Για να διασφαλιστεί η υψηλή απόδοση των εργαλείων ασφάλειας πληροφοριών, η σύνδεση των στοιχείων του παίζει σημαντικό ρόλο. Σας επιτρέπει να καλύπτετε όχι μόνο εξωτερικές, αλλά και εσωτερικές απειλές. Κατά το σχεδιασμό μιας δικτυακής υποδομής, κάθε εργαλείο ασφαλείας, είτε πρόκειται για ένα antivirus είτε για ένα τείχος προστασίας, είναι σημαντικό ώστε να λειτουργούν όχι μόνο στην κατηγορία τους (Endpoint Security ή NGFW), αλλά να έχουν επίσης τη δυνατότητα να αλληλεπιδρούν μεταξύ τους για την από κοινού καταπολέμηση απειλών .
Λίγο θεωρίας
Δεν αποτελεί έκπληξη το γεγονός ότι οι σημερινοί κυβερνοεγκληματίες έχουν γίνει πιο επιχειρηματικοί. Χρησιμοποιούν μια σειρά από τεχνολογίες δικτύου για τη διάδοση κακόβουλου λογισμικού:
Το ηλεκτρονικό ψάρεμα κάνει το κακόβουλο λογισμικό να περάσει το όριο του δικτύου σας χρησιμοποιώντας γνωστές επιθέσεις, είτε επιθέσεις μηδενικής ημέρας ακολουθούμενες από κλιμάκωση προνομίων είτε πλευρική μετακίνηση μέσω του δικτύου. Η ύπαρξη μιας μολυσμένης συσκευής θα μπορούσε να σημαίνει ότι το δίκτυό σας θα μπορούσε να χρησιμοποιηθεί προς όφελος ενός εισβολέα.
Σε ορισμένες περιπτώσεις, όταν είναι απαραίτητο να διασφαλιστεί η αλληλεπίδραση των στοιχείων ασφάλειας πληροφοριών, κατά τη διεξαγωγή ελέγχου ασφάλειας πληροφοριών της τρέχουσας κατάστασης του συστήματος, δεν είναι δυνατό να περιγραφεί χρησιμοποιώντας ένα ενιαίο σύνολο διασυνδεδεμένων μέτρων. Στις περισσότερες περιπτώσεις, πολλές τεχνολογικές λύσεις που εστιάζουν στην αντιμετώπιση ενός συγκεκριμένου τύπου απειλής δεν παρέχουν ενοποίηση με άλλες τεχνολογικές λύσεις. Για παράδειγμα, τα προϊόντα προστασίας τελικού σημείου χρησιμοποιούν ανάλυση υπογραφής και συμπεριφοράς για να προσδιορίσουν εάν ένα αρχείο είναι μολυσμένο ή όχι. Για να σταματήσουν την κακόβουλη κυκλοφορία, τα τείχη προστασίας χρησιμοποιούν άλλες τεχνολογίες, οι οποίες περιλαμβάνουν φιλτράρισμα ιστού, IPS, sandboxing κ.λπ. Ωστόσο, στους περισσότερους οργανισμούς αυτά τα στοιχεία ασφάλειας πληροφοριών δεν συνδέονται μεταξύ τους και λειτουργούν μεμονωμένα.
Τάσεις στην εφαρμογή της τεχνολογίας Heartbeat
Η νέα προσέγγιση για την ασφάλεια στον κυβερνοχώρο περιλαμβάνει προστασία σε κάθε επίπεδο, με τις λύσεις που χρησιμοποιούνται σε κάθε επίπεδο να συνδέονται μεταξύ τους και να μπορούν να ανταλλάσσουν πληροφορίες. Αυτό οδηγεί στη δημιουργία Sunchronized Security (SynSec). Το SynSec αντιπροσωπεύει τη διαδικασία διασφάλισης της ασφάλειας των πληροφοριών ως ενιαίο σύστημα. Σε αυτήν την περίπτωση, κάθε στοιχείο ασφάλειας πληροφοριών συνδέεται μεταξύ τους σε πραγματικό χρόνο. Για παράδειγμα, η λύση εφαρμόζονται σύμφωνα με αυτήν την αρχή.
Ασφάλεια Η τεχνολογία Heartbeat επιτρέπει την επικοινωνία μεταξύ των στοιχείων ασφαλείας, επιτρέποντας τη συνεργασία και την παρακολούθηση του συστήματος. ΣΕ ενσωματώνονται λύσεις των παρακάτω τάξεων:
- — κλασική υπογραφή προστασίας από ιούς.
- — εξειδικευμένο antivirus για διακομιστές·
- – Antivirus νέας γενιάς (χωρίς υπογραφές και με τεχνολογίες τεχνητής νοημοσύνης).
- — Τείχος προστασίας επόμενης γενιάς.
