Синхронизирана сигурност в Sophos Central

За да се осигури висока ефективност на средствата за информационна сигурност, свързването на неговите компоненти играе важна роля. Тя ви позволява да покривате не само външни, но и вътрешни заплахи. При проектирането на мрежова инфраструктура всеки инструмент за сигурност, независимо дали е антивирусна или защитна стена, е важен, така че да функционира не само в рамките на своя клас (защита на крайната точка или NGFW), но и да има способността да взаимодейства помежду си, за да се бори съвместно със заплахите .

Малко теория

Не е изненада, че днешните киберпрестъпници са станали по-предприемчиви. Те използват набор от мрежови технологии за разпространение на зловреден софтуер:

Фишингът по имейл кара злонамерения софтуер да премине прага на вашата мрежа, като използва известни атаки, или атаки от нулев ден, последвани от ескалация на привилегии, или странично движение през мрежата. Наличието на едно заразено устройство може да означава, че вашата мрежа може да бъде използвана в полза на нападател.

В някои случаи, когато е необходимо да се осигури взаимодействието на компонентите за информационна сигурност, когато се извършва одит на информационната сигурност на текущото състояние на системата, не е възможно да се опише с помощта на един набор от мерки, които са взаимосвързани. В повечето случаи много технологични решения, които се фокусират върху противодействието на определен тип заплаха, не осигуряват интеграция с други технологични решения. Например продуктите за защита на крайни точки използват сигнатурен и поведенчески анализ, за ​​да определят дали даден файл е заразен или не. За да спрат злонамерен трафик, защитните стени използват други технологии, които включват уеб филтриране, IPS, пясъчник и др. В повечето организации обаче тези компоненти за информационна сигурност не са свързани един с друг и работят изолирано.

Тенденции при внедряването на Heartbeat технологията

Новият подход към киберсигурността включва защита на всяко ниво, като решенията, използвани на всяко ниво, са свързани едно с друго и могат да обменят информация. Това води до създаването на Sunchronized Security (SynSec). SynSec представлява процеса на осигуряване на информационна сигурност като единна система. В този случай всеки компонент за информационна сигурност е свързан един с друг в реално време. Например решението Софос Централ реализирани по този принцип.

Технологията Security Heartbeat позволява комуникация между компонентите за сигурност, позволявайки системно сътрудничество и наблюдение. IN Софос Централ интегрирани са решения от следните класове:

• Защита на крайната точка — антивирус с класически подпис;
• Сървър защита — специализирана антивирусна програма за сървъри;
• Прехващане-X – антивирус от ново поколение (без сигнатури и с технологии за изкуствен интелект);
• Защитна стена Sophos XG — Защитна стена от следващо поколение;
• Управление на мобилността (EMM) — управление на мобилни устройства и контрол на достъпа до корпоративна поща и файлове;
• Защита на данните (шифроване);
• Сигурен Wi-Fi — точки за достъп, управлявани както от облака, така и локално чрез Sophos UTM / Sophos XG;
• Уеб защита — класическо решение за филтриране на уеб трафик;
• Сигурност на електронната поща — облачно/локално антиспам/антивирусно решение;
• Фиш заплаха — повишаване на информираността на служителите, провеждане на тестови фишинг съобщения;
• Cloud Optix — одит на облачни инфраструктури.

Лесно е да се види, че Sophos Central поддържа доста широк набор от решения за информационна сигурност. В Sophos Central концепцията SynSec се основава на три важни принципа: откриване, анализ и отговор. За да ги опишем подробно, ще се спрем на всеки от тях.

Концепции на SynSec

ОТКРИВАНЕ (откриване на неизвестни заплахи)
Продуктите на Sophos, управлявани от Sophos Central, автоматично споделят информация помежду си, за да идентифицират рискове и неизвестни заплахи, което включва:

• анализ на мрежовия трафик с възможност за идентифициране на високорискови приложения и злонамерен трафик;
• откриване на високорискови потребители чрез корелационен анализ на техните онлайн действия.

АНАЛИЗ (мигновено и интуитивно)
Анализът на инциденти в реално време осигурява незабавно разбиране на текущата ситуация в системата.

• Показва пълната верига от събития, довели до инцидента, включително всички файлове, ключове в регистъра, URL адреси и т.н.

ОТГОВОР (автоматична реакция при инцидент)
Настройването на политики за сигурност ви позволява автоматично да реагирате на инфекции и инциденти за няколко секунди. Това се гарантира:

• незабавно изолиране на заразените устройства и спиране на атаката в реално време (дори в рамките на една и съща мрежа/излъчван домейн);
• ограничаване на достъпа до фирмените мрежови ресурси за устройства, които не отговарят на политиките;
• отдалечено стартирайте сканиране на устройството, когато бъде открит изходящ спам.

Разгледахме основните принципи за сигурност, на които се основава Sophos Central. Сега нека да преминем към описание на това как технологията SynSec се проявява в действие.

От теория до практика

Първо, нека обясним как устройствата си взаимодействат, използвайки принципа SynSec, използвайки технологията Heartbeat. Първата стъпка е да регистрирате Sophos XG в Sophos Central. На този етап той получава сертификат за самоидентификация, IP адрес и порт, през които крайните устройства ще взаимодействат с него чрез технологията Heartbeat, както и списък с идентификатори на крайни устройства, управлявани през Sophos Central и техните клиентски сертификати.

