Sinkronizirana sigurnost u Sophos Centralu

Kako bi se osigurala visoka učinkovitost alata za informacijsku sigurnost, povezanost njegovih komponenti igra važnu ulogu. Omogućuje vam pokrivanje ne samo vanjskih, već i unutarnjih prijetnji. Prilikom projektiranja mrežne infrastrukture, svaki sigurnosni alat, bio on antivirusni ili vatrozid, važan je kako ne bi funkcionirao samo unutar svoje klase (Endpoint security ili NGFW), već i da bi imao mogućnost međusobne interakcije radi zajedničke borbe protiv prijetnji .

Malo teorije

Nije iznenađenje da su današnji kiberkriminalci postali poduzetniji. Koriste niz mrežnih tehnologija za širenje zlonamjernog softvera:

Krađa identiteta putem e-pošte uzrokuje da zlonamjerni softver prijeđe prag vaše mreže koristeći poznate napade, bilo napade nultog dana nakon kojih slijedi eskalacija privilegija ili bočno kretanje kroz mrežu. Imati jedan zaraženi uređaj može značiti da bi vaša mreža mogla biti iskorištena za dobrobit napadača.

U nekim slučajevima, kada je potrebno osigurati interakciju komponenti informacijske sigurnosti, prilikom provođenja revizije informacijske sigurnosti trenutnog stanja sustava, nije ga moguće opisati jedinstvenim skupom mjera koje su međusobno povezane. U većini slučajeva mnoga tehnološka rješenja koja su usredotočena na suprotstavljanje određenoj vrsti prijetnje ne omogućuju integraciju s drugim tehnološkim rješenjima. Na primjer, proizvodi za zaštitu krajnjih točaka koriste analizu potpisa i ponašanja kako bi utvrdili je li datoteka zaražena ili ne. Kako bi zaustavili zlonamjerni promet, vatrozidi koriste druge tehnologije, koje uključuju web filtriranje, IPS, sandboxing itd. Međutim, u većini organizacija te komponente informacijske sigurnosti nisu povezane jedna s drugom i djeluju izolirano.

Trendovi u implementaciji Heartbeat tehnologije

Novi pristup kibernetičkoj sigurnosti uključuje zaštitu na svim razinama, pri čemu su rješenja koja se koriste na svakoj razini međusobno povezana i mogu razmjenjivati ​​informacije. To dovodi do stvaranja Sunchronized Security (SynSec). SynSec predstavlja proces osiguranja informacijske sigurnosti kao jedinstvenog sustava. U ovom slučaju, svaka komponenta informacijske sigurnosti povezana je jedna s drugom u stvarnom vremenu. Na primjer, rješenje Sophos Central provodi prema ovom principu.

Tehnologija Security Heartbeat omogućuje komunikaciju između sigurnosnih komponenti, omogućujući suradnju sustava i nadzor. U Sophos Central integrirana su rješenja sljedećih klasa:

• Zaštita krajnje točke — klasični antivirusni potpis;
• Server za zaštitu — specijalizirani antivirusni program za poslužitelje;
• Presretanje-X – antivirus nove generacije (bez potpisa i s tehnologijama umjetne inteligencije);
• Sophos XG vatrozid — Vatrozid sljedeće generacije;
• Upravljanje mobilnošću (EMM) — upravljanje mobilnim uređajima i kontrola pristupa poslovnoj pošti i datotekama;
• Zaštita podataka (šifriranje);
• Siguran WiFi — pristupne točke kojima se upravlja iz oblaka i lokalno putem Sophos UTM / Sophos XG;
• Web Sigurnost — klasično rješenje za filtriranje web prometa;
• Sigurnost e-pošte — oblak/lokalno antispam/antivirusno rješenje;
• Phish prijetnja — podizanje svijesti zaposlenika, provođenje testnih phishing poruka;
• Cloud Optix — revizija infrastruktura u oblaku.

Lako je vidjeti da Sophos Central podržava prilično širok raspon rješenja za informacijsku sigurnost. U Sophos Centralu koncept SynSec temelji se na tri važna principa: detekcija, analiza i odgovor. Kako bismo ih detaljno opisali, zaustavit ćemo se na svakom od njih.