- — διαχείριση φορητών συσκευών και έλεγχος πρόσβασης σε εταιρικά μηνύματα και αρχεία·
- ;
- — τα σημεία πρόσβασης διαχειρίζονται τόσο από το cloud όσο και τοπικά μέσω Sophos UTM / Sophos XG.
- — μια κλασική λύση για το φιλτράρισμα της διαδικτυακής κίνησης.
- — cloud/τοπική λύση anti-spam/antivirus.
- — ευαισθητοποίηση των εργαζομένων, διεξαγωγή δοκιμαστικών αποστολών ηλεκτρονικού ψαρέματος·
- — έλεγχος υποδομών cloud.
Είναι εύκολο να δει κανείς ότι το Sophos Central υποστηρίζει ένα αρκετά ευρύ φάσμα λύσεων ασφάλειας πληροφοριών. Στη Sophos Central, η ιδέα του SynSec βασίζεται σε τρεις σημαντικές αρχές: ανίχνευση, ανάλυση και απόκριση. Για να τα περιγράψουμε αναλυτικά, θα σταθούμε σε καθένα από αυτά.
Έννοιες SynSec
ΑΝΙΧΝΕΥΣΗ (εντοπισμός άγνωστων απειλών)
Τα προϊόντα Sophos, τα οποία διαχειρίζεται η Sophos Central, μοιράζονται αυτόματα πληροφορίες μεταξύ τους για τον εντοπισμό κινδύνων και άγνωστων απειλών, οι οποίες περιλαμβάνουν:
- ανάλυση κυκλοφορίας δικτύου με δυνατότητα εντοπισμού εφαρμογών υψηλού κινδύνου και κακόβουλης κυκλοφορίας.
- ανίχνευση χρηστών υψηλού κινδύνου μέσω ανάλυσης συσχέτισης των διαδικτυακών ενεργειών τους.
ΑΝΑΛΥΣΗ (άμεση και διαισθητική)
Η ανάλυση συμβάντων σε πραγματικό χρόνο παρέχει άμεση κατανόηση της τρέχουσας κατάστασης στο σύστημα.
- Εμφανίζει την πλήρη αλυσίδα συμβάντων που οδήγησαν στο συμβάν, συμπεριλαμβανομένων όλων των αρχείων, των κλειδιών μητρώου, των διευθύνσεων URL κ.λπ.
ΑΠΑΝΤΗΣΗ (αυτόματη απόκριση περιστατικού)
Η ρύθμιση πολιτικών ασφαλείας σάς επιτρέπει να ανταποκρίνεστε αυτόματα σε μολύνσεις και συμβάντα μέσα σε λίγα δευτερόλεπτα. Αυτό διασφαλίζεται:
- στιγμιαία απομόνωση μολυσμένων συσκευών και διακοπή της επίθεσης σε πραγματικό χρόνο (ακόμη και στον ίδιο τομέα δικτύου/μετάδοσης).
- περιορισμός της πρόσβασης σε πόρους δικτύου της εταιρείας για συσκευές που δεν συμμορφώνονται με τις πολιτικές·
- εκκινήστε εξ αποστάσεως μια σάρωση συσκευής όταν εντοπιστεί εξερχόμενα ανεπιθύμητα μηνύματα.
Εξετάσαμε τις βασικές αρχές ασφαλείας στις οποίες βασίζεται η Sophos Central. Τώρα ας προχωρήσουμε σε μια περιγραφή του πώς η τεχνολογία SynSec εκδηλώνεται στη δράση.
Από τη θεωρία στην πράξη
Αρχικά, ας εξηγήσουμε πώς αλληλεπιδρούν οι συσκευές χρησιμοποιώντας την αρχή SynSec χρησιμοποιώντας την τεχνολογία Heartbeat. Το πρώτο βήμα είναι η εγγραφή του Sophos XG στο Sophos Central. Σε αυτό το στάδιο, λαμβάνει ένα πιστοποιητικό αυτοαναγνώρισης, μια διεύθυνση IP και μια θύρα μέσω της οποίας οι τελικές συσκευές θα αλληλεπιδρούν μαζί του χρησιμοποιώντας την τεχνολογία Heartbeat, καθώς και μια λίστα αναγνωριστικών τελικών συσκευών που διαχειρίζονται μέσω του Sophos Central και των πιστοποιητικών πελατών τους.
Λίγο μετά την εγγραφή στο Sophos XG, το Sophos Central θα στείλει πληροφορίες στα τελικά σημεία για να ξεκινήσει μια αλληλεπίδραση Heartbeat:
- κατάλογος των αρχών έκδοσης πιστοποιητικών που χρησιμοποιούνται για την έκδοση πιστοποιητικών Sophos XG·
- μια λίστα με τα αναγνωριστικά συσκευών που είναι καταχωρημένα στο Sophos XG.
