Infoturbe tööriistade kõrge efektiivsuse tagamiseks on oluline roll selle komponentide ühendamisel. See võimaldab teil katta mitte ainult väliseid, vaid ka sisemisi ohte. Võrgutaristu kavandamisel on iga turvatööriist, olgu selleks viirusetõrje või tulemüür, oluline, et need ei toimiks mitte ainult oma klassi piires (Endpoint Security või NGFW), vaid neil oleks ka võimalus üksteisega suhelda, et ühiselt ohtudega võidelda. .
Natuke teooriat
Pole üllatav, et tänapäeva küberkurjategijad on muutunud ettevõtlikumaks. Nad kasutavad pahavara levitamiseks mitmesuguseid võrgutehnoloogiaid:
Meilide andmepüügi tõttu ületab pahavara teie võrgu läve, kasutades teadaolevaid rünnakuid, kas nullpäeva rünnakuid, millele järgneb privileegide eskaleerumine, või külgsuunalist liikumist läbi võrgu. Ühe nakatunud seadme olemasolu võib tähendada, et teie võrku võidakse kasutada ründaja hüvanguks.
Mõnel juhul, kui on vaja tagada infoturbe komponentide koostoime, ei ole süsteemi hetkeseisu infoturbeauditi läbiviimisel võimalik seda kirjeldada ühe meetmete kogumi abil, mis on omavahel seotud. Enamikul juhtudel ei paku paljud tehnoloogilised lahendused, mis keskenduvad teatud tüüpi ohu tõrjumisele, integratsiooni teiste tehnoloogiliste lahendustega. Näiteks kasutavad lõpp-punkti kaitsetooted signatuuri ja käitumise analüüsi, et teha kindlaks, kas fail on nakatunud või mitte. Pahatahtliku liikluse peatamiseks kasutavad tulemüürid muid tehnoloogiaid, sealhulgas veebifiltreerimist, IPS-i, liivakasti jne. Enamikus organisatsioonides ei ole need infoturbe komponendid aga omavahel ühendatud ja töötavad isoleeritult.
Suundumused Heartbeat tehnoloogia rakendamisel
Uus lähenemine küberturvalisusele hõlmab kaitset igal tasandil, kusjuures igal tasandil kasutatavad lahendused on omavahel ühendatud ja võimelised vahetama teavet. See viib Sunchronized Security (SynSec) loomiseni. SynSec kujutab endast ühtse süsteemina infoturbe tagamise protsessi. Sel juhul on iga infoturbe komponent omavahel reaalajas ühendatud. Näiteks lahendus rakendatakse selle põhimõtte kohaselt.
Turvalisus Heartbeat tehnoloogia võimaldab turvakomponentide vahelist suhtlust, võimaldades süsteemi koostööd ja jälgimist. IN integreeritud on järgmiste klasside lahendused:
- - klassikaline signatuuriviirusetõrje;
- — spetsiaalne viirusetõrje serveritele;
- – uue põlvkonna viirusetõrje (signatuurideta ja tehisintellekti tehnoloogiatega);
- — järgmise põlvkonna tulemüür;
- — mobiilseadmete haldamine ja juurdepääsu kontroll ettevõtte meilidele ja failidele;
- ;
- — pääsupunktid, mida hallatakse nii pilvest kui ka kohapeal Sophos UTM / Sophos XG kaudu;
- — klassikaline lahendus veebiliikluse filtreerimiseks;
- — pilve-/kohalik rämpsposti-/viirusetõrjelahendus;
- — töötajate teadlikkuse tõstmine, andmepüügi testpostituste korraldamine;
- — pilveinfrastruktuuride audit.
On hästi näha, et Sophos Central toetab üsna laia valikut infoturbelahendusi. Sophos Centralis põhineb SynSeci kontseptsioon kolmel olulisel põhimõttel: tuvastamine, analüüs ja reageerimine. Nende üksikasjalikuks kirjeldamiseks peatume igaühel neist.
SynSeci kontseptsioonid
MÄRKAMINE (tundmatute ohtude tuvastamine)
Sophos Centrali hallatavad Sophose tooted jagavad üksteisega automaatselt teavet, et tuvastada riske ja tundmatuid ohte, sealhulgas:
- võrguliikluse analüüs, mis võimaldab tuvastada kõrge riskiga rakendusi ja pahatahtlikku liiklust;
- kõrge riskiga kasutajate tuvastamine nende võrgutoimingute korrelatsioonianalüüsi kaudu.
