Informazioaren segurtasun-tresnen eraginkortasun handia bermatzeko, bere osagaien konexioak zeregin garrantzitsua betetzen du. Kanpoko mehatxuak ez ezik, barneko mehatxuak ere estaltzeko aukera ematen du. Sare-azpiegitura bat diseinatzean, segurtasun-tresna bakoitza, izan birusen aurkakoa edo suebakia, garrantzitsua da, bere klasearen barruan ez ezik (Endpoint security edo NGFW) funtziona dezan, baizik eta elkarrekin elkarreragiteko gaitasuna ere izan dezaten mehatxuei aurre egiteko. .
Teoria apur bat
Ez da harritzekoa gaur egungo ziberkriminalak ekintzaileagoak izatea. Malwarea zabaltzeko sare-teknologia ugari erabiltzen dituzte:
Posta elektronikoaren phishing-ak malwarea zure sarearen atalasea gainditzea eragiten du eraso ezagunak erabiliz, zero eguneko erasoak eta pribilegioak handitzearen ondoren, edo sarearen alboko mugimenduak. Gailu bat kutsatuta edukitzeak zure sarea erasotzaile baten mesedetan erabil daitekeela esan nahi du.
Zenbait kasutan, informazioaren segurtasuneko osagaien elkarrekintza bermatu behar denean, sistemaren egungo egoeraren informazio-segurtasunaren auditoretza egitean, ezin da deskribatu interkonektatuta dauden neurri multzo bakar bat erabiliz. Gehienetan, mehatxu-mota zehatz bati aurre egiteko bideratzen diren teknologia-soluzio askok ez dute integraziorik ematen beste soluzio teknologiko batzuekin. Adibidez, amaierako puntuen babeserako produktuek sinadura eta portaeraren azterketa erabiltzen dute fitxategi bat kutsatuta dagoen edo ez zehazteko. Trafiko gaiztoa geldiarazteko, suebakiek beste teknologia batzuk erabiltzen dituzte, besteak beste, web iragazkia, IPS, sandboxing, etab. Hala ere, erakunde gehienetan informazioaren segurtasun-osagai hauek ez daude elkarren artean konektatuta eta modu isolatuan funtzionatzen dute.
Heartbeat teknologiaren ezarpenaren joerak
Zibersegurtasunaren ikuspegi berriak maila guztietan babestea dakar, maila bakoitzean erabiltzen diren irtenbideak elkarren artean konektatuta eta informazioa trukatzeko gai direlarik. Honek Sunchronized Security (SynSec) sortzea dakar. SynSec-ek informazioaren segurtasuna sistema bakar gisa adierazten du. Kasu honetan, informazioaren segurtasun-osagai bakoitza elkarren artean konektatzen da denbora errealean. Adibidez, irtenbidea printzipio horren arabera gauzatu.
Security Heartbeat teknologiak segurtasun osagaien arteko komunikazioa ahalbidetzen du, sistemaren lankidetza eta monitorizazioa ahalbidetuz. IN Klase hauetako soluzioak integratzen dira:
- - sinadura antibirus klasikoa;
- β zerbitzarietarako birusen aurkako espezializatua;
- β belaunaldi berriko birusen aurkakoa (sinadurarik gabe eta adimen artifizialaren teknologiekin);
- β Hurrengo belaunaldiko suebakia;
- β gailu mugikorren kudeaketa eta sarbide kontrola korporazioko posta eta fitxategietarako;
- ;
- β Hodeitik eta lokalean Sophos UTM / Sophos XG bidez kudeatzen diren sarbide-puntuak;
- β Web trafikoa iragazteko irtenbide klasikoa;
- β hodeian/tokiko spam/birusen aurkako irtenbidea;
- β Langileak sentsibilizatzea, probako phishing posta elektronikoak egitea;
- β hodeiko azpiegituren auditoria.
Erraz ikusten da Sophos Central-ek informazio-segurtasun irtenbide sorta zabala onartzen duela. Sophos Central-en, SynSec kontzeptua hiru printzipio garrantzitsutan oinarritzen da: detekzioa, analisia eta erantzuna. Horiek zehatz-mehatz deskribatzeko, bakoitzari buruz luzatuko gara.
SynSec kontzeptuak
DETEKZIOA (mehatxu ezezagunak hautematea)
Sophos Central-ek kudeatzen dituen Sophos produktuek informazioa automatikoki partekatzen dute elkarren artean arriskuak eta mehatxu ezezagunak identifikatzeko, besteak beste:
- sareko trafikoaren azterketa arrisku handiko aplikazioak eta trafiko gaiztoa identifikatzeko gaitasunarekin;
- arrisku handiko erabiltzaileak detektatzea beren lineako ekintzen korrelazio-analisiaren bidez.
