Er mwyn sicrhau effeithlonrwydd uchel o offer diogelwch gwybodaeth, mae cysylltiad ei gydrannau yn chwarae rhan bwysig. Mae'n caniatáu ichi gwmpasu nid yn unig bygythiadau allanol, ond hefyd bygythiadau mewnol. Wrth ddylunio seilwaith rhwydwaith, mae pob offeryn diogelwch, boed yn wrthfeirws neu'n wal dân, yn bwysig fel eu bod yn gweithredu nid yn unig o fewn eu dosbarth (diogelwch Endpoint neu NGFW), ond hefyd â'r gallu i ryngweithio â'i gilydd i frwydro yn erbyn bygythiadau ar y cyd. .
Darn o theori
Nid yw'n syndod bod seiberdroseddwyr heddiw wedi dod yn fwy entrepreneuraidd. Maent yn defnyddio ystod o dechnolegau rhwydwaith i ledaenu malware:
Mae gwe-rwydo trwy e-bost yn achosi i'r meddalwedd maleisus groesi trothwy eich rhwydwaith gan ddefnyddio ymosodiadau hysbys, naill ai ymosodiadau dim diwrnod ac yna uwchgyfeirio braint, neu symudiad ochrol trwy'r rhwydwaith. Gallai cael un ddyfais heintiedig olygu y gallai eich rhwydwaith gael ei ddefnyddio er budd ymosodwr.
Mewn rhai achosion, pan fo angen sicrhau rhyngweithio cydrannau diogelwch gwybodaeth, wrth gynnal archwiliad diogelwch gwybodaeth o gyflwr presennol y system, nid yw'n bosibl ei ddisgrifio gan ddefnyddio un set o fesurau sy'n rhyng-gysylltiedig. Yn y rhan fwyaf o achosion, nid yw llawer o atebion technoleg sy'n canolbwyntio ar wrthsefyll math penodol o fygythiad yn darparu integreiddio ag atebion technoleg eraill. Er enghraifft, mae cynhyrchion amddiffyn diweddbwynt yn defnyddio llofnod a dadansoddiad ymddygiad i benderfynu a yw ffeil wedi'i heintio ai peidio. Er mwyn atal traffig maleisus, mae waliau tân yn defnyddio technolegau eraill, sy'n cynnwys hidlo gwe, IPS, bocsio tywod, ac ati. Fodd bynnag, yn y rhan fwyaf o sefydliadau nid yw'r cydrannau diogelwch gwybodaeth hyn yn gysylltiedig â'i gilydd ac maent yn gweithredu ar wahân.
Tueddiadau wrth weithredu technoleg Curiad Calon
Mae'r ymagwedd newydd at seiberddiogelwch yn cynnwys amddiffyniad ar bob lefel, gyda'r atebion a ddefnyddir ar bob lefel yn gysylltiedig â'i gilydd ac yn gallu cyfnewid gwybodaeth. Mae hyn yn arwain at greu Sunchronized Security (SynSec). Mae SynSec yn cynrychioli'r broses o sicrhau diogelwch gwybodaeth fel un system. Yn yr achos hwn, mae pob elfen diogelwch gwybodaeth yn gysylltiedig â'i gilydd mewn amser real. Er enghraifft, yr ateb gweithredu yn unol â'r egwyddor hon.
Diogelwch Mae technoleg Curiad Calon yn galluogi cyfathrebu rhwng cydrannau diogelwch, gan alluogi cydweithio a monitro systemau. YN Mae atebion o'r dosbarthiadau canlynol yn cael eu hintegreiddio:
- - gwrthfeirws llofnod clasurol;
- - gwrthfeirws arbenigol ar gyfer gweinyddwyr;
- – gwrthfeirws cenhedlaeth newydd (heb lofnodion a thechnolegau deallusrwydd artiffisial);
- — Mur Tân y Genhedlaeth Nesaf;
- — rheoli dyfeisiau symudol a rheoli mynediad i bost corfforaethol a ffeiliau;
- ;
- — pwyntiau mynediad a reolir o'r cwmwl ac yn lleol trwy Sophos UTM / Sophos XG;
- — datrysiad clasurol ar gyfer hidlo traffig gwe;
- — toddiant gwrth-sbam/antifeirws lleol/cwmwl;
- — codi ymwybyddiaeth gweithwyr, cynnal postiadau gwe-rwydo prawf;
- — archwiliad o seilwaith cwmwl.
