Om hoë doeltreffendheid van inligtingsekuriteitsinstrumente te verseker, speel die verbinding van sy komponente 'n belangrike rol. Dit laat jou toe om nie net eksterne, maar ook interne bedreigings te dek. Wanneer 'n netwerkinfrastruktuur ontwerp word, is elke sekuriteitshulpmiddel, hetsy 'n antivirus of 'n firewall, belangrik sodat hulle nie net binne hul klas (Eindpuntsekuriteit of NGFW) funksioneer nie, maar ook die vermoë het om met mekaar te kommunikeer om bedreigings gesamentlik te bekamp. .
'N bietjie teorie
Dit is geen verrassing dat vandag se kubermisdadigers meer entrepreneuries geword het nie. Hulle gebruik 'n reeks netwerktegnologieë om wanware te versprei:
E-pos-uitvissing veroorsaak dat die wanware die drumpel van jou netwerk oorsteek deur bekende aanvalle te gebruik, óf nul-dag-aanvalle gevolg deur voorregte-eskalasie, óf laterale beweging deur die netwerk. As u een besmette toestel het, kan dit beteken dat u netwerk tot voordeel van 'n aanvaller gebruik kan word.
In sommige gevalle, wanneer dit nodig is om die interaksie van inligtingsekuriteitskomponente te verseker, wanneer 'n inligtingsekuriteitsoudit van die huidige toestand van die stelsel uitgevoer word, is dit nie moontlik om dit te beskryf met behulp van 'n enkele stel maatreëls wat onderling verbind is nie. In die meeste gevalle bied baie tegnologie-oplossings wat daarop fokus om 'n spesifieke tipe bedreiging teë te werk nie integrasie met ander tegnologie-oplossings nie. Eindpuntbeskermingsprodukte gebruik byvoorbeeld handtekening- en gedragsanalise om te bepaal of 'n lêer besmet is of nie. Om kwaadwillige verkeer te stop, gebruik brandmure ander tegnologieë, wat webfiltrering, IPS, sandboxing, ens. In die meeste organisasies is hierdie inligtingsekuriteitskomponente egter nie aan mekaar gekoppel nie en werk in isolasie.
Tendense in die implementering van Heartbeat-tegnologie
Die nuwe benadering tot kuberveiligheid behels beskerming op elke vlak, met die oplossings wat op elke vlak gebruik word wat aan mekaar gekoppel is en inligting kan uitruil. Dit lei tot die skepping van Sunchronized Security (SynSec). SynSec verteenwoordig die proses om inligtingsekuriteit as 'n enkele stelsel te verseker. In hierdie geval word elke inligtingsekuriteitskomponent intyds aan mekaar gekoppel. Byvoorbeeld, die oplossing geïmplementeer volgens hierdie beginsel.
Sekuriteit Heartbeat-tegnologie maak kommunikasie tussen sekuriteitskomponente moontlik, wat stelselsamewerking en monitering moontlik maak. IN oplossings van die volgende klasse is geïntegreer:
- - klassieke handtekening-antivirus;
- - gespesialiseerde antivirus vir bedieners;
- - nuwe generasie antivirus (sonder handtekeninge en met kunsmatige intelligensie-tegnologieë);
- — Volgende-generasie firewall;
- — mobiele toestelbestuur en toegangsbeheer tot korporatiewe pos en lêers;
- ;
- - toegangspunte bestuur beide vanaf die wolk en plaaslik via Sophos UTM / Sophos XG;
- - 'n klassieke oplossing vir die filter van webverkeer;
- - wolk / plaaslike anti-spam / antivirus oplossing;
- — die bewusmaking van werknemers, die uitvoer van toets-phishing-posse;
- — oudit van wolkinfrastruktuur.
Dit is maklik om te sien dat Sophos Central 'n redelike wye reeks inligtingsekuriteitsoplossings ondersteun. By Sophos Central is die SynSec-konsep gebaseer op drie belangrike beginsels: opsporing, analise en reaksie. Om hulle in detail te beskryf, sal ons by elkeen van hulle stilstaan.
SynSec konsepte
OPSPEURING (opsporing van onbekende bedreigings)
Sophos-produkte, wat deur Sophos Central bestuur word, deel outomaties inligting met mekaar om risiko's en onbekende bedreigings te identifiseer, wat insluit:
- netwerkverkeeranalise met die vermoë om hoërisikotoepassings en kwaadwillige verkeer te identifiseer;
- opsporing van hoërisiko-gebruikers deur korrelasie-analise van hul aanlyn aksies.
