Szinkronizált biztonság a Sophos Centralban

Az információbiztonsági eszközök nagy hatékonyságának biztosításában fontos szerepet játszik az összetevők összekapcsolása. Nemcsak külső, hanem belső fenyegetéseket is lehetővé tesz. A hálózati infrastruktúra tervezésekor minden egyes biztonsági eszköz, legyen az vírusirtó vagy tűzfal, fontos, hogy ne csak az osztályukon belül működjenek (Endpoint security vagy NGFW), hanem képesek legyenek egymással kölcsönhatásba lépni a fenyegetések közös leküzdése érdekében. .

Egy kis elmélet

Nem meglepő, hogy a mai kiberbűnözők vállalkozó kedvűekké váltak. Számos hálózati technológiát használnak a rosszindulatú programok terjesztésére:

Az e-mailes adathalászat miatt a rosszindulatú program ismert támadások révén lépi át a hálózat küszöbét, akár nulladik napi támadásokkal, majd jogosultság-kiterjesztéssel, akár oldalirányú mozgással a hálózaton keresztül. Ha egy fertőzött eszköz van, az azt jelentheti, hogy a hálózatot egy támadó javára használhatják.

Egyes esetekben, amikor biztosítani kell az információbiztonsági összetevők interakcióját, a rendszer aktuális állapotának információbiztonsági auditja során nem lehet leírni egyetlen, egymással összefüggő intézkedéscsomaggal. A legtöbb esetben sok technológiai megoldás, amely egy bizonyos típusú fenyegetés leküzdésére összpontosít, nem integrálható más technológiai megoldásokkal. A végpontvédelmi termékek például aláírás- és viselkedéselemzést használnak annak megállapítására, hogy egy fájl fertőzött-e vagy sem. A rosszindulatú forgalom megállítására a tűzfalak más technológiákat használnak, mint például a webszűrés, az IPS, a sandbox stb. A legtöbb szervezetben azonban ezek az információbiztonsági összetevők nem kapcsolódnak egymáshoz, és elszigetelten működnek.

Trendek a Heartbeat technológia megvalósításában

A kiberbiztonság új megközelítése minden szinten magában foglalja a védelmet, az egyes szinteken alkalmazott megoldások összekapcsolódnak egymással, és képesek információcserére. Ez a Sunchronized Security (SynSec) létrehozásához vezet. A SynSec az információbiztonság egyetlen rendszerként történő biztosításának folyamatát képviseli. Ebben az esetben az egyes információbiztonsági összetevők valós időben kapcsolódnak egymáshoz. Például a megoldás Sophos Central ezen elv szerint hajtják végre.

Biztonság A Heartbeat technológia lehetővé teszi a kommunikációt a biztonsági összetevők között, lehetővé téve a rendszer együttműködését és felügyeletét. BAN BEN Sophos Central a következő osztályok megoldásai vannak integrálva:

• Végpont védelem - klasszikus aláírás víruskereső;
• Server Protection — speciális vírusirtó szerverekhez;
• Intercept-X – új generációs vírusirtó (aláírások nélkül és mesterséges intelligencia technológiákkal);
• Sophos XG tűzfal — Következő generációs tűzfal;
• Mobilitás Menedzsment (EMM) — mobileszközök kezelése és hozzáférés-szabályozás a vállalati levelekhez és fájlokhoz;
• Adatvédelem (titkosítás);
• Biztonságos WiFi — Felhőből és helyileg a Sophos UTM / Sophos XG segítségével kezelt hozzáférési pontok;
• Webes biztonság — klasszikus megoldás a webforgalom szűrésére;
• E-mail biztonság — felhő/helyi levélszemét-/víruskereső megoldás;
• Adathalász fenyegetés — az alkalmazottak figyelemfelkeltése, adathalász-próbalevelek lebonyolítása;
• Cloud Optix — felhő-infrastruktúrák auditálása.

Könnyen belátható, hogy a Sophos Central az információbiztonsági megoldások meglehetősen széles skáláját támogatja. A Sophos Centralnál a SynSec koncepciója három fontos alapelven alapul: észlelés, elemzés és válasz. Hogy részletesen leírjuk őket, mindegyiknél elidőzünk.

SynSec fogalmak

ÉRZÉKELÉS (ismeretlen fenyegetések észlelése)
A Sophos Central által kezelt Sophos termékek automatikusan megosztják egymással az információkat a kockázatok és az ismeretlen fenyegetések azonosítása érdekében, beleértve a következőket:

• hálózati forgalom elemzése a magas kockázatú alkalmazások és a rosszindulatú forgalom azonosításának képességével;
• a magas kockázatú felhasználók észlelése online tevékenységeik korrelációs elemzésével.

