Sempre più cybercriminali sfruttano i TLS per nascondere il malware: Sophos risponde con la nuova serie di firewall XGS

Sophos Press Release

Le nuove appliance vengono presentate contestualmente ai risultati della ricerca che evidenzia un sensibile aumento dei cyberattacchi che sfruttano proprio i TLS

Milano, 21 Aprile 2021 – Sophos, leader globale nella sicurezza informatica di ultima generazione, ha presentato le nuove appliance firewall della serie XGS con prestazioni impareggiabili e protezione avanzata contro i cyberattacchi. La nuova serie XGS integra la migliore ispezione Transport Layer Security (TLS) sul mercato, che include il supporto per TLS 1.3 in modo nativo,  fino a cinque volte più veloce degli altri modelli ad oggi disponibili.

"Le appliance Sophos Firewall serie XGS sono l'aggiornamento hardware più significativo che abbiamo mai rilasciato e rappresentano una straordinaria opportunità per il mercato EMEA", ha dichiarato Kevin Isaac, senior vice president di Sophos. "L'ultimo anno ha visto un radicale aumento nel ritmo della trasformazione digitale. I nuovi processi di business digitali sempre più diffusi, uniti alla necessità di supportare la forza lavoro da remoto, hanno inevitabilmente generato nuove aree di rischio ma anche grandi opportunità. Le aziende hanno bisogno di una protezione potente e di ultima generazione che possa garantire protezione quotidiana dalle minacce, come il ransomware e altri malware".

I cybercriminali sempre più spesso sfruttano il protocollo TLS per evitare il rilevamento

Nella nuova ricerca condivisa da Sophos, "Nearly Half of Malware Now Use TLS to Conceal Communications,” viene evidenziato un sensibile aumento degli attacchi informatici sferrati usando il protocollo TLS. Con questa tattica sempre più comune e diffusa, i cybercriminali criptano e incapsulano il contenuto delle comunicazioni dannose per evitare il rilevamento mentre effettuano gli attacchi.

Ben il 45% dei malware rilevati da Sophos da gennaio a marzo 2021 ha usato TLS per nascondere le comunicazioni dannose, con una crescita davvero importante se paragonato al dato di inizio 2020 (23%).

Dalla ricerca di Sophos emerge inoltre un significativo aumento nell'uso di TLS per effettuare attacchi ransomware nell'ultimo anno, in particolare con ransomware distribuiti manualmente. La maggior parte del traffico dannoso TLS che Sophos ha rilevato include malware di compromissione iniziale, come loader, dropper e programmi d’installazione document-based quali BazarLoader, GoDrop e ZLoader.

"Il protocollo TLS ha indubbiamente migliorato la privacy delle comunicazioni Internet, ma nonostante abbia apportato benefici, ha anche reso molto più facile per gli aggressori scaricare e installare moduli dannosi ed esfiltrare dati rubati, proprio sotto gli occhi dei team di sicurezza IT ed eludendo la maggior parte delle tecnologie di sicurezza", ha spiegato Schiappa. "I cybercriminali stanno approfittando dei servizi web e cloud protetti da TLS per diffondere malware e per la gestione e il controllo dell’attacco. Il loro malware iniziale rappresenta solo la prima fase della creazione di un attacco più complesso, poiché si stanno preparando per portare a termine l’attacco vero e proprio, che include il ransomware".

Protezione dalle minacce più veloce

Grazie all'architettura Xstream di Sophos Firewall, le appliance della serie XGS offrono la migliore protezione contro le minacce zero-day del settore, identificando e bloccando anche gli attacchi più complessi, come i ransomware. La protezione è garantita da potenti funzionalità di threat intelligence, disponibili esclusivamente attraverso SophosLabs Intelix e basate su petabyte di dati relativi alle minacce raccolte nel tempo dagli esperti dei SophosLabs. I file sospetti vengono “detonati” in sicurezza negli ambienti virtuali di SophosLabs Intelix e sottoposti a un'analisi statica approfondita per ampliare e arricchire ulteriormente il raggio di rilevamento delle minacce e raccolta di informazioni.

I nuovi flow processor Xstream all'interno delle appliance accelerano automaticamente il traffico considerato affidabile, tra cui il traffico SaaS, quello SD-WAN e quello delle applicazioni cloud, riservando la massima potenza di calcolo per il traffico che richiede TLS e deep packet inspection. Ciò riduce notevolmente la latenza e migliora le prestazioni complessive di importanti applicazioni aziendali, in particolare per quelle che utilizzano dati in tempo reale. Inoltre, è possibile programmare i flow processor Xstream tramite software, consentendo a Sophos di scaricare ulteriore traffico anche in futuro. Oltre alla flessibilità di migliorare e adattare la connettività sull'hardware stesso, questo protegge l'investimento hardware dei clienti per tutto il suo ciclo di vita, proteggendo al contempo il loro business.

