Por certigi altan efikecon de informasekurecaj iloj, la konekto de ĝiaj komponantoj ludas gravan rolon. Ĝi permesas vin kovri ne nur eksterajn, sed ankaŭ internajn minacojn. Dum projektado de reto-infrastrukturo, ĉiu sekureca ilo, ĉu ĝi estas kontraŭviruso aŭ fajroŝirmilo, estas grava por ke ili funkciu ne nur ene de sia klaso (Endpoint-sekureco aŭ NGFW), sed ankaŭ havu la kapablon interagi unu kun la alia por komune kontraŭbatali minacojn. .
Iom teorio
Ne estas surprize, ke la hodiaŭaj ciberkrimuloj fariĝis pli entreprenemaj. Ili uzas gamon da retaj teknologioj por disvastigi malware:
Retpoŝta phishing igas la malware transpasi la sojlon de via reto uzante konatajn atakojn, ĉu nul-tagajn atakojn sekvitajn de privilegia eskalado, aŭ flanka movado tra la reto. Havi unu infektitan aparaton povus signifi, ke via reto povus esti uzata por la avantaĝo de atakanto.
En iuj kazoj, kiam necesas certigi la interagadon de informaj sekurecaj komponentoj, kiam oni faras informsekurecan revizion de la nuna stato de la sistemo, ne eblas priskribi ĝin uzante ununuran aron de mezuroj interkonektitaj. Plejofte, multaj teknologiaj solvoj, kiuj temigas kontraŭbatalado de specifa speco de minaco, ne provizas integriĝon kun aliaj teknologiaj solvoj. Ekzemple, finpunktoprotektproduktoj uzas subskribon kaj kondutisman analizon por determini ĉu dosiero estas infektita aŭ ne. Por ĉesigi malican trafikon, fajroŝirmiloj uzas aliajn teknologiojn, kiuj inkluzivas retan filtradon, IPS, sandboxing ktp. Tamen, en plej multaj organizoj ĉi tiuj informsekurecaj komponentoj ne estas konektitaj unu al la alia kaj funkcias izole.
Tendencoj en la efektivigo de Heartbeat-teknologio
La nova aliro al cibersekureco implikas protekton je ĉiu nivelo, kun la solvoj uzataj ĉe ĉiu nivelo konektitaj unu al la alia kaj kapablaj interŝanĝi informojn. Ĉi tio kondukas al la kreado de Sunchronized Security (SynSec). SynSec reprezentas la procezon por certigi informan sekurecon kiel ununura sistemo. En ĉi tiu kazo, ĉiu informsekureca komponanto estas konektita unu al la alia en reala tempo. Ekzemple, la solvo efektivigita laŭ ĉi tiu principo.
Security Heartbeat-teknologio ebligas komunikadon inter sekureckomponentoj, ebligante sisteman kunlaboron kaj monitoradon. EN solvoj de la sekvaj klasoj estas integritaj:
- - klasika subskriba antivirus;
- — speciala antiviruso por serviloj;
- - nova generacio antivirus (sen subskriboj kaj kun artefarita inteligenteco teknologioj);
- — Venonta Generacia Fajromuro;
- — administrado de porteblaj aparatoj kaj kontrolo de aliro al kompania poŝto kaj dosieroj;
- ;
- — alirpunktoj administritaj kaj de la nubo kaj loke per Sophos UTM / Sophos XG;
- — klasika solvo por filtri rettrafikon;
- — nuba/loka kontraŭ-spamo/antivirusa solvo;
- — konsciigi dungitojn, fari provajn phishing-sendaĵojn;
- - revizio de nubaj infrastrukturoj.
Estas facile vidi, ke Sophos Central subtenas sufiĉe larĝan gamon da informsekurecaj solvoj. Ĉe Sophos Central, la SynSec-koncepto baziĝas sur tri gravaj principoj: detekto, analizo kaj respondo. Por priskribi ilin detale, ni prizorgos ĉiun el ili.
SynSec-konceptoj
DETEKTO (detekto de nekonataj minacoj)
Sophos-produktoj, administritaj de Sophos Central, aŭtomate dividas informojn unu kun la alia por identigi riskojn kaj nekonatajn minacojn, kiuj inkluzivas:
- analizo de reta trafiko kun la kapablo identigi altriskaj aplikoj kaj malica trafiko;
- detekto de altriskaj uzantoj per korelacia analizo de iliaj interretaj agoj.
