İnformasiya təhlükəsizliyi vasitələrinin yüksək effektivliyini təmin etmək üçün onun komponentlərinin əlaqəsi mühüm rol oynayır. Bu, təkcə xarici deyil, həm də daxili təhdidləri əhatə etməyə imkan verir. Şəbəkə infrastrukturunun layihələndirilməsi zamanı hər bir təhlükəsizlik aləti, istər antivirus, istərsə də firewall olsun, vacibdir ki, onlar təkcə öz sinifləri daxilində (Endpoint security və ya NGFW) fəaliyyət göstərməsin, həm də təhdidlərlə birgə mübarizə aparmaq üçün bir-biri ilə qarşılıqlı əlaqə qura bilsinlər. .
Bir az nəzəriyyə
Təəccüblü deyil ki, bu gün kibercinayətkarlar daha çox sahibkarlığa çevriliblər. Zərərli proqramları yaymaq üçün bir sıra şəbəkə texnologiyalarından istifadə edirlər:
E-poçt fişinqi zərərli proqramın məlum hücumlardan istifadə edərək şəbəkənizin astanasını keçməsinə səbəb olur, ya sıfır günlük hücumlar, ardınca imtiyazların yüksəldilməsi və ya şəbəkə vasitəsilə yanal hərəkət. Bir yoluxmuş cihazın olması şəbəkənizin təcavüzkarın xeyrinə istifadə oluna biləcəyi anlamına gələ bilər.
Bəzi hallarda, informasiya təhlükəsizliyi komponentlərinin qarşılıqlı əlaqəsini təmin etmək zərurəti yarandıqda, sistemin cari vəziyyətinin informasiya təhlükəsizliyi auditini apararkən, bir-biri ilə əlaqəli olan vahid tədbirlər kompleksindən istifadə etməklə onu təsvir etmək mümkün olmur. Əksər hallarda, xüsusi bir təhlükə növünə qarşı yönəlmiş bir çox texnoloji həllər digər texnologiya həlləri ilə inteqrasiyanı təmin etmir. Məsələn, son nöqtə mühafizə məhsulları faylın yoluxmuş olub-olmadığını müəyyən etmək üçün imza və davranış analizindən istifadə edir. Zərərli trafiki dayandırmaq üçün firewall digər texnologiyalardan istifadə edir, o cümlədən veb filtrləmə, IPS, sandboxing və s. Lakin əksər təşkilatlarda bu informasiya təhlükəsizliyi komponentləri bir-biri ilə əlaqəli deyil və təcrid olunmuş şəkildə fəaliyyət göstərir.
Heartbeat texnologiyasının tətbiqi tendensiyaları
Kibertəhlükəsizliyə yeni yanaşma, hər səviyyədə istifadə olunan həllərin bir-biri ilə əlaqəli və məlumat mübadiləsi edə bilməsi ilə hər səviyyədə mühafizəni nəzərdə tutur. Bu, Sunchronized Security (SynSec) yaradılmasına gətirib çıxarır. SynSec vahid sistem kimi informasiya təhlükəsizliyinin təmin edilməsi prosesini təmsil edir. Bu zaman hər bir informasiya təhlükəsizliyi komponenti real vaxt rejimində bir-birinə bağlıdır. Məsələn, həll yolu bu prinsip əsasında həyata keçirilir.
Security Heartbeat texnologiyası təhlükəsizlik komponentləri arasında əlaqə yaratmağa imkan verir, sistem əməkdaşlığına və monitorinqinə imkan verir. IN Aşağıdakı siniflərin həlləri inteqrasiya olunur:
- — klassik imza antivirusu;
- — serverlər üçün xüsusi antivirus;
- – yeni nəsil antivirus (imzasız və süni intellekt texnologiyaları ilə);
- — Növbəti Nəsil Firewall;
- — mobil cihazın idarə edilməsi və korporativ poçt və fayllara girişə nəzarət;
- ;
- — həm buluddan, həm də yerli olaraq Sophos UTM / Sophos XG vasitəsilə idarə olunan giriş nöqtələri;
- — veb-trafikin filtrasiyası üçün klassik həll;
- — bulud/yerli anti-spam/antivirus həlli;
- — işçilərin məlumatlılığının artırılması, test fişinq göndərişlərinin aparılması;
- — bulud infrastrukturunun auditi.
Sophos Central-ın kifayət qədər geniş çeşiddə informasiya təhlükəsizliyi həllərini dəstəklədiyini görmək asandır. Sophos Central-da SynSec konsepsiyası üç mühüm prinsipə əsaslanır: aşkarlama, təhlil və cavab. Onları ətraflı təsvir etmək üçün hər biri üzərində dayanacağıq.
SynSec anlayışları
AŞPAQ (naməlum təhlükələrin aşkarlanması)
Sophos Central tərəfindən idarə olunan Sophos məhsulları, riskləri və naməlum təhlükələri müəyyən etmək üçün avtomatik olaraq məlumatları bir-biri ilə paylaşır, bunlara daxildir:
- yüksək riskli proqramları və zərərli trafiki müəyyən etmək imkanı ilə şəbəkə trafikinin təhlili;
- yüksək riskli istifadəçilərin onlayn hərəkətlərinin korrelyasiya təhlili vasitəsilə aşkarlanması.