ANALÜÜS (kohene ja intuitiivne)
Reaalajas toimuv intsidentide analüüs annab hetkest ülevaate süsteemi hetkeolukorrast.
- Kuvab kogu intsidendini viinud sündmuste ahela, sealhulgas kõik failid, registrivõtmed, URL-id jne.
VASTUS (automaatne reageerimine intsidentidele)
Turvapoliitika seadistamine võimaldab teil infektsioonidele ja intsidentidele mõne sekundiga automaatselt reageerida. See on tagatud:
- nakatunud seadmete kohene isoleerimine ja rünnaku peatamine reaalajas (isegi samas võrgus/edastusdomeenis);
- eeskirjadele mittevastavate seadmete juurdepääsu piiramine ettevõtte võrguressurssidele;
- kaugkäivitage seadme skannimine, kui tuvastatakse väljaminev rämpspost.
Oleme vaadanud peamisi turvalisuse põhimõtteid, millel Sophos Central põhineb. Liigume nüüd edasi SynSeci tehnoloogia toimimise kirjelduse juurde.
Teooriast praktikasse
Esiteks selgitame, kuidas seadmed Heartbeat tehnoloogiat kasutades SynSec põhimõttel suhtlevad. Esimene samm on Sophos XG registreerimine Sophos Centralis. Selles etapis saab ta enesetuvastussertifikaadi, IP-aadressi ja pordi, mille kaudu lõppseadmed temaga Heartbeat-tehnoloogiat kasutades suhtlevad, samuti Sophos Centrali kaudu hallatavate lõppseadmete ID-de ja nende kliendisertifikaatide loendi.
Varsti pärast Sophos XG registreerimist saadab Sophos Central lõpp-punktidele teavet südamelöögi interaktsiooni algatamiseks:
- Sophos XG sertifikaatide väljastamiseks kasutatud sertifitseerimisasutuste loetelu;
- Sophos XG-ga registreeritud seadmete ID-de loend;
- IP-aadress ja port Heartbeat tehnoloogia abil suhtlemiseks.
See teave salvestatakse arvutisse järgmisele teele: %ProgramData%SophosHearbeatConfigHeartbeat.xml ja seda värskendatakse regulaarselt.
Heartbeat-tehnoloogiat kasutav side toimub lõpp-punkti kaudu, mis saadab sõnumeid maagilisele IP-aadressile 52.5.76.173:8347 ja tagasi. Analüüsi käigus selgus, et paketid saadetakse tarnija väitel 15-sekundilise perioodiga. Tasub teada, et Heartbeat sõnumeid töötleb otse XG tulemüür – see püüab kinni paketid ja jälgib lõpp-punkti olekut. Kui teete hostis pakettide püüdmise, näib, et liiklus suhtleb välise IP-aadressiga, kuigi tegelikult suhtleb lõpp-punkt otse XG tulemüüriga.
Oletame, et pahatahtlik rakendus sattus kuidagi teie arvutisse. Sophos Endpoint tuvastab selle rünnaku või me ei saa enam sellest süsteemist südamelööke. Nakatunud seade saadab automaatselt teavet nakatunud süsteemi kohta, käivitades automaatse toimingute ahela. XG tulemüür isoleerib teie arvuti koheselt, takistades rünnaku levikut ja suhtlemist C&C serveritega.
Sophos Endpoint eemaldab pahavara automaatselt. Pärast selle eemaldamist sünkroonib lõppseade Sophos Centraliga ja seejärel taastab XG tulemüür juurdepääsu võrgule. Algpõhjuse analüüs (RCA või EDR – lõpp-punkti tuvastamine ja reageerimine) võimaldab teil saada juhtunust üksikasjaliku ülevaate.
Kui eeldada, et ettevõtte ressurssidele pääseb juurde mobiilseadmete ja tahvelarvutite kaudu, kas on võimalik pakkuda SynSeci?
