
- Nếu tệp tin là Mã độc (Malicious): Tường lửa hiển thị trang cảnh báo và ngắt hoàn toàn tệp tin khỏi máy tính người dùng. Quản trị viên có thể xem báo cáo chi tiết về các hành vi nguy hiểm mà tệp tin đó đã cố thực hiện trong hộp cát (Sandbox report).
Bài viết liên quan
Được quan tâm
Bài viết mới