- Διεύθυνση IP και θύρα για αλληλεπίδραση με χρήση τεχνολογίας Heartbeat.
Αυτές οι πληροφορίες αποθηκεύονται στον υπολογιστή στην ακόλουθη διαδρομή: %ProgramData%SophosHearbeatConfigHeartbeat.xml και ενημερώνονται τακτικά.
Η επικοινωνία με χρήση της τεχνολογίας Heartbeat πραγματοποιείται από το τελικό σημείο που στέλνει μηνύματα στη μαγική διεύθυνση IP 52.5.76.173:8347 και πίσω. Κατά την ανάλυση, αποκαλύφθηκε ότι τα πακέτα αποστέλλονται με περίοδο 15 δευτερολέπτων, όπως δήλωσε ο πωλητής. Αξίζει να σημειωθεί ότι τα μηνύματα Heartbeat επεξεργάζονται απευθείας το Τείχος προστασίας XG - παρεμποδίζει πακέτα και παρακολουθεί την κατάσταση του τελικού σημείου. Εάν πραγματοποιήσετε καταγραφή πακέτων στον κεντρικό υπολογιστή, η κίνηση θα φαίνεται ότι επικοινωνεί με μια εξωτερική διεύθυνση IP, αν και στην πραγματικότητα το τελικό σημείο επικοινωνεί απευθείας με το τείχος προστασίας XG.
Ας υποθέσουμε ότι μια κακόβουλη εφαρμογή μπήκε με κάποιο τρόπο στον υπολογιστή σας. Το Sophos Endpoint εντοπίζει αυτήν την επίθεση ή σταματάμε να λαμβάνουμε Heartbeat από αυτό το σύστημα. Μια μολυσμένη συσκευή στέλνει αυτόματα πληροφορίες σχετικά με το σύστημα που έχει μολυνθεί, ενεργοποιώντας μια αυτόματη αλυσίδα ενεργειών. Το XG Firewall απομονώνει άμεσα τον υπολογιστή σας, αποτρέποντας την εξάπλωση της επίθεσης και την αλληλεπίδραση με διακομιστές C&C.
Το Sophos Endpoint αφαιρεί αυτόματα κακόβουλο λογισμικό. Μόλις αφαιρεθεί, η τελική συσκευή συγχρονίζεται με το Sophos Central και, στη συνέχεια, το XG Firewall επαναφέρει την πρόσβαση στο δίκτυο. Η ανάλυση ρίζας αιτίας (RCA ή EDR - Ανίχνευση και Απόκριση Τελικού Σημείου) σάς επιτρέπει να κατανοήσετε λεπτομερώς τι συνέβη.
Αν υποθέσουμε ότι η πρόσβαση σε εταιρικούς πόρους γίνεται μέσω κινητών συσκευών και tablet, είναι δυνατή η παροχή SynSec;
Η Sophos Central παρέχει υποστήριξη για αυτό το σενάριο и . Ας υποθέσουμε ότι ένας χρήστης προσπαθεί να παραβιάσει την πολιτική ασφαλείας σε μια κινητή συσκευή που προστατεύεται με το Sophos Mobile. Το Sophos Mobile εντοπίζει μια παραβίαση της πολιτικής ασφαλείας και στέλνει ειδοποιήσεις στο υπόλοιπο σύστημα, ενεργοποιώντας μια προρυθμισμένη απόκριση στο συμβάν. Εάν η Sophos Mobile έχει διαμορφώσει μια πολιτική "άρνηση σύνδεσης δικτύου", η Sophos Wireless θα περιορίσει την πρόσβαση στο δίκτυο για αυτήν τη συσκευή. Θα εμφανιστεί μια ειδοποίηση στον πίνακα εργαλείων Sophos Central κάτω από την καρτέλα Sophos Wireless που θα υποδεικνύει ότι η συσκευή είναι μολυσμένη. Όταν ο χρήστης προσπαθεί να αποκτήσει πρόσβαση στο δίκτυο, θα εμφανιστεί μια οθόνη εκκίνησης στην οθόνη που τον ενημερώνει ότι η πρόσβαση στο Διαδίκτυο είναι περιορισμένη.
Το τελικό σημείο έχει πολλές καταστάσεις καρδιακού παλμού: κόκκινο, κίτρινο και πράσινο.
Η κατάσταση κόκκινου εμφανίζεται στις ακόλουθες περιπτώσεις:
- Εντοπίστηκε ενεργό κακόβουλο λογισμικό.
- εντοπίστηκε μια προσπάθεια εκκίνησης κακόβουλου λογισμικού.
- ανιχνεύτηκε κακόβουλη κίνηση δικτύου.
- το κακόβουλο λογισμικό δεν αφαιρέθηκε.