Sophos fornisce una visibilità unica e intuitiva del dashboard del traffico TLS e di eventuali problemi di ispezione, e gli amministratori della sicurezza possono, con un click, aggiungere eccezioni per i flussi che presentano problemi. Inoltre, le prestazioni sono ottimizzate out of the box con un ampio set di regole che vengono aggiornate e mantenute da SophosLabs per escludere il traffico sicuro dall'ispezione. 

Le appliance e il firmware di Sophos Firewall XGS Series sono facilmente gestibili sulla piattaforma Sophos Central in cloud, così come avviene per l’intera gamma di soluzioni di cybersecurity di ultima generazione di Sophos, che condividono le informazioni sulle minacce e rispondono automaticamente ai problemi di sicurezza attraverso l'esclusivo approccio di sicurezza sincronizzata.
L'integrazione con Sophos Managed Threat Response (MTR) aumenta ulteriormente la protezione con l'analisi da parte di un team di esperti per il rilevamento e la risposta alle minacce 24 ore su 24 e 7 giorni su 7.

Disponibilità

Sophos Firewall XGS Series desktop e la maggior parte delle appliance 1U rackmount sono disponibili per l'acquisto immediato esclusivamente attraverso il canale global Sophos che include oltre 53.000 partner e Managed Service Provider (MSP). Questi modelli sono ideali per le piccole e medie imprese e per le aziende multisede e si pongono come soluzione di sicurezza di rete all-in-one con un ottimo rapporto prezzo/prestazioni e diverse opzioni di connettività add-on. Inoltre, saranno disponibili ulteriori modelli progettati per ambienti edge aziendali che richiedono il massimo throughput per configurazioni di rete più complesse. Le licenze semplificate includono la protezione in bundle con supporto avanzato per una protezione eccellente e il massimo valore.

"Le appliance firewall si stanno evolvendo per rispondere alla nuove esigenze di sicurezza degli utenti, come quelle a livello cloud o quelle generate dal massivo ricorso allo smart working” commenta Frank Dickson, program vice president di IDC. "La raffinatezza dell’approccio dell'architettura a doppio processore Xstream di Sophos Firewall consiste nella sua capacità di accelerare il traffico considerato attendibile dei cosiddetti "flussi elefantiaci" - grandi flussi multimediali, traffico VoIP e persino applicazioni cloud – “per poi sfruttare la CPU general purpose al fine di eseguire i processi ad alta intensità di risorse, come la deep packet inspection e l'ispezione TLS. Il risultato è un'appliance di rete flessibile, progettata per fornire protezione soddisfacendo al contempo le esigenze di business in costante evoluzione”.

Informazioni su Sophos

Sophos è leader mondiale nella cybersecurity next-gen e protegge più di 400.000 organizzazioni di tutte le dimensioni in oltre 150 paesi, difendendone i sistemi contro le minacce informatiche più avanzate. Le soluzioni Sophos sono realizzate per il cloud e ottimizzate con intelligenza artificiale. Si basano sulle tecnologie dei SophosLabs (il nostro team internazionale di esperti di data science e di intelligence sulle minacce) e proteggono endpoint (laptop, server e dispositivi mobili) e reti contro tecniche di attacco in continua evoluzione, che includono: ransomware, malware, exploit, esfiltrazione dei dati, tentativi di violazione per mezzo di active adversary, phishing e molto altro ancora. Sophos Central, una piattaforma di gestione nativa del cloud, integra l’intera gamma di prodotti Sophos di prossima generazione, inclusa la soluzione endpoint Intercept X e il firewall next-gen XG, in un unico sistema di “Synchronized Security”, accessibile per mezzo di un set di API. Da tempo Sophos si dedica a implementare una transizione verso la cybersecurity next-gen, sfruttando opzioni cloud avanzate, machine learning, API, automazione, risposta gestita alle minacce e molte altre funzionalità, al fine garantire una protezione di classe enterprise per le aziende di tutte le dimensioni. Sophos vende i propri prodotti e servizi utilizzando esclusivamente un canale globale di oltre 53.000 Partner e Managed Service Provider (MSP). Inoltre, Sophos mette le proprie tecnologie a disposizione dei consumatori tramite Sophos Home. L’azienda ha sede centrale a Oxford, nel Regno Unito. Ulteriori informazioni sono disponibile alla pagina www.sophos.it.