معرفی امکان جدید NDR Essentials در Sophos Firewall
NDR Essentials قابلیت جدیدی در Sophos Firewall است که با نسخه SFOS v21.5 و سختافزارهای XGS Series معرفی شده و امکان تشخیص تهدیدات پنهان در ترافیک رمزنگاریشده را بدون نیاز به رمزگشایی فراهم میکند. این ماژول با تکیه بر تحلیل ابری و الگوریتمهای هوش مصنوعی (AI/ML)، ارتباطات مشکوک مانند سرورهای C2 و دامنههای DGA را شناسایی کرده و اطلاعات را برای پاسخگویی خودکار از طریق Active Threat Response – به اختصار ATR – به فایروال ارسال میکند.
این قابلیت با وجود تمرکز بر ترافیک عبوری (North-South)، گامی مهم در ارتقای هوش تشخیص فایروالهای Sophos است و فعالسازی آن برای کاربران دارای لیسانس Xstream Protection بدون هزینه اضافی امکانپذیر است.
نیاز استراتژیک به تشخیص و پاسخ شبکه (NDR)
امنیت سایبری مدرن دیگر نمیتواند صرفاً بر رویکردهای دفاع پیرامونی (Perimeter Prevention) تکیه کند. فایروالهای نسل جدید (NGFW) به عنوان خط مقدم دفاعی عمل میکنند، اما مهاجمان ماهر به طور فزایندهای از تکنیکهای پنهانسازی مانند استفاده از ترافیک رمزنگاریشده برای سرور فرماندهی (Command and Control – C2) یا حملات روز-صفر (Zero-day) استفاده میکنند که قادر به دور زدن مکانیسمهای پیشگیری اولیه هستند. به محض اینکه یک تهدید از مرز عبور میکند، سازمان به قابلیتهای تشخیص و پاسخ شبکه (NDR) نیاز دارد تا فعالیتهای غیرعادی، ترافیک جانبی (Lateral Movement)، دستگاههای مدیریتنشده مانند IoT و IT و تهدیدات داخلی که در نقاط کور شبکه پنهان شدهاند را شناسایی کند. NDR با فراهم کردن دیدگاهی جامع به جریان ترافیک، فراتر از دیدگاه نقاط پایانی (Endpoint) و فایروالهای سنتی عمل میکند.
NDR Essentials در فایروال سوفوس
NDR Essentials، “راهکار تشخیص و پاسخ شبکه” ارائه شده توسط سوفوس است که به صورت کاملاً مبتنی بر ابر (Cloud-Hosted) طراحی شده و برای اولین بار مستقیماً با Sophos Firewall XGS Series یکپارچه شده است. این یکپارچگی که با معرفی نسخه SFOS v21.5 محقق شد، سوفوس را به عنوان پیشگام این صنعت معرفی میکند که NDR را با عملکرد یک فایروال نسل جدید ادغام نموده است.
طراحی این ماژول بر اساس یک منطق معماری هوشمندانه صورت گرفته است. تحلیل ترافیک شبکه، بهویژه با استفاده از الگوریتمهای پیشرفته یادگیری ماشین، به منابع پردازشی بسیار بالایی نیاز دارد. اگر این تحلیلهای سنگین مستقیماً روی سختافزار فایروال اجرا شوند، توان عملیاتی (Throughput) و عملکرد اصلی فایروال در پردازش بستهها بهشدت کاهش مییابد. سوفوس با اتخاذ رویکردی نوآورانه، فرآیند پردازش سنگین تحلیل AI را به Sophos Cloud منتقل کرده است. این استراتژی تضمین میکند که قابلیتهای تشخیص پیشرفته NDR Essentials بدون تحمیل بار اضافی بر سختافزار XGS Series فعال شود و عملکرد اصلی فایروال در بالاترین سطح خود باقی بماند.
