امنیت همزمان در Sophos Central

برای اطمینان از کارایی بالای ابزارهای امنیت اطلاعات، اتصال اجزای آن نقش مهمی ایفا می کند. این به شما این امکان را می دهد که نه تنها تهدیدهای خارجی، بلکه داخلی را نیز پوشش دهید. هنگام طراحی یک زیرساخت شبکه، هر ابزار امنیتی، چه آنتی ویروس یا یک فایروال، مهم است تا نه تنها در کلاس خود (Endpoint Security یا NGFW) عمل کنند، بلکه توانایی تعامل با یکدیگر برای مبارزه مشترک با تهدیدات را نیز داشته باشند. .

کمی تئوری

جای تعجب نیست که مجرمان سایبری امروزی کارآفرین تر شده اند. آنها از طیف وسیعی از فناوری های شبکه برای انتشار بدافزار استفاده می کنند:

فیشینگ ایمیل باعث می شود که بدافزار با استفاده از حملات شناخته شده از آستانه شبکه شما عبور کند، یا حملات روز صفر و به دنبال آن افزایش امتیازات یا حرکت جانبی از طریق شبکه. داشتن یک دستگاه آلوده می تواند به این معنی باشد که شبکه شما می تواند به نفع یک مهاجم استفاده شود.

در برخی موارد، هنگامی که لازم است از تعامل مؤلفه های امنیت اطلاعات اطمینان حاصل شود، هنگام انجام ممیزی امنیت اطلاعات از وضعیت فعلی سیستم، نمی توان آن را با استفاده از مجموعه ای از اقداماتی که به هم مرتبط هستند، توصیف کرد. در بیشتر موارد، بسیاری از راه‌حل‌های فناوری که بر روی مقابله با نوع خاصی از تهدید تمرکز می‌کنند، با راه‌حل‌های فناوری دیگر ادغام نمی‌شوند. به عنوان مثال، محصولات حفاظت نقطه پایانی از امضا و تجزیه و تحلیل رفتاری برای تعیین اینکه آیا یک فایل آلوده است یا خیر استفاده می کنند. برای جلوگیری از ترافیک مخرب، فایروال ها از فناوری های دیگری استفاده می کنند که شامل فیلترینگ وب، IPS، sandboxing و غیره می شود. با این حال، در اکثر سازمان ها این اجزای امنیت اطلاعات به یکدیگر متصل نیستند و به صورت مجزا عمل می کنند.

روندها در اجرای فناوری Heartbeat

رویکرد جدید امنیت سایبری شامل حفاظت در هر سطحی می‌شود، با راه‌حل‌های مورد استفاده در هر سطح به یکدیگر متصل شده و قادر به تبادل اطلاعات هستند. این منجر به ایجاد امنیت Sunchronized (SynSec) می شود. SynSec نشان دهنده فرآیند تضمین امنیت اطلاعات به عنوان یک سیستم واحد است. در این حالت هر جزء امنیت اطلاعات به صورت بلادرنگ به یکدیگر متصل می شوند. مثلا راه حل سوفوس مرکزی بر اساس این اصل اجرا می شود.

فناوری Security Heartbeat ارتباط بین مؤلفه‌های امنیتی را امکان‌پذیر می‌کند و امکان همکاری و نظارت سیستم را فراهم می‌کند. که در سوفوس مرکزی راه حل های کلاس های زیر یکپارچه شده اند:

• حفاظت از نقطه پایانی - آنتی ویروس با امضای کلاسیک؛
• حفاظت از سرور - آنتی ویروس تخصصی برای سرورها؛
• رهگیری-X – آنتی ویروس نسل جدید (بدون امضا و با فناوری های هوش مصنوعی)؛
• فایروال Sophos XG - فایروال نسل بعدی؛
• مدیریت تحرک (EMM) - مدیریت دستگاه تلفن همراه و کنترل دسترسی به نامه ها و فایل های شرکتی؛
• حفاظت از داده ها (رمزگذاری);
• وای فای ایمن - نقاط دسترسی هم از طریق ابر و هم به صورت محلی از طریق Sophos UTM / Sophos XG مدیریت می شوند.
• امنیت وب - یک راه حل کلاسیک برای فیلتر کردن ترافیک وب؛
• امنیت ایمیل - راه حل ضد هرزنامه/آنتی ویروس ابر/محلی؛
• تهدید فیش - افزایش آگاهی کارکنان، انجام پست های فیشینگ آزمایشی؛
• Cloud Optix - ممیزی زیرساخت های ابری

به راحتی می توان فهمید که Sophos Central طیف نسبتاً گسترده ای از راه حل های امنیت اطلاعات را پشتیبانی می کند. در Sophos Central، مفهوم SynSec بر اساس سه اصل مهم است: تشخیص، تجزیه و تحلیل و پاسخ. برای تشریح دقیق آنها، به هر یک از آنها خواهیم پرداخت.

