Для забеспячэння высокай эфектыўнасці сродкаў інфармацыйнай бяспекі вялікую ролю іграе сувязь яе кампанентаў. Яна дазваляе перакрыць не толькі вонкавыя, але і ўнутраныя пагрозы. Пры праектаванні сеткавай інфраструктуры важнае значэнне мае кожны сродак абароны, няхай гэта будзе антывірус ці firewall, каб яны функцыянавалі не толькі ў рамках свайго класа (Endpoint security ці NGFW), але і валодалі магчымасцю ўзаемадзейнічаць паміж сабой для сумеснай барацьбы з пагрозамі.
крыху тэорыі
Нядзіўна, што цяперашнія кіберзлачынцы сталі больш прадпрымальнымі. Для распаўсюджвання шкоднасных праграм яны ўжываюць цэлы шэраг сеткавых тэхналогій:
Фішынгавае рассыланне па электроннай пошце прыводзіць да таго, што шкоднасная праграма "пераступае парог" вашай сеткі, выкарыстаючы вядомыя напады, альбо "напады нулявога дня" з наступным падвышэннем прывілеяў, альбо гарызантальнае пасоўванне (lateral movement) па сетцы. Наяўнасць адной заражанай прылады можа азначаць, што ваша сетка можа выкарыстоўвацца ў карыслівых мэтах зламысніка.
У некаторых выпадках, калі неабходна забяспечыць узаемадзеянне кампанентаў ИБ, пры правядзенні аўдыту інфармацыйнай бяспекі бягучага стану сістэмы яе не атрымоўваецца апісаць з дапамогай адзінага комплексу мер, які злучаны паміж сабой. У большасці выпадкаў, многія тэхналагічныя рашэнні, якія факусуюцца на супрацьдзеянні вызначанаму ўвазе пагроз, не прадугледжваюць інтэграцыі з іншымі тэхналагічнымі рашэннямі. Напрыклад, прадукты для абароны канчатковых прылад выкарыстоўваюць сігнатурны і паводніцкі аналіз для вызначэння, ці з'яўляецца файл заражаным ці не. Для спынення шкоднаснага трафіку міжсеткавыя экраны выкарыстоўваюць іншыя тэхналогіі, да ліку якіх можна аднесці вэб-фільтраванне, IPS, пясочніцу і г.д. Тым не менш у большасці арганізацый дадзеныя кампаненты забеспячэння інфармацыйнай бяспекі не злучаны сябар з сябрам і працуюць ізалявана.
Тэндэнцыі ў рэалізацыі тэхналогіі Heartbeat
Новы падыход да забеспячэння кібербяспекі мае на ўвазе абарону на кожным узроўні, пры якім рашэнні, якія выкарыстоўваюцца на кожным з іх, звязаны адзін з адным і маюць магчымасць абменьвацца інфармацыяй. Гэта прыводзіць да стварэння сістэмы Sunchronized Security (SynSec). SynSec уяўляе сабой працэс забеспячэння інфармацыйнай бяспекі як адзіную сістэму. У гэтым выпадку кожны кампанент забеспячэння інфармацыйнай бяспекі злучаны сябар з сябрам у рэжыме рэальнага часу. Напрыклад, рашэнне рэалізавана па гэтым прынцыпе.
Тэхналогія Security Heartbeat забяспечвае сувязь паміж кампанентамі бяспекі, забяспечваючы сумеснае функцыянаванне сістэмы і яе маніторынг. У інтэграваныя рашэнні наступных класаў:
- - Класічны сігнатурны антывірус;
- - спецыялізаваны антывірус для сервераў;
- - антывірус новага пакалення (без сігнатур і з тэхналогіямі штучнага інтэлекту);
- - Next-Generation Firewall;
- - кіраванне мабільнымі прыладамі і кантроль доступу да карпаратыўнай пошты і файлаў;
- ;
- - кропкі доступу, якія кіруюцца як з аблокі, так і лакальна праз Sophos UTM / Sophos XG;
- - Класічнае рашэнне для фільтрацыі вэб-трафіку;
- - воблачнае / лакальнае анты-спам / антывірус рашэнне;
- - Павышэння дасведчанасці супрацоўнікаў, правядзенне тэставых фішынгавых рассылак;
- - Аўдыт хмарных інфраструктур.
Няцяжка заўважыць, што Sophos Central падтрымлівае дастаткова шырокі спектр рашэнняў у галіне інфармацыйнай бяспекі. У Sophos Central канцэпцыя SynSec грунтуецца на трох важных прынцыпах: выяўленне, аналіз і рэагаванне. Для падрабязнага іх апісання спынімся на кожным з іх.
