Pour assurer une haute efficacité des outils de sécurité de l'information, la connexion de ses composants joue un rôle important. Il vous permet de couvrir non seulement les menaces externes, mais également internes. Lors de la conception d'une infrastructure réseau, chaque outil de sécurité, qu'il s'agisse d'un antivirus ou d'un pare-feu, est important pour qu'ils fonctionnent non seulement au sein de leur classe (Endpoint security ou NGFW), mais qu'ils aient également la capacité d'interagir les uns avec les autres pour lutter conjointement contre les menaces. .
Un peu de théorie
Il n'est pas surprenant que les cybercriminels d'aujourd'hui soient devenus plus entreprenants. Ils utilisent une gamme de technologies réseau pour propager des logiciels malveillants :
Le phishing par e-mail amène le malware à franchir le seuil de votre réseau en utilisant des attaques connues, soit des attaques zero-day suivies d'une élévation de privilèges, soit un mouvement latéral à travers le réseau. Avoir un appareil infecté pourrait signifier que votre réseau pourrait être utilisé au profit d’un attaquant.
Dans certains cas, lorsqu'il est nécessaire d'assurer l'interaction des composants de sécurité de l'information, lors de la réalisation d'un audit de sécurité de l'information de l'état actuel du système, il n'est pas possible de le décrire à l'aide d'un seul ensemble de mesures interconnectées. Dans la plupart des cas, de nombreuses solutions technologiques axées sur la lutte contre un type spécifique de menace ne permettent pas l'intégration avec d'autres solutions technologiques. Par exemple, les produits de protection des points finaux utilisent des signatures et des analyses comportementales pour déterminer si un fichier est infecté ou non. Pour arrêter le trafic malveillant, les pare-feu utilisent d'autres technologies, notamment le filtrage Web, l'IPS, le sandboxing, etc. Cependant, dans la plupart des organisations, ces composants de sécurité des informations ne sont pas connectés les uns aux autres et fonctionnent de manière isolée.
Tendances dans la mise en œuvre de la technologie Heartbeat
La nouvelle approche de la cybersécurité implique une protection à tous les niveaux, les solutions utilisées à chaque niveau étant connectées les unes aux autres et capables d'échanger des informations. Cela conduit à la création de Sunchronized Security (SynSec). SynSec représente le processus permettant d'assurer la sécurité des informations en tant que système unique. Dans ce cas, chaque composant de sécurité de l'information est connecté les uns aux autres en temps réel. Par exemple, la solution mis en œuvre selon ce principe.
La technologie Security Heartbeat permet la communication entre les composants de sécurité, permettant ainsi la collaboration et la surveillance du système. DANS les solutions des classes suivantes sont intégrées :
- — antivirus de signature classique ;
- — antivirus spécialisé pour serveurs ;
- – antivirus nouvelle génération (sans signatures et avec technologies d’intelligence artificielle) ;
- — Pare-feu de nouvelle génération ;
- — gestion des appareils mobiles et contrôle d'accès au courrier et aux fichiers de l'entreprise ;
- ;
- — points d'accès gérés à la fois depuis le cloud et localement via Sophos UTM / Sophos XG ;
- — une solution classique pour filtrer le trafic web ;
- — solution anti-spam/antivirus cloud/locale ;
- — sensibilisation des collaborateurs, réalisation de mailings tests de phishing ;
- — audit des infrastructures cloud.
Il est facile de constater que Sophos Central prend en charge une gamme assez large de solutions de sécurité des informations. Chez Sophos Central, le concept SynSec repose sur trois principes importants : détection, analyse et réponse. Pour les décrire en détail, nous nous attarderons sur chacun d'eux.
Concepts SynSec
DÉTECTION (détection de menaces inconnues)
Les produits Sophos, gérés par Sophos Central, partagent automatiquement des informations entre eux pour identifier les risques et les menaces inconnues, notamment :
- analyse du trafic réseau avec la capacité d'identifier les applications à haut risque et le trafic malveillant ;
- détection des utilisateurs à haut risque grâce à l’analyse de corrélation de leurs actions en ligne.
