Synchronisierte Sicherheit in Sophos Central

Synchronisierte Sicherheit in Sophos Central
FĂŒr die hohe Effizienz von Informationssicherheitsmaßnahmen spielt die Verbindung ihrer Komponenten eine entscheidende Rolle. Sie ermöglicht es, nicht nur externe, sondern auch interne Bedrohungen zu bekĂ€mpfen. Bei der Planung der Netzwerk-Infrastruktur ist jede Schutzmaßnahme, sei es Antiviren-Software oder eine Firewall, von großer Bedeutung, damit sie nicht nur innerhalb ihres Klassenrahmens (Endpoint-Sicherheit oder NGFW) funktioniert, sondern auch in der Lage ist, miteinander zu interagieren, um Bedrohungen gemeinsam zu bekĂ€mpfen.

Ein wenig Theorie

Es ist nicht ĂŒberraschend, dass heutige Cyberkriminelle wesentlich erfinderischer geworden sind. Um Malware zu verbreiten, setzen sie eine Vielzahl von Netzwerktechnologien ein:
Synchronisierte Sicherheit in Sophos Central
Phishing-E-Mails fĂŒhren dazu, dass Malware die "Schwelle" Ihres Netzwerks ĂŒberschreitet, indem sie bekannte Angriffe oder "Zero-Day-Attacken" mit anschließender Privilegienerhöhung oder laterale Bewegungen im Netzwerk nutzt. Ein einzelnes infiziertes GerĂ€t kann bedeuten, dass Ihr Netzwerk fĂŒr die eigennĂŒtzigen Zwecke des Angreifers genutzt wird.

In einigen FĂ€llen, in denen eine Interaktion der Sicherheitskomponenten erforderlich ist, kann der aktuelle Stand der Informationssicherheitssysteme wĂ€hrend eines Audits nicht durch ein zusammenhĂ€ngendes Maßnahmenpaket beschrieben werden. HĂ€ufig decken viele technologische Lösungen, die sich auf die Abwehr bestimmter Bedrohungsarten konzentrieren, keine Integration mit anderen technologischen Lösungen vor. Zum Beispiel verwenden Produkte zum Schutz von EndgerĂ€ten Signatur- und Verhaltensanalysen, um festzustellen, ob eine Datei infiziert ist oder nicht. Firewalls nutzen zur Blockierung von schĂ€dlichem Datenverkehr andere Technologien, darunter Webfilterung, IPS, Sandboxes usw. Dennoch sind diese Sicherheitskomponenten in den meisten Organisationen nicht miteinander verbunden und arbeiten isoliert.

Trends bei der Implementierung der Heartbeat-Technologie

Ein neuer Ansatz zur GewĂ€hrleistung der Cybersicherheit bedeutet den Schutz auf jeder Ebene, wobei die Lösungen, die auf jeder Ebene eingesetzt werden, miteinander verbunden sind und die Möglichkeit zum Austausch von Informationen haben. Dies fĂŒhrt zur Schaffung des Systems Synchronized Security (SynSec). SynSec ist ein Prozess, der die Informationssicherheit als eine einheitliche Systematik gewĂ€hrleistet. In diesem Fall ist jede Komponente der Informationssicherheit in Echtzeit miteinander verbunden. Zum Beispiel ist die Lösung Sophos Central auf diesem Prinzip implementiert.

Synchronisierte Sicherheit in Sophos Central
Die Technologie Security Heartbeat gewĂ€hrleistet die Verbindung zwischen den Sicherheitskomponenten, wodurch das gemeinsame Funktionieren des Systems und seine Überwachung sichergestellt werden. In Sophos Central sind Lösungen der folgenden Klassen integriert:

Synchronisierte Sicherheit in Sophos Central
Es ist leicht zu erkennen, dass Sophos Central eine breite Palette von Lösungen im Bereich der Informationssicherheit unterstĂŒtzt. Bei Sophos Central basiert das Konzept von SynSec auf drei wichtigen Prinzipien: Erkennung, Analyse und Reaktion. Um diese im Detail zu beschreiben, schauen wir uns jedes einzelne an.

SynSec-Konzepte

ERKENNUNG (Entdeckung unbekannter Bedrohungen)
Die von Sophos verwalteten Produkte teilen automatisch Informationen untereinander, um Risiken und unbekannte Bedrohungen zu erkennen, einschließlich:

  • Analyse des Netzwerkverkehrs mit der Möglichkeit, hochriskante Anwendungen und schĂ€dlichen Traffic zu identifizieren;
  • Erkennung von Benutzern mit hoher Risikogruppe durch korrelierende Analyse ihres Verhaltens im Netz.

ANALYSE (sofort und intuitiv)
Echtzeitanalyse von VorfÀllen ermöglicht ein sofortiges VerstÀndnis der aktuellen Situation im System.

  • Darstellung der vollstĂ€ndigen Ereigniskette, die zu dem Vorfall gefĂŒhrt hat, einschließlich aller Dateien, Registry-SchlĂŒssel, URLs usw.