Канцэпцыі SynSec
ВЫЯЎЛЕННЕ (выяўленне невядомых пагроз)
Прадукты Sophos пад кіраваннем Sophos Central у аўтаматычным рэжыме дзеляцца інфармацыяй паміж сабой для выяўлення рызык і невядомых пагроз, што ўключае ў сябе:
- аналіз сеткавага трафіку з магчымасцю ідэнтыфікаваць прыкладанні з высокай рызыкай і шкоднасны трафік;
- выяўленне карыстальнікаў з высокай групай рызыкі шляхам карэляцыйнага аналізу іх дзеянняў у сетцы.
АНАЛІЗ (імгненны і інтуітыўны)
Аналіз інцыдэнтаў у рэжыме рэальнага часу забяспечвае імгненнае разуменне бягучай сітуацыі ў сістэме.
- адлюстраванне поўнага ланцужка падзей, якія прывялі да інцыдэнту, уключаючы ўсе файлы, ключы рэестра, URL-адрасы і г.д.
РЭАГАВАННЕ (аўтаматычнае рэагаванне на інцыдэнты)
Настройка палітык бяспекі дазваляе ў аўтаматычным рэжыме за лічаныя секунды рэагаваць на заражэнні і інцыдэнты. Гэта забяспечваецца:
- імгненнай ізаляцыяй заражаных прылад і прыпынкам нападу ў рэжыме рэальнага часу (нават у межах адной сеткі / шырокавяшчальнага дамена);
- абмежаванне доступу да сеткавых рэсурсаў кампаніі для прылад, якія не адказваюць палітыкам;
- выдалены запуск сканавання прылады пры выяўленні выходнага спаму.
Мы разгледзелі галоўныя прынцыпы абароны, на якіх заснавана праца Sophos Central. Цяпер пяройдзем да апісання таго, як тэхналогія SynSec выяўляе сябе ў дзеянні.
Ад тэорыі да практыкі
Для пачатку растлумачым, як усталёўваецца ўзаемадзеянне прылад па прынцыпе SynSec з дапамогай тэхналогіі Heartbeat. Першы этап заключаецца ў рэгістрацыі Sophos XG у Sophos Central. На гэтым этапе ён атрымлівае сертыфікат для самаідэнтыфікацыі, IP адрас і порт, праз які канчатковыя прылады будуць узаемадзейнічаць з ім па тэхналогіі Heartbeat, а таксама спіс ID канчатковых прылад, якія кіруюцца праз Sophos Central і іх кліенцкіх сертыфікатаў.
Неўзабаве пасля таго, як адбудзецца рэгістрацыя Sophos XG, Sophos Central перадасць канчатковым прыладам інфармацыю для ініцыявання ўзаемадзеяння па тэхналогіі Heartbeat:
- спіс цэнтраў сертыфікацыі, якія выкарыстоўваюцца для выпуску сертыфікатаў Sophos XG;
- спіс ID прылад, якія зарэгістраваны ў Sophos XG;
- IP адрас і порт для ўзаемадзеяння па тэхналогіі Heartbeat.
Дадзеная інфармацыя захоўваецца ў кампутары па наступным шляху: %ProgramData%SophosHearbeatConfigHeartbeat.xml і рэгулярна абнаўляецца.
Камунікацыя па тэхналогіі Heartbeat ажыццяўляецца з дапамогай адпраўкі канчатковай кропкай паведамленняў на magic IP адрас 52.5.76.173:8347 і назад. У ходзе аналізу было выяўлена, што пакеты адпраўляюцца з перыядам 15 секунд, як і заяўлена вендарам. Варта адзначыць, што паведамленні Heartbeat апрацоўваюцца непасрэдна XG Firewall – ён перахапляе пакеты і адсочвае статус канчатковай кропкі. Калі выканаць захоп пакетаў на хасце, то рух трафіку будзе падобна на камунікацыю з вонкавым IP-адрасам, хоць насамрэч канчатковая кропка ўзаемадзейнічае з міжсеткавым экранам XG напроста.
Хай на кампутар нейкім чынам патрапіла шкоднаснае прыкладанне. Sophos Endpoint выяўляе гэтую атаку ці мы перастаем атрымліваць Heartbeat ад гэтай сістэмы. Заражаная прылада аўтаматычна рассылае звесткі аб заражэнні сістэмы, выклікаючы аўтаматычны ланцужок дзеянняў. XG Firewall імгненна ізалюе кампутар, прадухіляючы распаўсюджванне нападу і ўзаемадзеянне c C&C серверамі.
Sophos Endpoint аўтаматычна выдаляе шкоднаснае ПЗ. Пасля яго выдалення канчатковая прылада сінхранізуецца з Sophos Central, затым XG Firewall аднаўляе доступ да сеткі. Аналіз каранёвых прычын (Root Cause Analysis - RCA або EDR - Endpoint Detection and Responce) дазваляе атрымаць дэталёвае ўяўленне аб тым, што адбылося.
Калі выказаць здагадку, што доступ да карпаратыўных рэсурсаў ажыццяўляецца з дапамогай мабільных прылад і планшэтаў, ці можна ў гэтым выпадку забяспечыць SynSec?