ANALİZ (ani və intuitiv)
Real vaxtda baş verən hadisələrin təhlili sistemdəki mövcud vəziyyətin dərhal başa düşülməsini təmin edir.
- Bütün fayllar, qeyd dəftəri açarları, URL-lər və s. daxil olmaqla, hadisəyə səbəb olan hadisələrin tam zəncirini göstərir.
CAVAB (avtomatik insident cavabı)
Təhlükəsizlik siyasətlərinin qurulması bir neçə saniyə ərzində infeksiyalara və insidentlərə avtomatik cavab verməyə imkan verir. Bu təmin edilir:
- yoluxmuş cihazların ani izolyasiyası və real vaxt rejimində hücumun dayandırılması (hətta eyni şəbəkə/yayım domeni daxilində);
- siyasətlərə uyğun gəlməyən cihazlar üçün şirkətin şəbəkə resurslarına girişin məhdudlaşdırılması;
- gedən spam aşkar edildikdə cihazın skanını uzaqdan işə salın.
Biz Sophos Central-ın əsaslandığı əsas təhlükəsizlik prinsiplərinə nəzər saldıq. İndi SynSec texnologiyasının fəaliyyətdə özünü necə göstərdiyinin təsvirinə keçək.
Nəzəriyyədən praktikaya
Əvvəlcə Heartbeat texnologiyasından istifadə edərək SynSec prinsipindən istifadə edərək cihazların necə qarşılıqlı əlaqədə olduğunu izah edək. İlk addım Sophos XG-ni Sophos Central-da qeydiyyatdan keçirməkdir. Bu mərhələdə o, özünü identifikasiya üçün sertifikat, Heartbeat texnologiyasından istifadə edərək son cihazların onunla qarşılıqlı əlaqədə olacağı IP ünvanı və portu, həmçinin Sophos Central vasitəsilə idarə olunan son cihazların identifikatorlarının siyahısını və onların müştəri sertifikatlarını alır.
Sophos XG qeydiyyatından qısa müddət sonra, Sophos Central Ürək döyüntüsü ilə qarşılıqlı əlaqə yaratmaq üçün son nöqtələrə məlumat göndərəcək:
- Sophos XG sertifikatlarının verilməsi üçün istifadə edilən sertifikat orqanlarının siyahısı;
- Sophos XG ilə qeydiyyatdan keçmiş cihaz identifikatorlarının siyahısı;
- Heartbeat texnologiyasından istifadə edərək qarşılıqlı əlaqə üçün IP ünvanı və port.
Bu məlumat kompüterdə aşağıdakı yolda saxlanılır: %ProgramData%SophosHearbeatConfigHeartbeat.xml və müntəzəm olaraq yenilənir.
Heartbeat texnologiyasından istifadə etməklə əlaqə 52.5.76.173:8347 və geriyə sehrli IP ünvanına mesajlar göndərən son nöqtə ilə həyata keçirilir. Təhlil zamanı məlum olub ki, paketlər satıcının dediyi kimi 15 saniyə müddətində göndərilir. Qeyd etmək lazımdır ki, Heartbeat mesajları birbaşa XG Firewall tərəfindən emal olunur - o, paketləri kəsir və son nöqtənin vəziyyətinə nəzarət edir. Əgər siz hostda paket ələ keçirsəniz, əslində son nöqtə birbaşa XG firewall ilə əlaqə saxlasa da, trafik xarici IP ünvanı ilə əlaqə saxlamış kimi görünəcək.
Tutaq ki, zərərli proqram bir şəkildə kompüterinizə daxil oldu. Sophos Endpoint bu hücumu aşkar edir və ya biz bu sistemdən Ürək döyüntülərini qəbul etməyi dayandırırıq. Yoluxmuş cihaz avtomatik olaraq sistemə yoluxma haqqında məlumat göndərir və avtomatik hərəkətlər zəncirini işə salır. XG Firewall kompüterinizi dərhal təcrid edir, hücumun yayılmasının və C&C serverləri ilə qarşılıqlı əlaqənin qarşısını alır.
Sophos Endpoint zərərli proqramı avtomatik olaraq silir. O, çıxarıldıqdan sonra son cihaz Sophos Central ilə sinxronlaşır, sonra XG Firewall şəbəkəyə girişi bərpa edir. Kök Səbəb Təhlili (RCA və ya EDR - Son nöqtənin aşkarlanması və cavabı) sizə baş verənləri ətraflı şəkildə başa düşməyə imkan verir.
Korporativ resurslara mobil qurğular və planşetlər vasitəsilə daxil olunduğunu fərz etsək, SynSec-i təmin etmək mümkündürmü?
