Pro zajištění vysoké účinnosti nástrojů informační bezpečnosti hraje důležitou roli propojení jeho komponent. Umožňuje blokovat nejen vnější, ale i vnitřní hrozby. Při navrhování síťové infrastruktury je důležitý každý ochranný nástroj, ať už je to antivirus nebo firewall, aby fungovaly nejen v rámci své třídy (Endpoint security nebo NGFW), ale také měly schopnost vzájemné interakce za účelem společného boje proti hrozbám. .
Některé teorie
Není divu, že dnešní kyberzločinci začali podnikat. K šíření malwaru používají různé síťové technologie:
Phishingové e-maily způsobují, že malware „překročí práh“ vaší sítě pomocí známých útoků, ať už jde o útoky zero-day následované eskalací privilegií, nebo laterální pohyb po síti. Přítomnost jednoho infikovaného zařízení může znamenat, že vaše síť může být zneužita ke škodlivým účelům útočníka.
V některých případech, kdy je nutné zajistit součinnost komponent IS, při provádění auditu informační bezpečnosti aktuálního stavu systému jej nelze popsat pomocí jediného souboru opatření, která jsou vzájemně propojena. Ve většině případů mnoho technologických řešení, která se zaměřují na boj proti určitému typu hrozby, neumožňuje integraci s jinými technologickými řešeními. Produkty ochrany koncových bodů například používají analýzu signatur a chování k určení, zda je soubor infikován či nikoli. Firewally používají další technologie k zastavení škodlivého provozu, jako je filtrování webu, IPS, sandboxing a tak dále. Ve většině organizací však tyto komponenty zabezpečení informací spolu nesouvisí a fungují izolovaně.
Trendy v implementaci technologie Heartbeat
Nový přístup ke kybernetické bezpečnosti zahrnuje ochranu na každé úrovni, ve které jsou řešení používaná na každé z nich vzájemně propojena a mají schopnost vyměňovat si informace. Výsledkem je vytvoření systému Sunchronized Security (SynSec). SynSec je proces zajištění informační bezpečnosti jako jediného systému. V tomto případě jsou jednotlivé komponenty informační bezpečnosti vzájemně propojeny v reálném čase. Například řešení realizované podle tohoto principu.
Security Heartbeat Technology zajišťuje komunikaci mezi bezpečnostními komponentami, což umožňuje spolupráci a monitorování systému. V integrovaná řešení následujících tříd:
- — klasický signaturní antivirus;
- — specializovaný antivirus pro servery;
- – antivirus nové generace (bez podpisů as technologiemi umělé inteligence);
- — Firewall nové generace;
- — správa mobilních zařízení a kontrola přístupu k podnikové poště a souborům;
- ;
- - přístupové body spravované jak z cloudu, tak lokálně přes Sophos UTM / Sophos XG;
- - klasické řešení pro filtrování webového provozu;
- — cloudové/lokální antispamové/antivirové řešení;
- — zvyšování informovanosti zaměstnanců, provádění testovacích phishingových zpráv;
- — audit cloudových infrastruktur.
Je snadné vidět, že Sophos Central podporuje poměrně širokou škálu řešení zabezpečení informací. V Sophos Central je koncept SynSec založen na třech důležitých principech: detekce, analýza a reakce. Podívejme se na každý z nich pro podrobný popis.
Koncepty Synsec
DETEKCE (identifikace neznámých hrozeb)
Produkty Sophos spravované Sophos Central mezi sebou automaticky sdílejí informace za účelem identifikace rizik a neznámých hrozeb, mezi které patří:
- analýza síťového provozu se schopností identifikovat vysoce rizikové aplikace a škodlivý provoz;
- detekce uživatelů s vysoce rizikovou skupinou pomocí korelační analýzy jejich akcí v síti.
ANALÝZA (okamžité a intuitivní)
Analýza incidentů v reálném čase poskytuje okamžitý přehled o aktuální situaci v systému.
- zobrazení celého řetězce událostí, které vedly k incidentu, včetně všech souborů, klíčů registru, adres URL atd.
ODEZVA (automatická reakce na incident)
Nastavení zásad zabezpečení umožňuje automaticky reagovat na infekce a incidenty během několika sekund. Toto je poskytováno:
- okamžitá izolace infikovaných zařízení a zastavení útoku v reálném čase (i v rámci stejné sítě / vysílací domény);
- omezení přístupu k firemním síťovým zdrojům pro zařízení, která nesplňují zásady;
- vzdálené spuštění kontroly zařízení při zjištění odchozího spamu.
Přezkoumali jsme hlavní principy ochrany, na kterých je založena práce Sophos Central. Nyní přejděme k popisu toho, jak se technologie SynSec projevuje v akci.
Od teorie k praxi
Nejprve si vysvětlíme, jak se na principu SynSec vytváří interakce se zařízením pomocí technologie Heartbeat. Prvním krokem je registrace Sophos XG u Sophos Central. V této fázi získává certifikát pro vlastní identifikaci, IP adresu a port, přes který s ním budou koncová zařízení komunikovat pomocí technologie Heartbeat, a také seznam ID koncových zařízení spravovaných přes Sophos Central a jejich klientské certifikáty.
Krátce poté, co dojde k registraci Sophos XG, odešle Sophos Central informace do koncových zařízení pro zahájení interakce Heartbeat:
- seznam certifikačních autorit používaných k vydávání certifikátů Sophos XG;
- seznam ID zařízení registrovaných u Sophos XG;
- IP adresa a port pro komunikaci pomocí technologie Heartbeat.
