Syngronisearre feiligens yn Sophos Central

Om hege effisjinsje fan ark foar ynformaasjefeiligens te garandearjen, spilet de ferbining fan har komponinten in wichtige rol. It lit jo net allinich eksterne, mar ek ynterne bedrigingen dekke. By it ûntwerpen fan in netwurkynfrastruktuer is elk befeiligingsark, of it no in antyfirus as in brânmuorre is, wichtich, sadat se net allinich funksjonearje binnen har klasse (Endpoint Security of NGFW), mar ek de mooglikheid hawwe om mei-inoar te ynteraksje om bedrigingen tegearre te bestriden. .

In bytsje teory

It is gjin ferrassing dat de hjoeddeiske cyberkriminelen mear ûndernimmend wurden binne. Se brûke in ferskaat oan netwurktechnologyen om malware te fersprieden:

E-postphishing feroarsaket dat de malware de drompel fan jo netwurk oerstekke mei bekende oanfallen, of nul-day oanfallen folge troch privileezje eskalaasje, of laterale beweging troch it netwurk. It hawwen fan ien ynfekteare apparaat kin betsjutte dat jo netwurk kin wurde brûkt foar it foardiel fan in oanfaller.

Yn guon gefallen, as it nedich is om de ynteraksje fan komponinten fan ynformaasjefeiligens te garandearjen, by it útfieren fan in ynformaasjebefeiligingskontrôle fan 'e hjoeddeistige steat fan it systeem, is it net mooglik om it te beskriuwen mei ien set fan maatregels dy't meiinoar ferbûn binne. Yn 'e measte gefallen jouwe in protte technologyoplossingen dy't har rjochtsje op it tsjingean fan in spesifyk type bedriging gjin yntegraasje mei oare technologyoplossingen. Produkten foar einpuntbeskerming brûke bygelyks hantekening en gedrachsanalyse om te bepalen oft in bestân ynfekteare is of net. Om kwea-aardich ferkear te stopjen, brûke firewalls oare technologyen, wêrûnder webfiltering, IPS, sandboxing, ensfh. Yn 'e measte organisaasjes binne dizze komponinten foar ynformaasjefeiligens lykwols net mei elkoar ferbûn en operearje yn isolemint.

Trends yn 'e ymplemintaasje fan Heartbeat technology

De nije oanpak fan cyberfeiligens omfettet beskerming op elk nivo, mei de oplossingen dy't op elk nivo brûkt wurde, ferbûn mei elkoar en kinne ynformaasje útwikselje. Dit liedt ta de skepping fan Sunchronized Security (SynSec). SynSec fertsjintwurdiget it proses fan it garandearjen fan ynformaasjefeiligens as ien systeem. Yn dit gefal is elke komponint fan ynformaasjefeiligens yn echte tiid mei elkoar ferbûn. Bygelyks de oplossing Sophos Central útfierd neffens dit prinsipe.

Feiligens Heartbeat-technology makket kommunikaasje mooglik tusken feiligenskomponinten, wêrtroch systeemgearwurking en tafersjoch mooglik makket. YN Sophos Central oplossings fan 'e folgjende klassen binne yntegreare:

• Einpuntbeskerming - klassike hantekening antivirus;
• Server beskerming - spesjalisearre antivirus foar servers;
• Intercept-X - nije generaasje antyvirus (sûnder hantekeningen en mei technologyen foar keunstmjittige yntelliginsje);
• Sophos XG Firewall - Folgjende-generaasje firewall;
• Mobility Management (EMM) - behear fan mobile apparaten en tagongskontrôle foar bedriuwspost en bestannen;
• Gegevensbeskerming (fersifering);
• Feilich Wi-Fi - tagongspunten beheard sawol fan 'e wolk as lokaal fia Sophos UTM / Sophos XG;
• Webfeiligens - in klassike oplossing foar it filterjen fan webferkear;
• E-postfeiligens - wolk / lokale anty-spam / antivirus oplossing;
• Phish Threat - bewustwêzen fan meiwurkers ferheegje, phishing-testmailings útfiere;
• Cloud Optix - kontrôle fan wolkinfrastruktuer.

It is maklik te sjen dat Sophos Central in frij breed oanbod fan oplossings foar ynformaasjefeiligens stipet. By Sophos Central is it SynSec-konsept basearre op trije wichtige prinsipes: deteksje, analyze en antwurd. Om se yn detail te beskriuwen, sille wy op elk fan har stean.