مفاهیم SynSec

تشخیص (تشخیص تهدیدات ناشناخته)
محصولات Sophos که توسط Sophos Central مدیریت می شود، به طور خودکار اطلاعات را با یکدیگر به اشتراک می گذارند تا خطرات و تهدیدات ناشناخته را شناسایی کنند که شامل موارد زیر است:

• تجزیه و تحلیل ترافیک شبکه با قابلیت شناسایی برنامه های کاربردی پرخطر و ترافیک مخرب.
• شناسایی کاربران پرخطر از طریق تجزیه و تحلیل همبستگی اقدامات آنلاین آنها.

تحلیل و بررسی (فوری و شهودی)
تجزیه و تحلیل حوادث بلادرنگ درک فوری از وضعیت فعلی در سیستم را فراهم می کند.

• زنجیره کامل رویدادهایی را که منجر به حادثه شده اند، از جمله همه فایل ها، کلیدهای رجیستری، URL ها و غیره نمایش می دهد.

واکنش (پاسخ خودکار حادثه)
تنظیم خط‌مشی‌های امنیتی به شما این امکان را می‌دهد که به طور خودکار به عفونت‌ها و حوادث در عرض چند ثانیه پاسخ دهید. این تضمین می شود:

• جداسازی فوری دستگاه های آلوده و توقف حمله در زمان واقعی (حتی در همان حوزه شبکه/پخش)؛
• محدود کردن دسترسی به منابع شبکه شرکت برای دستگاه هایی که با خط مشی ها مطابقت ندارند.
• در صورت شناسایی هرزنامه خروجی، اسکن دستگاه را از راه دور راه اندازی کنید.

ما به اصول اصلی امنیتی که Sophos Central بر آن ها استوار است نگاه کرده ایم. حالا بیایید به توضیحی در مورد چگونگی ظاهر شدن فناوری SynSec در عمل بپردازیم.

از تئوری تا عمل

ابتدا، بیایید نحوه تعامل دستگاه ها با استفاده از اصل SynSec با استفاده از فناوری Heartbeat را توضیح دهیم. اولین قدم ثبت نام Sophos XG در Sophos Central است. در این مرحله، او یک گواهی برای شناسایی خود، یک آدرس IP و پورت دریافت می‌کند که از طریق آن دستگاه‌های پایانی با استفاده از فناوری Heartbeat با او ارتباط برقرار می‌کنند، همچنین فهرستی از شناسه‌های دستگاه‌های نهایی که از طریق Sophos Central و گواهی‌های مشتری آن‌ها مدیریت می‌شوند.

مدت کوتاهی پس از ثبت نام Sophos XG، Sophos Central اطلاعاتی را به نقاط پایانی ارسال می کند تا تعامل Heartbeat را آغاز کند:

• فهرست مقامات گواهی استفاده شده برای صدور گواهینامه های Sophos XG؛
• فهرستی از شناسه‌های دستگاهی که در Sophos XG ثبت شده‌اند.
• آدرس IP و پورت برای تعامل با استفاده از فناوری Heartbeat.

این اطلاعات در مسیر زیر در رایانه ذخیره می شود: %ProgramData%SophosHearbeatConfigHeartbeat.xml و به طور منظم به روز می شود.

ارتباط با استفاده از فناوری Heartbeat توسط نقطه پایانی ارسال پیام به آدرس IP جادویی 52.5.76.173:8347 و برگشت انجام می شود. در طول تجزیه و تحلیل، مشخص شد که بسته ها با بازه زمانی 15 ثانیه ارسال می شوند، همانطور که توسط فروشنده بیان شده است. شایان ذکر است که پیام‌های Heartbeat مستقیماً توسط فایروال XG پردازش می‌شوند - بسته‌ها را رهگیری می‌کند و وضعیت نقطه پایانی را نظارت می‌کند. اگر ضبط بسته را روی هاست انجام دهید، ترافیک به نظر می رسد که با آدرس IP خارجی در ارتباط است، اگرچه در واقع نقطه پایانی مستقیماً با فایروال XG در ارتباط است.

فرض کنید یک برنامه مخرب به نحوی وارد رایانه شما شده است. Sophos Endpoint این حمله را شناسایی می کند یا دریافت Heartbeat را از این سیستم متوقف می کنیم. یک دستگاه آلوده به طور خودکار اطلاعات مربوط به سیستم آلوده شده را ارسال می کند و یک زنجیره خودکار از اقدامات را آغاز می کند. فایروال XG فوراً رایانه شما را ایزوله می کند و از گسترش حمله و تعامل با سرورهای C&C جلوگیری می کند.

Sophos Endpoint به طور خودکار بدافزار را حذف می کند. پس از حذف، دستگاه نهایی با Sophos Central همگام می شود، سپس XG Firewall دسترسی به شبکه را بازیابی می کند. تجزیه و تحلیل علت ریشه (RCA یا EDR - تشخیص و پاسخ نقطه پایانی) به شما امکان می دهد درک دقیقی از آنچه اتفاق افتاده است داشته باشید.

