Une fonctionnalité NDR (Network Detection and Response) intégrée dans un pare-feu, c’est ce que propose la dernière version de Sophos Firewall. (Illustration : Sophos)
Sophos lance une nouvelle version de sa solution Sophos Firewall (v21.5) laquelle intègre désormais Sophos NDR Essentials (Network detection and response) et plusieurs améliorations qui facilitent la gestion quotidienne.
Le point fort de la nouvelle version de Sophos Firewall est l'intégration de Sophos NDR Essentials. L'ajout est gratuit pour tous les clients ayant souscrit une licence XStream Protection pour Sophos Firewall.
Techniquement, cette intégration permet à Sophos Firewall d'utiliser deux moteurs d'IA pour détecter des activités d'attaques chiffrées et des communications tentant d'utiliser des nouveaux noms de domaine, qui n'étaient pas enregistrés auparavant.
NDR Essentials autorise ainsi un délestage du pare-feu pour les tâches les plus lourdes, Sophos Firewall capturant en effet les métadonnées du trafic chiffré TLS et des requêtes DNS. Il envoie ensuite ces informations au NDR dans Sophos Cloud, où les données sont analysées à l'aide des moteurs DGA (Domain Generation Algorithm) et EPA (Encrypted Payload Analysis) boostés à l'IA.
Les détections NDR Essentials sont notées sur une échelle allant de 1 (risque faible) à 10 (risque le plus élevé) et sont renvoyées au pare-feu via l'API dédiée aux flux de menaces, qui fait partie de la capacité de réponse active aux menaces (Active Threat Response) du pare-feu.
Toutes les détections dont le score est supérieur ou égal à 6 seront journalisées, mais seules celles qui atteignent ou dépassent le seuil défini par l'entreprise déclencheront des notifications et seront affichées sous forme d'alertes au niveau du nouveau widget du tableau de bord de Sophos Control Center. Les détections notées moins de 6 peuvent être de faux positifs et ne seront donc pas journalisées.
Une gestion plus intuitive
Autre nouveauté importante, c'est l'ajout d'EntraID (Azure AD) pour authentifier les utilisateurs et implémenter de l'authentification multifacteur pour Sophos Connect et l'accès au portail utilisateur hébergé par le pare-feu. Le VPN s'enrichit aussi d'optimisations au niveau de l'interface utilisateur, de paramétrages plus stricts au niveau des profils IPsec ainsi qu'une prise en charge jusqu'à 3 000 tunnels établis simultanément.
Pour faciliter la gestion quotidienne, l'éditeur a assoupli la délégation du préfixe DHCP améliorant ainsi l'interopérabilité avec certains fournisseurs d'accès internet. De même, le Router Advertisement et le serveur DHCPv6 sont désormais activés par défaut. L'interface d'administration web, quant à elle, s'adapte aux écrans ultra-larges, très exploités dans les salles de surveillance par les administrateurs et experts.
De plus, Sophos a facilité le champ de recherche avec davantage de critères (nom de route, identifiant, objets, valeurs d'objets comme les adresses IP, les domaines et d'autres). Enfin, les règles de pare-feu par défaut et les groupes de règles créés précédemment lors de la configuration d'un nouveau pare-feu ont été supprimés. Seules les règles réseau et les règles MTA par défaut sont fournies dans la configuration initiale.
Suivez-nous