02142621
سوفوس یک NGFW است که علاوه بر فایروال و NAT، IPS، کنترل برنامه و وب، فیلتر محتوا، بازرسی TLS/SSL، SD-WAN، و یکپارچگی با Endpoint (Synchronized Security/Heartbeat) را ارائه میدهد. نتیجه؟ دید بهتر روی ترافیک، خودکارسازی واکنش به تهدید و سادهتر شدن مدیریت.
هستهٔ فایروال با امکانات پایه فعال است، اما برای امنیت کامل معمولاً بستههایی مثل Network/IPS، Web Protection، Zero-day/Sandbox و ابزارهای مدیریت مرکزی/خودکارسازی نیاز میشود. برای سازمانهای کوچک، یک باندل امنیتی یکجا مقرونبهصرفه است؛ در شبکههای حساس، Zero-day و گزارشگیری مرکزی را هم اضافه کنید.
میتوانید بهصورت Routed/NAT (جایگزین روتر)، Transparent/L2 Bridge (بدون تغییر آدرسدهی موجود)، TAP برای مانیتورینگ، و HA (Active-Passive/Active-Active) برای افزونگی پیادهسازی کنید. SD-WAN هم برای چند لینک اینترنت و مسیردهی هوشمند در دسترس است.
برای Site-to-Site: IPsec (استاندارد و سریع).
برای Remote Access: SSL-VPN یا Sophos Connect (IPsec).
احراز هویت را به AD/LDAP/RADIUS وصل کنید و MFA/OTP را اجباری بگذارید. برای کاربران ویندوزی، کلاینت Sophos Connect تجربهٔ سادهتری میدهد.
۱) یک CA بسازید/وارد کنید و گواهی ریشه را با GPO/MDM بین کلاینتها توزیع کنید.
۲) با حالت نظارتی (log only) شروع کنید و خطاهای برنامههای certificate pinning را شناسایی کنید.
۳) برای بانکها/اپهای حساس استثنا بگذارید، سپس بازرسی را بهصورت هدفمند و مبتنی بر ریسک فعال کنید.
به اینها نگاه کنید: تعداد کاربران همزمان، پهنایباند WAN، فعال بودن IPS/AV/TLS-inspection/WAF، تعداد تونلهای VPN، و رشد ۱۲–۲۴ ماه آینده. معمولاً ۳۰–۴۰٪ فضای سرِبار در نظر بگیرید تا با فعالسازی بازرسی TLS دچار افت کارایی نشوید. اگر تردید دارید، یک PoC کوتاه با ترافیک واقعی اجرا کنید.
نام تجاری امروز Symantec Endpoint Security (SES) است؛ نسل جدیدی از EPP+EDR با موتور آنتیویروس/ضدبدافزار، رفتارشناسی، IPS، فایروال میزبان، کنترل دستگاه و قابلیتهای کشف و پاسخ. نسخهٔ قدیمیتر با عنوان SEP/SEPM شناخته میشد (مدیریت آنپرم). در SES مدیریت میتواند کلاد، آنپرم یا هیبرید باشد.
بستهها معمولاً از هستهٔ ضدبدافزار+IPS+فایروال+Device Control شروع میشوند و بسته به نیاز، قابلیتهایی مثل EDR/Threat Hunting، Application Control، مدیریت وصلهها و… اضافه میشود. برای سازمانهای کوچک، یک باندل کامل اقتصادیتر است؛ برای سازمانهای حساس، فعالسازی EDR توصیه میشود.
زمانبندی اسکن دورهای در ساعات خلوت + فعالکردن اسکن افزایشی/Cache.
تعریف استثناها برای مسیرهای حساس (پایگاهداده، بکاپ، نرمافزارهای امضامحور).
روشنبودن Tamper Protection و استفاده از Application/Device Control برای بستن مسیرهای رایج حمله از USB و اسکریپتها.
Quarantine/حذف فایل، Isolation دستگاه از شبکه، مشاهدهٔ رویدادها/زنجیرهٔ تهدید، و ایجاد قوانین مسدودسازی (IOC/هش/دامنه/فرآیند). با فعالبودن EDR، تشخیص رفتارهای مشکوک و پاسخ هماهنگ سادهتر میشود.