Seguretat sincronitzada a Sophos Central

Per garantir una alta eficiència de les eines de seguretat de la informació, la connexió dels seus components juga un paper important. Us permet cobrir no només amenaces externes, sinó també internes. Quan es dissenya una infraestructura de xarxa, cada eina de seguretat, ja sigui un antivirus o un tallafoc, és important perquè funcionin no només dins de la seva classe (seguretat de punt final o NGFW), sinó que també tinguin la capacitat d'interaccionar entre elles per combatre conjuntament les amenaces. .

Una mica de teoria

No és d'estranyar que els ciberdelinqüents actuals s'hagin tornat més emprenedors. Utilitzen una sèrie de tecnologies de xarxa per difondre programari maliciós:

La pesca de correu electrònic fa que el programari maliciós traspassi el llindar de la vostra xarxa mitjançant atacs coneguts, ja sigui atacs de dia zero seguits d'una escalada de privilegis o moviment lateral a través de la xarxa. Tenir un dispositiu infectat podria significar que la vostra xarxa es podria utilitzar en benefici d'un atacant.

En alguns casos, quan cal assegurar la interacció dels components de seguretat de la informació, quan es realitza una auditoria de seguretat de la informació de l'estat actual del sistema, no és possible descriure'l utilitzant un únic conjunt de mesures interconnectades. En la majoria dels casos, moltes solucions tecnològiques que se centren en contrarestar un tipus específic d'amenaça no proporcionen integració amb altres solucions tecnològiques. Per exemple, els productes de protecció de punt final utilitzen signatura i anàlisi de comportament per determinar si un fitxer està infectat o no. Per aturar el trànsit maliciós, els tallafocs utilitzen altres tecnologies, que inclouen filtratge web, IPS, sandboxing, etc. Tanmateix, a la majoria de les organitzacions, aquests components de seguretat de la informació no estan connectats entre si i funcionen de manera aïllada.

Tendències en la implementació de la tecnologia Heartbeat

El nou enfocament de la ciberseguretat implica protecció a tots els nivells, amb les solucions utilitzades a cada nivell connectades entre elles i capaços d'intercanviar informació. Això condueix a la creació de Sunchronized Security (SynSec). SynSec representa el procés de garantir la seguretat de la informació com un sistema únic. En aquest cas, cada component de seguretat de la informació està connectat entre si en temps real. Per exemple, la solució Sophos Central implementat segons aquest principi.

La tecnologia Security Heartbeat permet la comunicació entre components de seguretat, permetent la col·laboració i la supervisió del sistema. EN Sophos Central S'integren solucions de les classes següents:

• Protecció de punt final - antivirus de signatura clàssic;
• Protecció del servidor — antivirus especialitzat per a servidors;
• Intercepció-X – antivirus de nova generació (sense signatures i amb tecnologies d'intel·ligència artificial);
• Sophos XG Firewall — Tallafocs de nova generació;
• Gestió de la mobilitat (EMM) — gestió de dispositius mòbils i control d'accés al correu i fitxers corporatius;
• Protecció de dades (xifratge);
• Wi-Fi segur — punts d'accés gestionats tant des del núvol com localment mitjançant Sophos UTM / Sophos XG;
• Seguretat Web — una solució clàssica per filtrar el trànsit web;
• Seguretat del correu electrònic — solució antispam/antivirus local/núvol;
• Amenaça de pesca — conscienciar els empleats, realitzar proves de correu electrònic de pesca;
• Cloud Optix — Auditoria de les infraestructures del núvol.

És fàcil veure que Sophos Central admet una àmplia gamma de solucions de seguretat de la informació. A Sophos Central, el concepte SynSec es basa en tres principis importants: detecció, anàlisi i resposta. Per descriure'ls amb detall, ens detenem en cadascun d'ells.

