
FĂŒr die hohe Effizienz von InformationssicherheitsmaĂnahmen spielt die Verbindung ihrer Komponenten eine entscheidende Rolle. Sie ermöglicht es, nicht nur externe, sondern auch interne Bedrohungen zu bekĂ€mpfen. Bei der Planung der Netzwerk-Infrastruktur ist jede SchutzmaĂnahme, sei es Antiviren-Software oder eine Firewall, von groĂer Bedeutung, damit sie nicht nur innerhalb ihres Klassenrahmens (Endpoint-Sicherheit oder NGFW) funktioniert, sondern auch in der Lage ist, miteinander zu interagieren, um Bedrohungen gemeinsam zu bekĂ€mpfen.
Ein wenig Theorie
Es ist nicht ĂŒberraschend, dass heutige Cyberkriminelle wesentlich erfinderischer geworden sind. Um Malware zu verbreiten, setzen sie eine Vielzahl von Netzwerktechnologien ein:

Phishing-E-Mails fĂŒhren dazu, dass Malware die "Schwelle" Ihres Netzwerks ĂŒberschreitet, indem sie bekannte Angriffe oder "Zero-Day-Attacken" mit anschlieĂender Privilegienerhöhung oder laterale Bewegungen im Netzwerk nutzt. Ein einzelnes infiziertes GerĂ€t kann bedeuten, dass Ihr Netzwerk fĂŒr die eigennĂŒtzigen Zwecke des Angreifers genutzt wird.
In einigen FĂ€llen, in denen eine Interaktion der Sicherheitskomponenten erforderlich ist, kann der aktuelle Stand der Informationssicherheitssysteme wĂ€hrend eines Audits nicht durch ein zusammenhĂ€ngendes MaĂnahmenpaket beschrieben werden. HĂ€ufig decken viele technologische Lösungen, die sich auf die Abwehr bestimmter Bedrohungsarten konzentrieren, keine Integration mit anderen technologischen Lösungen vor. Zum Beispiel verwenden Produkte zum Schutz von EndgerĂ€ten Signatur- und Verhaltensanalysen, um festzustellen, ob eine Datei infiziert ist oder nicht. Firewalls nutzen zur Blockierung von schĂ€dlichem Datenverkehr andere Technologien, darunter Webfilterung, IPS, Sandboxes usw. Dennoch sind diese Sicherheitskomponenten in den meisten Organisationen nicht miteinander verbunden und arbeiten isoliert.
Trends bei der Implementierung der Heartbeat-Technologie
Ein neuer Ansatz zur GewĂ€hrleistung der Cybersicherheit bedeutet den Schutz auf jeder Ebene, wobei die Lösungen, die auf jeder Ebene eingesetzt werden, miteinander verbunden sind und die Möglichkeit zum Austausch von Informationen haben. Dies fĂŒhrt zur Schaffung des Systems Synchronized Security (SynSec). SynSec ist ein Prozess, der die Informationssicherheit als eine einheitliche Systematik gewĂ€hrleistet. In diesem Fall ist jede Komponente der Informationssicherheit in Echtzeit miteinander verbunden. Zum Beispiel ist die Lösung auf diesem Prinzip implementiert.

Die Technologie Security Heartbeat gewĂ€hrleistet die Verbindung zwischen den Sicherheitskomponenten, wodurch das gemeinsame Funktionieren des Systems und seine Ăberwachung sichergestellt werden. In sind Lösungen der folgenden Klassen integriert:
- â klassischer Signatur-Antivirus;
- â spezialisierter Antivirus fĂŒr Server;
- â Next-Generation-Antivirus (ohne Signaturen und mit KĂŒnstlicher Intelligenz-Technologien);
- â Next-Generation Firewall;
- â Verwaltung mobiler GerĂ€te und Zugriffskontrolle auf Unternehmens-E-Mails und -Dateien;
- ;
- â Zugriffspunkte, die sowohl in der Cloud als auch lokal ĂŒber Sophos UTM / Sophos XG verwaltet werden;
- â klassische Lösung zur Filterung von Web-Traffic;
- â cloudbasierte / lokale Anti-Spam / Antivirenlösung;
- â Sensibilisierung der Mitarbeiter durch DurchfĂŒhrung von Test-Phishing-Kampagnen;
- â Audit von Cloud-Infrastrukturen.