Малко след регистрацията на Sophos XG, Sophos Central ще изпрати информация до крайни точки, за да инициира Heartbeat взаимодействие:

• списък на сертифициращите органи, използвани за издаване на сертификати Sophos XG;
• списък с идентификатори на устройства, които са регистрирани в Sophos XG;
• IP адрес и порт за взаимодействие с помощта на технологията Heartbeat.

Тази информация се съхранява на компютъра по следния път: %ProgramData%SophosHearbeatConfigHeartbeat.xml и се актуализира редовно.

Комуникацията с помощта на технологията Heartbeat се осъществява от крайната точка, изпращаща съобщения до магическия IP адрес 52.5.76.173:8347 и обратно. По време на анализа беше разкрито, че пакетите се изпращат с период от 15 секунди, както е посочено от доставчика. Заслужава да се отбележи, че Heartbeat съобщенията се обработват директно от XG Firewall - тя прихваща пакети и следи състоянието на крайната точка. Ако извършите улавяне на пакети на хоста, трафикът ще изглежда, че комуникира с външния IP адрес, въпреки че всъщност крайната точка комуникира директно със защитната стена на XG.

Да предположим, че злонамерено приложение по някакъв начин е попаднало на вашия компютър. Sophos Endpoint открива тази атака или спираме да получаваме Heartbeat от тази система. Заразено устройство автоматично изпраща информация за системата, която е заразена, задействайки автоматична верига от действия. XG Firewall незабавно изолира вашия компютър, предотвратявайки разпространението на атаката и взаимодействието с C&C сървърите.

Sophos Endpoint автоматично премахва зловреден софтуер. След като бъде премахнато, крайното устройство се синхронизира със Sophos Central, след което XG Firewall възстановява достъпа до мрежата. Анализът на основната причина (RCA или EDR - откриване и реакция на крайна точка) ви позволява да получите подробно разбиране на случилото се.

Ако приемем, че корпоративните ресурси са достъпни чрез мобилни устройства и таблети, възможно ли е да се предостави SynSec?

Sophos Central осигурява поддръжка за този сценарий Sophos Mobile и Sophos Wireless. Да приемем, че потребител се опитва да наруши политиката за сигурност на мобилно устройство, защитено със Sophos Mobile. Sophos Mobile открива нарушение на правилата за сигурност и изпраща известия до останалата част от системата, задействайки предварително конфигуриран отговор на инцидента. Ако Sophos Mobile има конфигурирана политика за „отказ на мрежова връзка“, Sophos Wireless ще ограничи достъпа до мрежата за това устройство. В таблото за управление на Sophos Central в раздела Sophos Wireless ще се появи известие, което показва, че устройството е заразено. Когато потребителят се опита да влезе в мрежата, на екрана ще се появи начален екран, който го информира, че достъпът до Интернет е ограничен.

Крайната точка има няколко състояния на Heartbeat: червено, жълто и зелено.
Червен статус възниква в следните случаи:

• открит активен зловреден софтуер;
• открит е опит за стартиране на зловреден софтуер;
• открит злонамерен мрежов трафик;
• зловреден софтуер не е премахнат.

Жълт статус означава, че крайната точка е открила неактивен зловреден софтуер или е открила PUP (потенциално нежелана програма). Зелен статус показва, че не е открит нито един от горните проблеми.

След като разгледахме някои класически сценарии за взаимодействие на защитени устройства със Sophos Central, нека преминем към описание на графичния интерфейс на решението и преглед на основните настройки и поддържаната функционалност.

Графичен интерфейс

Контролният панел показва най-новите известия. Обобщение на различните защитни компоненти също се показва под формата на диаграми. В този случай се показват обобщени данни за защитата на персоналните компютри. Този панел също така предоставя обобщена информация за опитите за посещение на опасни ресурси и ресурси с неподходящо съдържание, както и статистика за анализ на имейли.

Sophos Central поддържа показването на известия по степен на сериозност, като не позволява на потребителя да пропусне критични предупреждения за сигурност. В допълнение към кратко показвано резюме на състоянието на системата за сигурност, Sophos Central поддържа регистриране на събития и интеграция със SIEM системи. За много компании Sophos Central е платформа както за вътрешен SOC, така и за предоставяне на услуги на техните клиенти - MSSP.

Една от важните характеристики е поддръжката на кеш за актуализиране за клиенти на крайни точки. Това ви позволява да спестите честотна лента за външен трафик, тъй като в този случай актуализациите се изтеглят веднъж към един от клиентите на крайната точка, а след това други крайни точки изтеглят актуализации от него. В допълнение към описаната функция, избраната крайна точка може да препраща съобщения за политика за сигурност и информационни отчети към облака на Sophos. Тази функция ще бъде полезна, ако има крайни устройства, които нямат директен достъп до интернет, но изискват защита. Sophos Central предоставя опция (защита от подправяне), която забранява промяната на настройките за сигурност на компютъра или изтриването на агента на крайната точка.

Един от компонентите на защитата на крайната точка е антивирус от ново поколение (NGAV) - Прехващане на X. Използвайки дълбоки технологии за машинно обучение, антивирусът е в състояние да идентифицира неизвестни преди това заплахи, без да използва сигнатури. Точността на откриване е сравнима със сигнатурните аналози, но за разлика от тях осигурява проактивна защита, предотвратявайки атаки от нулевия ден. Intercept X може да работи паралелно със сигнатурни антивируси от други доставчици.

В тази статия говорихме накратко за концепцията SynSec, която е внедрена в Sophos Central, както и за някои от възможностите на това решение. Ще опишем как функционира всеки от компонентите за сигурност, интегрирани в Sophos Central, в следващите статии. Можете да получите демо версия на решението тук.

Източник: www.habr.com