Pour assurer une haute efficacité des outils de sécurité de l'information, la connexion de ses composants joue un rÎle important. Il vous permet de couvrir non seulement les menaces externes, mais également internes. Lors de la conception d'une infrastructure réseau, chaque outil de sécurité, qu'il s'agisse d'un antivirus ou d'un pare-feu, est important pour qu'ils fonctionnent non seulement au sein de leur classe (Endpoint security ou NGFW), mais qu'ils aient également la capacité d'interagir les uns avec les autres pour lutter conjointement contre les menaces. .
Un peu de théorie
Il n'est pas surprenant que les cybercriminels d'aujourd'hui soient devenus plus entreprenants. Ils utilisent une gamme de technologies réseau pour propager des logiciels malveillants :
Le phishing par e-mail amĂšne le malware Ă franchir le seuil de votre rĂ©seau en utilisant des attaques connues, soit des attaques zero-day suivies d'une Ă©lĂ©vation de privilĂšges, soit un mouvement latĂ©ral Ă travers le rĂ©seau. Avoir un appareil infectĂ© pourrait signifier que votre rĂ©seau pourrait ĂȘtre utilisĂ© au profit dâun attaquant.
Dans certains cas, lorsqu'il est nĂ©cessaire d'assurer l'interaction des composants de sĂ©curitĂ© de l'information, lors de la rĂ©alisation d'un audit de sĂ©curitĂ© de l'information de l'Ă©tat actuel du systĂšme, il n'est pas possible de le dĂ©crire Ă l'aide d'un seul ensemble de mesures interconnectĂ©es. Dans la plupart des cas, de nombreuses solutions technologiques axĂ©es sur la lutte contre un type spĂ©cifique de menace ne permettent pas l'intĂ©gration avec d'autres solutions technologiques. Par exemple, les produits de protection des points finaux utilisent des signatures et des analyses comportementales pour dĂ©terminer si un fichier est infectĂ© ou non. Pour arrĂȘter le trafic malveillant, les pare-feu utilisent d'autres technologies, notamment le filtrage Web, l'IPS, le sandboxing, etc. Cependant, dans la plupart des organisations, ces composants de sĂ©curitĂ© des informations ne sont pas connectĂ©s les uns aux autres et fonctionnent de maniĂšre isolĂ©e.
Tendances dans la mise en Ćuvre de la technologie Heartbeat
La nouvelle approche de la cybersĂ©curitĂ© implique une protection Ă tous les niveaux, les solutions utilisĂ©es Ă chaque niveau Ă©tant connectĂ©es les unes aux autres et capables d'Ă©changer des informations. Cela conduit Ă la crĂ©ation de Sunchronized Security (SynSec). SynSec reprĂ©sente le processus permettant d'assurer la sĂ©curitĂ© des informations en tant que systĂšme unique. Dans ce cas, chaque composant de sĂ©curitĂ© de l'information est connectĂ© les uns aux autres en temps rĂ©el. Par exemple, la solution mis en Ćuvre selon ce principe.
La technologie Security Heartbeat permet la communication entre les composants de sécurité, permettant ainsi la collaboration et la surveillance du systÚme. DANS les solutions des classes suivantes sont intégrées :
- â antivirus de signature classique ;
- â antivirus spĂ©cialisĂ© pour serveurs ;
- â antivirus nouvelle gĂ©nĂ©ration (sans signatures et avec technologies dâintelligence artificielle) ;
- â Pare-feu de nouvelle gĂ©nĂ©ration ;
- â gestion des appareils mobiles et contrĂŽle d'accĂšs au courrier et aux fichiers de l'entreprise ;
- ;
- â points d'accĂšs gĂ©rĂ©s Ă la fois depuis le cloud et localement via Sophos UTM / Sophos XG ;
- â une solution classique pour filtrer le trafic web ;
- â solution anti-spam/antivirus cloud/locale ;
- â sensibilisation des collaborateurs, rĂ©alisation de mailings tests de phishing ;
- â audit des infrastructures cloud.
Il est facile de constater que Sophos Central prend en charge une gamme assez large de solutions de sécurité des informations. Chez Sophos Central, le concept SynSec repose sur trois principes importants : détection, analyse et réponse. Pour les décrire en détail, nous nous attarderons sur chacun d'eux.