مکانیسم استخراج داده (Metadata Extraction)
برخلاف راهکارهای کامل NDR که اغلب نیاز به استقرار سنسورهای مجازی یا سختافزاری مجزا در نقاط مختلف شبکه دارند، NDR Essentials از خود فایروال برای جمعآوری دادهها استفاده میکند. فایروالهای XGS Series سوفوس با بهرهگیری از معماری Xstream FastPath، یک موتور سبک وزن را برای استخراج فرادادههای حیاتی (Metadata) از ترافیک عبوری پیادهسازی کردهاند. این فرادادهها شامل اطلاعاتی از ترافیک رمزنگاریشده TLS و درخواستهای DNS است که برای تحلیل به NDR Essentials در Sophos Cloud ارسال میشوند. این فرآیند جمعآوری داده، گام اول برای شناسایی نشانههای آلودگی (IoC) توسط موتورهای هوش مصنوعی ابری است.
قابلیتهای تشخیص تهدید (Detection Capabilities)
NDR Essentials بر شناسایی تهدیداتی تمرکز دارد که بهطور خاص از طریق رمزنگاری یا تکنیکهای پویا، از دید فایروالهای سنتی دور میمانند.
تحلیل پیشرفته ترافیک رمزنگاریشده بدون رمزگشایی (Encrypted Payload Analysis)
قابلیت کلیدی NDR Essentials توانایی آن در تحلیل محتوای رمزنگاریشده بدون نیاز به شکستن یا رمزگشایی ترافیک SSL/TLS (حملات Man-in-the-Middle) است. این موضوع یک مزیت عمده محسوب میشود زیرا بسیاری از سازمانها به دلایل حفظ حریم خصوصی یا چالشهای فنی در مدیریت گواهینامهها، قابلیت بازرسی HTTPS را فعال نمیکنند. تحقیقات نشان میدهد که اکثر ترافیک اینترنت امروز رمزنگاری شده است، و عدم توانایی در بازرسی آن، یک نقطه کور امنیتی بزرگ ایجاد میکند.
NDR Essentials با استفاده از الگوریتمهای یادگیری ماشین پیشرفته، الگوهای جریان ترافیک را تحلیل میکند. این الگوها شامل بررسی حجم داده (Session Size)، جهت ترافیک (Direction) و فواصل زمانی بین بستهها (Interarrival Times) هستند. این مکانیسم قادر است سرورهای فرماندهی مخرب و انواع جدید خانوادههای بدافزاری (Zero-Day C2 Servers) را که از رمزنگاری برای پنهان شدن استفاده میکنند، شناسایی کند.
تشخیص الگوریتمهای تولید دامنه (Domain Generation Algorithm – DGA)
یکی از تکنیکهای رایج در باتنتهای پیشرفته، استفاده از الگوریتمهای تولید دامنه (DGA) است. این الگوریتمها بهطور پویا دامنههای مخرب را تولید میکنند تا از مسدودسازی ساده توسط لیستهای سیاه استاتیک (Blacklist) جلوگیری شود.
NDR Essentials با تحلیل درخواستهای DNS ارسالی از طریق فایروال و شناسایی الگوهای تصادفی یا غیرعادی در دامنههای درخواست شده، تلاشهای ارتباطی مبتنی بر DGA را تشخیص میدهد. این توانایی بسیار مهم است؛ زیرا در برخی موارد، میتواند دامنههای C2 جدید را حتی قبل از اینکه مهاجمان فرصت ثبت کامل آنها را داشته باشند، شناسایی کند.
شناسایی نشانههای آلودگی (IoC)
پس از تحلیل دادهها در ابر، NDR Essentials نشانههای آلودگی را شناسایی میکند. این ماژول تمرکز اصلی خود را بر شناسایی دو نوع IoC قرار داده است: نشانیهای IP و دامنههای مشکوک. هر IoC شناساییشده دارای یک نمره تهدید (Threat Score) است که سطح ریسک را تعیین میکند و سپس این اطلاعات در لاگهای تهدید فایروال ثبت میشود.
تفاوتهای کلیدی با Sophos NDR
NDR Essentials، همانطور که از نامش پیداست، یک نسخه “پایه” و محدود از قابلیتهای Sophos NDR است. راهکار کامل Sophos NDR، برای دیدبانی عمیقتر و جامعتر از کل شبکه طراحی شده است و از پنج موتور تشخیص مستقل بهره میبرد.