ANALISE (onmiddellik en intuïtief)
Intydse insidentanalise bied onmiddellike begrip van die huidige situasie in die stelsel.
- Wys die volledige ketting van gebeure wat tot die voorval gelei het, insluitend alle lêers, registersleutels, URL's, ens.
ANTWOORD (outomatiese voorvalreaksie)
Die opstel van sekuriteitsbeleide stel jou in staat om binne 'n paar sekondes outomaties op infeksies en voorvalle te reageer. Dit word verseker:
- onmiddellike isolasie van besmette toestelle en die stop van die aanval in reële tyd (selfs binne dieselfde netwerk/uitsaaidomein);
- beperk toegang tot maatskappynetwerkhulpbronne vir toestelle wat nie aan beleide voldoen nie;
- begin 'n toestelskandering op afstand wanneer uitgaande strooipos bespeur word.
Ons het gekyk na die hoofsekuriteitsbeginsels waarop Sophos Central gebaseer is. Kom ons gaan nou oor na 'n beskrywing van hoe SynSec-tegnologie hom in aksie manifesteer.
Van teorie tot praktyk
Kom ons verduidelik eers hoe toestelle interaksie het deur die SynSec-beginsel te gebruik deur Heartbeat-tegnologie te gebruik. Die eerste stap is om Sophos XG by Sophos Central te registreer. Op hierdie stadium ontvang hy 'n sertifikaat vir selfidentifikasie, 'n IP-adres en poort waardeur eindtoestelle met hom sal kommunikeer deur Heartbeat-tegnologie te gebruik, asook 'n lys ID's van eindtoestelle wat deur Sophos Central en hul kliëntsertifikate bestuur word.
Kort nadat Sophos XG-registrasie plaasgevind het, sal Sophos Central inligting na eindpunte stuur om 'n Heartbeat-interaksie te inisieer:
- lys van sertifikaatowerhede wat gebruik word om Sophos XG-sertifikate uit te reik;
- 'n lys toestel-ID's wat by Sophos XG geregistreer is;
- IP-adres en poort vir interaksie met behulp van Heartbeat-tegnologie.
Hierdie inligting word op die rekenaar gestoor in die volgende pad: %ProgramData%SophosHearbeatConfigHeartbeat.xml en word gereeld bygewerk.
Kommunikasie met behulp van Heartbeat-tegnologie word uitgevoer deur die eindpunt wat boodskappe stuur na die magiese IP-adres 52.5.76.173:8347 en terug. Tydens die ontleding is dit aan die lig gebring dat pakkies met 'n tydperk van 15 sekondes gestuur word, soos deur die verkoper gesê. Dit is opmerklik dat Heartbeat-boodskappe direk deur die XG Firewall verwerk word - dit onderskep pakkies en monitor die status van die eindpunt. As jy pakkievaslegging op die gasheer uitvoer, sal die verkeer blykbaar met die eksterne IP-adres kommunikeer, hoewel die eindpunt in werklikheid direk met die XG-brandmuur kommunikeer.
Gestel 'n kwaadwillige toepassing het op een of ander manier op jou rekenaar gekom. Sophos Endpoint bespeur hierdie aanval of ons hou op om Heartbeat vanaf hierdie stelsel te ontvang. 'n Geïnfekteerde toestel stuur outomaties inligting oor die stelsel wat besmet is, wat 'n outomatiese ketting van aksies veroorsaak. XG Firewall isoleer onmiddellik jou rekenaar, wat verhoed dat die aanval versprei en met C&C-bedieners in wisselwerking tree.
Sophos Endpoint verwyder wanware outomaties. Sodra dit verwyder is, sinkroniseer die eindtoestel met Sophos Central, dan herstel XG Firewall toegang tot die netwerk. Worteloorsaak-analise (RCA of EDR - Eindpuntopsporing en -reaksie) laat jou toe om 'n gedetailleerde begrip te kry van wat gebeur het.
As ons aanvaar dat korporatiewe hulpbronne via mobiele toestelle en tablette verkry word, is dit moontlik om SynSec te verskaf?
