Sinhronizovano obezbeđenje u Sophos Central

Da bi se osigurala visoka efikasnost alata za sigurnost informacija, povezivanje njegovih komponenti igra važnu ulogu. Omogućava vam da pokrijete ne samo vanjske, već i unutrašnje prijetnje. Prilikom dizajniranja mrežne infrastrukture, svaki sigurnosni alat, bilo da se radi o antivirusnom ili firewall-u, važan je kako bi funkcionirao ne samo unutar svoje klase (Endpoint security ili NGFW), već i imao mogućnost međusobnog komuniciranja kako bi se zajednički borili protiv prijetnji. .

Malo teorije

Nije iznenađenje da su današnji sajber kriminalci postali poduzetniji. Oni koriste niz mrežnih tehnologija za širenje zlonamjernog softvera:

Krađa identiteta e-pošte uzrokuje da zlonamjerni softver prijeđe prag vaše mreže koristeći poznate napade, bilo napade nultog dana nakon kojih slijedi eskalacija privilegija, ili bočno kretanje kroz mrežu. Imati jedan zaraženi uređaj može značiti da se vaša mreža može koristiti u korist napadača.

U nekim slučajevima, kada je potrebno osigurati interakciju komponenti informatičke sigurnosti, prilikom obavljanja revizije informacijske sigurnosti trenutnog stanja sistema, nije moguće opisati ga jednim skupom mjera koje su međusobno povezane. U većini slučajeva, mnoga tehnološka rješenja koja se fokusiraju na suzbijanje određene vrste prijetnji ne pružaju integraciju s drugim tehnološkim rješenjima. Na primjer, proizvodi za zaštitu krajnjih točaka koriste analizu potpisa i ponašanja kako bi utvrdili je li datoteka zaražena ili ne. Za zaustavljanje zlonamjernog prometa, zaštitni zidovi koriste druge tehnologije, koje uključuju web filtriranje, IPS, sandboxing itd. Međutim, u većini organizacija ove komponente informacijske sigurnosti nisu povezane jedna s drugom i djeluju izolovano.

Trendovi u implementaciji Heartbeat tehnologije

Novi pristup sajber sigurnosti uključuje zaštitu na svakom nivou, pri čemu su rješenja koja se koriste na svakom nivou međusobno povezana i mogu razmjenjivati ​​informacije. Ovo dovodi do stvaranja Sunchronized Security (SynSec). SynSec predstavlja proces osiguranja informacione sigurnosti kao jedinstvenog sistema. U ovom slučaju, svaka komponenta informacijske sigurnosti je međusobno povezana u realnom vremenu. Na primjer, rješenje Sophos Central implementiran po ovom principu.

Security Heartbeat tehnologija omogućava komunikaciju između sigurnosnih komponenti, omogućavajući sistemsku saradnju i nadzor. IN Sophos Central integrisana su rešenja sledećih klasa:

• Zaštita krajnje točke — klasični antivirusni potpis;
• Zaštita servera — specijalizovani antivirus za servere;
• Intercept-X – antivirus nove generacije (bez potpisa i sa tehnologijama umjetne inteligencije);
• Sophos XG zaštitni zid — Firewall nove generacije;
• Upravljanje mobilnošću (EMM) — upravljanje mobilnim uređajima i kontrola pristupa korporativnoj pošti i datotekama;
• Zaštita podataka (šifriranje);
• Siguran Wi-Fi — pristupne tačke kojima se upravlja i iz oblaka i lokalno preko Sophos UTM / Sophos XG;
• Web bezbednost — klasično rješenje za filtriranje web prometa;
• Sigurnost e-pošte — cloud/lokalno anti-spam/antivirus rješenje;
• Phish Threat — podizanje svijesti zaposlenih, provođenje probnih phishing poruka;
• Cloud Optix — revizija cloud infrastrukture.

Lako je uočiti da Sophos Central podržava prilično širok spektar rješenja za sigurnost informacija. U Sophos Centralu, SynSec koncept se zasniva na tri važna principa: detekcija, analiza i odgovor. Da bismo ih detaljno opisali, zadržat ćemo se na svakom od njih.