در حالی که NDR Essentials بر ترافیک عبوری از فایروال (North-South) و تشخیص C2 متمرکز است، Sophos NDR با استفاده از سنسورهای درون شبکهای، دید کاملتری نسبت به حرکت جانبی (East-West Traffic)، دستگاههای سرکش، تهدیدات داخلی و ناهنجاریهای عمیقتری که فراتر از فرادادههای فایروال هستند، فراهم میکند. NDR Essentials یک ابزار قدرتمند تقویتکننده برای فایروال است، اما جایگزین راهکار جامع Sophos NDR نمیشود که برای شکار تهدیدات عمیق و پاسخگویی مدیریتی ۲۴/۷ طراحی شده است.
جدول زیر، تفاوتهای ساختاری بین NDR Essentials و راهکار کامل Sophos NDR را نشان میدهد:
| ویژگی/قابلیت | Sophos NDR (بخشی از Sophos MDR) | Sophos Firewall NDR Essentials |
| معماری استقرار | سنسور درون شبکه Virtual/Hardware | دادهها از فایروال استخراج میشود |
| تمرکز ترافیک | North-South ،East-West ، ترافیک داخلی شبکه | North-South ، ورودی/خروجی فایروال |
| تعداد موتور تشخیص |
۵ موتور مستقل تشخیص Data Detection, DPI |
زیرمجموعهای متمرکز بر DGA و Encrypted Payload |
| قابلیت Deep Packet Inspection (DPI) | استفاده از IoCهای شناختهشده در ترافیک رمزنگارینشده | فقط استخراج فراداده |
| هدف اصلی | شناسایی داراییهای سرکش، دستگاههای مدیریتنشده و تهدیدات داخل شبکه | تقویت Active Threat Response فایروال |
یکپارچهسازی با پاسخگویی تهدید خودکار (Active Threat Response)
NDR Essentials یک قابلیت تشخیص بسیار پیشرفته است که هدف اصلی آن، تأمین هوش تهدید (Threat Intelligence) برای سیستم پاسخگویی به تهدیدات فایروال (Active Threat Response) است.
مکانیزم تبدیل تشخیص به اقدام (Threat Feeds)
فرآیند پاسخگویی خودکار توسط یک حلقه بسته و خودکار انجام میشود:
1- تشخیص در Sophos Cloud: فرادادههای ارسال شده توسط XGS Firewall توسط NDR Essentials در Cloud تحلیل میشوند.
2- تولید خوراک تهدید: در صورت شناسایی یک IoC یا دامنه با امتیاز تهدید بالا، NDR Essentials آن را در قالب یک خوراک تهدید (Threat Feed) پویا در Sophos Central قرار میدهد.
3- ارسال به فایروال: این خوراک تهدید بهطور خودکار و از طریق API به Sophos Firewall ارسال میشود و در ماژول Active Threat Response فایروال یکپارچه میگردد.
4- اجرای مسدودسازی: ماژول ATR فایروال از این هوش تهدید برای شناسایی و مسدودسازی آنی ترافیک مرتبط با IoC مخرب استفاده میکند. این فرآیند زمان پاسخگویی به تهدیدات فعال را از ساعتها یا دقایق به چند ثانیه کاهش میدهد.
همافزایی و همگامسازی امنیتی (Synchronized Security)
دادههای تشخیص NDR Essentials به مخزن دادههای (Data Lake) مربوط به Sophos Central اضافه میشوند. این ذخیره داده، عمق تحقیقات لازم را برای تحلیلگران MDR یا محققان XDR فراهم میکند تا بتوانند حملات پیچیدهتر را ردیابی و تجزیه و تحلیل کنند. علاوه بر این، سوفوس از طریق قابلیت Synchronized Security، میتواند واکنشهای هماهنگشدهای را اجرا کند. هنگامی که ATR فایروال یک تهدید را شناسایی و مسدود میکند، میتواند با سایر محصولات سوفوس مانند Sophos Endpoint (Intercept X) ارتباط برقرار کرده و اقداماتی نظیر قرنطینه کردن خودکار دستگاه آلوده را برای جلوگیری از حرکت جانبی در شبکه داخلی انجام دهد.
با این حال، باید در نظر داشت که در نسخه اولیه SFOS v21.5، در بخش پیکربندی NDR Essentials ، عملیات (Action) پیشفرض فقط روی ثبت وقایع (Log) تنظیم شده است. این نشان میدهد که قابلیت پاسخگویی خودکار نهایی وابسته به پیکربندی دقیق ماژول ATR فایروال و فعالسازی سیاستهای مسدودسازی است و ماژول NDR Essentials در این مرحله صرفاً منبع تشخیص را تأمین میکند.
