🚀 Einführung
Als Managed Service Provider (MSP) unterstützen wir kleine und mittlere Unternehmen (KMU) dabei, ihre IT-Sicherheit auf dem neuesten Stand zu halten, ohne dass sie sich selbst tief in komplexe Technologien einarbeiten müssen. Ein zentraler Baustein unseres Angebots sind die Sophos XGS Series Firewalls im MSP-Modell mit der Xstream Protection-Lizenz. Mit der neuen Firmware-Version SFOS v21.5 hat Sophos eine Branchen-Neuheit integriert: Network Detection and Response (NDR) Essentials, die in der Cloud betrieben wird und die Firewall selbst entlastet. In diesem Blogpost zeigen wir, wie unsere MSP-Kunden unmittelbar von dieser neuen NDR-Lösung profitieren und welche weiteren Funktionen in SFOS v21.5 hinzugekommen sind.
🔍 Was ist Network Detection and Response (NDR) Essentials?
Network Detection and Response (NDR) ist ein Ansatz, der darauf abzielt, Angriffe im Netzwerk frühzeitig zu erkennen, indem er den gesamten Datenverkehr analysiert und verdächtige Aktivitäten identifiziert. Herkömmliche Angreifer versuchen oft, Erkennungsmechanismen zu umgehen, bewegen sich jedoch letztlich im Netzwerk oder kommunizieren nach außen, um ihre Ziele zu erreichen. Genau hier setzt NDR an: Sensoren erfassen Metadaten des Netzwerkverkehrs und leiten diese an eine Analyseplattform weiter, die mithilfe von KI-Algorithmen nach Anomalien sucht.
Mit SFOS v21.5 ist Sophos nun weltweit der erste Anbieter, der NDR direkt in eine Next-Generation-Firewall integriert: Die neue NDR Essentials-Lösung läuft in der Sophos Cloud und entlastet die on-premises Firewall, sodass keine Performance-Einbußen entstehen. Die Firewall erfasst Metadaten aus TLS-verschlüsseltem Datenverkehr und DNS-Abfragen und sendet nur diese Informationen an die Cloud, wo mehrere KI-Engines sie auf verdächtige Muster hin analysieren. Dadurch können schädliche verschlüsselte Payloads erkannt werden, ohne die TLS-Verbindung zu entschlüsseln, und neue, unübliche Domainnamen (z. B. durch Algorithmen generierte Domains) werden identifiziert – häufig ein Indikator für Kompromittierungen.
💡 Direkter Nutzen für MSP-Kunden (KMU)
1. 💰 Keine zusätzlichen Kosten und keine Hardware-Aufrüstung
Für unsere MSP-Kunden mit einer Sophos Firewall und der Xstream Protection-Lizenz ist NDR Essentials ohne weitere Lizenzkosten verfügbar. Es ist keine zusätzliche Hardware oder dedizierte Appliance erforderlich. Auch fallen keine Installations- bzw. Aktivierungskosten an. Das bedeutet:
- Kostenersparnis: Keine zusätzlichen Investitionen in NDR-Appliances oder separate Lizenzen.
- Schnelle Bereitstellung: Da NDR in der Cloud gehostet wird, genügt das Aktivieren in der Firewall-Konfiguration – binnen weniger Minuten sind Metadaten-Feeds einsatzbereit.
2. ⚡ Entlastung der Firewall und konstante Performance
NDR-Analysen erfordern üblicherweise erhebliche Rechenleistung, was zu Performance-Einbußen führen kann, wenn sie direkt auf der Firewall ausgeführt werden. Die Sophos-Lösung verlagert diese rechenintensive Arbeit in die Cloud und nutzt eine leichte Metadaten-Engine auf dem Xstream FastPath der XGS-Hardware. Dadurch profitieren unsere KMU-Kunden von:
- Konstanter Durchsatz: Die Firewall-Leistung bleibt stabil, da nur Metadaten übertragen werden.
- Skalierbarkeit: Selbst bei hohem Datenvolumen ist die Firewall nicht ausgebremst.
3. 🔒 Umfassende Erkennungen selbst bei verschlüsseltem Traffic
Viele Angriffe nutzen verschlüsselte Kommunikationskanäle, um sich unbemerkt innerhalb eines Netzwerks zu bewegen oder Daten abzuziehen. Die NDR Essentials-Lösung analysiert Metadaten, um verdächtige, verschlüsselte Payloads aufzuspüren, ohne den Datenstrom zu entschlüsseln. Zusätzlich werden DNS-Metadaten auf neue, unübliche Domains geprüft. Dadurch können wir:
- Zero-Day- und unbekannte Bedrohungen erkennen: KI-Engines identifizieren Anomalien, noch bevor herkömmliche Signatur-basierte Lösungen anschlagen.
- Minimierte False Positives: Durch die Metadatenanalyse auf Cloud-Ebene können Fehlalarme reduziert werden, da die Erkennung durch mehrere KI-Modelle validiert wird.
4. 📊 Zentrales Monitoring über Active Threat Response
NDR Essentials-Ereignisse fließen nahtlos in das Active Threat Response-Dashboard der Sophos Firewall ein. MSPs können somit:
- Verschiedene Bedrohungsfeeds zentral verwalten: NDR Essentials ergänzt vorhandene Threat-Feeds (z. B. Sophos X-Ops, MDR, Drittanbieter).
- Individuelle Risikoschwellen definieren: Erkennungen werden auf einer Skala von 1 (geringes Risiko) bis 10 (hohes Risiko) eingestuft. Kunden legen fest, ab welchem Schwellenwert eine Alert-Meldung im Control Center erscheint (empfohlen: Risikostufe 9 – 10). Alle Erkennungen ≥ 6 werden protokolliert, um Transparenz zu gewährleisten.