REAKTION (automatisierte Reaktion auf VorfÀlle)
Die Konfiguration von Sicherheitsrichtlinien ermöglicht es, automatisch in Sekundenschnelle auf Infektionen und VorfÀlle zu reagieren. Dies wird erreicht durch:

  • sofortige Isolation infizierter GerĂ€te und Stopp des Angriffs in Echtzeit (auch innerhalb eines Netzwerks / Broadcast-DomĂ€ne);
  • EinschrĂ€nkung des Zugriffs auf Unternehmensnetzwerkressourcen fĂŒr GerĂ€te, die nicht den Richtlinien entsprechen;
  • Fernstart einer GerĂ€tesuche bei Entdeckung von ausgehendem Spam.

Wir haben die grundlegenden Schutzprinzipien behandelt, auf denen Sophos Central basiert. Jetzt wenden wir uns der Beschreibung zu, wie die SynSec-Technologie in der Praxis funktioniert.

Von der Theorie zur Praxis

ZunĂ€chst erklĂ€ren wir, wie die Interaktion von GerĂ€ten nach dem SynSec-Prinzip mit der Heartbeat-Technologie eingerichtet wird. Der erste Schritt besteht darin, die Sophos XG in Sophos Central zu registrieren. In diesem Schritt erhĂ€lt sie ein Zertifikat zur Selbstidentifizierung, eine IP-Adresse und einen Port, ĂŒber den die EndgerĂ€te mit der Heartbeat-Technologie kommunizieren, sowie eine Liste der IDs der EndgerĂ€te, die ĂŒber Sophos Central verwaltet werden, und deren Client-Zertifikate.

Kurz nach der Registrierung der Sophos XG wird Sophos Central den EndgerĂ€ten Informationen ĂŒbermitteln, um die Interaktion mit der Heartbeat-Technologie zu initiieren:

  • eine Liste der Zertifizierungsstellen, die zur Ausgabe der Zertifikate fĂŒr die Sophos XG verwendet werden;
  • eine Liste der ID-IDs der GerĂ€te, die bei der Sophos XG registriert sind;
  • IP-Adresse und Port fĂŒr die Interaktion ĂŒber die Heartbeat-Technologie.

Diese Informationen werden auf dem Computer unter folgendem Pfad gespeichert: %ProgramData%SophosHearbeatConfigHeartbeat.xml und regelmĂ€ĂŸig aktualisiert.

Die Kommunikation ĂŒber die Heartbeat-Technologie erfolgt durch die Übermittlung von Nachrichten von der Endpoint an die magische IP-Adresse 52.5.76.173:8347 und zurĂŒck. Bei der Analyse wurde festgestellt, dass die Pakete in einem Intervall von 15 Sekunden gesendet werden, wie vom Anbieter angegeben. Es ist zu beachten, dass die Heartbeat-Nachrichten direkt vom XG Firewall verarbeitet werden — es fĂ€ngt die Pakete ab und ĂŒberwacht den Status des Endpunkts. Wenn Sie die Pakete auf dem Host erfassen, wird der Datenverkehr wie die Kommunikation mit einer externen IP-Adresse aussehen, obwohl der Endpunkt tatsĂ€chlich direkt mit der XG-Firewall interagiert.

Synchronisierte Sicherheit in Sophos Central

Stellen Sie sich vor, ein schĂ€dliches Programm hat somehow den Computer infiltriert. Sophos Endpoint erkennt diesen Angriff oder wir hören auf, Heartbeat von diesem System zu empfangen. Das infizierte GerĂ€t sendet automatisch Informationen ĂŒber die Systeminfektion und löst eine automatische Kette von Aktionen aus. Der XG Firewall isoliert sofort den Computer, um die Ausbreitung des Angriffs und die Interaktion mit C&C-Servern zu verhindern.

Sophos Endpoint entfernt automatisch Malware. Nach der Entfernung synchronisiert sich das EndgerĂ€t mit Sophos Central, und dann stellt die XG Firewall den Netzwerkzugang wieder her. Die Ursachenanalyse (Root Cause Analysis – RCA oder EDR – Endpoint Detection and Response) ermöglicht eine detaillierte Einsicht in die Ereignisse.

Synchronisierte Sicherheit in Sophos Central
Wenn der Zugang zu Unternehmensressourcen ĂŒber mobile GerĂ€te und Tablets erfolgt, ist es dann möglich, SynSec zu gewĂ€hrleisten?

FĂŒr solch ein Szenario bietet Sophos Central UnterstĂŒtzung. Sophos Mobile und Sophos Wireless. Angenommen, ein Benutzer versucht, die Sicherheitsrichtlinien auf einem mobil geschĂŒtzten GerĂ€t mit Sophos Mobile zu verletzen. Sophos Mobile erkennt den Verstoß gegen die Sicherheitsrichtlinien und sendet Benachrichtigungen an die anderen Systemkomponenten, was eine vorher festgelegte Reaktion auf den Vorfall auslöst. Ist in Sophos Mobile die Richtlinie „Netzwerkverbindung verbieten“ konfiguriert, so wird Sophos Wireless den Netzwerkzugang fĂŒr dieses GerĂ€t einschrĂ€nken. Im Dashboard von Sophos Central wird im Tab Sophos Wireless eine Benachrichtigung angezeigt, die darauf hinweist, dass das GerĂ€t infiziert ist. WĂ€hrend der Benutzer versucht, auf das Netzwerk zuzugreifen, wird ein Bildschirm angezeigt, der besagt, dass der Internetzugang eingeschrĂ€nkt ist.