Es ist leicht zu erkennen, dass Sophos Central eine breite Palette von Lösungen im Bereich der Informationssicherheit unterstĂŒtzt. Bei Sophos Central basiert das Konzept von SynSec auf drei wichtigen Prinzipien: Erkennung, Analyse und Reaktion. Um diese im Detail zu beschreiben, schauen wir uns jedes einzelne an.
SynSec-Konzepte
ERKENNUNG (Entdeckung unbekannter Bedrohungen)
Die von Sophos verwalteten Produkte teilen automatisch Informationen untereinander, um Risiken und unbekannte Bedrohungen zu erkennen, einschlieĂlich:
- Analyse des Netzwerkverkehrs mit der Möglichkeit, hochriskante Anwendungen und schÀdlichen Traffic zu identifizieren;
- Erkennung von Benutzern mit hoher Risikogruppe durch korrelierende Analyse ihres Verhaltens im Netz.
ANALYSE (sofort und intuitiv)
Echtzeitanalyse von VorfÀllen ermöglicht ein sofortiges VerstÀndnis der aktuellen Situation im System.
- Darstellung der vollstĂ€ndigen Ereigniskette, die zu dem Vorfall gefĂŒhrt hat, einschlieĂlich aller Dateien, Registry-SchlĂŒssel, URLs usw.
REAKTION (automatisierte Reaktion auf VorfÀlle)
Die Konfiguration von Sicherheitsrichtlinien ermöglicht es, automatisch in Sekundenschnelle auf Infektionen und VorfÀlle zu reagieren. Dies wird erreicht durch:
- sofortige Isolation infizierter GerÀte und Stopp des Angriffs in Echtzeit (auch innerhalb eines Netzwerks / Broadcast-DomÀne);
- EinschrĂ€nkung des Zugriffs auf Unternehmensnetzwerkressourcen fĂŒr GerĂ€te, die nicht den Richtlinien entsprechen;
- Fernstart einer GerÀtesuche bei Entdeckung von ausgehendem Spam.
Wir haben die grundlegenden Schutzprinzipien behandelt, auf denen Sophos Central basiert. Jetzt wenden wir uns der Beschreibung zu, wie die SynSec-Technologie in der Praxis funktioniert.
Von der Theorie zur Praxis
ZunĂ€chst erklĂ€ren wir, wie die Interaktion von GerĂ€ten nach dem SynSec-Prinzip mit der Heartbeat-Technologie eingerichtet wird. Der erste Schritt besteht darin, die Sophos XG in Sophos Central zu registrieren. In diesem Schritt erhĂ€lt sie ein Zertifikat zur Selbstidentifizierung, eine IP-Adresse und einen Port, ĂŒber den die EndgerĂ€te mit der Heartbeat-Technologie kommunizieren, sowie eine Liste der IDs der EndgerĂ€te, die ĂŒber Sophos Central verwaltet werden, und deren Client-Zertifikate.
Kurz nach der Registrierung der Sophos XG wird Sophos Central den EndgerĂ€ten Informationen ĂŒbermitteln, um die Interaktion mit der Heartbeat-Technologie zu initiieren:
- eine Liste der Zertifizierungsstellen, die zur Ausgabe der Zertifikate fĂŒr die Sophos XG verwendet werden;
- eine Liste der ID-IDs der GerÀte, die bei der Sophos XG registriert sind;
- IP-Adresse und Port fĂŒr die Interaktion ĂŒber die Heartbeat-Technologie.
Diese Informationen werden auf dem Computer unter folgendem Pfad gespeichert: %ProgramData%SophosHearbeatConfigHeartbeat.xml und regelmĂ€Ăig aktualisiert.
Die Kommunikation ĂŒber die Heartbeat-Technologie erfolgt durch die Ăbermittlung von Nachrichten von der Endpoint an die magische IP-Adresse 52.5.76.173:8347 und zurĂŒck. Bei der Analyse wurde festgestellt, dass die Pakete in einem Intervall von 15 Sekunden gesendet werden, wie vom Anbieter angegeben. Es ist zu beachten, dass die Heartbeat-Nachrichten direkt vom XG Firewall verarbeitet werden â es fĂ€ngt die Pakete ab und ĂŒberwacht den Status des Endpunkts. Wenn Sie die Pakete auf dem Host erfassen, wird der Datenverkehr wie die Kommunikation mit einer externen IP-Adresse aussehen, obwohl der Endpunkt tatsĂ€chlich direkt mit der XG-Firewall interagiert.

Stellen Sie sich vor, ein schĂ€dliches Programm hat somehow den Computer infiltriert. Sophos Endpoint erkennt diesen Angriff oder wir hören auf, Heartbeat von diesem System zu empfangen. Das infizierte GerĂ€t sendet automatisch Informationen ĂŒber die Systeminfektion und löst eine automatische Kette von Aktionen aus. Der XG Firewall isoliert sofort den Computer, um die Ausbreitung des Angriffs und die Interaktion mit C&C-Servern zu verhindern.
Sophos Endpoint entfernt automatisch Malware. Nach der Entfernung synchronisiert sich das EndgerĂ€t mit Sophos Central, und dann stellt die XG Firewall den Netzwerkzugang wieder her. Die Ursachenanalyse (Root Cause Analysis â RCA oder EDR â Endpoint Detection and Response) ermöglicht eine detaillierte Einsicht in die Ereignisse.

