Synkronoitu suojaus Sophos Centralissa

Tietoturvatyökalujen korkean tehokkuuden varmistamiseksi sen komponenttien kytkennällä on tärkeä rooli. Sen avulla voit peittää paitsi ulkoiset myös sisäiset uhat. Verkkoinfrastruktuuria suunniteltaessa jokainen tietoturvatyökalu, olipa kyseessä virustorjunta tai palomuuri, on tärkeä, jotta ne eivät toimi vain omassa luokassaan (Endpoint security tai NGFW), vaan että niillä on myös mahdollisuus vuorovaikutuksessa toistensa kanssa torjuakseen yhdessä uhkia. .

Hieman teoria

Ei ole yllätys, että nykypäivän kyberrikollisista on tullut yrittäjämäisempiä. He käyttävät erilaisia ​​verkkotekniikoita haittaohjelmien levittämiseen:

Sähköpostien tietojenkalastelu saa haittaohjelman ylittämään verkkosi kynnyksen tunnetuilla hyökkäyksillä, joko nollapäivähyökkäyksillä, joita seuraa oikeuksien eskaloituminen tai sivuttaisliikenteellä verkon läpi. Yksi tartunnan saanut laite voi tarkoittaa, että verkkoasi voidaan käyttää hyökkääjän hyödyksi.

Joissakin tapauksissa, kun on tarpeen varmistaa tietoturvakomponenttien vuorovaikutus, järjestelmän nykyisen tilan tietoturva-auditointia suoritettaessa sitä ei ole mahdollista kuvata yhdellä toisiinsa kytketyllä toimenpidesarjalla. Useimmissa tapauksissa monet teknologiaratkaisut, jotka keskittyvät tietyntyyppisten uhkien torjuntaan, eivät tarjoa integraatiota muihin teknologiaratkaisuihin. Päätepisteiden suojaustuotteet esimerkiksi käyttävät allekirjoituksia ja käyttäytymisanalyysiä määrittääkseen, onko tiedosto saastunut vai ei. Haitallisen liikenteen pysäyttämiseksi palomuurit käyttävät muita tekniikoita, joita ovat verkkosuodatus, IPS, hiekkalaatikko jne. Useimmissa organisaatioissa nämä tietoturvakomponentit eivät kuitenkaan ole yhteydessä toisiinsa ja toimivat erillään.

Trendit Heartbeat-teknologian käyttöönotossa

Uusi lähestymistapa kyberturvallisuuteen sisältää suojauksen kaikilla tasoilla, jolloin kullakin tasolla käytetyt ratkaisut ovat yhteydessä toisiinsa ja voivat vaihtaa tietoja. Tämä johtaa Sunchronized Securityn (SynSec) luomiseen. SynSec edustaa tietoturvan varmistamista yhtenä järjestelmänä. Tällöin jokainen tietoturvakomponentti on yhteydessä toisiinsa reaaliajassa. Esimerkiksi ratkaisu Sophos Central toteutetaan tämän periaatteen mukaisesti.

Security Heartbeat -teknologia mahdollistaa tietoturvakomponenttien välisen viestinnän, mikä mahdollistaa järjestelmien yhteistyön ja valvonnan. SISÄÄN Sophos Central seuraavien luokkien ratkaisut on integroitu:

• Endpoint Protection - klassinen allekirjoitusvirustorjunta;
• palvelimen Protection — erikoistunut virustorjunta palvelimia varten;
• Sieppaus-X – uuden sukupolven virustorjunta (ilman allekirjoituksia ja tekoälytekniikoilla);
• Sophos XG -palomuuri — seuraavan sukupolven palomuuri;
• Mobility Management (EMM) — mobiililaitteiden hallinta ja pääsyn valvonta yrityksen sähköpostiin ja tiedostoihin;
• Tietosuoja (salaus);
• Suojattu Wi-Fi — tukiasemat, joita hallitaan sekä pilvestä että paikallisesti Sophos UTM:n / Sophos XG:n kautta;
• Web Security — klassinen ratkaisu verkkoliikenteen suodattamiseen;
• Sähköpostin turvallisuus — pilvi/paikallinen roskapostin/virustorjuntaratkaisu;
• Tietojenkalasteluuhka — työntekijöiden tietoisuuden lisääminen ja tietojenkalastelutestipostitusten suorittaminen;
• Cloud Optix — pilviinfrastruktuurien auditointi.

On helppo nähdä, että Sophos Central tukee melko laajaa valikoimaa tietoturvaratkaisuja. Sophos Centralissa SynSec-konsepti perustuu kolmeen tärkeään periaatteeseen: havaitsemiseen, analysointiin ja vasteeseen. Kuvataksemme niitä yksityiskohtaisesti, käsittelemme niitä jokaisessa.