Synchronisierte Sicherheit in Sophos Central
Synchronisierte Sicherheit in Sophos Central
Der Endpunkt hat mehrere Heartbeat-Status: rot, gelb und grĂŒn.
Der rote Status tritt in folgenden FĂ€llen auf:

  • aktives Malware wurde entdeckt;
  • Ein Versuch zum Starten von Malware wurde festgestellt;
  • Malware-Internetverkehr wurde entdeckt;
  • Malware wurde nicht entfernt.

Der gelbe Status zeigt an, dass auf dem Endpunkt inaktive Malware oder potenziell unerwĂŒnschte Programme (PUP) entdeckt wurden. Ein grĂŒner Status bedeutet, dass keine der oben genannten Probleme festgestellt wurde.

Nachdem wir einige klassische Szenarien der Interaktion geschĂŒtzter GerĂ€te mit Sophos Central betrachtet haben, gehen wir zur Beschreibung der grafischen BenutzeroberflĂ€che der Lösung ĂŒber und betrachten die grundlegenden Einstellungen sowie die unterstĂŒtzten Funktionen.

Grafische BenutzeroberflÀche

Im Dashboard werden die neuesten Benachrichtigungen angezeigt. Außerdem wird eine Übersicht ĂŒber die verschiedenen Schutzkomponenten in Form von Diagrammen angezeigt. In diesem Fall werden die Zusammenfassungsdaten zum Schutz von Desktop-Computern angezeigt. Auf diesem Dashboard sind auch zusammenfassende Informationen ĂŒber Versuche, auf gefĂ€hrliche Ressourcen und Inhalte mit unzulĂ€ssigem Inhalt zuzugreifen, sowie Statistiken zur Analyse von E-Mails verfĂŒgbar.

Synchronisierte Sicherheit in Sophos Central
Sophos Central ermöglicht die Anzeige von Benachrichtigungen nach Wichtigkeit, sodass Benutzer kritische Sicherheitswarnungen nicht ĂŒbersehen. Neben der prĂ€gnanten Zusammenfassung des Sicherheitsstatus bietet Sophos Central auch Ereignisprotokollierung und Integration mit SIEM-Systemen. FĂŒr viele Unternehmen dient Sophos Central sowohl als Plattform fĂŒr das interne SOC als auch zur Bereitstellung von Dienstleistungen fĂŒr ihre Kunden — MSSP.

Eine der wichtigen Funktionen ist die UnterstĂŒtzung von Update-Caching fĂŒr Endpunkt-Clients. Dadurch wird die Bandbreite des externen Traffics eingespart, da Updates in diesem Fall einmal auf einen der Endpunkt-Clients heruntergeladen werden und anschließend von anderen EndgerĂ€ten von dort abgerufen werden. DarĂŒber hinaus kann der ausgewĂ€hlte Endpunkt Sicherheitsrichtlinien und Informationsberichte in die Sophos-Cloud weiterleiten. Diese Funktion ist besonders nĂŒtzlich, wenn EndgerĂ€te keinen direkten Internetzugang haben, aber dennoch geschĂŒtzt werden mĂŒssen. In Sophos Central gibt es eine Option (Tamper Protection), die es verbietet, die Sicherheitseinstellungen des Computers zu Ă€ndern oder den Endpunkt-Agenten zu entfernen.

Eine der Komponenten des Endpunktschutzes ist die nĂ€chste Generation von Antivirus (NGAV) — Intercept X. Mit Hilfe von Technologien des tiefen maschinellen Lernens kann die Antivirensoftware zuvor unbekannte Bedrohungen ohne den Einsatz von Signaturen erkennen. Die Erkennungsgenauigkeit ist mit der von signaturbasierten Lösungen vergleichbar, bietet jedoch proaktive Sicherheit, um Angriffe durch »Zero-Day«-Bedrohungen zu verhindern. Intercept X kann parallel zu signaturbasierten Antivirenlösungen anderer Anbieter arbeiten.

In diesem Artikel haben wir kurz das Konzept von SynSec vorgestellt, das in Sophos Central implementiert ist, sowie einige Funktionen dieser Lösung beschrieben. Wie jeder der Schutzkomponenten, die in Sophos Central integriert sind, funktioniert, werden wir in den nÀchsten Artikeln nÀher erlÀutern. Eine Demoversion der Lösung können Sie hier.

Quelle: habr.com

Kaufen Sie zuverlĂ€ssiges Hosting fĂŒr Websites mit DDoS-Schutz, VPS VDS-Server đŸ”„ Kaufen Sie zuverlĂ€ssiges Hosting fĂŒr Websites mit DDoS-Schutz, VPS VDS-Server | ProHoster