Seguridade sincronizada en Sophos Central

Para garantir unha alta eficiencia das ferramentas de seguridade da información, a conexión dos seus compoñentes xoga un papel importante. Permítelle cubrir non só as ameazas externas, senón tamén internas. Ao deseñar unha infraestrutura de rede, cada ferramenta de seguridade, xa sexa un antivirus ou un firewall, é importante para que funcionen non só dentro da súa clase (Endpoint security ou NGFW), senón que tamén teñan a capacidade de interactuar entre si para combater conxuntamente as ameazas. .

Un pouco de teoría

Non é de estrañar que os ciberdelincuentes actuais se fagan máis emprendedores. Usan unha variedade de tecnoloxías de rede para espallar malware:

O phishing por correo electrónico fai que o malware cruce o limiar da túa rede mediante ataques coñecidos, xa sexan ataques de día cero seguidos dunha escalada de privilexios ou movementos laterales pola rede. Ter un dispositivo infectado pode significar que a túa rede podería usarse en beneficio dun atacante.

Nalgúns casos, cando é necesario garantir a interacción dos compoñentes de seguridade da información, cando se realiza unha auditoría de seguridade da información do estado actual do sistema, non é posible describilo mediante un único conxunto de medidas interconectadas. Na maioría dos casos, moitas solucións tecnolóxicas que se centran en contrarrestar un tipo específico de ameaza non proporcionan integración con outras solucións tecnolóxicas. Por exemplo, os produtos de protección de puntos finais usan a análise de sinatura e comportamento para determinar se un ficheiro está infectado ou non. Para deter o tráfico malicioso, os firewalls utilizan outras tecnoloxías, que inclúen filtrado web, IPS, sandboxing, etc. Non obstante, na maioría das organizacións estes compoñentes de seguridade da información non están conectados entre si e funcionan de forma illada.

Tendencias na implantación da tecnoloxía Heartbeat

O novo enfoque da ciberseguridade implica protección a todos os niveis, coas solucións utilizadas en cada nivel conectadas entre si e capaces de intercambiar información. Isto leva á creación de Sunchronized Security (SynSec). SynSec representa o proceso de garantir a seguridade da información como un único sistema. Neste caso, cada compoñente de seguridade da información está conectado entre si en tempo real. Por exemplo, a solución Sophos Central implementado conforme a este principio.

A tecnoloxía Security Heartbeat permite a comunicación entre os compoñentes de seguridade, permitindo a colaboración e o seguimento do sistema. EN Sophos Central incorpóranse solucións das seguintes clases:

• Protección de punto final - antivirus de sinatura clásico;
• Protección do servidor — antivirus especializado para servidores;
• Interceptar-X – antivirus de nova xeración (sen firmas e con tecnoloxías de intelixencia artificial);
• Sophos XG Firewall — Firewall de nova xeración;
• Xestión de Mobilidade (EMM) — xestión de dispositivos móbiles e control de acceso ao correo e ficheiros corporativos;
• Protección de datos (cifrado);
• WiFi seguro — puntos de acceso xestionados tanto desde a nube como localmente a través de Sophos UTM/Sophos XG;
• Seguridade web — unha solución clásica para filtrar o tráfico web;
• Seguridade do correo electrónico — solución antispam/antivirus na nube/local;
• Ameaza de phishing — sensibilizar aos empregados, realizando envíos de proba de phishing;
• Cloud Optix — Auditoría de infraestruturas na nube.

É fácil ver que Sophos Central admite unha gama bastante ampla de solucións de seguridade da información. En Sophos Central, o concepto SynSec baséase en tres principios importantes: detección, análise e resposta. Para describilos en detalle, deterémonos en cada un deles.

Conceptos de SynSec

DETECCIÓN (detección de ameazas descoñecidas)
Os produtos de Sophos, xestionados por Sophos Central, comparten información automaticamente entre eles para identificar riscos e ameazas descoñecidas, que inclúen:

• análise de tráfico de rede coa capacidade de identificar aplicacións de alto risco e tráfico malicioso;
• detección de usuarios de alto risco mediante a análise de correlación das súas accións en liña.

ANÁLISE (instantaneo e intuitivo)
A análise de incidentes en tempo real proporciona unha comprensión instantánea da situación actual do sistema.

• Mostra a cadea completa de eventos que provocaron o incidente, incluíndo todos os ficheiros, claves de rexistro, URL, etc.

RESPOSTA (resposta automática a incidentes)
A configuración de políticas de seguranza permítelle responder automaticamente ás infeccións e incidentes en cuestión de segundos. Isto está garantido:

• illamento instantáneo dos dispositivos infectados e detención do ataque en tempo real (mesmo dentro da mesma rede/dominio de transmisión);
• restrinxir o acceso aos recursos da rede da empresa para os dispositivos que non cumpren coas políticas;
• iniciar de forma remota unha exploración do dispositivo cando se detecte spam saínte.

Analizamos os principais principios de seguridade nos que se basea Sophos Central. Agora imos pasar a unha descrición de como se manifesta a tecnoloxía SynSec en acción.

Da teoría á práctica

En primeiro lugar, imos explicar como interactúan os dispositivos mediante o principio SynSec mediante a tecnoloxía Heartbeat. O primeiro paso é rexistrar Sophos XG en Sophos Central. Nesta fase, recibe un certificado de autoidentificación, un enderezo IP e un porto a través do cal os dispositivos finais interactuarán con el mediante a tecnoloxía Heartbeat, así como unha lista de ID dos dispositivos finais xestionados a través de Sophos Central e os seus certificados de cliente.