SynSec-käsitteet

TUNNISTUS (tuntemattomien uhkien havaitseminen)
Sophos Centralin hallinnoimat Sophos-tuotteet jakavat automaattisesti tietoja toistensa kanssa riskien ja tuntemattomien uhkien tunnistamiseksi, mukaan lukien:

• verkkoliikenteen analyysi, joka pystyy tunnistamaan korkean riskin sovellukset ja haitallisen liikenteen;
• riskialttiiden käyttäjien havaitseminen heidän online-toimintojensa korrelaatioanalyysin avulla.

ANALYYSI (välitön ja intuitiivinen)
Reaaliaikainen tapausanalyysi tarjoaa välittömän käsityksen järjestelmän nykyisestä tilanteesta.

• Näyttää koko tapahtumaketjun, joka johti tapaukseen, mukaan lukien kaikki tiedostot, rekisteriavaimet, URL-osoitteet jne.

VASTAUS (automaattinen reagointi tapaukseen)
Suojauskäytäntöjen määrittäminen mahdollistaa automaattisen reagoinnin infektioihin ja tapahtumiin muutamassa sekunnissa. Tämä on varmistettu:

• tartunnan saaneiden laitteiden välitön eristäminen ja hyökkäyksen pysäyttäminen reaaliajassa (jopa saman verkon/lähetysalueen sisällä);
• rajoittaa pääsyä yrityksen verkkoresursseihin laitteille, jotka eivät ole käytäntöjen mukaisia;
• käynnistää laitteen tarkistuksen etänä, kun lähtevää roskapostia havaitaan.

Olemme tarkastelleet tärkeimmät turvallisuusperiaatteet, joihin Sophos Central perustuu. Siirrytään nyt kuvaukseen siitä, kuinka SynSec-tekniikka ilmenee toiminnassa.

Teoriasta käytäntöön

Selitetään ensin, kuinka laitteet toimivat vuorovaikutuksessa SynSec-periaatteella Heartbeat-tekniikan avulla. Ensimmäinen vaihe on rekisteröidä Sophos XG Sophos Centraliin. Tässä vaiheessa hän saa varmenteen itsetunnistusta varten, IP-osoitteen ja portin, jonka kautta päätelaitteet ovat vuorovaikutuksessa hänen kanssaan Heartbeat-teknologian avulla, sekä luettelon Sophos Centralin kautta hallittujen päätelaitteiden tunnuksista ja niiden asiakasvarmenteista.

Pian Sophos XG -rekisteröinnin jälkeen Sophos Central lähettää tietoja päätepisteille Heartbeat-vuorovaikutuksen aloittamiseksi:

• luettelo Sophos XG -varmenteiden myöntämiseen käytetyistä varmenneviranomaisista;
• luettelo laitetunnuksista, jotka on rekisteröity Sophos XG:hen;
• IP-osoite ja portti vuorovaikutusta varten Heartbeat-tekniikalla.

Nämä tiedot tallennetaan tietokoneeseen seuraavaan polkuun: %ProgramData%SophosHearbeatConfigHeartbeat.xml ja niitä päivitetään säännöllisesti.

Heartbeat-tekniikkaa käyttävä tiedonsiirto tapahtuu päätepisteellä, joka lähettää viestejä maagiseen IP-osoitteeseen 52.5.76.173:8347 ja takaisin. Analyysin aikana paljastui, että paketit lähetetään 15 sekunnin ajanjaksolla, kuten myyjä on ilmoittanut. On syytä huomata, että Heartbeat-viestit käsitellään suoraan XG-palomuurilla - se sieppaa paketit ja tarkkailee päätepisteen tilaa. Jos suoritat pakettikaappauksen isännässä, liikenne näyttää kommunikoivan ulkoisen IP-osoitteen kanssa, vaikka itse asiassa päätepiste kommunikoi suoraan XG-palomuurin kanssa.

Oletetaan, että haitallinen sovellus pääsi jotenkin tietokoneellesi. Sophos Endpoint havaitsee tämän hyökkäyksen tai lopetamme Heartbeatin vastaanottamisen tältä järjestelmältä. Tartunnan saanut laite lähettää automaattisesti tietoja tartunnan saaneesta järjestelmästä ja käynnistää automaattisen toimintoketjun. XG Firewall eristää tietokoneesi välittömästi ja estää hyökkäyksen leviämisen ja vuorovaikutuksen C&C-palvelimien kanssa.

Sophos Endpoint poistaa haittaohjelmat automaattisesti. Kun se on poistettu, päätelaite synkronoituu Sophos Centralin kanssa, minkä jälkeen XG Firewall palauttaa pääsyn verkkoon. Perussyyanalyysin (RCA tai EDR – Endpoint Detection and Response) avulla saat yksityiskohtaisen käsityksen tapahtuneesta.

Jos oletetaan, että yrityksen resursseja käytetään mobiililaitteiden ja tablettien kautta, onko SynSec mahdollista tarjota?