Sophos Central bied ondersteuning vir hierdie scenario и . Kom ons sê 'n gebruiker probeer sekuriteitsbeleid oortree op 'n mobiele toestel wat met Sophos Mobile beskerm word. Sophos Mobile bespeur 'n sekuriteitsbeleidskending en stuur kennisgewings na die res van die stelsel, wat 'n vooraf-gekonfigureerde reaksie op die voorval veroorsaak. As Sophos Mobile 'n "weier netwerkverbinding"-beleid opgestel het, sal Sophos Wireless netwerktoegang vir hierdie toestel beperk. 'n Kennisgewing sal in die Sophos Central-kontroleskerm onder die Sophos Wireless-oortjie verskyn wat aandui dat die toestel besmet is. Wanneer die gebruiker probeer om toegang tot die netwerk te kry, sal 'n plonsskerm op die skerm verskyn wat hulle inlig dat internettoegang beperk is.
Die eindpunt het verskeie hartklopstatusse: rooi, geel en groen.
Rooi status kom in die volgende gevalle voor:
- aktiewe wanware bespeur;
- 'n poging om wanware te begin is bespeur;
- kwaadwillige netwerkverkeer bespeur;
- die wanware is nie verwyder nie.
'n Geel status beteken dat die eindpunt onaktiewe wanware opgespoor het of 'n PUP (potensieel ongewenste program) bespeur het. 'n Groen status dui aan dat geen van die bogenoemde probleme opgespoor is nie.
Nadat ons na 'n paar klassieke scenario's vir die interaksie van beskermde toestelle met Sophos Central gekyk het, kom ons gaan na 'n beskrywing van die grafiese koppelvlak van die oplossing en 'n oorsig van die hoofinstellings en ondersteunde funksionaliteit.
Grafiese koppelvlak
Die beheerpaneel wys die jongste kennisgewings. 'n Opsomming van die verskillende beskermingskomponente word ook in die vorm van diagramme vertoon. In hierdie geval word opsommende data oor die beskerming van persoonlike rekenaars vertoon. Hierdie paneel verskaf ook opsommende inligting oor pogings om gevaarlike hulpbronne en hulpbronne met onvanpaste inhoud te besoek, en e-posontledingstatistieke.
Sophos Central ondersteun die vertoning van kennisgewings volgens erns, wat verhoed dat die gebruiker kritieke sekuriteitwaarskuwings mis. Benewens 'n bondig vertoonde opsomming van die status van die sekuriteitstelsel, ondersteun Sophos Central gebeurtenisregistrasie en integrasie met SIEM-stelsels. Vir baie maatskappye is Sophos Central 'n platform vir beide interne SOC en vir die verskaffing van dienste aan hul kliënte - MSSP.
Een van die belangrike kenmerke is ondersteuning vir 'n opdateringskas vir eindpuntkliënte. Dit laat jou toe om bandwydte op eksterne verkeer te bespaar, aangesien opdaterings in hierdie geval een keer na een van die eindpuntkliënte afgelaai word, en dan laai ander eindpunte opdaterings daarvan af. Benewens die beskryfde kenmerk, kan die geselekteerde eindpunt sekuriteitsbeleidboodskappe en inligtingverslae na die Sophos-wolk oordra. Hierdie funksie sal nuttig wees as daar eindtoestelle is wat nie direkte toegang tot die internet het nie, maar beskerming benodig. Sophos Central bied 'n opsie (peuterbeskerming) wat die verandering van die rekenaar se sekuriteitsinstellings of die verwydering van die eindpuntagent verbied.
Een van die komponente van eindpuntbeskerming is 'n nuwe generasie antivirus (NGAV) - . Met behulp van diep masjienleertegnologieë kan die antivirus voorheen onbekende bedreigings identifiseer sonder om handtekeninge te gebruik. Die opsporing akkuraatheid is vergelykbaar met handtekening analoë, maar anders as hulle, bied dit proaktiewe beskerming, wat nul-dag aanvalle voorkom. Intercept X is in staat om parallel te werk met handtekening-antivirusse van ander verskaffers.
In hierdie artikel het ons kortliks gepraat oor die SynSec-konsep, wat in Sophos Central geïmplementeer word, sowel as sommige van die vermoëns van hierdie oplossing. Ons sal in die volgende artikels beskryf hoe elk van die sekuriteitskomponente in Sophos Central geïntegreer is. Jy kan 'n demo weergawe van die oplossing kry .
Bron: will.com