ANALIZO (tuja kaj intuicia)
Realtempa okazaĵanalizo disponigas tujan komprenon de la nuna situacio en la sistemo.
- Montras la kompletan ĉenon de eventoj kiuj kaŭzis la okazaĵon, inkluzive de ĉiuj dosieroj, registraj ŝlosiloj, URL-oj ktp.
RESPONDO (aŭtomata okazaĵrespondo)
Agordo de sekurecaj politikoj permesas vin aŭtomate respondi al infektoj kaj okazaĵoj en demando de sekundoj. Ĉi tio estas certigita:
- tuja izolado de infektitaj aparatoj kaj ĉesigo de la atako en reala tempo (eĉ ene de la sama reto/elsenda domajno);
- limigi aliron al firmaaj retaj rimedoj por aparatoj, kiuj ne konformas al politikoj;
- malproksime lanĉi aparaton skanadon kiam eksiĝinta spamo estas detektita.
Ni rigardis la ĉefajn sekurecajn principojn, sur kiuj baziĝas Sophos Central. Nun ni transiru al priskribo de kiel SynSec-teknologio manifestiĝas en ago.
De teorio al praktiko
Unue, ni klarigu kiel aparatoj interagas uzante la SynSec-principon uzante Heartbeat-teknologion. La unua paŝo estas registri Sophos XG ĉe Sophos Central. En ĉi tiu etapo, li ricevas atestilon pri memidentigo, IP-adreson kaj havenon, per kiuj finaj aparatoj interagos kun li uzante Heartbeat-teknologion, kaj ankaŭ liston de identigiloj de finaj aparatoj administritaj per Sophos Central kaj iliaj klientatestiloj.
Baldaŭ post la registrado de Sophos XG, Sophos Central sendos informojn al finpunktoj por komenci interago de Heartbeat:
- listo de atestaj aŭtoritatoj uzataj por elsendi atestojn de Sophos XG;
- listo de aparataj identigiloj, kiuj estas registritaj ĉe Sophos XG;
- IP-adreso kaj haveno por interago uzante Heartbeat-teknologion.
Ĉi tiu informo estas konservita en la komputilo laŭ la sekva vojo: %ProgramData%SophosHearbeatConfigHeartbeat.xml kaj estas ĝisdatigita regule.
Komunikado uzanta Heartbeat-teknologion estas efektivigita de la finpunkto sendante mesaĝojn al la magia IP-adreso 52.5.76.173:8347 kaj reen. Dum la analizo, estis rivelita, ke pakaĵoj estas senditaj kun periodo de 15 sekundoj, kiel deklarite de la vendisto. Indas noti, ke Heartbeat-mesaĝoj estas procesitaj rekte de la XG Fajromuro - ĝi kaptas pakaĵojn kaj kontrolas la staton de la finpunkto. Se vi faras pakaĵkapton sur la gastiganto, la trafiko ŝajnos komuniki kun la ekstera IP-adreso, kvankam fakte la finpunkto komunikas rekte kun la XG-fajroŝirmilo.
Supozu, ke malica aplikaĵo iel eniris vian komputilon. Sophos Endpoint detektas ĉi tiun atakon aŭ ni ĉesas ricevi Heartbeat de ĉi tiu sistemo. Infektita aparato aŭtomate sendas informojn pri la infektita sistemo, ekigante aŭtomatan ĉenon de agoj. XG Firewall tuj izolas vian komputilon, malhelpante la atakon disvastigi kaj interagi kun C&C-serviloj.
Sophos Endpoint aŭtomate forigas malware. Post kiam ĝi estas forigita, la fina aparato sinkronigas kun Sophos Central, tiam XG Firewall restarigas aliron al la reto. Analizo de Radika Kaŭzo (RCA aŭ EDR - Endpoint Detection and Response) permesas vin akiri detalan komprenon pri kio okazis.
Supozante, ke kompaniaj rimedoj estas alireblaj per porteblaj aparatoj kaj tablojdoj, ĉu eblas provizi SynSec?