الزامات فنی و پیشنیازهای فعالسازی (Prerequisites)
فعالسازی موفقیتآمیز NDR Essentials مستلزم رعایت دقیق الزامات فنی و لیسانسی است که توسط سوفس تعیین شدهاند.
الزامات سختافزاری و نرمافزاری
اولین و مهمترین الزام، پلتفرم سختافزاری است. NDR Essentials، منحصراً برای فایروالهای سختافزاری Sophos XGS Series طراحی شده است.
دلیل این محدودیت، استفاده از قابلیتهای خاص معماری Xstream FastPath در فایروال سوفوس برای استخراج فرادادهها بهطور بهینه است.
- نسخه سیستمعامل: حداقل نسخه سیستمعامل فایروال باید SFOS v21.5 یا بالاتر باشد.
- محدودیتهای استقرار: در نسخه 5، NDR Essentials بر روی فایروالهای مجازی (Virtual)، نرمافزاری (Software) و ابری (Cloud) پشتیبانی نمیشود. این محدودیت باید هنگام طراحی معماری استقرار لحاظ شود.
الزامات لیسانس و محدودیتهای عملیاتی
NDR Essentials، بهعنوان یک قابلیت مجزا فروخته نمیشود، بلکه یک ارزش افزوده استراتژیک محسوب میگردد.
- لیسانس مورد نیاز: برای فعالسازی NDR Essentials، لیسانس Xstream Protection Bundle الزامی است. مزیت قابل توجه این است که این ماژول برای مشتریانی که این باندل را دارند، بدون هزینه اضافی ارائه میشود.
- پلتفرم مدیریت: مدیریت، پیکربندی و مشاهده نتایج تشخیص NDR Essentials از طریق کنسول مدیریتی ابری Sophos Central انجام میشود.
یک محدودیت عملیاتی مهم، محدودیت حجم درخواستهای روزانه است. از آنجا که تحلیلها در Sophos Cloud صورت میگیرد، سوفوس سقف روزانهای برای حجم فرادادهای که فایروال میتواند برای تحلیل ارسال کند، تعیین کرده است. این سقف بر اساس مدل سختافزاری فایروال تعیین میشود. به عنوان مثال، مدلهای با توان عملیاتی بالا مانند XGS 5500 میتوانند تا ۱۸ میلیون درخواست روزانه را پشتیبانی کنند، در حالی که مدلهای کوچکتر ظرفیت کمتری دارند. در شبکههای بسیار بزرگ با حجم ترافیک بالا، این محدودیت ظرفیت باید مورد بررسی قرار گیرد تا از عدم از دست رفتن دادههای تحلیلی اطمینان حاصل شود.
جدول الزامات سختافزاری، نرمافزاری و لیسانس برای NDR Essentials
| نوع پیشنیاز | توضیحات و محدودیتها |
| پلتفرم فایروال | فایروالهای مجازی، ابری یا نرمافزاری پشتیبانی نمیشوند. فقط مدلهای سختافزاری Sophos XGS Series |
| نسخه سیستمعامل | SFOS v21.5 یا بالاتر |
| لیسانس مورد نیاز | Xstream Protection Bundle |
| لیسانس مرتبط توصیهشده | برای پیادهسازی کامل Threat Feeds استفاده از Web Protection و Network Protection توصیه میشود. |
| محل مدیریت | مدیریت، پیکربندی و مشاهده لاگها در محیط Sophos Central |
| محدودیت ظرفیت | محدودیت روزانه درخواست بر اساس مدل فایروال، به عنوان مثال XGS 5500 تا ۱۸ میلیون درخواست در روز |
راهنمای عملیاتی و تنظیمات پیکربندی اولیه
پیکربندی NDR Essentials از طریق کنسول Sophos Central و در بخش Active Threat Response فایروال انجام میشود.