Η κίτρινη κατάσταση σημαίνει ότι το τελικό σημείο έχει εντοπίσει ανενεργό κακόβουλο λογισμικό ή έχει εντοπίσει ένα PUP (δυνητικά ανεπιθύμητο πρόγραμμα). Η πράσινη κατάσταση υποδεικνύει ότι κανένα από τα παραπάνω προβλήματα δεν έχει εντοπιστεί.
Έχοντας εξετάσει μερικά κλασικά σενάρια για την αλληλεπίδραση προστατευμένων συσκευών με το Sophos Central, ας προχωρήσουμε σε μια περιγραφή της γραφικής διεπαφής της λύσης και σε μια ανασκόπηση των κύριων ρυθμίσεων και των υποστηριζόμενων λειτουργιών.
GUI
Ο πίνακας ελέγχου εμφανίζει τις πιο πρόσφατες ειδοποιήσεις. Μια περίληψη των διαφόρων στοιχείων προστασίας εμφανίζεται επίσης με τη μορφή διαγραμμάτων. Σε αυτήν την περίπτωση, εμφανίζονται συνοπτικά δεδομένα για την προστασία των προσωπικών υπολογιστών. Αυτό το πλαίσιο παρέχει επίσης συνοπτικές πληροφορίες σχετικά με απόπειρες επίσκεψης επικίνδυνων πόρων και πόρων με ακατάλληλο περιεχόμενο και στατιστικά στοιχεία ανάλυσης email.
Το Sophos Central υποστηρίζει την εμφάνιση ειδοποιήσεων κατά σοβαρότητα, αποτρέποντας τον χρήστη από το να χάσει κρίσιμες ειδοποιήσεις ασφαλείας. Εκτός από μια συνοπτικά εμφανιζόμενη περίληψη της κατάστασης του συστήματος ασφαλείας, το Sophos Central υποστηρίζει την καταγραφή συμβάντων και την ενσωμάτωση με συστήματα SIEM. Για πολλές εταιρείες, το Sophos Central είναι μια πλατφόρμα τόσο για εσωτερική SOC όσο και για την παροχή υπηρεσιών στους πελάτες τους - MSSP.
Ένα από τα σημαντικά χαρακτηριστικά είναι η υποστήριξη για μια προσωρινή μνήμη ενημέρωσης για υπολογιστές-πελάτες τελικού σημείου. Αυτό σας επιτρέπει να εξοικονομήσετε εύρος ζώνης στην εξωτερική κίνηση, καθώς σε αυτήν την περίπτωση οι ενημερώσεις πραγματοποιούνται μία φορά σε έναν από τους πελάτες τελικού σημείου και, στη συνέχεια, τα άλλα τελικά σημεία πραγματοποιούν λήψη ενημερώσεων από αυτό. Εκτός από την περιγραφόμενη λειτουργία, το επιλεγμένο τελικό σημείο μπορεί να αναμεταδίδει μηνύματα πολιτικής ασφαλείας και αναφορές πληροφοριών στο σύννεφο Sophos. Αυτή η λειτουργία θα είναι χρήσιμη εάν υπάρχουν τελικές συσκευές που δεν έχουν άμεση πρόσβαση στο Διαδίκτυο, αλλά απαιτούν προστασία. Το Sophos Central παρέχει μια επιλογή (προστασία από παραβίαση) που απαγορεύει την αλλαγή των ρυθμίσεων ασφαλείας του υπολογιστή ή τη διαγραφή του παράγοντα τελικού σημείου.
Ένα από τα στοιχεία της προστασίας τελικού σημείου είναι ένα antivirus νέας γενιάς (NGAV) - . Χρησιμοποιώντας τεχνολογίες βαθιάς μηχανικής εκμάθησης, το πρόγραμμα προστασίας από ιούς είναι σε θέση να εντοπίζει προηγουμένως άγνωστες απειλές χωρίς τη χρήση υπογραφών. Η ακρίβεια ανίχνευσης είναι συγκρίσιμη με τα ανάλογα υπογραφής, αλλά σε αντίθεση με αυτά, παρέχει προληπτική προστασία, αποτρέποντας επιθέσεις μηδενικής ημέρας. Το Intercept X μπορεί να λειτουργεί παράλληλα με προγράμματα προστασίας από ιούς υπογραφής άλλων προμηθευτών.
Σε αυτό το άρθρο, μιλήσαμε εν συντομία για την έννοια SynSec, η οποία υλοποιείται στο Sophos Central, καθώς και μερικές από τις δυνατότητες αυτής της λύσης. Θα περιγράψουμε πώς λειτουργεί καθένα από τα στοιχεία ασφαλείας που είναι ενσωματωμένα στο Sophos Central στα ακόλουθα άρθρα. Μπορείτε να αποκτήσετε μια δοκιμαστική έκδοση της λύσης .
Πηγή: www.habr.com