Sophos Central provizas subtenon por ĉi tiu scenaro и . Ni diru, ke uzanto provas malobservi sekurecpolitikon en poŝtelefono protektita per Sophos Mobile. Sophos Mobile detektas sekurecpolitikan malobservon kaj sendas sciigojn al la resto de la sistemo, ekigante antaŭ-konfiguritan respondon al la okazaĵo. Se Sophos Mobile havas politikon de "nei retkonekton" agordita, Sophos Wireless limigos retaliron por ĉi tiu aparato. Sciigo aperos en la panelo de Sophos Central sub la langeto de Sophos Wireless indikante, ke la aparato estas infektita. Kiam la uzanto provas aliri la reton, ŝprucekrano aperos sur la ekrano informante ilin ke Interreta aliro estas limigita.
La finpunkto havas plurajn Heartbeat-statusojn: ruĝa, flava, kaj verda.
Ruĝa statuso okazas en la sekvaj kazoj:
- aktiva malware detektita;
- provo lanĉi malware estis detektita;
- detektita malica rettrafiko;
- la malware ne estis forigita.
Flava statuso signifas, ke la finpunkto detektis neaktivan malbon-varon aŭ detektis HIDIDON (eble nedeziratan programon). Verda stato indikas, ke neniu el la supraj problemoj estis detektita.
Rigardante kelkajn klasikajn scenarojn por la interago de protektitaj aparatoj kun Sophos Central, ni transiru al priskribo de la grafika interfaco de la solvo kaj revizio de la ĉefaj agordoj kaj subtenataj funkcioj.
Grafika interfaco
La kontrolpanelo montras la plej novajn sciigojn. Resumo de la diversaj protektaj komponentoj ankaŭ estas montrata en formo de diagramoj. En ĉi tiu kazo, resumaj datumoj pri la protekto de personaj komputiloj estas montritaj. Ĉi tiu panelo ankaŭ provizas resumajn informojn pri provoj viziti danĝerajn rimedojn kaj rimedojn kun netaŭga enhavo, kaj retpoŝtan analizan statistikon.
Sophos Central subtenas la montradon de sciigoj laŭ severeco, malhelpante la uzanton maltrafi kritikajn sekurecajn alarmojn. Krom koncize montrita resumo de la stato de la sekureca sistemo, Sophos Central subtenas evento-registradon kaj integriĝon kun SIEM-sistemoj. Por multaj kompanioj, Sophos Central estas platformo por interna SOC kaj por provizi servojn al siaj klientoj - MSSP.
Unu el la gravaj funkcioj estas subteno por ĝisdatiga kaŝmemoro por finpunktoklientoj. Ĉi tio ebligas al vi ŝpari bendolarĝon sur ekstera trafiko, ĉar ĉi-kaze ĝisdatigoj estas elŝutitaj unufoje al unu el la finpunktoklientoj, kaj tiam aliaj finpunktoj elŝutas ĝisdatigojn de ĝi. Krom la priskribita funkcio, la elektita finpunkto povas elsendi sekurecpolitikajn mesaĝojn kaj informajn raportojn al la Sophos-nubo. Ĉi tiu funkcio estos utila se ekzistas finaj aparatoj, kiuj ne havas rektan aliron al Interreto, sed postulas protekton. Sophos Central disponigas eblon (protekto kontraŭ manipulado) kiu malpermesas ŝanĝi la sekurecajn agordojn de la komputilo aŭ forigi la finpunkto-agenton.
Unu el la komponentoj de finpunktoprotekto estas novageneracia antiviruso (NGAV) - . Uzante profundajn maŝinlernajn teknologiojn, la antiviruso kapablas identigi antaŭe nekonatajn minacojn sen uzi subskribojn. La detekta precizeco estas komparebla al subskribaj analogoj, sed male al ili, ĝi provizas iniciateman protekton, malhelpante nul-tagajn atakojn. Intercept X kapablas funkcii paralele kun subskribaj antivirusoj de aliaj vendistoj.
En ĉi tiu artikolo, ni mallonge parolis pri la koncepto SynSec, kiu estas efektivigita en Sophos Central, kaj ankaŭ pri iuj el la kapabloj de ĉi tiu solvo. Ni priskribos kiel funkcias ĉiu el la sekurecaj komponantoj integritaj en Sophos Central en la sekvaj artikoloj. Vi povas akiri demo-version de la solvo .
fonto: www.habr.com