Sophos Central tukee tätä skenaariota Sophos Mobile и Sophos Wireless. Oletetaan, että käyttäjä yrittää rikkoa tietoturvakäytäntöä mobiililaitteella, joka on suojattu Sophos Mobilella. Sophos Mobile havaitsee suojauskäytäntörikkomuksen ja lähettää ilmoitukset muulle järjestelmälle, mikä laukaisee ennalta määritetyn vastauksen tapaukseen. Jos Sophos Mobilessa on "estä verkkoyhteys" -käytäntö määritetty, Sophos Wireless rajoittaa tämän laitteen verkkoyhteyttä. Sophos Centralin kojelaudassa Sophos Wireless -välilehden alla näkyy ilmoitus, joka ilmaisee, että laite on saanut tartunnan. Kun käyttäjä yrittää päästä verkkoon, näytölle ilmestyy aloitusnäyttö, joka ilmoittaa, että Internet-yhteys on rajoitettu.

Päätepisteellä on useita Heartbeat-tiloja: punainen, keltainen ja vihreä.
Punainen tila ilmenee seuraavissa tapauksissa:

• aktiivinen haittaohjelma havaittu;
• havaittiin yritys käynnistää haittaohjelma;
• haitallinen verkkoliikenne havaittu;
• haittaohjelmaa ei poistettu.

Keltainen tila tarkoittaa, että päätepiste on havainnut ei-aktiivisen haittaohjelman tai on havainnut PUP-ohjelman (mahdollisesti ei-toivotun ohjelman). Vihreä tila osoittaa, että mitään yllä olevista ongelmista ei ole havaittu.

Tarkasteltaessamme joitain klassisia skenaarioita suojattujen laitteiden vuorovaikutuksesta Sophos Centralin kanssa, siirrytään ratkaisun graafisen käyttöliittymän kuvaukseen sekä pääasetusten ja tuettujen toimintojen katsaukseen.

Graafinen käyttöliittymä

Ohjauspaneeli näyttää uusimmat ilmoitukset. Eri suojakomponenttien yhteenveto näytetään myös kaavioiden muodossa. Tässä tapauksessa henkilökohtaisten tietokoneiden suojausta koskevat yhteenvetotiedot näytetään. Tämä paneeli tarjoaa myös yhteenvetotietoja yrityksistä vierailla vaarallisissa resursseissa ja resursseissa, joissa on sopimatonta sisältöä, sekä sähköpostianalyysitilastot.

Sophos Central tukee ilmoitusten näyttämistä vakavuuden mukaan, mikä estää käyttäjää menettämästä tärkeitä tietoturvavaroituksia. Lyhyesti esitetyn turvajärjestelmän tilayhteenvedon lisäksi Sophos Central tukee tapahtumien kirjaamista ja integrointia SIEM-järjestelmien kanssa. Monille yrityksille Sophos Central on alusta sekä sisäiselle SOC:lle että palvelujen tarjoamiselle asiakkailleen - MSSP.

Yksi tärkeimmistä ominaisuuksista on tuki päivitysvälimuistille päätepisteasiakkaille. Tämän avulla voit säästää kaistanleveyttä ulkoisessa liikenteessä, koska tässä tapauksessa päivitykset ladataan kerran johonkin päätepisteasiakkaaseen ja sitten muut päätepisteet lataavat päivitykset sieltä. Kuvatun ominaisuuden lisäksi valittu päätepiste voi välittää suojauskäytäntöviestejä ja tietoraportteja Sophos-pilveen. Tämä toiminto on hyödyllinen, jos on päätelaitteita, joilla ei ole suoraa pääsyä Internetiin, mutta jotka vaativat suojausta. Sophos Central tarjoaa vaihtoehdon (peukalointisuojaus), joka estää tietokoneen suojausasetusten muuttamisen tai päätepisteagentin poistamisen.

Yksi päätepistesuojauksen komponenteista on uuden sukupolven virustorjunta (NGAV) - Sieppaa X. Syviä koneoppimistekniikoita käyttämällä virustorjunta pystyy tunnistamaan aiemmin tuntemattomat uhat ilman allekirjoituksia. Tunnistustarkkuus on verrattavissa allekirjoitusanalogeihin, mutta toisin kuin ne, se tarjoaa ennakoivan suojan ja estää nollapäivän hyökkäykset. Intercept X pystyy toimimaan rinnakkain muiden valmistajien allekirjoitusvirustorjuntaohjelmien kanssa.

Tässä artikkelissa puhuimme lyhyesti SynSec-konseptista, joka on toteutettu Sophos Centralissa, sekä joistakin tämän ratkaisun ominaisuuksista. Seuraavissa artikkeleissa kuvataan, kuinka kukin Sophos Centraliin integroitu tietoturvakomponentti toimii. Voit hankkia ratkaisun demoversion täällä.

Lähde: will.com