Mae'n hawdd gweld bod Sophos Central yn cefnogi ystod eithaf eang o atebion diogelwch gwybodaeth. Yn Sophos Central, mae cysyniad SynSec yn seiliedig ar dair egwyddor bwysig: canfod, dadansoddi ac ymateb. Er mwyn eu disgrifio'n fanwl, byddwn yn aros ar bob un ohonynt.
Cysyniadau SynSec
CANFOD (canfod bygythiadau anhysbys)
Mae cynhyrchion Sophos, a reolir gan Sophos Central, yn rhannu gwybodaeth yn awtomatig â'i gilydd i nodi risgiau a bygythiadau anhysbys, sy'n cynnwys:
- dadansoddiad traffig rhwydwaith gyda'r gallu i nodi cymwysiadau risg uchel a thraffig maleisus;
- canfod defnyddwyr risg uchel trwy ddadansoddiad cydberthynas o'u gweithredoedd ar-lein.
DADANSODDIAD (ar unwaith ac yn reddfol)
Mae dadansoddi digwyddiadau amser real yn rhoi dealltwriaeth ar unwaith o'r sefyllfa bresennol yn y system.
- Yn dangos y gadwyn gyflawn o ddigwyddiadau a arweiniodd at y digwyddiad, gan gynnwys yr holl ffeiliau, allweddi cofrestrfa, URLs, ac ati.
YMATEB (ymateb i ddigwyddiad awtomatig)
Mae sefydlu polisïau diogelwch yn caniatáu ichi ymateb yn awtomatig i heintiau a digwyddiadau mewn ychydig eiliadau. Sicrheir hyn:
- ynysu dyfeisiau heintiedig ar unwaith ac atal yr ymosodiad mewn amser real (hyd yn oed o fewn yr un parth rhwydwaith / darlledu);
- cyfyngu mynediad i adnoddau rhwydwaith cwmni ar gyfer dyfeisiau nad ydynt yn cydymffurfio â pholisïau;
- lansiwch sgan dyfais o bell pan ganfyddir sbam sy'n mynd allan.
Rydym wedi edrych ar y prif egwyddorion diogelwch y mae Sophos Central yn seiliedig arnynt. Nawr, gadewch i ni symud ymlaen at ddisgrifiad o sut mae technoleg SynSec yn amlygu ei hun ar waith.
O theori i ymarfer
Yn gyntaf, gadewch i ni esbonio sut mae dyfeisiau'n rhyngweithio gan ddefnyddio egwyddor SynSec gan ddefnyddio technoleg Heartbeat. Y cam cyntaf yw cofrestru Sophos XG gyda Sophos Central. Ar y cam hwn, mae'n derbyn tystysgrif ar gyfer hunan-adnabod, cyfeiriad IP a phorthladd lle bydd dyfeisiau diwedd yn rhyngweithio ag ef gan ddefnyddio technoleg Heartbeat, yn ogystal â rhestr o IDau o ddyfeisiau terfynol a reolir trwy Sophos Central a'u tystysgrifau cleient.
Yn fuan ar ôl i gofrestriad Sophos XG ddigwydd, bydd Sophos Central yn anfon gwybodaeth i bwyntiau terfyn i gychwyn rhyngweithio Curiad Calon:
- rhestr o awdurdodau tystysgrif a ddefnyddiwyd i roi tystysgrifau Sophos XG;
- rhestr o IDau dyfeisiau sydd wedi'u cofrestru gyda Sophos XG;
- Cyfeiriad IP a phorthladd ar gyfer rhyngweithio gan ddefnyddio technoleg Heartbeat.