ANALYSE (instantané et intuitif)
L'analyse des incidents en temps réel permet de comprendre instantanément la situation actuelle du système.
- Affiche la chaîne complète des événements qui ont conduit à l'incident, y compris tous les fichiers, clés de registre, URL, etc.
RÉPONSE (réponse automatique aux incidents)
La configuration de politiques de sécurité vous permet de répondre automatiquement aux infections et aux incidents en quelques secondes. Ceci est assuré :
- isolation instantanée des appareils infectés et arrêt de l'attaque en temps réel (même au sein du même domaine de réseau/de diffusion) ;
- restreindre l'accès aux ressources du réseau de l'entreprise pour les appareils qui ne sont pas conformes aux politiques ;
- lancer à distance une analyse de l'appareil lorsqu'un spam sortant est détecté.
Nous avons examiné les grands principes de sécurité sur lesquels repose Sophos Central. Passons maintenant à une description de la façon dont la technologie SynSec se manifeste en action.
De la théorie à la pratique
Tout d'abord, expliquons comment les appareils interagissent selon le principe SynSec à l'aide de la technologie Heartbeat. La première étape consiste à enregistrer Sophos XG auprès de Sophos Central. À ce stade, il reçoit un certificat d'auto-identification, une adresse IP et un port via lesquels les appareils finaux interagiront avec lui à l'aide de la technologie Heartbeat, ainsi qu'une liste des identifiants des appareils finaux gérés via Sophos Central et leurs certificats clients.
Peu de temps après l’enregistrement de Sophos XG, Sophos Central enverra des informations aux points finaux pour lancer une interaction Heartbeat :
- liste des autorités de certification utilisées pour émettre les certificats Sophos XG ;
- une liste des ID d’appareil enregistrés auprès de Sophos XG ;
- Adresse IP et port pour l'interaction utilisant la technologie Heartbeat.
Ces informations sont stockées sur l'ordinateur dans le chemin suivant : %ProgramData%SophosHearbeatConfigHeartbeat.xml et sont mises à jour régulièrement.
La communication utilisant la technologie Heartbeat est effectuée par le point final envoyant des messages à l'adresse IP magique 52.5.76.173:8347 et inversement. Au cours de l'analyse, il a été révélé que les paquets sont envoyés avec un délai de 15 secondes, comme l'a indiqué le fournisseur. Il convient de noter que les messages Heartbeat sont traités directement par le pare-feu XG : il intercepte les paquets et surveille l'état du point de terminaison. Si vous effectuez une capture de paquets sur l'hôte, le trafic semblera communiquer avec l'adresse IP externe, bien qu'en fait le point final communique directement avec le pare-feu XG.
Supposons qu'une application malveillante s'installe d'une manière ou d'une autre sur votre ordinateur. Sophos Endpoint détecte cette attaque ou nous cessons de recevoir Heartbeat de ce système. Un appareil infecté envoie automatiquement des informations sur le système infecté, déclenchant une chaîne d'actions automatique. XG Firewall isole instantanément votre ordinateur, empêchant l'attaque de se propager et d'interagir avec les serveurs C&C.
Sophos Endpoint supprime automatiquement les logiciels malveillants. Une fois supprimé, le périphérique final se synchronise avec Sophos Central, puis XG Firewall restaure l'accès au réseau. L'analyse des causes profondes (RCA ou EDR - Endpoint Detection and Response) vous permet d'avoir une compréhension détaillée de ce qui s'est passé.
En supposant que les ressources de l'entreprise soient accessibles via des appareils mobiles et des tablettes, est-il possible de fournir SynSec ?
