Sicurezza sincronizzata in Sophos Central

Per assicurà l'alta efficienza di i strumenti di sicurità di l'infurmazioni, a cunnessione di i so cumpunenti ghjoca un rolu impurtante. Permette di copre micca solu i minacce esterni, ma ancu internu. Quandu cuncepisce una infrastruttura di rete, ogni strumentu di sicurezza, sia un antivirus o un firewall, hè impurtante per ch'elli funziunà micca solu in a so classa (securità Endpoint o NGFW), ma ancu avè a capacità di interagisce cù l'altri per cumbatte inseme e minacce. .

Un pocu di tiurìa

Ùn hè micca surprisa chì i cibercriminali d'oghje sò diventati più imprenditoriali. Adupranu una gamma di tecnulugia di rete per sparghje malware:

U phishing per e-mail face chì u malware attraversà u sogliu di a vostra reta utilizendu attacchi cunnisciuti, sia attacchi zero-day seguiti da l'escalation di privilegi, o muvimentu laterale attraversu a reta. Avè un dispositivu infettatu puderia significà chì a vostra reta puderia esse aduprata per u benefiziu di un attaccante.

In certi casi, quandu hè necessariu di assicurà l'interazzione di i cumpunenti di sicurezza di l'infurmazioni, quandu si cunduce un auditu di sicurezza di l'infurmazioni di u statu attuale di u sistema, ùn hè micca pussibule di discrìviri cù un unicu inseme di misure chì sò interconnessi. In a maiò parte di i casi, assai suluzioni tecnulugiche chì fucalizzanu in contru à un tipu specificu di minaccia ùn furnisce micca integrazione cù altre soluzioni tecnologiche. Per esempiu, i prudutti di prutezzione di l'endpoint utilizanu a firma è l'analisi di cumportamentu per stabilisce se un schedariu hè infettatu o micca. Per piantà u trafficu maliziusu, i firewalls utilizanu altre tecnulugia, chì includenu filtru web, IPS, sandboxing, etc. Tuttavia, in a maiò parte di l'urganisazione, sti cumpunenti di sicurità di l'infurmazioni ùn sò micca cunnessi l'un à l'altru è operanu in isolamentu.

Tendenze in l'implementazione di a tecnulugia Heartbeat

U novu approcciu à a cibersecurità implica a prutezzione à ogni livellu, cù e suluzioni aduprate à ogni livellu cunnessi l'un à l'altru è capaci di scambià infurmazioni. Questu porta à a creazione di Sunchronized Security (SynSec). SynSec rapprisenta u prucessu di assicurà a sicurità di l'infurmazioni cum'è un sistema unicu. In questu casu, ogni cumpunente di sicurità di l'infurmazioni hè cunnessu unu à l'altru in tempu reale. Per esempiu, a suluzione Sophos Centrale implementatu secondu stu principiu.

A tecnulugia Heartbeat di Sicurezza permette a cumunicazione trà i cumpunenti di sicurezza, chì permette a cullaburazione di u sistema è u monitoraghju. IN Sophos Centrale Soluzioni di e seguenti classi sò integrate:

• Prutezzione Endpoint - antivirus di firma classica;
• Prutezzione di u servitore - antivirus specializatu per i servitori;
• Intercept-X - antivirus di nova generazione (senza signature è cù tecnulugia di intelligenza artificiale);
• Sophos XG Firewall - Firewall di prossima generazione;
• Gestione di a mobilità (EMM) - gestione di i dispositi mobili è cuntrollu di l'accessu à i fugliali è i fugliali corporativi;
• Prutezzione di Dati (Crittografia);
• WiFi sicuru - punti d'accessu gestiti sia da u nuvulu sia in u locu via Sophos UTM / Sophos XG;
• Sicurezza Web - una suluzione classica per filtrà u trafficu web;
• Sicurezza di e-mail - soluzione anti-spam/antivirus nuvola/locale;
• Minaccia di Phish - sensibilizà l'impiegati, cunducendu mailings di phishing di prova;
• Cloud Optix - audit di infrastrutture cloud.

Hè facilitu per vede chì Sophos Central sustene una gamma abbastanza larga di suluzioni di sicurità di l'infurmazioni. In Sophos Central, u cuncettu SynSec hè basatu annantu à trè principii impurtanti: rilevazione, analisi è risposta. Per discrìviri li in u dettu, ci stendu nantu à ognunu di elli.