SynSec konsepten

DETEKJE (deteksje fan ûnbekende bedrigingen)
Sophos-produkten, beheard troch Sophos Central, diele automatysk ynformaasje mei elkoar om risiko's en ûnbekende bedrigingen te identifisearjen, dy't omfettet:

• netwurkferkearanalyse mei de mooglikheid om applikaasjes mei hege risiko en kwea-aardich ferkear te identifisearjen;
• deteksje fan brûkers mei hege risiko troch korrelaasje-analyze fan har online aksjes.

ANALYSE (direkt en yntuïtyf)
Real-time ynsidintanalyse jout direkt begryp fan 'e hjoeddeistige situaasje yn it systeem.

• Toant de folsleine keatling fan eveneminten dy't liede ta it ynsidint, ynklusyf alle bestannen, registerkaaien, URL's, ensfh.

ANTWURD (automatyske ynsidint antwurd)
It ynstellen fan befeiligingsbelied lit jo automatysk reagearje op ynfeksjes en ynsidinten yn in kwestje fan sekonden. Dit wurdt garandearre:

• direkte isolaasje fan ynfekteare apparaten en it stopjen fan 'e oanfal yn echte tiid (sels binnen itselde netwurk / útstjoerdomein);
• beheine tagong ta bedriuwsnetwurkboarnen foar apparaten dy't net foldogge oan belied;
• lansearje op ôfstân in apparaatscan as útgeande spam wurdt ûntdutsen.

Wy hawwe sjoen nei de wichtichste feiligensprinsipes wêrop Sophos Central basearre is. Litte wy no trochgean nei in beskriuwing fan hoe't SynSec-technology him yn aksje manifestearret.

Fan teory oant praktyk

Litte wy earst útlizze hoe't apparaten ynteraksje mei it SynSec-prinsipe mei Heartbeat-technology. De earste stap is om Sophos XG te registrearjen by Sophos Central. Op dit poadium krijt hy in sertifikaat foar selsidentifikaasje, in IP-adres en poarte wêrmei't einapparaten mei him sille ynteraksje mei Heartbeat-technology, en ek in list mei ID's fan einapparaten beheard fia Sophos Central en har kliïntsertifikaten.

Koart neidat Sophos XG-registraasje plakfynt, sil Sophos Central ynformaasje stjoere nei einpunten om in Heartbeat-ynteraksje te begjinnen:

• list mei sertifikaatautoriteiten brûkt om Sophos XG-sertifikaten út te jaan;
• in list mei apparaat-ID's dy't registrearre binne by Sophos XG;
• IP-adres en poarte foar ynteraksje mei Heartbeat technology.

Dizze ynformaasje wurdt opslein op 'e kompjûter yn it folgjende paad: %ProgramData%SophosHearbeatConfigHeartbeat.xml en wurdt regelmjittich bywurke.

Kommunikaasje mei Heartbeat-technology wurdt útfierd troch it einpunt dat berjochten ferstjoert nei it magyske IP-adres 52.5.76.173:8347 en werom. Tidens de analyze waard bliken dien dat pakketten wurde ferstjoerd mei in perioade fan 15 sekonden, lykas oanjûn troch de ferkeaper. It is de muoite wurdich op te merken dat Heartbeat-berjochten direkt wurde ferwurke troch de XG Firewall - it ûnderskept pakketten en kontrolearret de status fan it einpunt. As jo ​​​​pakket capture útfiere op 'e host, sil it ferkear lykje te kommunisearjen mei it eksterne IP-adres, hoewol it einpunt yn feite direkt kommunisearret mei de XG-firewall.

Stel dat in kweade applikaasje op ien of oare manier op jo kompjûter kaam. Sophos Endpoint detektearret dizze oanfal of wy stopje mei it ûntfangen fan Heartbeat fan dit systeem. In ynfekteare apparaat stjoert automatysk ynformaasje oer it ynfekteare systeem, wêrtroch in automatyske keatling fan aksjes trigger. XG Firewall isolearret jo kompjûter direkt, foarkomt dat de oanfal ferspriedt en ynteraksje mei C&C-tsjinners.

Sophos Endpoint ferwideret automatysk malware. As it ienris fuorthelle is, syngronisearret it einapparaat mei Sophos Central, dan herstelt XG Firewall tagong ta it netwurk. Root Cause Analysis (RCA of EDR - Endpoint Detection and Response) kinne jo in detaillearre begryp krije fan wat der bard is.

Oannommen dat bedriuwsboarnen tagonklik binne fia mobile apparaten en tablets, is it mooglik om SynSec te leverjen?