Concepts SynSec
DĂTECTION (dĂ©tection de menaces inconnues)
Les produits Sophos, gérés par Sophos Central, partagent automatiquement des informations entre eux pour identifier les risques et les menaces inconnues, notamment :
- analyse du trafic réseau avec la capacité d'identifier les applications à haut risque et le trafic malveillant ;
- dĂ©tection des utilisateurs Ă haut risque grĂące Ă lâanalyse de corrĂ©lation de leurs actions en ligne.
ANALYSE (instantané et intuitif)
L'analyse des incidents en temps réel permet de comprendre instantanément la situation actuelle du systÚme.
- Affiche la chaßne complÚte des événements qui ont conduit à l'incident, y compris tous les fichiers, clés de registre, URL, etc.
RĂPONSE (rĂ©ponse automatique aux incidents)
La configuration de politiques de sécurité vous permet de répondre automatiquement aux infections et aux incidents en quelques secondes. Ceci est assuré :
- isolation instantanĂ©e des appareils infectĂ©s et arrĂȘt de l'attaque en temps rĂ©el (mĂȘme au sein du mĂȘme domaine de rĂ©seau/de diffusion) ;
- restreindre l'accÚs aux ressources du réseau de l'entreprise pour les appareils qui ne sont pas conformes aux politiques ;
- lancer à distance une analyse de l'appareil lorsqu'un spam sortant est détecté.
Nous avons examiné les grands principes de sécurité sur lesquels repose Sophos Central. Passons maintenant à une description de la façon dont la technologie SynSec se manifeste en action.
De la théorie à la pratique
Tout d'abord, expliquons comment les appareils interagissent selon le principe SynSec à l'aide de la technologie Heartbeat. La premiÚre étape consiste à enregistrer Sophos XG auprÚs de Sophos Central. à ce stade, il reçoit un certificat d'auto-identification, une adresse IP et un port via lesquels les appareils finaux interagiront avec lui à l'aide de la technologie Heartbeat, ainsi qu'une liste des identifiants des appareils finaux gérés via Sophos Central et leurs certificats clients.
Peu de temps aprĂšs lâenregistrement de Sophos XG, Sophos Central enverra des informations aux points finaux pour lancer une interaction Heartbeat :
- liste des autorités de certification utilisées pour émettre les certificats Sophos XG ;
- une liste des ID dâappareil enregistrĂ©s auprĂšs de Sophos XG ;
- Adresse IP et port pour l'interaction utilisant la technologie Heartbeat.
Ces informations sont stockées sur l'ordinateur dans le chemin suivant : %ProgramData%SophosHearbeatConfigHeartbeat.xml et sont mises à jour réguliÚrement.
La communication utilisant la technologie Heartbeat est effectuée par le point final envoyant des messages à l'adresse IP magique 52.5.76.173:8347 et inversement. Au cours de l'analyse, il a été révélé que les paquets sont envoyés avec un délai de 15 secondes, comme l'a indiqué le fournisseur. Il convient de noter que les messages Heartbeat sont traités directement par le pare-feu XG : il intercepte les paquets et surveille l'état du point de terminaison. Si vous effectuez une capture de paquets sur l'hÎte, le trafic semblera communiquer avec l'adresse IP externe, bien qu'en fait le point final communique directement avec le pare-feu XG.
Supposons qu'une application malveillante s'installe d'une maniĂšre ou d'une autre sur votre ordinateur. Sophos Endpoint dĂ©tecte cette attaque ou nous cessons de recevoir Heartbeat de ce systĂšme. Un appareil infectĂ© envoie automatiquement des informations sur le systĂšme infectĂ©, dĂ©clenchant une chaĂźne d'actions automatique. XG Firewall isole instantanĂ©ment votre ordinateur, empĂȘchant l'attaque de se propager et d'interagir avec les serveurs C&C.
Sophos Endpoint supprime automatiquement les logiciels malveillants. Une fois supprimé, le périphérique final se synchronise avec Sophos Central, puis XG Firewall restaure l'accÚs au réseau. L'analyse des causes profondes (RCA ou EDR - Endpoint Detection and Response) vous permet d'avoir une compréhension détaillée de ce qui s'est passé.
En supposant que les ressources de l'entreprise soient accessibles via des appareils mobiles et des tablettes, est-il possible de fournir SynSec ?