I cuncetti di SynSec

DETECTION (rilevazione di minacce scunnisciute)
I prudutti Sophos, gestiti da Sophos Central, sparte automaticamente l'infurmazioni per identificà risichi è minacce scunnisciute, chì includenu:

• analisi di u trafficu di a rete cù a capacità di identificà applicazioni d'altu risicu è trafficu maliziusu;
• rilevazione di l'utilizatori à risicu altu attraversu l'analisi di correlazione di e so azzioni in linea.

ANALISI (istante è intuitive)
L'analisi di incidenti in tempu reale furnisce una comprensione immediata di a situazione attuale in u sistema.

• Mostra a catena cumpleta di l'avvenimenti chì anu purtatu à l'incidentu, cumpresi tutti i fugliali, chjavi di registru, URL, etc.

RISPOSTA (risposta automatica à l'incidente)
Stabbilimentu di e pulitiche di sicurità vi permette di risponde automaticamente à infizzioni è incidenti in una materia di seconde. Questu hè assicuratu:

• isolamentu istantaneu di i dispositi infettati è piantà l'attaccu in tempu reale (ancu in a listessa rete / duminiu di trasmissione);
• restringe l'accessu à e risorse di a rete di a cumpagnia per i dispositi chì ùn anu micca cunfurmà cù e pulitiche;
• lanciare remotamente una scansione di u dispositivu quandu u spam in uscita hè rilevatu.

Avemu vistu i principii di sicurità principali nantu à quale Sophos Central hè basatu. Avà andemu à una descrizzione di cumu si manifesta a tecnulugia SynSec in azzione.

Da a teoria à a pratica

Prima, spieghemu cumu i dispositi interagiscenu cù u principiu SynSec cù a tecnulugia Heartbeat. U primu passu hè di registrà Sophos XG cù Sophos Central. In questa tappa, riceve un certificatu per l'autoidentificazione, un indirizzu IP è un portu attraversu quale i dispositi finali interagiscenu cun ellu cù a tecnulugia Heartbeat, è ancu una lista di ID di i dispositi finali gestiti attraversu Sophos Central è i so certificati di cliente.

Pocu dopu à a registrazione Sophos XG, Sophos Central manderà infurmazioni à i punti finali per inizià una interazzione Heartbeat:

• lista di l'autorità di certificatu utilizati per emette i certificati Sophos XG;
• una lista di l'ID di i dispositi chì sò registrati cù Sophos XG;
• Indirizzu IP è portu per l'interazzione cù a tecnulugia Heartbeat.

Sta infurmazione hè guardata in l'urdinatore in u percorsu seguente: %ProgramData%SophosHearbeatConfigHeartbeat.xml è hè aghjurnata regularmente.

A cumunicazione cù a tecnulugia Heartbeat hè realizata da l'endpoint chì manda missaghji à l'indirizzu IP magicu 52.5.76.173:8347 è torna. Durante l'analisi, hè statu revelatu chì i pacchetti sò mandati cù un periudu di 15 seconde, cum'è dichjaratu da u venditore. Hè da nutà chì i missaghji Heartbeat sò trattati direttamente da u XG Firewall - intercepte i pacchetti è monitoreghja u statutu di l'endpoint. Se fate a cattura di pacchetti nantu à l'ospitu, u trafficu parerà esse cumunicatu cù l'indirizzu IP esternu, ancu s'è in fattu l'endpoint hè cumunicatu direttamente cù u firewall XG.

Supponete chì una applicazione maliciosa sia entrata in qualchì modu in u vostru urdinatore. Sophos Endpoint detecta stu attaccu o smettemu di riceve Heartbeat da stu sistema. Un dispositivu infettatu manda automaticamente infurmazioni nantu à u sistema chì hè infettatu, attivendu una catena automatica d'azzioni. XG Firewall isola istantaneamente u vostru urdinatore, impediscendu chì l'attaccu si sparghje è interagisce cù i servitori C&C.

Sophos Endpoint elimina automaticamente u malware. Una volta sguassatu, u dispusitivu finali sincronizza cù Sophos Central, poi XG Firewall restaurà l'accessu à a reta. Root Cause Analysis (RCA o EDR - Endpoint Detection and Response) permette di ottene una cunniscenza dettagliata di ciò chì hè accadutu.

Assumindu chì e risorse corporative sò accessu via i dispositi mobili è tablette, hè pussibule furnisce SynSec?