Sophos Central jout stipe foar dit senario Sophos Mobile и Sophos Wireless. Litte wy sizze dat in brûker besiket befeiligingsbelied te skeinen op in mobyl apparaat beskerme mei Sophos Mobile. Sophos Mobile detektearret in skeining fan befeiligingsbelied en stjoert notifikaasjes nei de rest fan it systeem, wêrtroch in foarôf ynstelde reaksje op it ynsidint útlit. As Sophos Mobile in "netwurkferbining wegerje" belied ynsteld hat, sil Sophos Wireless netwurk tagong foar dit apparaat beheine. In notifikaasje sil ferskine yn it Sophos Central dashboard ûnder de Sophos Wireless ljepper dy't oanjout dat it apparaat is ynfekteare. As de brûker besiket tagong te krijen ta it netwurk, sil in splash-skerm ferskine op it skerm dat har ynformearret dat ynternettagong beheind is.

It einpunt hat ferskate Heartbeat-statussen: read, giel en grien.
Red status komt foar yn 'e folgjende gefallen:

• aktive malware ûntdutsen;
• in besykjen om malware te lansearjen waard ûntdutsen;
• kwea-aardich netwurkferkear ûntdutsen;
• de malware waard net fuortsmiten.

In giele status betsjut dat it einpunt ynaktive malware ûntdutsen hat of in PUP (potensjeel net winske programma) ûntdutsen hat. In griene status jout oan dat gjin fan 'e boppesteande problemen is ûntdutsen.

Nei it besjen fan guon klassike senario's foar de ynteraksje fan beskerme apparaten mei Sophos Central, litte wy gean nei in beskriuwing fan 'e grafyske ynterface fan' e oplossing en in resinsje fan 'e haadynstellingen en stipe funksjonaliteit.

Grafyske ynterface

It kontrôlepaniel toant de lêste notifikaasjes. In gearfetting fan 'e ferskate beskermingskomponinten wurdt ek werjûn yn' e foarm fan diagrammen. Yn dit gefal wurde gearfettingsgegevens oer de beskerming fan persoanlike kompjûters werjûn. Dit paniel jout ek gearfetting ynformaasje oer besykjen om te besykjen gefaarlike boarnen en boarnen mei ûngepaste ynhâld, en e-mail analyze statistiken.

Sophos Central stipet it werjaan fan notifikaasjes troch earnst, foarkomt dat de brûker krityske feiligensalarms mist. Njonken in koart werjûn gearfetting fan 'e status fan it befeiligingssysteem, stipet Sophos Central evenemintlogging en yntegraasje mei SIEM-systemen. Foar in protte bedriuwen is Sophos Central in platfoarm foar sawol ynterne SOC as foar it leverjen fan tsjinsten oan har klanten - MSSP.

Ien fan 'e wichtige funksjes is stipe foar in update-cache foar einpuntkliïnten. Hjirmei kinne jo bânbreedte besparje op ekstern ferkear, om't yn dit gefal updates ienris wurde downloade nei ien fan 'e einpuntkliïnten, en dan downloadje oare einpunten updates derfan. Neist de beskreaune funksje kin it selekteare einpunt befeiligingsbeliedberjochten en ynformaasjerapporten trochjaan nei de Sophos-wolk. Dizze funksje sil nuttich wêze as d'r einapparaten binne dy't gjin direkte tagong hawwe ta it ynternet, mar beskerming nedich binne. Sophos Central biedt in opsje (sabotagebeskerming) dy't it feroarjen fan de befeiligingsynstellingen fan 'e kompjûter ferbiedt of it einpunt-agint wiskje.

Ien fan 'e komponinten fan einpuntbeskerming is in nije generaasje antivirus (NGAV) - Intercept X. Mei help fan djippe masine-learentechnologyen is it antivirus yn steat om earder ûnbekende bedrigingen te identifisearjen sûnder hantekeningen te brûken. De deteksjenaaktens is te fergelykjen mei hantekeninganalogen, mar yn tsjinstelling ta harren, leveret it proaktive beskerming, foarkomt nul-dei oanfallen. Intercept X is yn steat om parallel te wurkjen mei hantekening antiviruses fan oare leveransiers.

Yn dit artikel hawwe wy koart praat oer it SynSec-konsept, dat wurdt ymplementearre yn Sophos Central, lykas guon fan 'e mooglikheden fan dizze oplossing. Wy sille beskriuwe hoe't elk fan 'e feiligenskomponinten yntegrearre is yn Sophos Central funksjonearret yn' e folgjende artikels. Jo kinne in demo-ferzje fan 'e oplossing krije hjir.

Boarne: www.habr.com