Sophos [LAB 03] Cấu hình tính năng Zero-day Protection

Q

Quoc Cuong

Moderator
Zero-day (0-day) là các lỗ hổng bảo mật chưa được phát hiện hoặc chưa có bản vá từ nhà cung cấp. Các hacker có thể khai thác những lỗ hổng này để tấn công hệ thống trước khi các biện pháp bảo vệ truyền thống kịp nhận diện và ngăn chặn.

Sophos sử dụng nhiều công nghệ tiên tiến để bảo vệ trước các mối đe dọa zero-day, bao gồm:
- Deep Learning AI:
  • Sophos Intercept X tích hợp AI Machine Learning để phân tích hành vi file và phát hiện mối đe dọa chưa từng thấy trước đó.
  • Không cần chữ ký (signature-less detection), giúp bảo vệ cả những malware mới nhất
- Exploit Prevention
  • Chặn các kỹ thuật khai thác phổ biến mà hacker sử dụng để tấn công lỗ hổng zero-day, như Code Injection, ROP Exploit, API Hijacking.
- Behavioral Analysis (Phân tích hành vi)
  • Giám sát quá trình thực thi ứng dụng, nếu phát hiện hành vi đáng ngờ (ví dụ: ghi mã độc vào bộ nhớ, thực thi script nguy hiểm), Sophos sẽ cách ly ngay lập tức.
- Deep Packet Inspection (DPI) & Sandboxing
  • Sophos Firewall và Intercept X sử dụng DPI để kiểm tra lưu lượng mạng theo thời gian thực.
  • Khi gặp file đáng ngờ, Sophos gửi nó vào Cloud Sandbox để phân tích sâu và xác định xem có phải mã độc hay không.
- Synchronized Security (Bảo mật đồng bộ)
  • Endpoint (Intercept X) và Firewall (XGS) có thể chia sẻ dữ liệu mối đe dọa với nhau để phản ứng nhanh hơn khi phát hiện tấn công zero-day.

Tình huống: Máy tính trong mạng LAN tải file có chứa virus và firewall sophos phát hiện và ngăn chặn
1740809930328.png


Bước 1: Tạo Firewall rule và bật tính năng Zero-day Protection
Truy cập Rule and policies > Firewall rules > Add firewall rule > New firewall rule
1740802683656.png


Rule Name: Điền tên bạn muốn
Action: chọn Accept
Tick chọn Log firewall traffic để xem log match với rule này
Source zone: LAN
Source networks and devices: vlan 3050 (192.168.50.2)
Destination Zones: WAN
Destination networks: Any
Services: Any
1740802983362.png


