[资安人报导] Sophos 发表 XGS 系列防火墙设备，原生支援 TLS 1.3

Sophos 最新研究：《近一半的恶意软体现在使用 TLS 进行隐匿通讯》，揭露网路犯罪分子在攻击中使用 TLS 的情形激增。攻击者使用越来越流行的策略来加密和封装恶意通讯的内容，以防在进行攻击时被侦测出来。因应此威胁，Sophos 最新 XGS 系列防火墙设备，具有传输层安全性 (TLS) 检查功能，包括原生支援 TLS 1.3。
 
Sophos 产品总监 Dan Schiappa 表示：「Sophos Firewall XGS 系列设备是我们最重要的硬体升级，提供了无与伦比的侦测、保护和速度。安全部门再也不能因为担心影响效能而忽略加密的流量了，因为风险实在太大。我们完全重新设计了 Sophos Firewall 的硬体，以因应当今加密过的网际网路。现在，安全部门能够轻松地检查加密流量，消除过去的盲点，并可以安心操作而不会影响效能。」

越来越多网路犯罪分子使用 TLS 以躲避侦测

事实上，从 2021 年 1 月到 2021 年 3 月，Sophos 侦测到 45% 的恶意软体使用 TLS 隐藏恶意通讯。与 2020 年初 Sophos 报告中的 23% 相比，出现了惊人的成长。过去一年中，Sophos 还发现使用 TLS 进行勒索软体攻击的情况增加了，特别是使用手动部署的勒索软体。Sophos 侦测到的恶意 TLS 流量主要包括初始攻击的恶意软体，例如装载程式、恶意下载程式和文件型的安装程式，如 BazarLoader、GoDrop 和 ZLoader。
 
Schiappa 表示：「毫无疑问，TLS 可以改善网际网路通讯的隐私，但是相对的，攻击者也能更容易地下载和安装恶意模组并传输窃取的资料，而且就在 IT 安全部门和大多数安全技术的眼前。攻击者正在利用受 TLS 保护的 Web 和云端服务来进行恶意软体散布以及命令和控制。初始攻击的恶意软体只不过是先头部队，为随后的主要攻击 (如勒索软体) 建立阵地。」

加速威胁防护

XGS 系列设备采用 Sophos Firewall 的 Xstream 架构，可提供业界最佳的零时差威胁防护，识别并阻止最进阶的已知和潜在威胁，包括勒索软体。强大的威胁情报可增强保护功能，该情报可由 SophosLabs Intelix 取得 SophosLabs PB 级的威胁资料。可疑档案将被送到 SophosLabs Intelix 虚拟环境中安全引爆，并进行深入的静态分析，以获得更多侦测防护能力和收集情报。

设备中的新型 Xstream 流量处理器可自动加速受信任的流量，例如 软体即服务 (SaaS)、软体定义的广域网路 (SD-WAN) 和云端应用程式，为需要 TLS 和深度封包检查的流量提供最大的扩展能力。藉此可大幅减少延迟，并提高重要业务应用程式的整体效能，尤其是那些使用即时资料的业务应用程式。Xstream 流量处理器是可程式化的，以便 Sophos 可在未来需要时卸载额外的流量。此外，硬体本身增强和经过调整的连线弹性，可进一步保护客户的硬体投资。
 
Sophos 提供直觉仪表板来监看 TLS 流量和检查的问题，安全管理员只要按一下按键就可以将有问题的串流新增到例外项目。SophosLabs 更新并维护了一组丰富的规则集，可直接使用立即最佳化效能，将安全流量排除在检查范围之外。 

Sophos Firewall XGS 系列设备和韧体可由云端型 Sophos Central 平台轻松管理，和其他 Sophos 新一代网路安全解决方案一起运作。这些解决方案会共用威胁情报，并透过 Sophos 独特的同步安全方法自动回应安全事件。与 Sophos Managed Threat Response (MTR) 整合后，可透过人工分析进一步增强对全天候托管式威胁侦测和回应的保护。

IDC 计画副总裁 Frank Dickson 表示：「防火墙设备不断发展，以保护云端和突然大幅转移成远距工作所需的安全。Sophos Firewall Xstream 双处理器架构的优雅之处，在于它能够加速来自所谓「大象流」(大型媒体串流、VoIP 流量，甚至是云端应用程式) 的可信任流量，然后利用通用 CPU 执行适合的资源密集处理序，例如深度封包检查和 TLS 检查。所以它是为一种适应性强的网路设备，在提供保护的同时，仍能满足各种使用案例中不断变化和加速的业务需求。」

原文连结:https://www.informationsecurity.com.tw/article/article_detail.aspx?aid=9177