Um eine hohe Effizienz von Informationssicherheitstools zu gewährleisten, spielt die Verbindung ihrer Komponenten eine wichtige Rolle. Damit können Sie nicht nur externe, sondern auch interne Bedrohungen abdecken. Beim Entwurf einer Netzwerkinfrastruktur ist jedes Sicherheitstool, sei es ein Antivirenprogramm oder eine Firewall, wichtig, damit es nicht nur innerhalb seiner Klasse (Endpunktsicherheit oder NGFW) funktioniert, sondern auch die Fähigkeit hat, miteinander zu interagieren, um Bedrohungen gemeinsam zu bekämpfen .
Ein bisschen Theorie
Es ist keine Überraschung, dass die heutigen Cyberkriminellen unternehmerischer geworden sind. Sie nutzen eine Reihe von Netzwerktechnologien, um Malware zu verbreiten:
E-Mail-Phishing führt dazu, dass die Malware mithilfe bekannter Angriffe die Schwelle Ihres Netzwerks überschreitet, entweder Zero-Day-Angriffe mit anschließender Rechteausweitung oder laterale Bewegung durch das Netzwerk. Das Vorhandensein eines infizierten Geräts könnte bedeuten, dass Ihr Netzwerk zum Vorteil eines Angreifers genutzt werden könnte.
In einigen Fällen, in denen es erforderlich ist, das Zusammenspiel von Informationssicherheitskomponenten sicherzustellen, ist es bei der Durchführung eines Informationssicherheitsaudits des aktuellen Zustands des Systems nicht möglich, diesen mit einem einzigen Satz miteinander verbundener Maßnahmen zu beschreiben. In den meisten Fällen bieten viele Technologielösungen, die sich auf die Abwehr einer bestimmten Art von Bedrohung konzentrieren, keine Integration mit anderen Technologielösungen. Endpunktschutzprodukte verwenden beispielsweise Signatur- und Verhaltensanalysen, um festzustellen, ob eine Datei infiziert ist oder nicht. Um bösartigen Datenverkehr zu stoppen, verwenden Firewalls andere Technologien, darunter Webfilter, IPS, Sandboxing usw. In den meisten Organisationen sind diese Informationssicherheitskomponenten jedoch nicht miteinander verbunden und arbeiten isoliert.
Trends bei der Implementierung der Heartbeat-Technologie
Der neue Ansatz zur Cybersicherheit umfasst Schutz auf allen Ebenen, wobei die auf jeder Ebene eingesetzten Lösungen miteinander verbunden sind und Informationen austauschen können. Dies führt zur Schaffung von Sunchronized Security (SynSec). SynSec stellt den Prozess zur Gewährleistung der Informationssicherheit als ein einziges System dar. Dabei sind alle Informationssicherheitskomponenten in Echtzeit miteinander verbunden. Zum Beispiel die Lösung nach diesem Prinzip umgesetzt.
Die Security Heartbeat-Technologie ermöglicht die Kommunikation zwischen Sicherheitskomponenten und ermöglicht so die Zusammenarbeit und Überwachung des Systems. IN Lösungen der folgenden Klassen sind integriert:
- — klassisches Signatur-Antivirenprogramm;
- — spezialisiertes Antivirenprogramm für Server;
- – Antivirenprogramm der neuen Generation (ohne Signaturen und mit Technologien der künstlichen Intelligenz);
- — Firewall der nächsten Generation;
- — Verwaltung mobiler Geräte und Zugriffskontrolle auf Unternehmensmails und -dateien;
- ;
- — Zugangspunkte, die sowohl aus der Cloud als auch lokal über Sophos UTM / Sophos XG verwaltet werden;
- — eine klassische Lösung zum Filtern des Webverkehrs;
- — Cloud-/lokale Anti-Spam-/Antiviren-Lösung;
- — Sensibilisierung der Mitarbeiter, Durchführung von Test-Phishing-Mailings;
- — Prüfung von Cloud-Infrastrukturen.
Es ist leicht zu erkennen, dass Sophos Central ein ziemlich breites Spektrum an Informationssicherheitslösungen unterstützt. Bei Sophos Central basiert das SynSec-Konzept auf drei wichtigen Prinzipien: Erkennung, Analyse und Reaktion. Um sie im Detail zu beschreiben, werden wir auf jeden einzelnen eingehen.
SynSec-Konzepte
ERKENNUNG (Erkennung unbekannter Bedrohungen)
Sophos-Produkte, die von Sophos Central verwaltet werden, tauschen automatisch Informationen miteinander aus, um Risiken und unbekannte Bedrohungen zu identifizieren, darunter:
- Analyse des Netzwerkverkehrs mit der Möglichkeit, risikoreiche Anwendungen und böswilligen Datenverkehr zu identifizieren;
- Erkennung von Hochrisikobenutzern durch Korrelationsanalyse ihrer Online-Aktionen.