Sophos Central prend en charge ce scénario и . Supposons qu'un utilisateur tente de violer la politique de sécurité sur un appareil mobile protégé par Sophos Mobile. Sophos Mobile détecte une violation de la politique de sécurité et envoie des notifications au reste du système, déclenchant une réponse préconfigurée à l'incident. Si Sophos Mobile a configuré une stratégie « refuser la connexion réseau », Sophos Wireless restreindra l'accès au réseau pour cet appareil. Une notification apparaîtra dans le tableau de bord Sophos Central sous l'onglet Sophos Wireless indiquant que l'appareil est infecté. Lorsque l'utilisateur tente d'accéder au réseau, un écran de démarrage apparaîtra sur l'écran l'informant que l'accès à Internet est limité.
Le point de terminaison a plusieurs états Heartbeat : rouge, jaune et vert.
Le statut rouge apparaît dans les cas suivants :
- malware actif détecté ;
- une tentative de lancement de malware a été détectée ;
- trafic réseau malveillant détecté ;
- le malware n'a pas été supprimé.
Un statut jaune signifie que le point final a détecté un logiciel malveillant inactif ou un PUP (programme potentiellement indésirable). Un statut vert indique qu'aucun des problèmes ci-dessus n'a été détecté.
Après avoir examiné quelques scénarios classiques d'interaction des appareils protégés avec Sophos Central, passons à une description de l'interface graphique de la solution et à un examen des principaux paramètres et fonctionnalités prises en charge.
Interface graphique
Le panneau de contrôle affiche les dernières notifications. Un récapitulatif des différents composants de la protection est également affiché sous forme de schémas. Dans ce cas, des données récapitulatives sur la protection des ordinateurs personnels sont affichées. Ce panneau fournit également des informations récapitulatives sur les tentatives de visite de ressources dangereuses et de ressources au contenu inapproprié, ainsi que des statistiques d'analyse des e-mails.
Sophos Central prend en charge l'affichage des notifications par gravité, empêchant ainsi l'utilisateur de manquer des alertes de sécurité critiques. En plus d'un résumé succinct de l'état du système de sécurité, Sophos Central prend en charge la journalisation des événements et l'intégration avec les systèmes SIEM. Pour de nombreuses entreprises, Sophos Central est une plateforme à la fois pour le SOC interne et pour la fourniture de services à leurs clients – MSSP.
L'une des fonctionnalités importantes est la prise en charge d'un cache de mise à jour pour les clients de point final. Cela vous permet d'économiser de la bande passante sur le trafic externe, car dans ce cas, les mises à jour sont téléchargées une fois sur l'un des clients du point de terminaison, puis les autres points de terminaison téléchargent les mises à jour à partir de celui-ci. En plus de la fonctionnalité décrite, le point de terminaison sélectionné peut relayer les messages de politique de sécurité et les rapports d'informations vers le cloud Sophos. Cette fonction sera utile s'il existe des appareils finaux qui n'ont pas d'accès direct à Internet, mais nécessitent une protection. Sophos Central propose une option (protection contre la falsification) qui interdit la modification des paramètres de sécurité de l'ordinateur ou la suppression de l'agent de point final.
L'un des composants de la protection des points finaux est un antivirus de nouvelle génération (NGAV) - . Grâce à des technologies d'apprentissage automatique approfondi, l'antivirus est capable d'identifier des menaces jusqu'alors inconnues sans utiliser de signatures. La précision de détection est comparable à celle des signatures analogiques, mais contrairement à elles, elle offre une protection proactive, empêchant les attaques zero-day. Intercept X est capable de fonctionner en parallèle avec les antivirus de signature d'autres fournisseurs.
Dans cet article, nous avons brièvement parlé du concept SynSec, implémenté dans Sophos Central, ainsi que de certaines des fonctionnalités de cette solution. Nous décrirons le fonctionnement de chacun des composants de sécurité intégrés à Sophos Central dans les articles suivants. Vous pouvez obtenir une version démo de la solution .
Source: habr.com