AZTERKETA (berehala eta intuitiboa)
Denbora errealeko gertakarien azterketak sistemaren egungo egoera berehala ulertzen du.
- Gorabehera eragin duten gertaeren kate osoa bistaratzen du, fitxategi guztiak, erregistro-gakoak, URLak, etab.
ERANTZUNA (gertakarien erantzun automatikoa)
Segurtasun-politikak konfiguratzeak segundo gutxitan infekzioei eta gorabeherei automatikoki erantzuteko aukera ematen du. Hau ziurtatzen da:
- Kutsatutako gailuen berehalako isolamendua eta erasoa denbora errealean geldiaraztea (nahiz eta sare/difusio-domeinu beraren barruan);
- politikak betetzen ez dituzten gailuetarako konpainiaren sareko baliabideetarako sarbidea mugatzea;
- urrunetik abiarazi gailuaren bilaketa bat irteerako spam-a hautematen denean.
Sophos Central oinarritzen den segurtasun-printzipio nagusiak aztertu ditugu. Orain joan gaitezen SynSec teknologia ekintzan nola agertzen den deskribatzen.
Teoriatik praktikara
Lehenik eta behin, azal dezagun gailuek nola elkarreragiten duten SynSec printzipioa erabiliz Heartbeat teknologia erabiliz. Lehen urratsa Sophos XG Sophos Central-en erregistratzea da. Fase honetan, auto-identifikaziorako ziurtagiri bat jasotzen du, IP helbide bat eta ataka, zeinaren bidez amaierako gailuek Heartbeat teknologia erabiliz elkarreragiteko berarekin, baita Sophos Central-en bidez kudeatutako azken gailuen IDen zerrenda eta haien bezero-ziurtagiriak ere.
Sophos XG erregistratu eta gutxira, Sophos Central-ek informazioa bidaliko du amaierako puntuetara, Heartbeat-en interakzioa abiarazteko:
- Sophos XG ziurtagiriak emateko erabilitako ziurtagiri-autoritateen zerrenda;
- Sophos XG-n erregistratuta dauden gailu IDen zerrenda;
- Heartbeat teknologia erabiliz elkarrekintzarako IP helbidea eta ataka.
Informazio hori ordenagailuan gordetzen da bide honetan: %ProgramData%SophosHearbeatConfigHeartbeat.xml eta aldizka eguneratzen da.
Heartbeat teknologia erabiliz komunikazioa amaierako puntuak 52.5.76.173:8347 IP helbide magikora mezuak bidaltzen ditu eta atzera. Azterketan zehar, paketeak 15 segundoko epearekin bidaltzen direla agerian geratu da, saltzaileak adierazi duenez. Aipatzekoa da Heartbeat mezuak XG Firewall-ek zuzenean prozesatzen dituela - paketeak atzematen ditu eta amaierako puntuaren egoera kontrolatzen du. Ostalarian pakete harrapaketa egiten baduzu, trafikoa kanpoko IP helbidearekin komunikatzen ari dela dirudi, nahiz eta amaiera-puntua XG suebakiarekin zuzenean komunikatzen ari den.
Demagun aplikazio gaizto bat nolabait zure ordenagailura sartu dela. Sophos Endpoint-ek eraso hau detektatzen du edo sistema honetatik Heartbeat jasotzeari uzten diogu. Kutsatutako gailu batek automatikoki bidaltzen du kutsatutako sistemari buruzko informazioa, eta ekintza-kate automatiko bat abiarazten du. XG Firewall-ek berehala isolatzen du zure ordenagailua, erasoa hedatzea eta C&C zerbitzariekin elkarreragin ez dezan.
Sophos Endpoint-ek automatikoki kentzen du malwarea. Kendu ondoren, amaierako gailua Sophos Central-ekin sinkronizatzen da eta, ondoren, XG Firewall-ek sarerako sarbidea berrezartzen du. Root Cause Analysis (RCA edo EDR - Endpoint Detection and Response) gertatutakoaren ulermen zehatza lortzeko aukera ematen du.
Baliabide korporatiboak gailu mugikorren eta tableten bidez sartzen direla suposatuz, posible al da SynSec ematea?