گامهای پیکربندی
فرآیند فعالسازی شامل مراحل زیر است:
1- روشن کردن ماژول: فعالسازی NDR Essentials در بخش Active Threat Response > Configure Threat Feeds
2- انتخاب اینترفیسها: انتخاب اینترفیسهای شبکهای که ترافیک عبوری از آنها جهت استخراج IoCها باید مورد تحلیل قرار گیرد.
3- انتخاب موقعیت دیتا سنتر: انتخاب موقعیت جغرافیایی دیتا سنتر Sophos Cloud که برای تحلیل ترافیک استفاده خواهد شد. سیستم بهطور پیشفرض کمترین تأخیر (Lowest Latency Region) را انتخاب میکند.
4- تعیین حداقل امتیاز ریسک: تنظیم حداقل نمره تهدید (Minimum Threat Score) برای ثبت وقایع (Log) و تشخیص. تنظیم پیشفرض توصیه شده، High risk (Score 9 and 10) است.
5- عملیات پیشفرض: گزینه Action در حال حاضر روی Log threats تنظیم شده است، به این معنی که ماژول تشخیص میدهد و IoC را ثبت میکند، اما مسدودسازی باید توسط ماژول ATR مدیریت شود.
6- تست فعالسازی: پس از اعمال تنظیمات، ضروری است که از ابزارهای داخلی برای تولید تشخیصهای
آزمایشی (Generate Test Detections) استفاده شود تا از اتصال صحیح NDR به Sophos Central و عملکرد درست ماژول اطمینان حاصل گردد.
نحوه بررسی لاگها و شاخصهای تهدید
پس از فعالسازی، NDR Essentials کلیه نشانههای آلودگی شناساییشده را در بخش لاگهای تهدید فایروال ثبت میکند. این لاگها شامل آدرسهای IP و دامنههای مشکوک به همراه امتیاز تهدید و همچنین زمان انقضا (Time to Live) آن IoC است. مدیران میتوانند از این لاگها برای نظارت بر تهدیدات سطح بالا و صحت اجرای سیاستهای پاسخگویی خودکار فایروال استفاده کنند.
تحلیل مزایا و معایب (Pros and Cons Analysis)
ارزیابی NDR Essentials نشان میدهد که این قابلیت یک ابزار با ارزش افزوده استراتژیک برای سازمانهایی است که از فایروالهای XGS Series استفاده میکنند، هرچند دارای محدودیتهایی در مقایسه با راهکارهای NDR کامل است.
مزایا (Advantages)
مزیت اصلی NDR Essentials در تقویت لایه تشخیص در محیطهایی است که رمزنگاری معمولاً کور است.
1- پوشش نقاط کور امنیتی در ترافیک رمزنگاریشده: مهمترین مزیت، توانایی تشخیص ارتباطات C2 و بدافزار در ترافیک HTTPS بدون نیاز به رمزگشایی ترافیک است. این امر یک لایه امنیتی حیاتی را در برابر بدافزارهای مدرن فراهم میکند.
2- حفظ عملکرد فایروال: با انتقال تحلیلهای سنگین AI/ML به Sophos Cloud، توان عملیاتی و کارایی فایروالهای XGS Series به هیچ وجه تحت تأثیر پردازشهای امنیتی پیشرفته قرار نمیگیرد.
3- ارزش افزوده بدون هزینه اضافی: NDR Essentials برای مشتریان دارای لیسانس Xstream Protection کاملاً رایگان ارائه میشود، که بازده سرمایهگذاری را برای این پلتفرم به شکل قابل توجهی افزایش میدهد.
4- کاهش زمان پاسخگویی (ATR): یکپارچگی سریع با Active Threat Response فایروال، امکان مسدودسازی آنی نشانههای آلودگی شناساییشده را فراهم میکند، که در توقف گسترش حملات در فازهای اولیه حیاتی است.
5- تشخیص فعالیتهای روز-صفر: موتورهای DGA و تحلیل Payload رمزنگاریشده، ابزاری مؤثر برای شناسایی تهدیدات پیشرفته و باتنتهای روز-صفر هستند.
معایب و محدودیتها (Limitations/Caveats)
1- محدودیت در عمق تحلیل (Essentials Limitation) : NDR Essentials یک نسخه ساده شده است و فاقد قابلیتهای جامع NDR کامل است. این نسخه موتورهای پیشرفتهای مانند Deep Packet Inspection کامل، Data Detection Engine جامع و Session Risk Analytics را در بر نمیگیرد.