Pouco despois de que se produza o rexistro en Sophos XG, Sophos Central enviará información aos puntos finais para iniciar unha interacción Heartbeat:

• lista de autoridades de certificación utilizadas para emitir certificados de Sophos XG;
• unha lista de ID de dispositivos que están rexistrados en Sophos XG;
• Enderezo IP e porto para interacción mediante a tecnoloxía Heartbeat.

Esta información gárdase no ordenador no seguinte camiño: %ProgramData%SophosHearbeatConfigHeartbeat.xml e actualízase regularmente.

A comunicación mediante a tecnoloxía Heartbeat realízase polo punto final que envía mensaxes ao enderezo IP máxico 52.5.76.173:8347 e viceversa. Durante a análise, revelouse que os paquetes envíanse cun período de 15 segundos, segundo indicou o vendedor. Paga a pena notar que as mensaxes Heartbeat son procesadas directamente polo XG Firewall: intercepta paquetes e supervisa o estado do punto final. Se realiza a captura de paquetes no host, o tráfico parecerá que se está comunicando co enderezo IP externo, aínda que de feito o punto final se está comunicando directamente co firewall XG.

Supoñamos que, dalgún xeito, unha aplicación maliciosa chegou ao teu ordenador. Sophos Endpoint detecta este ataque ou deixamos de recibir Heartbeat deste sistema. Un dispositivo infectado envía automaticamente información sobre o sistema infectado, desencadeando unha cadea automática de accións. XG Firewall illa ao instante o teu ordenador, evitando que o ataque se propague e interactúe cos servidores C&C.

Sophos Endpoint elimina automaticamente o malware. Unha vez que se elimina, o dispositivo final sincronízase con Sophos Central e, a continuación, XG Firewall restablece o acceso á rede. A análise da causa raíz (RCA ou EDR - Endpoint Detection and Response) permítelle obter unha comprensión detallada do que pasou.

Asumindo que se accede aos recursos corporativos a través de dispositivos móbiles e tabletas, é posible proporcionar SynSec?

Sophos Central ofrece soporte para este escenario Sophos Mobile и Sophos Wireless. Digamos que un usuario tenta violar a política de seguranza nun dispositivo móbil protexido con Sophos Mobile. Sophos Mobile detecta unha violación da política de seguridade e envía notificacións ao resto do sistema, provocando unha resposta preconfigurada ao incidente. Se Sophos Mobile ten configurada unha política de "denegar conexión de rede", Sophos Wireless restrinxirá o acceso á rede para este dispositivo. Aparecerá unha notificación no panel de control de Sophos Central na pestana Sophos Wireless indicando que o dispositivo está infectado. Cando o usuario intente acceder á rede, aparecerá unha pantalla de inicio na pantalla que lle informa de que o acceso a Internet é limitado.

O punto final ten varios estados de Heartbeat: vermello, amarelo e verde.
O estado vermello ocorre nos seguintes casos:

• malware activo detectado;
• detectouse un intento de lanzar malware;
• tráfico de rede malicioso detectado;
• o malware non foi eliminado.

Un estado amarelo significa que o punto final detectou malware inactivo ou detectou un PUP (programa potencialmente non desexado). Un estado verde indica que non se detectou ningún dos problemas anteriores.

Despois de analizar algúns escenarios clásicos para a interacción de dispositivos protexidos con Sophos Central, pasemos á descrición da interface gráfica da solución e a unha revisión da configuración principal e das funcionalidades admitidas.

Interface gráfica

O panel de control mostra as últimas notificacións. Tamén se mostra un resumo dos distintos compoñentes de protección en forma de diagramas. Neste caso, móstranse datos resumidos sobre a protección dos ordenadores persoais. Este panel tamén ofrece información resumida sobre os intentos de visitar recursos perigosos e recursos con contido inadecuado e estatísticas de análise de correo electrónico.

Sophos Central admite a visualización de notificacións por gravidade, evitando que o usuario perda alertas de seguranza críticas. Ademais dun resumo sucinto do estado do sistema de seguridade, Sophos Central admite o rexistro de eventos e a integración con sistemas SIEM. Para moitas empresas, Sophos Central é unha plataforma tanto para SOC interno como para ofrecer servizos aos seus clientes: MSSP.

Unha das características importantes é o soporte para unha caché de actualización para os clientes de punto final. Isto permítelle aforrar ancho de banda no tráfico externo, xa que neste caso as actualizacións descárganse unha vez nun dos clientes do punto final e, a continuación, outros terminales descargan as actualizacións del. Ademais da función descrita, o punto final seleccionado pode transmitir mensaxes de políticas de seguranza e informes de información á nube de Sophos. Esta función será útil se hai dispositivos finais que non teñen acceso directo a Internet, pero requiren protección. Sophos Central ofrece unha opción (protección contra manipulacións) que prohibe cambiar a configuración de seguranza do ordenador ou eliminar o axente do punto final.

Un dos compoñentes da protección dos extremos é un antivirus de nova xeración (NGAV). Interceptar X. Usando tecnoloxías de aprendizaxe automática profunda, o antivirus é capaz de identificar ameazas previamente descoñecidas sen usar sinaturas. A precisión da detección é comparable aos análogos de sinatura, pero a diferenza deles, ofrece protección proactiva, evitando ataques de día cero. Intercept X é capaz de traballar en paralelo con antivirus de sinatura doutros provedores.

Neste artigo, falamos brevemente do concepto SynSec, que se implementa en Sophos Central, así como dalgunhas das capacidades desta solución. Describiremos como funciona cada un dos compoñentes de seguridade integrados en Sophos Central nos artigos seguintes. Podes obter unha versión de demostración da solución aquí.

Fonte: www.habr.com