Sophos Central-ek egoera honetarako laguntza eskaintzen du ΠΈ . Demagun erabiltzaile bat Sophos Mobile-rekin babestutako gailu mugikor batean segurtasun-politika urratzen saiatzen dela. Sophos Mobile-k segurtasun-politiken urraketa bat hautematen du eta gainerako sistemari jakinarazpenak bidaltzen dizkio, gertakariari aurrekonfiguratutako erantzuna eraginez. Sophos Mobile-k "sare-konexioa ukatzeko" politika konfiguratuta badu, Sophos Wireless-k sarerako sarbidea mugatuko du gailu honetarako. Jakinarazpen bat agertuko da Sophos Central panelean, Sophos Wireless fitxan, gailua kutsatuta dagoela adieraziz. Erabiltzailea sarera sartzen saiatzen denean, harrera-pantaila bat agertuko da pantailan Interneterako sarbidea mugatua dela jakinarazteko.
Amaiera-puntuak Bihotz-taupadaren hainbat egoera ditu: gorria, horia eta berdea.
Egoera gorria kasu hauetan gertatzen da:
- malware aktiboa detektatu da;
- malwarea abiarazteko saiakera bat detektatu zen;
- sareko trafiko gaiztoa detektatu da;
- malwarea ez da kendu.
Egoera horiak esan nahi du amaierako puntuak malware inaktibo detektatu duela edo PUP bat (potentzialki nahi ez den programa) detektatu duela. Egoera berde batek goiko arazoetako bat ere ez dela hauteman adierazten du.
Babestutako gailuek Sophos Central-ekin elkarreraginerako agertoki klasiko batzuk aztertu ondoren, joan gaitezen irtenbidearen interfaze grafikoaren deskribapenera eta ezarpen nagusien eta onartzen diren funtzionalitateen berrikuspena.
Interfaze grafikoa
Kontrol panelak azken jakinarazpenak bistaratzen ditu. Babes-osagai ezberdinen laburpena ere erakusten da diagrama moduan. Kasu honetan, ordenagailu pertsonalen babesari buruzko laburpen datuak bistaratzen dira. Panel honek eduki desegokia duten baliabide eta baliabide arriskutsuak bisitatzeko saiakerei buruzko laburpen-informazioa eta posta elektronikoaren analisiaren estatistikak ere eskaintzen ditu.
Sophos Central-ek jakinarazpenak larritasunaren arabera bistaratzea onartzen du, erabiltzaileak segurtasun-alerta kritikoak gal ez ditzan. Sophos Central-ek segurtasun-sistemaren egoeraren laburpenaz gain, gertaeren erregistroa eta SIEM sistemekin integratzea onartzen du. Enpresa askorentzat Sophos Central SOC barnerako eta bezeroei zerbitzuak eskaintzeko plataforma bat da - MSSP.
Ezaugarri garrantzitsuenetako bat amaierako bezeroentzako eguneratze-cachearen laguntza da. Horri esker, banda-zabalera aurrez dezakezu kanpoko trafikoan, kasu honetan eguneraketak behin deskargatzen baitira amaierako bezeroetako batera, eta, ondoren, beste amaiera-puntu batzuek bertatik deskargatzen dituzte eguneraketak. Deskribatutako funtzioaz gain, hautatutako amaiera-puntuak segurtasun-politikaren mezuak eta informazio-txostenak helarazi ditzake Sophos hodeira. Funtzio hau erabilgarria izango da Interneterako sarbide zuzena ez duten baina babesa behar duten amaierako gailuak badaude. Sophos Central-ek ordenagailuaren segurtasun-ezarpenak aldatzea edo amaierako agentea ezabatzea debekatzen duen aukera bat eskaintzen du (faltatze babesa).
Amaiera-puntuen babesaren osagaietako bat belaunaldi berriko birusen aurkako (NGAV) da - . Ikaskuntza automatikoko teknologia sakonak erabiliz, birusak aurretik ezezagunak diren mehatxuak identifikatzeko gai da sinadurarik erabili gabe. Detekzio-zehaztasuna sinadura analogoen parekoa da, baina haiek ez bezala, babes proaktiboa eskaintzen du, zero eguneko erasoak saihestuz. Intercept X-ek beste saltzaile batzuen sinadura-antibirusekin paraleloan lan egiteko gai da.
Artikulu honetan, Sophos Central-en inplementatzen den SynSec kontzeptuari buruz hitz egin dugu laburki, baita irtenbide honen gaitasun batzuei buruz ere. Sophos Central-en integratutako segurtasun-osagai bakoitzak nola funtzionatzen duen deskribatuko dugu hurrengo artikuluetan. Irtenbidearen demo bertsioa lor dezakezu .
Iturria: www.habr.com