ANALYSE (sofort und intuitiv)
Die Echtzeitanalyse von Vorfällen ermöglicht ein sofortiges Verständnis der aktuellen Situation im System.
- Zeigt die vollständige Ereigniskette an, die zu dem Vorfall geführt hat, einschließlich aller Dateien, Registrierungsschlüssel, URLs usw.
ANTWORT (automatische Reaktion auf Vorfälle)
Durch die Einrichtung von Sicherheitsrichtlinien können Sie in Sekundenschnelle automatisch auf Infektionen und Vorfälle reagieren. Dafür ist gesorgt:
- sofortige Isolierung infizierter Geräte und Stoppen des Angriffs in Echtzeit (sogar innerhalb derselben Netzwerk-/Broadcast-Domäne);
- Einschränkung des Zugriffs auf Unternehmensnetzwerkressourcen für Geräte, die nicht den Richtlinien entsprechen;
- Starten Sie aus der Ferne einen Gerätescan, wenn ausgehender Spam erkannt wird.
Wir haben uns die wichtigsten Sicherheitsprinzipien angeschaut, auf denen Sophos Central basiert. Kommen wir nun zu einer Beschreibung, wie sich die SynSec-Technologie in der Praxis manifestiert.
Von der Theorie zur Praxis
Lassen Sie uns zunächst erklären, wie Geräte nach dem SynSec-Prinzip mithilfe der Heartbeat-Technologie interagieren. Der erste Schritt besteht darin, Sophos XG bei Sophos Central zu registrieren. Zu diesem Zeitpunkt erhält er ein Zertifikat zur Selbstidentifizierung, eine IP-Adresse und einen Port, über den Endgeräte mithilfe der Heartbeat-Technologie mit ihm interagieren, sowie eine Liste der IDs der über Sophos Central verwalteten Endgeräte und deren Client-Zertifikate.
Kurz nach der Sophos XG-Registrierung sendet Sophos Central Informationen an Endpunkte, um eine Heartbeat-Interaktion zu initiieren:
- Liste der Zertifizierungsstellen, die zur Ausstellung von Sophos XG-Zertifikaten verwendet werden;
- eine Liste der Geräte-IDs, die bei Sophos XG registriert sind;
- IP-Adresse und Port für die Interaktion mithilfe der Heartbeat-Technologie.
Diese Informationen werden auf dem Computer im folgenden Pfad gespeichert: %ProgramData%SophosHearbeatConfigHeartbeat.xml und werden regelmäßig aktualisiert.
Die Kommunikation mithilfe der Heartbeat-Technologie erfolgt dadurch, dass der Endpunkt Nachrichten an die magische IP-Adresse 52.5.76.173:8347 und zurück sendet. Bei der Analyse stellte sich heraus, dass Pakete nach Angaben des Anbieters mit einem Zeitraum von 15 Sekunden versendet werden. Es ist erwähnenswert, dass Heartbeat-Nachrichten direkt von der XG-Firewall verarbeitet werden – sie fängt Pakete ab und überwacht den Status des Endpunkts. Wenn Sie die Paketerfassung auf dem Host durchführen, scheint der Datenverkehr mit der externen IP-Adresse zu kommunizieren, obwohl der Endpunkt tatsächlich direkt mit der XG-Firewall kommuniziert.
Angenommen, eine bösartige Anwendung ist irgendwie auf Ihren Computer gelangt. Sophos Endpoint erkennt diesen Angriff oder wir erhalten keinen Heartbeat von diesem System. Ein infiziertes Gerät sendet automatisch Informationen über das infizierte System und löst so eine automatische Aktionskette aus. Die XG Firewall isoliert Ihren Computer sofort und verhindert so, dass sich der Angriff ausbreitet und mit C&C-Servern interagiert.
Sophos Endpoint entfernt automatisch Malware. Sobald es entfernt wird, synchronisiert sich das Endgerät mit Sophos Central und die XG Firewall stellt dann den Zugriff auf das Netzwerk wieder her. Mithilfe der Ursachenanalyse (RCA oder EDR – Endpoint Detection and Response) erhalten Sie ein detailliertes Verständnis des Geschehens.
Ist es möglich, SynSec bereitzustellen, wenn der Zugriff auf Unternehmensressourcen über mobile Geräte und Tablets erfolgt?