Tyto informace jsou uloženy v počítači v následující cestě: %ProgramData%SophosHearbeatConfigHeartbeat.xml a jsou pravidelně aktualizovány.
Komunikace pomocí technologie Heartbeat probíhá zasíláním zpráv na magickou IP adresu 52.5.76.173:8347 a zpět. Během analýzy bylo zjištěno, že pakety jsou odesílány s periodou 15 sekund, jak uvádí prodejce. Za zmínku stojí, že zprávy Heartbeat zpracovává přímo XG Firewall – zachycuje pakety a sleduje stav koncového bodu. Pokud provedete zachytávání paketů na hostiteli, bude provoz vypadat jako komunikace s externí IP adresou, ačkoli ve skutečnosti koncový bod komunikuje přímo s XG firewallem.
Nechte nějakou škodlivou aplikaci dostat se do počítače. Sophos Endpoint detekuje tento útok nebo přestaneme přijímat Heartbeat z tohoto systému. Infikované zařízení automaticky odešle informaci o infekci do systému a spustí automatický řetězec akcí. XG Firewall okamžitě izoluje počítač a zabraňuje šíření útoků a interakci se servery C&C.
Sophos Endpoint automaticky odstraňuje malware. Po jeho odstranění se koncové zařízení synchronizuje se Sophos Central, poté XG Firewall obnoví přístup do sítě. Analýza kořenových příčin (RCA nebo EDR - Endpoint Detection and Responce) vám umožňuje získat podrobný obrázek o tom, co se stalo.
Za předpokladu, že se k firemním zdrojům přistupuje přes mobilní zařízení a tablety, je možné v tomto případě poskytnout SynSec?
Sophos Central poskytuje podporu pro tento scénář. и . Předpokládejme, že se uživatel pokusí porušit bezpečnostní politiku na mobilním zařízení chráněném Sophos Mobile. Sophos Mobile detekuje porušení bezpečnostní politiky a odešle upozornění do zbytku systému, čímž spustí předkonfigurovanou reakci na incident. Pokud je zásada Sophos Mobile nakonfigurována na „odmítnout připojení k síti“, Sophos Wireless omezí přístup k síti pro toto zařízení. Panel nástrojů Sophos Central na kartě Sophos Wireless zobrazí upozornění, že je zařízení infikováno. V době, kdy se uživatel pokouší o přístup k síti, se na obrazovce objeví úvodní obrazovka informující o omezeném přístupu k internetu.
Koncový bod má několik stavů Heartbeat: červený, žlutý a zelený.
Červený stav se vyskytuje v následujících případech:
- detekován aktivní malware;
- byl zjištěn pokus o spuštění malwaru;
- zjištěn škodlivý síťový provoz;
- malware nebyl odstraněn.
Žlutý stav znamená, že na koncovém bodu byl detekován buď neaktivní malware, nebo PUP (potenciálně nežádoucí program). Zelený stav znamená, že nebyl zjištěn žádný z výše uvedených problémů.
Po zvážení některých klasických scénářů interakce mezi chráněnými zařízeními a Sophos Central přejděme k popisu grafického rozhraní řešení a ke kontrole hlavních nastavení a podporovaných funkcí.
GUI
Ovládací panel zobrazuje nejnovější upozornění. Ve formě diagramů je také zobrazena souhrnná charakteristika pro různé součásti ochrany. V tomto případě se zobrazí souhrnné údaje o ochraně osobních počítačů. Tento panel také poskytuje souhrn pokusů o návštěvu nebezpečných zdrojů a zdrojů s nevhodným obsahem, statistiky analýzy e-mailů.
Sophos Central podporuje zobrazování upozornění v pořadí podle důležitosti, což uživateli nedovolí zmeškat kritická bezpečnostní upozornění. Kromě výstižně zobrazených souhrnných informací o stavu systému ochrany podporuje Sophos Central protokolování událostí a integraci se systémy SIEM. Sophos Central je pro mnoho společností platformou jak pro interní SOC, tak pro poskytování služeb svým zákazníkům - MSSP.
Jednou z důležitých funkcí je podpora aktualizační mezipaměti pro koncové klienty. To šetří šířku pásma externího provozu, protože v tomto případě jsou aktualizace staženy jednou do jednoho z koncových klientů a poté z něj stahují aktualizace další koncová zařízení. Kromě této schopnosti může vybraný koncový bod předávat zprávy o zásadách zabezpečení a informační zprávy do cloudu Sophos. Tato funkce bude užitečná, pokud existují koncová zařízení, která nemají přímý přístup k internetu, ale vyžadují ochranu. Sophos Central poskytuje možnost (ochrana proti neoprávněné manipulaci), která zakazuje měnit nastavení zabezpečení počítače nebo odebírat agenta koncového bodu.
Jednou ze součástí ochrany koncových bodů je antivirus nové generace (NGAV) - . Pomocí technologií hlubokého strojového učení je antivirus schopen detekovat dříve neznámé hrozby bez použití signatur. Přesnost detekce je srovnatelná s protějšky založenými na signaturách, ale na rozdíl od nich poskytuje proaktivní ochranu, která zabraňuje útokům zero-day. Intercept X je schopen pracovat paralelně s podpisovými antiviry od jiných výrobců.
V tomto článku jsme krátce hovořili o konceptu SynSec, který je implementován v Sophos Central, a také o některých funkcích tohoto řešení. V následujících článcích popíšeme, jak fungují jednotlivé součásti ochrany integrované do Sophos Central. Můžete získat demo verzi řešení .
Zdroj: www.habr.com