- Schnelle Reaktion: Alerts werden sofort angezeigt und können durch automatisierte Reaktionen mit Sophos XDR oder MDR verknüpft werden, um Bedrohungen zu isolieren und zu stoppen.
🆕 Weitere Neuerungen in SFOS v21.5
Neben der NDR-Integration bietet die neue Sophos Firewall-Firmware zahlreiche Verbesserungen, die für unsere MSP-Kunden und deren KMU-Klienten relevant sind. Im Folgenden eine Auswahl:
🔑 1. Remote Access VPN Single Sign-On (SSO)
- Entra ID (Azure AD) Integration: Anwender können sich mit ihren Azure AD-Anmeldedaten am Sophos Connect Client und am VPN-Portal authentifizieren.
- Vereinfachte Benutzererfahrung: Kein separates Setzen von Zugangsdaten mehr – Anwender nutzen gewohnt ihre Unternehmens-Anmeldedaten.
- Cloud-native Integration über OAuth 2.0/OIDC: Bessere Skalierbarkeit und Sicherheit durch moderne Authentifizierungsprotokolle.
🛣️ 2. Verbesserte VPN-Performance und Skalierbarkeit
- Routenbasierte VPNs: Die Kapazität für routenbasierte VPN-Tunnel wurde auf bis zu 3.000 Tunnel erhöht – ideal für wachsende Kundenumgebungen.
- SD-RED-Skalierbarkeit: Bis zu 1.000 Site-to-Site-RED-Tunnel und 650 SD-RED-Geräte werden nun unterstützt.
- Strikte Profildurchsetzung & IP-Lease-Pool-Validierung: Verhindert IP-Konflikte und fehlerhafte Handshakes, reduziert Verbindungsprobleme.
🌐 3. Erweiterte Sophos DNS Protection
- Integriertes Control Center Widget: Anzeigen des Dienststatus direkt in der Firewall-Oberfläche.
- Erweiterte Protokollierung und Benachrichtigungen: Besseres Troubleshooting bei DNS-basierten Angriffen.
- Geführtes Tutorial zur Einrichtung: Schnelle und intuitive Aktivierung von DNS Protection.
🖥️ 4. Optimierte Benutzerfreundlichkeit und Verwaltung
- Anpassbare Tabellenspalten: Viele Konfigurations- und Statusbildschirme (z. B. SD-WAN, NAT, SSL, Hosts) erlauben nun benutzerdefinierte Spaltenbreiten, die für nachfolgende Sitzungen gespeichert werden.
- Erweiterte Freitextsuche: SD-WAN-Routen und ZSL-Regeln können nach Name, ID, Objekten oder Werten (IP-Adressen, Domänen) durchsucht werden, um schneller zu Ergebnissen zu gelangen.
- Neue Standardkonfiguration: Vereinfachtes Setup mit reduzierten, klaren Standard-Firewallregeln – schnellerer Go-Live für neue Installationen.
- Neue, klarere Schriftart: Verbesserte Lesbarkeit und Performance der Benutzeroberfläche.
🔐 5. Zusätzliche Sicherheits- und Leistungsfunktionen
- Echtzeit-Telemetriedaten: Secure-Hash-Validierung wichtiger Betriebssystemdateien erkennt unerwartete Änderungen, um Sicherheitsvorfälle frühzeitig aufzudecken.
- Lockere DHCP-Präfixdelegation: Unterstützung für /48 bis /64 Präfixe, aktiviert RA und DHCPv6-Server standardmäßig, verbessert IPv6-Interoperabilität.
- Path MTU Discovery: Automatische Anpassung der MTU bei TLS-Entschlüsselung, um Fehler mit neuen ML-KEM-Schlüsselaustauschmethoden in Browsern zu vermeiden.
- NAT64 (IPv6-to-IPv4-Traffic): Unterstützt IPv6-Clients, die auf IPv4-Websites zugreifen, sowie IPv4-Upstream-Proxies.
✅ Fazit und Handlungsempfehlung für MSP-Kunden
Die Integration von NDR Essentials in die Sophos XGS Series Firewall mit Xstream Protection-Lizenz ist ein bedeutender Mehrwert, insbesondere für KMU, die sich nicht umfangreich mit Netzwerk-Sicherheitsanalysen auseinandersetzen möchten. Durch die Cloud-basierte NDR-Lösung erhalten unsere Kunden:
- Frühzeitige Erkennung von Bedrohungen, selbst bei verschlüsseltem Traffic.
- Geringer Administrationsaufwand, da keine zusätzlichen Appliances benötigt werden.
- Niedrige Betriebskosten, da NDR Essentials bereits in der bestehenden Lizenz enthalten ist.
- Transparenz und Kontrolle über das Active Threat Response Dashboard.
Zusammen mit den weiteren Neuheiten wie SSO für VPN, optimierter DNS Protection und zahlreichen Usability-Verbesserungen bietet SFOS v21.5 unseren MSP-Kunden eine maßgeschneiderte Sicherheitslösung, die gleichzeitig leistungsstark und einfach zu verwalten ist.
Wir werden die Firmware-Aktualisierung zeitnah durchzuführen und die neuen Features in der Kundenumgebung kostenneutral aktivieren, um den größtmöglichen Schutz und Verwaltungsnutzen bereitzustellen.
Bei Fragen zur Umsetzung oder Unterstützung bei der Konfiguration stehen wir als MSP selbstverständlich jederzeit zur Verfügung. Schützen Sie Ihr Netzwerk jetzt mit den neuesten Sophos-Funktionen und gewährleisten Sie Ihren Mitarbeitern und Kunden maximale Sicherheit und Performance! Getreu unserem Motto – we make IT easy.