Sophos Central prend en charge ce scénario О . Supposons qu'un utilisateur tente de violer la politique de sécurité sur un appareil mobile protégé par Sophos Mobile. Sophos Mobile détecte une violation de la politique de sécurité et envoie des notifications au reste du systÚme, déclenchant une réponse préconfigurée à l'incident. Si Sophos Mobile a configuré une stratégie « refuser la connexion réseau », Sophos Wireless restreindra l'accÚs au réseau pour cet appareil. Une notification apparaßtra dans le tableau de bord Sophos Central sous l'onglet Sophos Wireless indiquant que l'appareil est infecté. Lorsque l'utilisateur tente d'accéder au réseau, un écran de démarrage apparaßtra sur l'écran l'informant que l'accÚs à Internet est limité.
Le point de terminaison a plusieurs Ă©tats Heartbeat : rouge, jaune et vert.
Le statut rouge apparaĂźt dans les cas suivants :
- malware actif détecté ;
- une tentative de lancement de malware a été détectée ;
- trafic réseau malveillant détecté ;
- le malware n'a pas été supprimé.
Un statut jaune signifie que le point final a détecté un logiciel malveillant inactif ou un PUP (programme potentiellement indésirable). Un statut vert indique qu'aucun des problÚmes ci-dessus n'a été détecté.
AprÚs avoir examiné quelques scénarios classiques d'interaction des appareils protégés avec Sophos Central, passons à une description de l'interface graphique de la solution et à un examen des principaux paramÚtres et fonctionnalités prises en charge.
Interface graphique
Le panneau de contrÎle affiche les derniÚres notifications. Un récapitulatif des différents composants de la protection est également affiché sous forme de schémas. Dans ce cas, des données récapitulatives sur la protection des ordinateurs personnels sont affichées. Ce panneau fournit également des informations récapitulatives sur les tentatives de visite de ressources dangereuses et de ressources au contenu inapproprié, ainsi que des statistiques d'analyse des e-mails.
Sophos Central prend en charge l'affichage des notifications par gravitĂ©, empĂȘchant ainsi l'utilisateur de manquer des alertes de sĂ©curitĂ© critiques. En plus d'un rĂ©sumĂ© succinct de l'Ă©tat du systĂšme de sĂ©curitĂ©, Sophos Central prend en charge la journalisation des Ă©vĂ©nements et l'intĂ©gration avec les systĂšmes SIEM. Pour de nombreuses entreprises, Sophos Central est une plateforme Ă la fois pour le SOC interne et pour la fourniture de services Ă leurs clients â MSSP.
L'une des fonctionnalités importantes est la prise en charge d'un cache de mise à jour pour les clients de point final. Cela vous permet d'économiser de la bande passante sur le trafic externe, car dans ce cas, les mises à jour sont téléchargées une fois sur l'un des clients du point de terminaison, puis les autres points de terminaison téléchargent les mises à jour à partir de celui-ci. En plus de la fonctionnalité décrite, le point de terminaison sélectionné peut relayer les messages de politique de sécurité et les rapports d'informations vers le cloud Sophos. Cette fonction sera utile s'il existe des appareils finaux qui n'ont pas d'accÚs direct à Internet, mais nécessitent une protection. Sophos Central propose une option (protection contre la falsification) qui interdit la modification des paramÚtres de sécurité de l'ordinateur ou la suppression de l'agent de point final.
L'un des composants de la protection des points finaux est un antivirus de nouvelle gĂ©nĂ©ration (NGAV) - . GrĂące Ă des technologies d'apprentissage automatique approfondi, l'antivirus est capable d'identifier des menaces jusqu'alors inconnues sans utiliser de signatures. La prĂ©cision de dĂ©tection est comparable Ă celle des signatures analogiques, mais contrairement Ă elles, elle offre une protection proactive, empĂȘchant les attaques zero-day. Intercept X est capable de fonctionner en parallĂšle avec les antivirus de signature d'autres fournisseurs.
Dans cet article, nous avons briÚvement parlé du concept SynSec, implémenté dans Sophos Central, ainsi que de certaines des fonctionnalités de cette solution. Nous décrirons le fonctionnement de chacun des composants de sécurité intégrés à Sophos Central dans les articles suivants. Vous pouvez obtenir une version démo de la solution .
Source: habr.com