SynSec koncepti

OTKRIVANJE (otkrivanje nepoznatih prijetnji)
Sophosovi proizvodi, kojima upravlja Sophos Central, automatski dijele informacije jedni s drugima kako bi identificirali rizike i nepoznate prijetnje, što uključuje:

• analiza mrežnog prometa s mogućnošću prepoznavanja visokorizičnih aplikacija i zlonamjernog prometa;
• otkrivanje visokorizičnih korisnika kroz korelacijsku analizu njihovih online radnji.

ANALIZ (trenutno i intuitivno)
Analiza incidenata u stvarnom vremenu omogućuje trenutno razumijevanje trenutne situacije u sustavu.

• Prikazuje cijeli lanac događaja koji su doveli do incidenta, uključujući sve datoteke, ključeve registra, URL-ove itd.

ODGOVOR (automatski odgovor na incident)
Postavljanje sigurnosnih pravila omogućuje vam automatski odgovor na infekcije i incidente u roku od nekoliko sekundi. Ovo je osigurano:

• trenutna izolacija zaraženih uređaja i zaustavljanje napada u stvarnom vremenu (čak i unutar iste mreže/broadcast domene);
• ograničavanje pristupa mrežnim resursima tvrtke za uređaje koji nisu u skladu s pravilima;
• daljinski pokrenuti skeniranje uređaja kada se otkrije odlazna neželjena pošta.

Pogledali smo glavne sigurnosne principe na kojima se temelji Sophos Central. Sada prijeđimo na opis kako se tehnologija SynSec manifestira na djelu.

Od teorije do prakse

Prvo, objasnimo kako uređaji međusobno djeluju koristeći SynSec princip koristeći Heartbeat tehnologiju. Prvi korak je registracija Sophos XG u Sophos Central. U ovoj fazi dobiva certifikat za samoidentifikaciju, IP adresu i port preko kojeg će krajnji uređaji komunicirati s njim koristeći Heartbeat tehnologiju, kao i popis ID-ova krajnjih uređaja kojima se upravlja putem Sophos Centrala i njihovih klijentskih certifikata.

Ubrzo nakon registracije Sophos XG, Sophos Central će poslati informacije krajnjim točkama za pokretanje Heartbeat interakcije:

• popis certifikacijskih tijela koja se koriste za izdavanje Sophos XG certifikata;
• popis ID-ova uređaja koji su registrirani na Sophos XG;
• IP adresa i port za interakciju pomoću tehnologije Heartbeat.

Te su informacije pohranjene na računalu na sljedećoj stazi: %ProgramData%SophosHearbeatConfigHeartbeat.xml i redovito se ažuriraju.

Komunikacija pomoću tehnologije Heartbeat odvija se tako što krajnja točka šalje poruke na čarobnu IP adresu 52.5.76.173:8347 i natrag. Tijekom analize otkriveno je da se paketi šalju s periodom od 15 sekundi, kako je naveo dobavljač. Vrijedno je napomenuti da Heartbeat poruke izravno obrađuje XG Firewall - presreće pakete i nadzire status krajnje točke. Ako izvršite snimanje paketa na glavnom računalu, činit će se da promet komunicira s vanjskom IP adresom, iako krajnja točka zapravo komunicira izravno s XG vatrozidom.

Pretpostavimo da je zlonamjerna aplikacija nekako dospjela na vaše računalo. Sophos Endpoint otkriva ovaj napad ili prestajemo primati Heartbeat od ovog sustava. Zaraženi uređaj automatski šalje informacije o sustavu koji je zaražen, pokrećući automatski lanac radnji. XG Firewall trenutačno izolira vaše računalo, sprječava širenje napada i interakciju s C&C poslužiteljima.

Sophos Endpoint automatski uklanja zlonamjerni softver. Nakon što se ukloni, krajnji uređaj sinkronizira se sa Sophos Centralom, a zatim XG Firewall vraća pristup mreži. Analiza temeljnog uzroka (RCA ili EDR - otkrivanje i odgovor krajnje točke) omogućuje vam da dobijete detaljan uvid u ono što se dogodilo.

Pod pretpostavkom da se korporativnim resursima pristupa putem mobilnih uređaja i tableta, je li moguće pružiti SynSec?