Для такога сцэнара ў Sophos Central прадугледжана падтрымка и . Выкажам здагадку, што карыстач спрабуе парушыць палітыку бяспекі на мабільным прыладзе, абароненым з дапамогай Sophos Mobile. Sophos Mobile выяўляе парушэнне палітыкі бяспекі і рассылае апавяшчэнні па астатніх кампанентах сістэмы, выклікаючы загадзя наладжаную рэакцыю на інцыдэнт. Калі ў Sophos Mobile настроена палітыкі "забараніць падключэнне па сетцы", то Sophos Wireless абмяжуе доступ у сетку для дадзенай прылады. На панэлі прылад Sophos Central на ўкладцы Sophos Wireless адлюструецца апавяшчэнне, аб тым, што прылада заражана. У той час, калі карыстач паспрабуе атрымаць доступ да сеткі, на экране з'явіцца застаўка, якая паведамляе, што доступ да інтэрнэту абмежаваны.
Канчатковая кропка мае некалькі статутаў стану Heartbeat: чырвоны, жоўты і зялёны.
Чырвоны статус узнікае ў наступных выпадках:
- выяўлена актыўнае шкоднаснае ПЗ;
- выяўленая спроба запуску шкоднаснага ПЗ;
- выяўлены шкоднасны сеткавы трафік;
- шкоднаснае ПЗ не было выдаленае.
Жоўты статус азначае, што на канцавым пункце выяўлена неактыўнае шкоднаснае ПЗ або выяўлена ПНП (патэнцыйна непажаданая праграма). Зялёны статус сведчыць аб тым, што ніякіх вышэйпералічаных праблем не выяўлена.
Разгледзеўшы некаторыя класічныя сцэнары ўзаемадзеяння якія абараняюцца прылад з Sophos Central, пяройдзем да апісання графічнага інтэрфейсу рашэння і разгляду асноўных налад і падтрымоўванага функцыяналу.
графічны інтэрфейс
На панэлі кіравання адлюстроўваюцца апошнія апавяшчэнні. Таксама ў выглядзе дыяграм адлюстравана зводная характарыстыка па розных кампанентах абароны. У дадзеным выпадку адлюстроўваюцца зводныя дадзеныя па абароне персанальных кампутараў. На дадзенай панэлі таксама даступна зводная інфармацыя аб спробах наведвання небяспечных рэсурсаў і рэсурсаў з непрымальным зместам, статыстыка аналізу электроннай пошты.
Sophos Central падтрымлівае адлюстраванне апавяшчэнняў па ступені важнасці, што не дазволіць карыстачу прапусціць крытычныя абвесткі сістэмы бяспекі. Акрамя лаканічна якая адлюстроўваецца зводнай інфармацыі аб стане сістэмы абароны, Sophos Central падтрымлівае лагіраванне падзей, інтэграцыю з SIEM-сістэмамі. Sophos Central для многіх кампаній з'яўляецца платформай як для ўнутранага SOC, так і для аказання паслуг сваім заказчыкам – MSSP.
Адной з важных асаблівасцяў з'яўляецца падтрымка кэша абнаўленняў для endpoint-кліентаў. Гэта дазваляе эканоміць прапускную здольнасць вонкавага трафіку, паколькі ў гэтым выпадку абнаўлення загружаюцца адзін раз на адзін з endpoint-кліентаў, а далей іншыя канчатковыя прылады загружаюць абнаўленні з яго. У дадатак апісанай магчымасці абраны endpoint можа рэтрансляваць паведамленні аб палітыках бяспекі і інфармацыйныя справаздачы ў воблака Sophos. Дадзеная функцыя будзе карысная, калі маюцца канчатковыя прылады, якія не маюць прамога доступу ў інтэрнэт, але патрабуюць абароны. У Sophos Central прадугледжана опцыя (tamper protection), якая забараняе змяняць налады абароны кампутара або выдаляць endpoint-агент.
Адным з кампанентаў endpoint-абароны з'яўляецца антывірус новага пакалення (NGAV). . З дапамогай тэхналогій глыбокага машыннага навучання антывірус здольны выяўляць раней невядомыя пагрозы без выкарыстання сігнатур. Дакладнасць выяўлення параўнальная з сігнатурнымі аналагамі, але ў адрозненні ад іх забяспечвае проактивную абарону, прадухіляючы напады "нулявога дня". Intercept X здольны працаваць раўналежна з сігнатурнымі антывірусамі іншых вендараў.
У дадзеным артыкуле мы сцісла распавялі аб канцэпцыі SynSec, якая рэалізаваная ў Sophos Central, а таксама аб некаторых магчымасцях дадзенага рашэння. Пра тое, як функцыянуе кожны з кампанентаў абароны, інтэграваны ў Sophos Central, мы раскажам у наступных артыкулах. Атрымаць дэма-версію рашэння вы можаце .
Крыніца: habr.com