Mae'r wybodaeth hon yn cael ei storio ar y cyfrifiadur yn y llwybr canlynol: %ProgramData%SophosHearbeatConfigHeartbeat.xml ac yn cael ei diweddaru'n rheolaidd.
Cyfathrebu gan ddefnyddio technoleg Heartbeat yn cael ei wneud gan y endpoint anfon negeseuon i'r cyfeiriad IP hud 52.5.76.173:8347 ac yn ôl. Yn ystod y dadansoddiad, datgelwyd bod pecynnau'n cael eu hanfon gyda chyfnod o 15 eiliad, fel y nodwyd gan y gwerthwr. Mae'n werth nodi bod negeseuon Heartbeat yn cael eu prosesu'n uniongyrchol gan Wal Dân XG - mae'n rhyng-gipio pecynnau ac yn monitro statws y pwynt terfyn. Os ydych chi'n perfformio cipio pecynnau ar y gwesteiwr, bydd yn ymddangos bod y traffig yn cyfathrebu â'r cyfeiriad IP allanol, er mewn gwirionedd mae'r diweddbwynt yn cyfathrebu'n uniongyrchol â wal dân XG.
Tybiwch fod rhaglen faleisus wedi cyrraedd eich cyfrifiadur rywsut. Mae Sophos Endpoint yn canfod yr ymosodiad hwn neu rydyn ni'n rhoi'r gorau i dderbyn Heartbeat o'r system hon. Mae dyfais heintiedig yn anfon gwybodaeth yn awtomatig am y system yn cael ei heintio, gan sbarduno cadwyn awtomatig o gamau gweithredu. Mae XG Firewall yn ynysu'ch cyfrifiadur ar unwaith, gan atal yr ymosodiad rhag lledaenu a rhyngweithio â gweinyddwyr C&C.
Mae Sophos Endpoint yn dileu malware yn awtomatig. Unwaith y caiff ei dynnu, mae'r ddyfais derfynol yn cysoni â Sophos Central, yna mae XG Firewall yn adfer mynediad i'r rhwydwaith. Mae Dadansoddiad o Wraidd y Broblem (RCA neu EDR - Canfod ac Ymateb Endpoint) yn eich galluogi i gael dealltwriaeth fanwl o'r hyn a ddigwyddodd.
Gan gymryd bod adnoddau corfforaethol yn cael eu cyrchu trwy ddyfeisiadau symudol a thabledi, a oes modd darparu SynSec?
Mae Sophos Central yn darparu cefnogaeth ar gyfer y senario hwn и . Gadewch i ni ddweud bod defnyddiwr yn ceisio torri polisi diogelwch ar ddyfais symudol sydd wedi'i diogelu â Sophos Mobile. Mae Sophos Mobile yn canfod toriad polisi diogelwch ac yn anfon hysbysiadau i weddill y system, gan sbarduno ymateb wedi'i ffurfweddu ymlaen llaw i'r digwyddiad. Os oes gan Sophos Mobile bolisi “gwadu cysylltiad rhwydwaith” wedi'i ffurfweddu, bydd Sophos Wireless yn cyfyngu mynediad rhwydwaith ar gyfer y ddyfais hon. Bydd hysbysiad yn ymddangos yn dangosfwrdd Sophos Central o dan y tab Sophos Wireless yn nodi bod y ddyfais wedi'i heintio. Pan fydd y defnyddiwr yn ceisio cael mynediad i'r rhwydwaith, bydd sgrin sblash yn ymddangos ar y sgrin yn eu hysbysu bod mynediad i'r Rhyngrwyd yn gyfyngedig.
Mae gan y pwynt terfyn sawl statws Curiad Calon: coch, melyn a gwyrdd.
Mae statws coch yn digwydd yn yr achosion canlynol:
- malware gweithredol wedi'i ganfod;
- canfuwyd ymgais i lansio drwgwedd;
- canfod traffig rhwydwaith maleisus;
- ni chafodd y malware ei dynnu.