با فرض دسترسی به منابع شرکت از طریق دستگاه های تلفن همراه و تبلت، آیا امکان ارائه SynSec وجود دارد؟

Sophos Central از این سناریو پشتیبانی می کند سوفوس موبایل и Sophos Wireless. فرض کنید یک کاربر سعی می کند خط مشی امنیتی را در دستگاه تلفن همراه محافظت شده با Sophos Mobile نقض کند. Sophos Mobile یک نقض خط مشی امنیتی را تشخیص می دهد و اعلان هایی را به بقیه سیستم ارسال می کند و یک پاسخ از پیش پیکربندی شده به این حادثه را آغاز می کند. اگر Sophos Mobile خط‌مشی «انکار اتصال شبکه» را پیکربندی کرده باشد، Sophos Wireless دسترسی به شبکه را برای این دستگاه محدود می‌کند. یک اعلان در داشبورد Sophos Central در زیر برگه Sophos Wireless ظاهر می شود که نشان می دهد دستگاه آلوده است. هنگامی که کاربر سعی می کند به شبکه دسترسی پیدا کند، یک صفحه نمایش بر روی صفحه ظاهر می شود که به او اطلاع می دهد که دسترسی به اینترنت محدود است.

نقطه پایانی چندین وضعیت ضربان قلب دارد: قرمز، زرد و سبز.
وضعیت قرمز در موارد زیر رخ می دهد:

• بدافزار فعال شناسایی شد.
• تلاش برای راه اندازی بدافزار شناسایی شد.
• ترافیک شبکه مخرب شناسایی شد.
• بدافزار حذف نشد

وضعیت زرد به این معنی است که نقطه پایانی بدافزار غیرفعال را شناسایی کرده است یا یک PUP (برنامه بالقوه ناخواسته) را شناسایی کرده است. وضعیت سبز نشان می دهد که هیچ یک از مشکلات بالا شناسایی نشده است.

با نگاهی به سناریوهای کلاسیک برای تعامل دستگاه های محافظت شده با Sophos Central، اجازه دهید به توضیح رابط گرافیکی راه حل و بررسی تنظیمات اصلی و عملکردهای پشتیبانی شده برویم.

رابط گرافیکی

کنترل پنل آخرین اعلان ها را نمایش می دهد. خلاصه ای از اجزای مختلف حفاظتی نیز در قالب نمودار نمایش داده می شود. در این مورد، داده های خلاصه در مورد حفاظت از رایانه های شخصی نمایش داده می شود. این پانل همچنین اطلاعات خلاصه ای در مورد تلاش برای بازدید از منابع و منابع خطرناک با محتوای نامناسب و آمار تجزیه و تحلیل ایمیل ارائه می دهد.

Sophos Central از نمایش اعلان ها بر اساس شدت پشتیبانی می کند و مانع از دست دادن هشدارهای امنیتی مهم توسط کاربر می شود. علاوه بر خلاصه ای از وضعیت سیستم امنیتی نمایش داده شده، Sophos Central از ثبت رویداد و ادغام با سیستم های SIEM پشتیبانی می کند. برای بسیاری از شرکت ها، Sophos Central یک پلت فرم برای SOC داخلی و برای ارائه خدمات به مشتریان خود - MSSP است.

یکی از ویژگی های مهم پشتیبانی از حافظه پنهان به روز رسانی برای مشتریان نقطه پایانی است. این به شما امکان می دهد پهنای باند را در ترافیک خارجی ذخیره کنید، زیرا در این حالت به روز رسانی ها یک بار در یکی از مشتریان نقطه پایانی دانلود می شوند و سپس سایر نقاط پایانی به روز رسانی ها را از آن دانلود می کنند. علاوه بر ویژگی توصیف شده، نقطه پایانی انتخاب شده می تواند پیام های خط مشی امنیتی و گزارش های اطلاعاتی را به ابر Sophos ارسال کند. اگر دستگاه‌های پایانی وجود داشته باشند که دسترسی مستقیم به اینترنت ندارند، اما نیاز به محافظت دارند، این عملکرد مفید خواهد بود. Sophos Central گزینه ای (محافظت از دستکاری) ارائه می دهد که تغییر تنظیمات امنیتی رایانه یا حذف عامل نقطه پایانی را ممنوع می کند.

یکی از اجزای حفاظت نقطه پایانی آنتی ویروس نسل جدید (NGAV) است - رهگیری X. با استفاده از فناوری های یادگیری ماشین عمیق، آنتی ویروس قادر است تهدیدات ناشناخته قبلی را بدون استفاده از امضا شناسایی کند. دقت تشخیص با آنالوگ های امضا قابل مقایسه است، اما بر خلاف آنها، محافظت فعال را فراهم می کند و از حملات روز صفر جلوگیری می کند. Intercept X می تواند به موازات آنتی ویروس های امضای سایر فروشندگان کار کند.

در این مقاله به طور خلاصه در مورد مفهوم SynSec که در Sophos Central پیاده سازی شده است و همچنین برخی از قابلیت های این راه حل صحبت کردیم. نحوه عملکرد هر یک از اجزای امنیتی ادغام شده در Sophos Central را در مقالات بعدی شرح خواهیم داد. می توانید نسخه آزمایشی راه حل را دریافت کنید اینجا.

منبع: www.habr.com