Aron masiguro ang taas nga kahusayan sa mga himan sa seguridad sa kasayuran, ang koneksyon sa mga sangkap niini adunay hinungdanon nga papel. Kini nagtugot kaninyo sa pagtabon dili lamang sa gawas, apan usab sa internal nga mga hulga. Kung nagdesinyo sa usa ka imprastraktura sa network, ang matag himan sa seguridad, bisan kini usa ka antivirus o usa ka firewall, hinungdanon aron sila molihok dili lamang sa sulod sa ilang klase (Endpoint security o NGFW), apan adunay abilidad usab nga makig-uban sa usag usa aron dungan nga makigbatok sa mga hulga. .
Usa ka teoriya
Dili ikatingala nga ang mga cybercriminals karon nahimong mas entrepreneurial. Gigamit nila ang lainlaing mga teknolohiya sa network aron ipakaylap ang malware:
Ang mga email sa phishing nagpahinabo sa malware nga makatabok sa threshold sa imong network gamit ang nahibal-an nga mga pag-atake, bisan mga zero-day nga pag-atake nga gisundan sa pagtaas sa pribilehiyo, o paglihok sa ulahi pinaagi sa network. Ang pagbaton ug usa ka nataptan nga device mahimong magpasabot nga ang imong network mahimong magamit alang sa kaayohan sa usa ka tig-atake.
Sa pipila ka mga kaso, kung gikinahanglan aron masiguro ang interaksyon sa mga sangkap sa seguridad sa kasayuran, kung nagpahigayon usa ka pag-audit sa seguridad sa kasayuran sa karon nga kahimtang sa sistema, dili posible nga ihulagway kini gamit ang usa ka hugpong sa mga lakang nga konektado. Sa kadaghanan nga mga kaso, daghang mga solusyon sa teknolohiya nga nagpunting sa pag-atubang sa usa ka piho nga klase sa hulga wala maghatag panagsama sa ubang mga solusyon sa teknolohiya. Pananglitan, ang mga produkto sa pagpanalipod sa endpoint naggamit sa pirma ug pag-analisa sa pamatasan aron mahibal-an kung ang usa ka file nataptan o wala. Aron mapahunong ang malisyosong trapiko, ang mga firewall naggamit sa ubang mga teknolohiya, nga naglakip sa pagsala sa web, IPS, sandboxing, ug uban pa. Bisan pa, sa kadaghanan sa mga organisasyon kini nga mga sangkap sa seguridad sa kasayuran dili konektado sa usag usa ug naglihok nga nag-inusara.
Mga uso sa pagpatuman sa teknolohiya sa Heartbeat
Ang bag-ong pamaagi sa cybersecurity naglakip sa proteksyon sa matag lebel, uban ang mga solusyon nga gigamit sa matag lebel nga konektado sa usag usa ug makahimo sa pagbayloay og impormasyon. Nagdala kini sa paghimo sa Sunchronized Security (SynSec). Ang SynSec nagrepresentar sa proseso sa pagsiguro sa seguridad sa impormasyon isip usa ka sistema. Sa kini nga kaso, ang matag bahin sa seguridad sa kasayuran konektado sa usag usa sa tinuud nga oras. Pananglitan, ang solusyon gipatuman sumala niini nga prinsipyo.
Ang teknolohiya sa Security Heartbeat makapahimo sa komunikasyon tali sa mga sangkap sa seguridad, makapahimo sa kolaborasyon sa sistema ug pagmonitor. SA Ang mga solusyon sa mosunod nga mga klase gihiusa:
- - klasiko nga pirma nga antivirus;
- - espesyal nga antivirus alang sa mga server;
- - bag-ong henerasyon nga antivirus (walay mga pirma ug adunay mga teknolohiya sa artipisyal nga paniktik);
- - Sunod nga Kaliwatan nga Firewall;
- - pagdumala sa mobile device ug kontrol sa pag-access sa corporate mail ug mga file;
- ;
- β Ang mga access point gidumala gikan sa panganod ug lokal pinaagi sa Sophos UTM / Sophos XG;
- - usa ka klasiko nga solusyon alang sa pagsala sa trapiko sa web;
- β cloud/lokal nga anti-spam/antivirus nga solusyon;
- - pagpataas sa kahibalo sa empleyado, pagpahigayon sa pagsulay sa phishing mail;
- - pag-audit sa mga imprastraktura sa panganod.
Sayon nga makita nga ang Sophos Central nagsuporta sa usa ka medyo halapad nga mga solusyon sa seguridad sa kasayuran. Sa Sophos Central, ang konsepto sa SynSec gibase sa tulo ka importanteng prinsipyo: detection, analysis ug response. Aron mahulagway sila sa detalye, atong hisgotan ang matag usa kanila.
Mga konsepto sa SynSec
DETEKSYON (detect sa wala mailhi nga mga hulga)
Ang mga produkto sa Sophos, nga gidumala sa Sophos Central, awtomatikong nagpaambit sa kasayuran sa usag usa aron mahibal-an ang mga peligro ug wala mailhi nga mga hulga, nga naglakip sa:
- pagtuki sa trapiko sa network nga adunay katakus sa pag-ila sa mga aplikasyon nga adunay peligro ug makadaot nga trapiko;
- detection sa high-risk users pinaagi sa correlation analysis sa ilang online actions.