Conceptes de SynSec

DETECCIÓ (detecció d'amenaces desconegudes)
Els productes de Sophos, gestionats per Sophos Central, comparteixen informació automàticament entre ells per identificar riscos i amenaces desconegudes, que inclouen:

• anàlisi del trànsit de xarxa amb la capacitat d'identificar aplicacions d'alt risc i trànsit maliciós;
• detecció d'usuaris d'alt risc mitjançant l'anàlisi de correlació de les seves accions en línia.

ANÀLISI (instant i intuïtiu)
L'anàlisi d'incidències en temps real proporciona una comprensió instantània de la situació actual del sistema.

• Mostra la cadena completa d'esdeveniments que van provocar l'incident, inclosos tots els fitxers, claus de registre, URL, etc.

RESPOSTA (resposta automàtica a incidents)
La configuració de polítiques de seguretat us permet respondre automàticament a infeccions i incidents en qüestió de segons. Això està assegurat:

• aïllament instantani dels dispositius infectats i aturar l'atac en temps real (fins i tot dins de la mateixa xarxa/domini de difusió);
• restringir l'accés als recursos de la xarxa de l'empresa per als dispositius que no compleixen les polítiques;
• llançar de forma remota una exploració del dispositiu quan es detecti correu brossa sortint.

Hem analitzat els principals principis de seguretat en què es basa Sophos Central. Ara passem a una descripció de com es manifesta la tecnologia SynSec en acció.

De la teoria a la pràctica

Primer, expliquem com interactuen els dispositius mitjançant el principi SynSec mitjançant la tecnologia Heartbeat. El primer pas és registrar Sophos XG amb Sophos Central. En aquesta fase, rep un certificat d'autoidentificació, una adreça IP i un port a través del qual els dispositius finals interactuaran amb ell mitjançant la tecnologia Heartbeat, així com una llista d'identificacions dels dispositius finals gestionats mitjançant Sophos Central i els seus certificats de client.

Poc després que es produeixi el registre de Sophos XG, Sophos Central enviarà informació als punts finals per iniciar una interacció Heartbeat:

• llista d'autoritats de certificació utilitzades per emetre certificats de Sophos XG;
• una llista d'identificadors de dispositius registrats amb Sophos XG;
• Adreça IP i port per a la interacció mitjançant la tecnologia Heartbeat.

Aquesta informació s'emmagatzema a l'ordinador al camí següent: %ProgramData%SophosHearbeatConfigHeartbeat.xml i s'actualitza regularment.

La comunicació mitjançant la tecnologia Heartbeat la porta a terme el punt final que envia missatges a l'adreça IP màgica 52.5.76.173:8347 i viceversa. Durant l'anàlisi, es va revelar que els paquets s'envien amb un període de 15 segons, tal com va indicar el venedor. Val la pena assenyalar que els missatges de Heartbeat són processats directament pel tallafoc XG: intercepta paquets i supervisa l'estat del punt final. Si realitzeu la captura de paquets a l'amfitrió, semblarà que el trànsit es comunica amb l'adreça IP externa, tot i que, de fet, el punt final es comunica directament amb el tallafoc XG.

Suposem que una aplicació maliciosa ha arribat d'alguna manera al vostre ordinador. Sophos Endpoint detecta aquest atac o deixem de rebre Heartbeat d'aquest sistema. Un dispositiu infectat envia automàticament informació sobre el sistema que s'està infectant, provocant una cadena automàtica d'accions. XG Firewall aïlla a l'instant el vostre ordinador, evitant que l'atac es propagui i interactuï amb els servidors C&C.

Sophos Endpoint elimina automàticament el programari maliciós. Un cop eliminat, el dispositiu final se sincronitza amb Sophos Central i, a continuació, XG Firewall restaura l'accés a la xarxa. L'anàlisi de la causa arrel (RCA o EDR - Endpoint Detection and Response) us permet obtenir una comprensió detallada del que va passar.

Suposant que s'accedeix als recursos corporatius mitjançant dispositius mòbils i tauletes, és possible proporcionar SynSec?