2- عدم پوشش ترافیک داخلی (East-West Visibility): این ماژول عمدتاً بر ترافیک عبوری از فایروال (North-South) تمرکز دارد. برای مشاهده و تحلیل حرکت جانبی بدافزار، تهدیدات داخلی، و دستگاههای سرکش در عمق شبکه سازمان نیاز به استقرار سنسورهای NDR کامل دارد.
3- محدودیت پلتفرم: در نسخه v21.5 تنها بر روی سختافزارهای XGS Series فعال است و از فایروالهای مجازی، ابری یا نرمافزاری پشتیبانی نمیکند.
4- محدودیت ظرفیت درخواست: وجود سقف روزانه برای حجم فرادادهای که میتواند برای تحلیل به Cloud ارسال شود. این محدودیت باید در شبکههایی با حجم ترافیک بسیار بالا مورد توجه قرار گیرد تا از کاهش پوشش تحلیلی جلوگیری شود.
5- عملیات محدود در نسخه اولیه: عملیات پیشفرض ماژول در نسخه ۲۱.۵ صرفاً ثبت وقایع (Log) است و فعالسازی مسدودسازی بهطور کامل وابسته به تنظیمات ATR و سایر قوانین فایروال است.
نتیجهگیری و توصیههای استراتژیک
خلاصه استقرار و دستاوردها
ماژول NDR Essentials نشاندهنده یک گام استراتژیک مهم برای Sophos در راستای ادغام قابلیتهای تشخیص و پاسخ شبکه با قابلیتهای سنتی پیشگیری فایروال است. با انتقال پردازشهای سنگین هوش مصنوعی به ابر، سوفوس توانسته است یک ابزار تشخیص حیاتی را برای شناسایی C2 در ترافیک رمزنگاریشده فراهم آورد، بدون اینکه عملکرد فایروالهای XGS Series تحتالشعاع قرار گیرد. این ماژول یک لایه حفاظتی پیشرفته را برای مشتریان Xstream Protection فعال میسازد.
توصیههای کلیدی معماری (Prescriptive Recommendations)
بر اساس تحلیل انجام شده، توصیههای کلیدی زیر برای برنامهریزی استقرار و ارزیابی معماری امنیتی سازمان ارائه میگردد:
1- اولویتبندی ارتقاء سختافزار (Upgrade Priority): سازمانهایی که هدفشان استفاده کامل از مزایای NDR Essentials است و همچنان از مدلهای قدیمیتر فایروال استفاده میکنند، باید ارتقاء به پلتفرمهای Sophos XGS Series و لیسانس Xstream Protection Bundle را در اولویت قرار دهند.
2- ارزیابی ظرفیت ترافیک: در محیطهای با حجم ترافیک بالا، ضروری است که سقف درخواست روزانه (Daily Query Limit) مدلهای XGS مستقر شده (مانند ۱۸ میلیون درخواست در روز برای مدلهای بزرگ) بررسی شود تا اطمینان حاصل شود که پوشش کامل تحلیل فرادادهها حفظ میشود.
3- برنامهریزی برای دیدبانی گستردهتر (XDR/MDR Planning): NDR Essentials یک ابزار عالی برای تقویت ATR فایروال در مواجهه با تهدیدات North-South و رمزنگاری شده است. با این حال، اگر نیاز سازمان شامل دیدبانی عمیق از تهدیدات داخلی، حرکت جانبی، داراییهای سرکش در شبکه داخلی، و تحقیقات امنیتی جامع است، استقرار راهکار Sophos NDR کامل (که شامل سنسورهای مجزا و موتورهای کامل تشخیص است) باید در نقشه راه امنیتی (Security Roadmap) لحاظ شود.
4- پیادهسازی کامل ATR: پس از فعالسازی NDR Essentials، باید اطمینان حاصل شود که ماژول Active Threat Response در فایروال بهدرستی پیکربندی شده است تا نشانههای آلودگی دریافتشده با امتیاز ریسک بالا را به صورت خودکار مسدود و دستگاههای آلوده را قرنطینه نماید، بدین ترتیب از حالت “فقط ثبت وقایع” فراتر رود.