Sophos Central bietet Unterstützung für dieses Szenario и . Nehmen wir an, ein Benutzer versucht, auf einem mit Sophos Mobile geschützten Mobilgerät gegen Sicherheitsrichtlinien zu verstoßen. Sophos Mobile erkennt einen Verstoß gegen die Sicherheitsrichtlinie und sendet Benachrichtigungen an den Rest des Systems, wodurch eine vorkonfigurierte Reaktion auf den Vorfall ausgelöst wird. Wenn für Sophos Mobile die Richtlinie „Netzwerkverbindung verweigern“ konfiguriert ist, schränkt Sophos Wireless den Netzwerkzugriff für dieses Gerät ein. Im Sophos Central-Dashboard unter der Registerkarte „Sophos Wireless“ wird eine Benachrichtigung angezeigt, die darauf hinweist, dass das Gerät infiziert ist. Wenn der Benutzer versucht, auf das Netzwerk zuzugreifen, wird auf dem Bildschirm ein Begrüßungsbildschirm angezeigt, der ihn darüber informiert, dass der Internetzugang eingeschränkt ist.
Der Endpunkt hat mehrere Heartbeat-Status: Rot, Gelb und Grün.
Der rote Status tritt in folgenden Fällen auf:
- aktive Malware erkannt;
- Es wurde ein Versuch erkannt, Schadsoftware zu starten.
- bösartiger Netzwerkverkehr erkannt;
- Die Schadsoftware wurde nicht entfernt.
Ein gelber Status bedeutet, dass der Endpunkt inaktive Malware oder ein PUP (potenziell unerwünschtes Programm) erkannt hat. Ein grüner Status zeigt an, dass keines der oben genannten Probleme erkannt wurde.
Nachdem wir uns einige klassische Szenarien für die Interaktion geschützter Geräte mit Sophos Central angesehen haben, gehen wir nun zu einer Beschreibung der grafischen Oberfläche der Lösung und einem Überblick über die wichtigsten Einstellungen und unterstützten Funktionen über.
GUI
Das Bedienfeld zeigt die neuesten Benachrichtigungen an. Zusätzlich wird eine Zusammenfassung der verschiedenen Schutzkomponenten in Form von Diagrammen angezeigt. In diesem Fall werden zusammenfassende Daten zum Schutz von Personalcomputern angezeigt. Dieses Panel bietet auch zusammenfassende Informationen über Versuche, gefährliche Ressourcen und Ressourcen mit unangemessenem Inhalt zu besuchen, sowie E-Mail-Analysestatistiken.
Sophos Central unterstützt die Anzeige von Benachrichtigungen nach Schweregrad und verhindert so, dass der Benutzer wichtige Sicherheitswarnungen verpasst. Neben einer prägnant angezeigten Zusammenfassung des Status des Sicherheitssystems unterstützt Sophos Central die Ereignisprotokollierung und die Integration mit SIEM-Systemen. Für viele Unternehmen ist Sophos Central eine Plattform sowohl für das interne SOC als auch für die Bereitstellung von Diensten für ihre Kunden – MSSP.
Eines der wichtigen Features ist die Unterstützung eines Update-Cache für Endpoint-Clients. Dadurch können Sie Bandbreite für den externen Datenverkehr sparen, da in diesem Fall Updates einmal auf einen der Endpunkt-Clients heruntergeladen werden und dann andere Endpunkte Updates von diesem herunterladen. Zusätzlich zu der beschriebenen Funktion kann der ausgewählte Endpunkt Sicherheitsrichtlinienmeldungen und Informationsberichte an die Sophos Cloud weiterleiten. Diese Funktion ist dann sinnvoll, wenn es Endgeräte gibt, die keinen direkten Zugang zum Internet haben, aber geschützt werden müssen. Sophos Central bietet eine Option (Manipulationsschutz), die das Ändern der Sicherheitseinstellungen des Computers oder das Löschen des Endpoint-Agenten verhindert.
Eine der Komponenten des Endpunktschutzes ist ein Antivirenprogramm der neuen Generation (NGAV) – . Mithilfe von Deep-Machine-Learning-Technologien ist das Antivirenprogramm in der Lage, bisher unbekannte Bedrohungen zu identifizieren, ohne Signaturen zu verwenden. Die Erkennungsgenauigkeit ist vergleichbar mit Signaturanaloga, bietet aber im Gegensatz zu diesen proaktiven Schutz und verhindert Zero-Day-Angriffe. Intercept X kann parallel mit Signatur-Antivirenprogrammen anderer Anbieter arbeiten.
In diesem Artikel haben wir kurz über das SynSec-Konzept gesprochen, das in Sophos Central implementiert ist, sowie über einige der Funktionen dieser Lösung. Wie die einzelnen in Sophos Central integrierten Sicherheitskomponenten funktionieren, beschreiben wir in den folgenden Artikeln. Sie können eine Demoversion der Lösung erhalten .
Source: habr.com