Sophos Central pruža podršku za ovaj scenarij Sophos Mobile и Sophos Wireless. Recimo da korisnik pokuša prekršiti sigurnosnu politiku na mobilnom uređaju zaštićenom Sophos Mobileom. Sophos Mobile otkriva kršenje sigurnosnih pravila i šalje obavijesti ostatku sustava, pokrećući unaprijed konfigurirani odgovor na incident. Ako Sophos Mobile ima konfigurirano pravilo "uskrati mrežnu vezu", Sophos Wireless će ograničiti pristup mreži za ovaj uređaj. Na nadzornoj ploči Sophos Central pod karticom Sophos Wireless pojavit će se obavijest koja pokazuje da je uređaj zaražen. Kada korisnik pokuša pristupiti mreži, na ekranu će se pojaviti početni zaslon koji ga obavještava da je pristup Internetu ograničen.

Krajnja točka ima nekoliko statusa otkucaja srca: crveni, žuti i zeleni.
Crveni status javlja se u sljedećim slučajevima:

• otkriven aktivni malware;
• otkriven je pokušaj pokretanja zlonamjernog softvera;
• otkriven zlonamjerni mrežni promet;
• zlonamjerni softver nije uklonjen.

Žuti status znači da je krajnja točka otkrila neaktivan zlonamjerni softver ili je otkrila PUP (potencijalno neželjeni program). Zeleni status označava da nijedan od gore navedenih problema nije otkriven.

Nakon što smo pogledali neke klasične scenarije interakcije zaštićenih uređaja sa Sophos Centralom, prijeđimo na opis grafičkog sučelja rješenja i pregled glavnih postavki i podržanih funkcionalnosti.

Grafičko sučelje

Upravljačka ploča prikazuje najnovije obavijesti. Sažetak različitih zaštitnih komponenti također je prikazan u obliku dijagrama. U tom slučaju prikazuju se zbirni podaci o zaštiti osobnih računala. Ova ploča također nudi sažetak informacija o pokušajima posjeta opasnim resursima i resursima s neprikladnim sadržajem te statistiku analize e-pošte.

Sophos Central podržava prikaz obavijesti prema ozbiljnosti, sprječavajući korisnika da propusti kritična sigurnosna upozorenja. Uz jezgrovito prikazani sažetak statusa sigurnosnog sustava, Sophos Central podržava bilježenje događaja i integraciju sa SIEM sustavima. Za mnoge tvrtke, Sophos Central je platforma i za interni SOC i za pružanje usluga njihovim klijentima - MSSP.

Jedna od važnih značajki je podrška za predmemoriju ažuriranja za krajnje klijente. To vam omogućuje da uštedite propusnost na vanjskom prometu, budući da se u ovom slučaju ažuriranja preuzimaju jednom na jedan od krajnjih klijenata, a zatim druge krajnje točke s njega preuzimaju ažuriranja. Uz opisanu značajku, odabrana krajnja točka može prenijeti poruke sigurnosne politike i izvješća s informacijama u Sophosov oblak. Ova će funkcija biti korisna ako postoje krajnji uređaji koji nemaju izravan pristup internetu, ali zahtijevaju zaštitu. Sophos Central nudi opciju (zaštita od neovlaštenog mijenjanja) koja zabranjuje promjenu sigurnosnih postavki računala ili brisanje agenta krajnje točke.

Jedna od komponenti zaštite krajnjih točaka je antivirus nove generacije (NGAV) - Presretanje X. Koristeći tehnologije dubokog strojnog učenja, antivirus je u stanju identificirati prethodno nepoznate prijetnje bez upotrebe potpisa. Točnost detekcije usporediva je s analozima potpisa, ali za razliku od njih, pruža proaktivnu zaštitu, sprječavajući napade nultog dana. Intercept X može raditi paralelno s antivirusnim potpisima drugih proizvođača.

U ovom smo članku ukratko govorili o SynSec konceptu koji je implementiran u Sophos Central, kao io nekim od mogućnosti ovog rješenja. U sljedećim člancima opisat ćemo kako funkcionira svaka od sigurnosnih komponenti integriranih u Sophos Central. Možete dobiti demo verziju rješenja здесь.

Izvor: www.habr.com