Sophos Central bu ssenariyə dəstək verir и . Tutaq ki, istifadəçi Sophos Mobile ilə qorunan mobil cihazda təhlükəsizlik siyasətini pozmağa çalışır. Sophos Mobile təhlükəsizlik siyasətinin pozulmasını aşkar edir və sistemin qalan hissəsinə bildirişlər göndərərək, hadisəyə əvvəlcədən konfiqurasiya edilmiş cavabı işə salır. Sophos Mobile-da konfiqurasiya edilmiş “şəbəkə bağlantısını rədd et” siyasəti varsa, Sophos Wireless bu cihaz üçün şəbəkəyə girişi məhdudlaşdıracaq. Sophos Central idarə panelində Sophos Wireless tabının altında cihazın yoluxduğunu göstərən bildiriş görünəcək. İstifadəçi şəbəkəyə daxil olmağa çalışdıqda ekranda İnternetə çıxışın məhdud olduğunu bildirən sıçrayış ekranı görünəcək.
Son nöqtənin bir neçə Heartbeat statusu var: qırmızı, sarı və yaşıl.
Qırmızı vəziyyət aşağıdakı hallarda baş verir:
- aktiv zərərli proqram aşkar edildi;
- zərərli proqramı işə salmaq cəhdi aşkar edildi;
- zərərli şəbəkə trafiki aşkar edildi;
- zərərli proqram silinmədi.
Sarı status son nöqtənin qeyri-aktiv zərərli proqram aşkarladığını və ya PUP (potensial olaraq arzuolunmaz proqram) aşkar etdiyini bildirir. Yaşıl status yuxarıdakı problemlərin heç birinin aşkar edilmədiyini göstərir.
Qorunan cihazların Sophos Central ilə qarşılıqlı əlaqəsi üçün bəzi klassik ssenarilərə baxaraq, həllin qrafik interfeysinin təsvirinə və əsas parametrlərin və dəstəklənən funksionallığın nəzərdən keçirilməsinə keçək.
Qrafik interfeys
İdarəetmə paneli ən son bildirişləri göstərir. Müxtəlif qoruyucu komponentlərin xülasəsi də diaqramlar şəklində göstərilir. Bu halda, fərdi kompüterlərin mühafizəsi haqqında ümumi məlumat göstərilir. Bu panel həm də uyğun olmayan məzmunlu təhlükəli resurslara və resurslara baş çəkmək cəhdləri və e-poçt təhlili statistikası haqqında ümumi məlumat təqdim edir.
Sophos Central, istifadəçinin kritik təhlükəsizlik xəbərdarlıqlarını qaçırmasının qarşısını alaraq, bildirişlərin ciddilik dərəcəsinə görə göstərilməsini dəstəkləyir. Təhlükəsizlik sisteminin vəziyyətinin qısa şəkildə göstərilən xülasəsinə əlavə olaraq, Sophos Central hadisələrin qeydini və SIEM sistemləri ilə inteqrasiyanı dəstəkləyir. Bir çox şirkətlər üçün Sophos Central həm daxili SOC, həm də müştərilərinə xidmət göstərmək üçün platformadır - MSSP.
Vacib xüsusiyyətlərdən biri son nöqtə müştəriləri üçün yeniləmə önbelleğinin dəstəklənməsidir. Bu, xarici trafikdə bant genişliyinə qənaət etməyə imkan verir, çünki bu halda yeniləmələr son nöqtə müştərilərindən birinə bir dəfə endirilir, sonra isə digər son nöqtələr ondan yeniləmələri endirirlər. Təsvir edilən xüsusiyyətə əlavə olaraq, seçilmiş son nöqtə təhlükəsizlik siyasəti mesajlarını və məlumat hesabatlarını Sophos buluduna ötürə bilər. Bu funksiya İnternetə birbaşa çıxışı olmayan, lakin qorunma tələb edən son qurğular olduqda faydalı olacaq. Sophos Central kompüterin təhlükəsizlik parametrlərinin dəyişdirilməsini və ya son nöqtə agentinin silinməsini qadağan edən seçim (təxribatdan qorunma) təmin edir.
Son nöqtə mühafizəsinin komponentlərindən biri yeni nəsil antivirusdur (NGAV) - . Dərin maşın öyrənmə texnologiyalarından istifadə edərək, antivirus əvvəllər naməlum olan təhlükələri imzalardan istifadə etmədən müəyyən edə bilir. Aşkarlama dəqiqliyi imza analoqları ilə müqayisə oluna bilər, lakin onlardan fərqli olaraq, sıfır gün hücumlarının qarşısını alaraq proaktiv qoruma təmin edir. Intercept X digər təchizatçıların imza antivirusları ilə paralel işləməyi bacarır.
Bu yazıda biz Sophos Central-da həyata keçirilən SynSec konsepsiyası, eləcə də bu həllin bəzi imkanları haqqında qısaca danışdıq. Sophos Central-a inteqrasiya olunmuş təhlükəsizlik komponentlərinin hər birinin necə işlədiyini növbəti məqalələrdə təsvir edəcəyik. Həllin demo versiyasını əldə edə bilərsiniz .
Mənbə: www.habr.com