SynSec koncepti

DETEKCIJA (detekcija nepoznatih prijetnji)
Sophos proizvodi, kojima upravlja Sophos Central, automatski dijele informacije jedni s drugima kako bi identificirali rizike i nepoznate prijetnje, što uključuje:

• analiza mrežnog saobraćaja sa mogućnošću identifikacije visokorizičnih aplikacija i zlonamernog saobraćaja;
• otkrivanje visokorizičnih korisnika kroz korelacione analize njihovih onlajn akcija.

ANALIZA (trenutni i intuitivni)
Analiza incidenata u realnom vremenu omogućava trenutno razumijevanje trenutne situacije u sistemu.

• Prikazuje kompletan lanac događaja koji su doveli do incidenta, uključujući sve datoteke, ključeve registratora, URL-ove itd.

ODGOVOR (automatski odgovor na incident)
Postavljanje sigurnosnih politika vam omogućava da automatski odgovorite na infekcije i incidente u roku od nekoliko sekundi. Ovo je osigurano:

• trenutna izolacija zaraženih uređaja i zaustavljanje napada u realnom vremenu (čak i unutar iste mreže/broadcast domena);
• ograničavanje pristupa mrežnim resursima kompanije za uređaje koji nisu u skladu sa pravilima;
• daljinski pokrenuti skeniranje uređaja kada se otkrije odlazni neželjeni sadržaj.

Pogledali smo glavne sigurnosne principe na kojima se temelji Sophos Central. Sada pređimo na opis kako se SynSec tehnologija manifestira u akciji.

Od teorije do prakse

Prvo, hajde da objasnimo kako uređaji komuniciraju koristeći SynSec princip koristeći Heartbeat tehnologiju. Prvi korak je registracija Sophos XG kod Sophos Central. U ovoj fazi dobija sertifikat za samoidentifikaciju, IP adresu i port preko kojeg će krajnji uređaji komunicirati sa njim koristeći Heartbeat tehnologiju, kao i listu ID-ova krajnjih uređaja kojima se upravlja preko Sophos Centrala i njihovih klijentskih sertifikata.

Ubrzo nakon što se Sophos XG registracija dogodi, Sophos Central će poslati informacije krajnjim tačkama za iniciranje Heartbeat interakcije:

• spisak certifikacijskih tijela koji se koriste za izdavanje Sophos XG certifikata;
• spisak ID-ova uređaja koji su registrovani kod Sophos XG;
• IP adresa i port za interakciju koristeći Heartbeat tehnologiju.

Ove informacije se čuvaju na računaru na sledećoj putanji: %ProgramData%SophosHearbeatConfigHeartbeat.xml i redovno se ažuriraju.

Komunikacija pomoću Heartbeat tehnologije se odvija tako što krajnja tačka šalje poruke na magičnu IP adresu 52.5.76.173:8347 i nazad. Tokom analize otkriveno je da se paketi šalju sa periodom od 15 sekundi, kako je naveo prodavac. Vrijedi napomenuti da se Heartbeat poruke obrađuju direktno od strane XG Firewall-a – on presreće pakete i prati status krajnje tačke. Ako obavite hvatanje paketa na hostu, čini se da promet komunicira sa vanjskom IP adresom, iako u stvari krajnja tačka komunicira direktno sa XG firewall-om.

Pretpostavimo da je zlonamjerna aplikacija nekako dospjela na vaš računar. Sophos Endpoint detektuje ovaj napad ili ćemo prestati primati otkucaje srca sa ovog sistema. Zaraženi uređaj automatski šalje informacije o sistemu koji je zaražen, pokrećući automatski lanac radnji. XG Firewall trenutno izoluje vaš računar, sprečavajući širenje napada i interakciju sa C&C serverima.

Sophos Endpoint automatski uklanja zlonamjerni softver. Kada se ukloni, krajnji uređaj se sinhronizuje sa Sophos Central, a zatim XG Firewall vraća pristup mreži. Analiza korijenskog uzroka (RCA ili EDR - Detekcija i odgovor krajnje tačke) omogućava vam da dobijete detaljno razumijevanje onoga što se dogodilo.

Pod pretpostavkom da se korporativnim resursima pristupa putem mobilnih uređaja i tableta, da li je moguće osigurati SynSec?