Mae statws melyn yn golygu bod y pwynt terfyn wedi canfod drwgwedd anactif neu wedi canfod PUP (rhaglen ddiangen o bosibl). Mae statws gwyrdd yn dangos na chanfuwyd yr un o'r problemau uchod.
Ar ôl edrych ar rai senarios clasurol ar gyfer rhyngweithio dyfeisiau gwarchodedig â Sophos Central, gadewch inni symud ymlaen at ddisgrifiad o ryngwyneb graffigol y datrysiad ac adolygiad o'r prif osodiadau a'r swyddogaethau a gefnogir.
Rhyngwyneb graffigol
Mae'r panel rheoli yn dangos yr hysbysiadau diweddaraf. Mae crynodeb o'r gwahanol gydrannau amddiffyn hefyd yn cael ei arddangos ar ffurf diagramau. Yn yr achos hwn, arddangosir data cryno ar ddiogelu cyfrifiaduron personol. Mae'r panel hwn hefyd yn darparu gwybodaeth gryno am ymdrechion i ymweld ag adnoddau ac adnoddau peryglus gyda chynnwys amhriodol, ac ystadegau dadansoddi e-bost.
Mae Sophos Central yn cefnogi arddangos hysbysiadau yn ôl difrifoldeb, gan atal y defnyddiwr rhag colli rhybuddion diogelwch critigol. Yn ogystal â chrynodeb wedi'i arddangos yn gryno o statws y system ddiogelwch, mae Sophos Central yn cefnogi logio digwyddiadau ac integreiddio â systemau SIEM. I lawer o gwmnïau, mae Sophos Central yn llwyfan ar gyfer SOC mewnol ac ar gyfer darparu gwasanaethau i'w cwsmeriaid - MSSP.
Un o'r nodweddion pwysig yw cefnogaeth ar gyfer storfa ddiweddaru ar gyfer cleientiaid diweddbwynt. Mae hyn yn caniatáu ichi arbed lled band ar draffig allanol, oherwydd yn yr achos hwn mae diweddariadau yn cael eu lawrlwytho unwaith i un o'r cleientiaid diweddbwynt, ac yna mae pwyntiau terfyn eraill yn lawrlwytho diweddariadau ohono. Yn ogystal â'r nodwedd a ddisgrifir, gall y pwynt terfyn a ddewiswyd drosglwyddo negeseuon polisi diogelwch ac adroddiadau gwybodaeth i gwmwl Sophos. Bydd y swyddogaeth hon yn ddefnyddiol os oes dyfeisiau terfynol nad oes ganddynt fynediad uniongyrchol i'r Rhyngrwyd, ond sydd angen eu hamddiffyn. Mae Sophos Central yn darparu opsiwn (amddiffyn rhag ymyrryd) sy'n gwahardd newid gosodiadau diogelwch y cyfrifiadur neu ddileu'r asiant endpoint.
Un o gydrannau amddiffyniad endpoint yw gwrthfeirws cenhedlaeth newydd (NGAV) - . Gan ddefnyddio technolegau dysgu peiriannau dwfn, mae'r gwrthfeirws yn gallu nodi bygythiadau anhysbys o'r blaen heb ddefnyddio llofnodion. Mae'r cywirdeb canfod yn debyg i analogau llofnod, ond yn wahanol iddynt, mae'n darparu amddiffyniad rhagweithiol, gan atal ymosodiadau dim diwrnod. Mae Intercept X yn gallu gweithio ochr yn ochr â gwrthfeirysau llofnod gan werthwyr eraill.
Yn yr erthygl hon, buom yn siarad yn fyr am y cysyniad SynSec, sy'n cael ei weithredu yn Sophos Central, yn ogystal â rhai o alluoedd yr ateb hwn. Byddwn yn disgrifio sut mae pob un o'r cydrannau diogelwch wedi'u hintegreiddio i swyddogaethau Sophos Central yn yr erthyglau canlynol. Gallwch gael fersiwn demo o'r datrysiad .
Ffynhonnell: hab.com