Sophos Central ofereix suport per a aquest escenari Sophos Mobile и Sophos Wireless. Suposem que un usuari intenta infringir la política de seguretat en un dispositiu mòbil protegit amb Sophos Mobile. Sophos Mobile detecta una infracció de la política de seguretat i envia notificacions a la resta del sistema, provocant una resposta preconfigurada a l'incident. Si Sophos Mobile té configurada una política de "denegació de connexió a la xarxa", Sophos Wireless restringirà l'accés a la xarxa per a aquest dispositiu. Apareixerà una notificació al tauler de control de Sophos Central a la pestanya Sophos Wireless indicant que el dispositiu està infectat. Quan l'usuari intenta accedir a la xarxa, apareixerà una pantalla de presentació a la pantalla que l'informarà que l'accés a Internet és limitat.

El punt final té diversos estats Heartbeat: vermell, groc i verd.
L'estat vermell es produeix en els casos següents:

• programari maliciós actiu detectat;
• s'ha detectat un intent de llançar programari maliciós;
• trànsit de xarxa maliciós detectat;
• el programari maliciós no s'ha eliminat.

Un estat groc significa que el punt final ha detectat programari maliciós inactiu o ha detectat un PUP (programa potencialment no desitjat). Un estat verd indica que no s'ha detectat cap dels problemes anteriors.

Després d'haver mirat alguns escenaris clàssics per a la interacció de dispositius protegits amb Sophos Central, passem a una descripció de la interfície gràfica de la solució i a una revisió de la configuració principal i de la funcionalitat admesa.

GUI

El tauler de control mostra les últimes notificacions. També es mostra un resum dels diferents components de protecció en forma de diagrames. En aquest cas, es mostren dades resumides sobre la protecció dels ordinadors personals. Aquest tauler també proporciona informació resumida sobre els intents de visitar recursos i recursos perillosos amb contingut inadequat i estadístiques d'anàlisi de correu electrònic.

Sophos Central admet la visualització de notificacions per gravetat, evitant que l'usuari es perdi alertes de seguretat crítiques. A més d'un resum que es mostra succintament de l'estat del sistema de seguretat, Sophos Central admet el registre d'esdeveniments i la integració amb sistemes SIEM. Per a moltes empreses, Sophos Central és una plataforma tant per a SOC interns com per oferir serveis als seus clients: MSSP.

Una de les característiques importants és el suport per a una memòria cau d'actualització per als clients de punt final. Això us permet estalviar ample de banda en el trànsit extern, ja que en aquest cas les actualitzacions es descarreguen una vegada a un dels clients de punt final i, a continuació, altres terminals en descarreguen actualitzacions. A més de la funció descrita, el punt final seleccionat pot transmetre missatges de política de seguretat i informes d'informació al núvol de Sophos. Aquesta funció serà útil si hi ha dispositius finals que no tenen accés directe a Internet, però requereixen protecció. Sophos Central ofereix una opció (protecció contra manipulacions) que prohibeix canviar la configuració de seguretat de l'ordinador o suprimir l'agent del punt final.

Un dels components de la protecció del punt final és un antivirus de nova generació (NGAV) - Interceptar X. Utilitzant tecnologies d'aprenentatge automàtic profund, l'antivirus és capaç d'identificar amenaces desconegudes anteriorment sense utilitzar signatures. La precisió de la detecció és comparable als anàlegs de signatura, però a diferència d'ells, proporciona una protecció proactiva, evitant atacs de dia zero. Intercept X pot funcionar en paral·lel amb antivirus de signatura d'altres proveïdors.

En aquest article, hem parlat breument sobre el concepte SynSec, que s'implementa a Sophos Central, així com algunes de les capacitats d'aquesta solució. Descriurem com funciona cadascun dels components de seguretat integrats a Sophos Central als articles següents. Podeu obtenir una versió de demostració de la solució aquí.

Font: www.habr.com