Sophos Central pruža podršku za ovaj scenario Sophos Mobile и Sophos Wireless. Recimo da korisnik pokušava prekršiti sigurnosnu politiku na mobilnom uređaju zaštićenom Sophos Mobile. Sophos Mobile otkriva kršenje bezbednosnih politika i šalje obaveštenja ostatku sistema, pokrećući unapred konfigurisani odgovor na incident. Ako Sophos Mobile ima konfiguriranu politiku „odbijanje mrežne veze“, Sophos Wireless će ograničiti pristup mreži za ovaj uređaj. Na Sophos Central kontrolnoj tabli ispod kartice Sophos Wireless pojavit će se obavijest koja ukazuje da je uređaj zaražen. Kada korisnik pokuša pristupiti mreži, na ekranu će se pojaviti početni ekran koji ga obavještava da je pristup Internetu ograničen.

Krajnja tačka ima nekoliko statusa otkucaja srca: crveno, žuto i zeleno.
Crveni status se javlja u sljedećim slučajevima:

• otkriven aktivni zlonamjerni softver;
• otkriven je pokušaj pokretanja zlonamjernog softvera;
• otkriven zlonamjerni mrežni promet;
• zlonamjerni softver nije uklonjen.

Žuti status znači da je krajnja tačka otkrila neaktivan zlonamjerni softver ili da je otkrila PUP (potencijalno neželjeni program). Zeleni status označava da nijedan od gore navedenih problema nije otkriven.

Nakon što smo pogledali neke klasične scenarije za interakciju zaštićenih uređaja sa Sophos Centralom, prijeđimo na opis grafičkog sučelja rješenja i pregled glavnih postavki i podržanih funkcionalnosti.

Grafičko sučelje

Kontrolna tabla prikazuje najnovija obavještenja. Sažetak različitih zaštitnih komponenti je također prikazan u obliku dijagrama. U tom slučaju se prikazuju zbirni podaci o zaštiti personalnih računara. Ovaj panel takođe pruža sažete informacije o pokušajima posete opasnim resursima i resursima sa neprikladnim sadržajem, kao i statistiku analize e-pošte.

Sophos Central podržava prikaz obaveštenja po ozbiljnosti, sprečavajući korisnika da propusti kritična bezbednosna upozorenja. Pored sažeto prikazanog sažetka statusa sigurnosnog sistema, Sophos Central podržava evidentiranje događaja i integraciju sa SIEM sistemima. Za mnoge kompanije, Sophos Central je platforma kako za interni SOC tako i za pružanje usluga njihovim klijentima - MSSP.

Jedna od važnih karakteristika je podrška za keš ažuriranja za krajnje klijente. Ovo vam omogućava da uštedite propusni opseg na eksternom saobraćaju, jer se u ovom slučaju ažuriranja preuzimaju jednom na jedan od klijenata krajnje tačke, a zatim druge krajnje tačke preuzimaju ažuriranja sa njega. Pored opisane funkcije, odabrana krajnja tačka može prenijeti poruke sigurnosne politike i izvještaje o informacijama u Sophos oblak. Ova funkcija će biti korisna ako postoje krajnji uređaji koji nemaju direktan pristup internetu, ali zahtijevaju zaštitu. Sophos Central pruža opciju (zaštitu od neovlaštenog pristupa) koja zabranjuje promjenu sigurnosnih postavki računara ili brisanje agenta krajnje tačke.

Jedna od komponenti zaštite krajnje tačke je antivirus nove generacije (NGAV) - Presretanje X. Koristeći tehnologije dubokog mašinskog učenja, antivirus je u stanju da identifikuje prethodno nepoznate pretnje bez upotrebe potpisa. Preciznost detekcije je uporediva sa analozima potpisa, ali za razliku od njih, pruža proaktivnu zaštitu, sprečavajući napade nultog dana. Intercept X može raditi paralelno sa antivirusima drugih proizvođača.

U ovom članku ukratko smo govorili o konceptu SynSec koji je implementiran u Sophos Central, kao io nekim od mogućnosti ovog rješenja. Opisat ćemo kako svaka od sigurnosnih komponenti integriranih u Sophos Central funkcionira u sljedećim člancima. Možete dobiti demo verziju rješenja ovdje.

izvor: www.habr.com