PAGSUSI (instant ug intuitive)
Ang real-time nga pagtuki sa insidente naghatag dayon nga pagsabot sa kasamtangan nga sitwasyon sa sistema.
- Nagpakita sa kompleto nga kadena sa mga panghitabo nga mitultol sa insidente, lakip ang tanan nga mga file, mga yawe sa rehistro, mga URL, ug uban pa.
TUBAG (awtomatikong tubag sa insidente)
Ang pag-set up sa mga polisiya sa seguridad nagtugot kanimo nga awtomatiko nga makatubag sa mga impeksyon ug mga insidente sa pila ka segundo. Kini gisiguro:
- diha-diha nga pag-inusara sa mga nataptan nga aparato ug paghunong sa pag-atake sa tinuud nga oras (bisan sa sulod sa parehas nga network / broadcast domain);
- pagpugong sa pag-access sa mga kapanguhaan sa network sa kompanya alang sa mga aparato nga wala nagsunod sa mga palisiya;
- layo nga maglunsad og usa ka device scan sa diha nga ang outgoing spam makita.
Gitan-aw namon ang panguna nga mga prinsipyo sa seguridad nga gibase sa Sophos Central. Karon magpadayon kita sa usa ka paghulagway kung giunsa ang teknolohiya sa SynSec nagpakita sa kaugalingon sa aksyon.
Gikan sa teorya hangtod sa paghanas
Una, atong ipasabut kung giunsa ang mga aparato nakig-uban gamit ang prinsipyo sa SynSec gamit ang teknolohiya sa Heartbeat. Ang una nga lakang mao ang pagrehistro sa Sophos XG sa Sophos Central. Niini nga yugto, nakadawat siya usa ka sertipiko alang sa pag-ila sa kaugalingon, usa ka IP address ug pantalan diin ang mga aparato sa katapusan makig-uban kaniya gamit ang teknolohiya sa Heartbeat, ingon man usa ka lista sa mga ID sa mga aparato sa katapusan nga gidumala pinaagi sa Sophos Central ug mga sertipiko sa ilang kliyente.
Wala madugay human mahitabo ang pagrehistro sa Sophos XG, ang Sophos Central magpadala og impormasyon sa mga endpoint aron masugdan ang interaksyon sa Heartbeat:
- lista sa mga awtoridad sa sertipiko nga gigamit sa pag-isyu sa mga sertipiko sa Sophos XG;
- usa ka lista sa mga ID sa aparato nga narehistro sa Sophos XG;
- IP address ug pantalan alang sa interaksyon gamit ang teknolohiya sa Heartbeat.
Kini nga impormasyon gitipigan sa kompyuter sa mosunod nga dalan: %ProgramData%SophosHearbeatConfigHeartbeat.xml ug gi-update kanunay.
Ang komunikasyon gamit ang teknolohiya sa Heartbeat gihimo pinaagi sa endpoint nga nagpadala sa mga mensahe ngadto sa magic IP address 52.5.76.173:8347 ug balik. Atol sa pagtuki, gipadayag nga ang mga pakete gipadala nga adunay panahon nga 15 segundos, ingon sa gipahayag sa vendor. Angay nga matikdan nga ang mga mensahe sa Heartbeat direkta nga giproseso sa XG Firewall - kini nag-intercept sa mga packet ug nagmonitor sa status sa endpoint. Kung maghimo ka og packet capture sa host, ang trapiko mopatim-aw nga nakigkomunikar sa external IP address, bisan tuod sa pagkatinuod ang endpoint direktang nakigkomunikar sa XG firewall.
Ibutang ta nga ang usa ka malisyosong aplikasyon sa usa ka paagi nakasulod sa imong kompyuter. Ang Sophos Endpoint nakamatikod niini nga pag-atake o mihunong kami sa pagdawat sa Heartbeat gikan niini nga sistema. Ang usa ka nataptan nga aparato awtomatiko nga nagpadala kasayuran bahin sa sistema nga nataptan, nga nagpahinabog usa ka awtomatikong kadena sa mga aksyon. Gilain dayon sa XG Firewall ang imong kompyuter, gipugngan ang pag-atake sa pagkaylap ug pakig-uban sa mga server sa C&C.
Ang Sophos Endpoint awtomatikong nagtangtang sa malware. Kung makuha na kini, ang end device mag-sync sa Sophos Central, unya ibalik sa XG Firewall ang pag-access sa network. Ang Root Cause Analysis (RCA o EDR - Endpoint Detection and Response) nagtugot kanimo nga makakuha og detalyadong pagsabot sa nahitabo.
Sa paghunahuna nga ang mga kapanguhaan sa korporasyon ma-access pinaagi sa mga mobile device ug tablet, posible ba nga mahatagan ang SynSec?