Wenn der Zugang zu Unternehmensressourcen ĂŒber mobile GerĂ€te und Tablets erfolgt, ist es dann möglich, SynSec zu gewĂ€hrleisten?
FĂŒr solch ein Szenario bietet Sophos Central UnterstĂŒtzung. und . Angenommen, ein Benutzer versucht, die Sicherheitsrichtlinien auf einem mobil geschĂŒtzten GerĂ€t mit Sophos Mobile zu verletzen. Sophos Mobile erkennt den VerstoĂ gegen die Sicherheitsrichtlinien und sendet Benachrichtigungen an die anderen Systemkomponenten, was eine vorher festgelegte Reaktion auf den Vorfall auslöst. Ist in Sophos Mobile die Richtlinie âNetzwerkverbindung verbietenâ konfiguriert, so wird Sophos Wireless den Netzwerkzugang fĂŒr dieses GerĂ€t einschrĂ€nken. Im Dashboard von Sophos Central wird im Tab Sophos Wireless eine Benachrichtigung angezeigt, die darauf hinweist, dass das GerĂ€t infiziert ist. WĂ€hrend der Benutzer versucht, auf das Netzwerk zuzugreifen, wird ein Bildschirm angezeigt, der besagt, dass der Internetzugang eingeschrĂ€nkt ist.


Der Endpunkt hat mehrere Heartbeat-Status: rot, gelb und grĂŒn.
Der rote Status tritt in folgenden FĂ€llen auf:
- aktives Malware wurde entdeckt;
- Ein Versuch zum Starten von Malware wurde festgestellt;
- Malware-Internetverkehr wurde entdeckt;
- Malware wurde nicht entfernt.
Der gelbe Status zeigt an, dass auf dem Endpunkt inaktive Malware oder potenziell unerwĂŒnschte Programme (PUP) entdeckt wurden. Ein grĂŒner Status bedeutet, dass keine der oben genannten Probleme festgestellt wurde.
Nachdem wir einige klassische Szenarien der Interaktion geschĂŒtzter GerĂ€te mit Sophos Central betrachtet haben, gehen wir zur Beschreibung der grafischen BenutzeroberflĂ€che der Lösung ĂŒber und betrachten die grundlegenden Einstellungen sowie die unterstĂŒtzten Funktionen.
Grafische BenutzeroberflÀche
Im Dashboard werden die neuesten Benachrichtigungen angezeigt. AuĂerdem wird eine Ăbersicht ĂŒber die verschiedenen Schutzkomponenten in Form von Diagrammen angezeigt. In diesem Fall werden die Zusammenfassungsdaten zum Schutz von Desktop-Computern angezeigt. Auf diesem Dashboard sind auch zusammenfassende Informationen ĂŒber Versuche, auf gefĂ€hrliche Ressourcen und Inhalte mit unzulĂ€ssigem Inhalt zuzugreifen, sowie Statistiken zur Analyse von E-Mails verfĂŒgbar.

Sophos Central ermöglicht die Anzeige von Benachrichtigungen nach Wichtigkeit, sodass Benutzer kritische Sicherheitswarnungen nicht ĂŒbersehen. Neben der prĂ€gnanten Zusammenfassung des Sicherheitsstatus bietet Sophos Central auch Ereignisprotokollierung und Integration mit SIEM-Systemen. FĂŒr viele Unternehmen dient Sophos Central sowohl als Plattform fĂŒr das interne SOC als auch zur Bereitstellung von Dienstleistungen fĂŒr ihre Kunden â MSSP.
Eine der wichtigen Funktionen ist die UnterstĂŒtzung von Update-Caching fĂŒr Endpunkt-Clients. Dadurch wird die Bandbreite des externen Traffics eingespart, da Updates in diesem Fall einmal auf einen der Endpunkt-Clients heruntergeladen werden und anschlieĂend von anderen EndgerĂ€ten von dort abgerufen werden. DarĂŒber hinaus kann der ausgewĂ€hlte Endpunkt Sicherheitsrichtlinien und Informationsberichte in die Sophos-Cloud weiterleiten. Diese Funktion ist besonders nĂŒtzlich, wenn EndgerĂ€te keinen direkten Internetzugang haben, aber dennoch geschĂŒtzt werden mĂŒssen. In Sophos Central gibt es eine Option (Tamper Protection), die es verbietet, die Sicherheitseinstellungen des Computers zu Ă€ndern oder den Endpunkt-Agenten zu entfernen.
Eine der Komponenten des Endpunktschutzes ist die nĂ€chste Generation von Antivirus (NGAV) â . Mit Hilfe von Technologien des tiefen maschinellen Lernens kann die Antivirensoftware zuvor unbekannte Bedrohungen ohne den Einsatz von Signaturen erkennen. Die Erkennungsgenauigkeit ist mit der von signaturbasierten Lösungen vergleichbar, bietet jedoch proaktive Sicherheit, um Angriffe durch »Zero-Day«-Bedrohungen zu verhindern. Intercept X kann parallel zu signaturbasierten Antivirenlösungen anderer Anbieter arbeiten.
In diesem Artikel haben wir kurz das Konzept von SynSec vorgestellt, das in Sophos Central implementiert ist, sowie einige Funktionen dieser Lösung beschrieben. Wie jeder der Schutzkomponenten, die in Sophos Central integriert sind, funktioniert, werden wir in den nÀchsten Artikeln nÀher erlÀutern. Eine Demoversion der Lösung können Sie .
Quelle: habr.com