Web Policy: Allow All
  • Nếu chọn: Cho phép tất cả các trang web mà không có bất kỳ bộ lọc nào.
  • Nếu không chọn (chuyển sang policy khác, ví dụ: Deny All hoặc Restrictive Policy):
    • Hạn chế hoặc chặn truy cập internet theo chính sách đã đặt.
    • Nếu chọn "Deny All", tất cả truy cập web sẽ bị chặn.
Apply web category-based traffic shaping
  • Chọn nếu bạn muốn kiểm soát băng thông theo danh mục website (ví dụ: giới hạn tốc độ tải file từ trang chia sẻ).
  • Nếu không chọn: Không có giới hạn băng thông, mọi trang web sẽ sử dụng tốc độ tối đa.
Block QUIC protocol
  • Chọn nếu bạn muốn chặn giao thức QUIC, buộc Chrome/Edge dùng HTTP/HTTPS thông qua firewall để kiểm soát lưu lượng web tốt hơn.
  • Nếu không chọn: Trình duyệt có thể dùng QUIC (UDP/443), làm giảm khả năng kiểm soát nội dung web.
Scan HTTP and decrypted HTTPS
  • Nếu chọn: Kiểm tra nội dung tất cả trang web (cả HTTP và HTTPS) để phát hiện mã độc.
  • Nếu không chọn: Chỉ lọc được HTTP, các trang HTTPS sẽ không bị quét, có thể bỏ lỡ các mối đe dọa ẩn trong lưu lượng HTTPS. Và không chọn được tính năng Zero-day
Use zero-day protection
  • Nếu chọn: Dùng công nghệ phát hiện mối đe dọa chưa có chữ ký (sandboxing).
  • Nếu không chọn: Chỉ dựa vào chữ ký virus truyền thống, có thể không phát hiện được mã độc mới chưa được cập nhật.
Scan FTP for malware
  • Nếu chọn: Quét tất cả tệp tải xuống qua FTP để phát hiện virus.
  • Nếu không chọn: Các tệp tải xuống từ FTP sẽ không bị kiểm tra, có thể chứa mã độc.
Use web proxy instead of DPI engine
  • Nếu chọn: Chuyển hướng tất cả lưu lượng web qua proxy để kiểm soát nội dung tốt hơn.
  • Nếu không chọn: Dùng DPI (Deep Packet Inspection) để quét trực tiếp mà không qua proxy, giúp hiệu suất nhanh hơn nhưng có thể kém hiệu quả với HTTPS.
Decrypt HTTPS during web proxy filtering
  • Nếu chọn: Giải mã HTTPS để quét nội dung, yêu cầu cài đặt chứng chỉ CA trên máy trạm.
  • Nếu không chọn: Không thể kiểm tra nội dung trang HTTPS, chỉ có thể dựa vào danh mục URL hoặc kiểm tra dựa trên tên miền.
Tích chọn Scan HTTP and decryted HTTPSUse zero-day để sử dụng tính năng
1740803328660.png

Sau đó ấn Save để lưu

Bước 2: Kiểm tra
Bạn có thể truy cập vào các trang test virus như eicar, wicar. Truy cập đường dẫn để tải các file như eicar.com, eicar.com-zip, eicar.com2-zip
1740804327446.png


Để kiểm tra kết quả trên Sophos Firewall chọn Zero-day Protection > Dowloads and Attachments.
Các file test đều có status là Malicious và bị Blocked.
Kêt quả log view của Sophos
1740804186613.png
 

Đính kèm

  • 1740802895330.png
    1740802895330.png
    89.9 KB · Lượt xem: 0
  • 1740804071157.png
    1740804071157.png
    226.7 KB · Lượt xem: 0
  • 1740804290745.png
    1740804290745.png
    19 KB · Lượt xem: 0
Sửa lần cuối:
Bài viết liên quan
[LAB 04] Cấu hình tính năng Security Heartbeat bởi Quoc Cuong,
[LAB 05] Cấu hình tính năng Web Protection bởi Quoc Cuong,
[LAB 02] Cấu hình tính năng IPS bởi Quoc Cuong,
[LAB 08] Cấu hình tính năng Web Protection bởi HanaLink,
[LAB 07] Tích hợp AD và Import OU từ AD bởi HanaLink,
[LAB 06] Reset Secure Storage Master key bởi HanaLink,
Được quan tâm
[LAB 05] Cấu hình tính năng Web Protection bởi Quoc Cuong,
[LAB 04] Cấu hình tính năng Security Heartbeat bởi Quoc Cuong,
[LAB 02] Cấu hình tính năng IPS bởi Quoc Cuong,
Bài viết mới
[LAB 04] Cấu hình tính năng Security Heartbeat bởi Quoc Cuong,
[LAB 05] Cấu hình tính năng Web Protection bởi Quoc Cuong,
[LAB 02] Cấu hình tính năng IPS bởi Quoc Cuong,
[LAB 08] Cấu hình tính năng Web Protection bởi HanaLink,
[LAB 07] Tích hợp AD và Import OU từ AD bởi HanaLink,
[LAB 06] Reset Secure Storage Master key bởi HanaLink,
Bạn phải đăng nhập hoặc đăng ký để bình luận.
Back
Top