Naghatag suporta ang Sophos Central alang sa kini nga senaryo ΠΈ . Ingnon ta nga ang usa ka tiggamit mosulay sa paglapas sa palisiya sa seguridad sa usa ka mobile device nga giprotektahan sa Sophos Mobile. Ang Sophos Mobile nakit-an ang usa ka paglapas sa palisiya sa seguridad ug nagpadala mga pahibalo sa nahabilin nga sistema, nga nag-aghat sa usa ka pre-configure nga tubag sa insidente. Kung ang Sophos Mobile adunay usa ka "pagdumili sa koneksyon sa network" nga palisiya nga na-configure, ang Sophos Wireless magpugong sa pag-access sa network alang sa kini nga aparato. Ang usa ka pahibalo makita sa Sophos Central dashboard sa ilawom sa Sophos Wireless tab nga nagpaila nga ang aparato nataptan. Kung ang user mosulay sa pag-access sa network, usa ka splash screen ang makita sa screen nga nagpahibalo kanila nga ang pag-access sa Internet limitado.
Ang endpoint adunay daghang mga status sa Heartbeat: pula, dalag, ug berde.
Ang pula nga kahimtang mahitabo sa mosunod nga mga kaso:
- aktibo nga malware nakit-an;
- usa ka pagsulay sa paglansad sa malware nakit-an;
- malisyosong trapiko sa network namatikdan;
- wala matangtang ang malware.
Ang yellow nga status nagpasabot nga ang endpoint nakamatikod sa dili aktibo nga malware o nakamatikod sa usa ka PUP (potensyal nga dili gusto nga programa). Ang berde nga kahimtang nagpaila nga walay bisan usa sa mga problema sa ibabaw ang nakit-an.
Sa pagtan-aw sa pipila ka mga klasiko nga mga senaryo alang sa interaksyon sa mga giprotektahan nga mga aparato sa Sophos Central, magpadayon kita sa usa ka paghulagway sa graphical nga interface sa solusyon ug usa ka pagrepaso sa mga nag-unang setting ug gisuportahan nga pagpaandar.
Graphical nga interface
Ang control panel nagpakita sa pinakabag-o nga mga pahibalo. Ang usa ka summary sa lain-laing mga sangkap sa pagpanalipod gipakita usab sa porma sa mga diagram. Sa kini nga kaso, ang summary data sa pagpanalipod sa personal nga mga kompyuter gipakita. Kini nga panel naghatag usab og summary nga impormasyon mahitungod sa mga pagsulay sa pagbisita sa peligroso nga mga kapanguhaan ug mga kahinguhaan nga adunay dili angay nga sulod, ug mga estadistika sa pagtuki sa email.
Gisuportahan sa Sophos Central ang pagpakita sa mga pahibalo pinaagi sa kagrabe, nga gipugngan ang tiggamit nga mawala ang mga kritikal nga alerto sa seguridad. Dugang pa sa usa ka mubo nga gipakita nga summary sa kahimtang sa sistema sa seguridad, ang Sophos Central nagsuporta sa pag-log sa panghitabo ug paghiusa sa mga sistema sa SIEM. Alang sa daghang mga kompanya, ang Sophos Central usa ka plataporma alang sa internal nga SOC ug alang sa paghatag serbisyo sa ilang mga kostumer - MSSP.
Usa sa importante nga mga bahin mao ang suporta alang sa usa ka update cache alang sa endpoint kliyente. Gitugotan ka niini nga makatipig sa bandwidth sa gawas nga trapiko, tungod kay sa kini nga kaso ang mga pag-update gi-download kausa sa usa sa mga kliyente sa endpoint, ug dayon ang ubang mga endpoint nag-download sa mga update gikan niini. Gawas pa sa gihulagway nga bahin, ang napili nga endpoint mahimong mag-relay sa mga mensahe sa palisiya sa seguridad ug mga taho sa impormasyon sa Sophos cloud. Mapuslanon kini nga function kung adunay mga end device nga walay direktang access sa Internet, apan nagkinahanglan og proteksyon. Naghatag ang Sophos Central og opsyon (tamper protection) nga nagdili sa pagbag-o sa mga setting sa seguridad sa computer o pagtangtang sa endpoint agent.
Usa sa mga sangkap sa pagpanalipod sa endpoint mao ang usa ka bag-ong henerasyon nga antivirus (NGAV) - . Gamit ang lawom nga mga teknolohiya sa pagkat-on sa makina, ang antivirus makahimo sa pag-ila kaniadto nga wala mailhi nga mga hulga nga wala mogamit mga pirma. Ang katukma sa detection ikatandi sa mga analogue sa pirma, apan dili sama kanila, naghatag kini proactive nga panalipod, pagpugong sa zero-day nga mga pag-atake. Ang Intercept X makahimo sa pagtrabaho nga managsama sa mga pirma nga antivirus gikan sa ubang mga vendor.
Sa kini nga artikulo, kami mubo nga naghisgot bahin sa konsepto sa SynSec, nga gipatuman sa Sophos Central, ingon man ang pipila nga mga kapabilidad sa kini nga solusyon. Atong ihulagway kung giunsa ang matag usa sa mga sangkap sa seguridad nga gisagol sa Sophos Central naglihok sa mga musunod nga artikulo. Makuha nimo ang demo nga bersyon sa solusyon .
Source: www.habr.com