Sophos Central furnisce supportu per questu scenariu Sophos Mobile и Sophos Wireless. Diciamu chì un utilizatore prova di violà a pulitica di sicurità in un dispositivu mobile prutettu cù Sophos Mobile. Sophos Mobile rileva una violazione di a pulitica di sicurità è manda notifiche à u restu di u sistema, attivendu una risposta pre-configurata à l'incidentu. Se Sophos Mobile hà cunfigurata una pulitica di "negazione di a cunnessione di a rete", Sophos Wireless limitarà l'accessu à a rete per stu dispusitivu. Una notificazione apparirà in u dashboard Sophos Central sottu a tabulazione Sophos Wireless chì indica chì u dispusitivu hè infettatu. Quandu l'utilizatore prova à accede à a reta, una schermu splash appariscerà nantu à u screnu chì informa chì l'accessu à Internet hè limitatu.

L'endpoint hà parechji stati Heartbeat: rossu, giallu è verde.
U statutu rossu si trova in i seguenti casi:

• malware attivu rilevatu;
• un tentativu di lancià malware hè statu rilevatu;
• u trafficu di a rete maliciosa rilevatu;
• u malware ùn hè statu eliminatu.

Un statu giallu significa chì l'endpoint hà rilevatu malware inattivu o hà rilevatu un PUP (programma potenzalmentu indesideratu). Un statu verde indica chì nimu di i prublemi sopra sò stati rilevati.

Dopu avè vistu qualchi scenarii classici per l'interazzione di i dispositi prutetti cù Sophos Central, andemu à una descrizzione di l'interfaccia gràfica di a suluzione è una rivista di i paràmetri principali è e funziunalità supportati.

Interfaccia gràfica

U pannellu di cuntrollu mostra l'ultime notificazioni. Un riassuntu di i diversi cumpunenti di prutezzione hè ancu mostratu in forma di diagrammi. In questu casu, i dati riassuntu nantu à a prutezzione di l'urdinatori persunali sò visualizati. Stu pannellu furnisce ancu infurmazioni riassuntu nantu à i tentativi di visità risorse è risorse periculose cù cuntenutu inappropriatu, è statistiche di analisi di email.

Sophos Central supporta a visualizazione di notifiche per gravità, chì impedisce à l'utilizatori di manca l'alerte di sicurezza critiche. In più di un riassuntu succintamente affissatu di u statutu di u sistema di sicurezza, Sophos Central supporta a registrazione di l'avvenimenti è l'integrazione cù i sistemi SIEM. Per parechje cumpagnie, Sophos Central hè una piattaforma sia per SOC internu sia per furnisce servizii à i so clienti - MSSP.

Una di e caratteristiche impurtanti hè u supportu per una cache di aghjurnamentu per i clienti di endpoint. Questu permette di salvà a larghezza di banda nantu à u trafficu esternu, postu chì in questu casu l'aghjurnamenti sò scaricati una volta à unu di i clienti di l'endpoint, è dopu altri endpoints scaricanu l'aghjurnamenti da ellu. In più di a funzione descritta, l'endpoint sceltu pò trasmette missaghji di pulitica di sicurezza è rapporti d'infurmazioni à u nuvulu Sophos. Sta funzione serà utile s'ellu ci sò i dispositi finali chì ùn anu micca accessu direttu à Internet, ma necessitanu prutezzione. Sophos Central furnisce una opzione (prutezzione tamper) chì pruibisce di cambià i paràmetri di sicurità di l'urdinatore o di sguassà l'agente endpoint.

Unu di i cumpunenti di a prutezzione di endpoint hè un antivirus di nova generazione (NGAV) - Intercept X. Utilizendu tecnulugia di apprendimentu automaticu profondu, l'antivirus hè capaci di identificà e minacce precedentemente scunnisciute senza aduprà signature. A precisione di rilevazione hè paragunabile à l'analogi di firma, ma à u cuntrariu di elli, furnisce una prutezzione proattiva, prevenendu attacchi zero-day. Intercept X hè capaci di travaglià in parallelu cù l'antivirus di firma da altri venditori.

In questu articulu, avemu parlatu brevemente di u cuncettu SynSec, chì hè implementatu in Sophos Central, è ancu alcune di e capacità di sta suluzione. Descriveremu cumu ognuna di i cumpunenti di sicurezza integrata in e funzioni Sophos Central in l'articuli seguenti. Pudete ottene una versione demo di a suluzione ccà.

Source: www.habr.com