Sophos Central pakub selle stsenaariumi jaoks tuge и . Oletame, et kasutaja üritab Sophos Mobile'iga kaitstud mobiilseadmes turvapoliitikat rikkuda. Sophos Mobile tuvastab turvapoliitika rikkumise ja saadab teated ülejäänud süsteemile, käivitades juhtumile eelkonfigureeritud vastuse. Kui Sophos Mobile'il on konfigureeritud võrguühenduse keelamise reegel, piirab Sophos Wireless selle seadme juurdepääsu võrgule. Sophos Centrali armatuurlaual Sophos Wirelessi vahekaardi all kuvatakse teatis, mis näitab, et seade on nakatunud. Kui kasutaja proovib võrku pääseda, ilmub ekraanile pritsmeekraan, mis teavitab teda, et juurdepääs Internetile on piiratud.
Lõpp-punktil on mitu südamelöögi olekut: punane, kollane ja roheline.
Punane olek ilmneb järgmistel juhtudel:
- tuvastatud aktiivne pahavara;
- tuvastati pahavara käivitamise katse;
- tuvastatud pahatahtlik võrguliiklus;
- pahavara ei eemaldatud.
Kollane olek tähendab, et lõpp-punkt on tuvastanud passiivse pahavara või PUP-i (potentsiaalselt soovimatu programm). Roheline olek näitab, et ühtegi ülaltoodud probleemidest pole tuvastatud.
Olles vaadanud mõningaid klassikalisi stsenaariume kaitstud seadmete koostoimeks Sophos Centraliga, liigume edasi lahenduse graafilise liidese kirjelduse ning põhiseadete ja toetatud funktsioonide ülevaate juurde.
Graafiline liides
Juhtpaneel kuvab viimaseid teateid. Samuti kuvatakse diagrammidena erinevate kaitsekomponentide kokkuvõte. Sel juhul kuvatakse kokkuvõtlikud andmed personaalarvutite kaitse kohta. See paneel sisaldab ka kokkuvõtlikku teavet ohtlike ressursside ja sobimatu sisuga ressursside külastamise katsete kohta ning meilianalüüsi statistikat.
Sophos Central toetab märguannete kuvamist raskusastme järgi, vältides kasutajal kriitilistest turvahoiatustest ilmajäämist. Lisaks lühidalt kuvatavale turvasüsteemi oleku kokkuvõttele toetab Sophos Central sündmuste logimist ja integreerimist SIEM-süsteemidega. Paljude ettevõtete jaoks on Sophos Central platvorm nii SOC-i sisemiseks kui ka klientidele teenuste osutamiseks - MSSP.
Üks olulisi funktsioone on lõpp-punkti klientide värskendusvahemälu tugi. See võimaldab säästa välisliikluse ribalaiust, kuna sel juhul laaditakse värskendused alla üks kord ühte lõpp-punkti klienti ja seejärel laadivad teised lõpp-punktid sealt värskendusi alla. Lisaks kirjeldatud funktsioonile saab valitud lõpp-punkt edastada turvapoliitikateateid ja teabearuandeid Sophose pilve. See funktsioon on kasulik, kui on lõppseadmeid, millel pole otsest juurdepääsu Internetile, kuid mis vajavad kaitset. Sophos Central pakub valikut (võltsimiskaitse), mis keelab arvuti turvaseadete muutmise või lõpp-punkti agendi kustutamise.
Üks lõpp-punkti kaitse komponente on uue põlvkonna viirusetõrje (NGAV) - . Kasutades sügavaid masinõppetehnoloogiaid, suudab viirusetõrje tuvastada seni tundmatuid ohte ilma signatuure kasutamata. Tuvastamise täpsus on võrreldav signatuurianaloogidega, kuid erinevalt neist pakub see ennetavat kaitset, hoides ära nullpäeva rünnakud. Intercept X on võimeline töötama paralleelselt teiste tootjate signatuurviirusetõrjetega.
Selles artiklis rääkisime põgusalt SynSeci kontseptsioonist, mida Sophos Centralis rakendatakse, ja ka selle lahenduse mõningatest võimalustest. Järgmistes artiklites kirjeldame, kuidas Sophos Centralisse integreeritud turbekomponendid toimivad. Saate hankida lahenduse demoversiooni .
Allikas: www.habr.com