ELEMZÉS (azonnali és intuitív)
A valós idejű eseményelemzés azonnali megértést tesz lehetővé a rendszer aktuális helyzetéről.

• Megjeleníti az eseményhez vezető események teljes láncolatát, beleértve az összes fájlt, beállításkulcsot, URL-t stb.

VÁLASZ (automatikus incidensreagálás)
A biztonsági házirendek beállítása lehetővé teszi, hogy másodpercek alatt automatikusan reagáljon a fertőzésekre és incidensekre. Ez biztosított:

• a fertőzött eszközök azonnali elkülönítése és a támadás valós idejű leállítása (még ugyanazon a hálózaton/műsorszórási tartományon belül is);
• a vállalati hálózati erőforrásokhoz való hozzáférés korlátozása olyan eszközök esetében, amelyek nem felelnek meg a szabályzatoknak;
• távolról indítsa el az eszközellenőrzést, ha a rendszer kimenő kéretlen levelet észlel.

Megvizsgáltuk azokat a fő biztonsági elveket, amelyeken a Sophos Central alapul. Most térjünk át annak leírására, hogy a SynSec technológia hogyan jelenik meg a gyakorlatban.

Az elmélettől a gyakorlatig

Először is magyarázzuk el, hogyan működnek együtt az eszközök a SynSec-elv és a Heartbeat technológia segítségével. Az első lépés a Sophos XG regisztrálása a Sophos Centralnál. Ebben a szakaszban kap egy tanúsítványt az önazonosításhoz, egy IP-címet és egy portot, amelyen keresztül a végberendezések kapcsolatba lépnek vele a Heartbeat technológia segítségével, valamint a Sophos Centralon keresztül kezelt végeszközök azonosítóinak listáját és azok kliens tanúsítványait.

Röviddel a Sophos XG regisztráció után a Sophos Central információkat küld a végpontoknak a Heartbeat interakció elindításához:

• a Sophos XG tanúsítványok kiadásához használt tanúsító hatóságok listája;
• a Sophos XG-nél regisztrált eszközazonosítók listája;
• IP-cím és port a Heartbeat technológiával való interakcióhoz.

Ezeket az információkat a számítógép a következő útvonalon tárolja: %ProgramData%SophosHearbeatConfigHeartbeat.xml, és rendszeresen frissül.

A Heartbeat technológiát használó kommunikációt a végpont az 52.5.76.173:8347 mágikus IP-címre és visszafelé küldi. Az elemzés során kiderült, hogy a csomagok elküldése 15 másodperces periódussal történik, ahogy azt a szállító állította. Érdemes megjegyezni, hogy a Heartbeat üzeneteket közvetlenül az XG Firewall dolgozza fel – elfogja a csomagokat és figyeli a végpont állapotát. Ha csomagrögzítést hajt végre a gazdagépen, úgy tűnik, hogy a forgalom a külső IP-címmel kommunikál, bár valójában a végpont közvetlenül az XG tűzfallal kommunikál.

Tegyük fel, hogy egy rosszindulatú alkalmazás valamilyen módon a számítógépére került. A Sophos Endpoint észleli ezt a támadást, vagy leállítjuk a Heartbeat fogadását ettől a rendszertől. A fertőzött eszköz automatikusan információkat küld a fertőzött rendszerről, ami egy automatikus műveleti láncot indít el. Az XG Firewall azonnal elszigeteli számítógépét, megakadályozva a támadás terjedését és a C&C szerverekkel való interakciót.

A Sophos Endpoint automatikusan eltávolítja a rosszindulatú programokat. Az eltávolítás után a végeszköz szinkronizálódik a Sophos Central szolgáltatással, majd az XG Firewall visszaállítja a hozzáférést a hálózathoz. A kiváltó ok elemzése (RCA vagy EDR – Endpoint Detection and Response) lehetővé teszi a történtek részletes megértését.

Feltéve, hogy a vállalati erőforrásokat mobileszközökön és táblagépeken keresztül érik el, lehetséges-e a SynSec biztosítása?

A Sophos Central támogatást nyújt ehhez a forgatókönyvhöz Sophos Mobile и Sophos Wireless. Tegyük fel, hogy egy felhasználó a Sophos Mobile-lal védett mobileszközön megpróbálja megsérteni a biztonsági szabályzatot. A Sophos Mobile észleli a biztonsági irányelvek megsértését, és értesítéseket küld a rendszer többi részére, ami előre konfigurált választ indít az incidensre. Ha a Sophos Mobile „hálózati kapcsolat megtagadása” házirendet konfigurált, a Sophos Wireless korlátozza a hálózati hozzáférést ehhez az eszközhöz. Egy értesítés jelenik meg a Sophos Central irányítópultján a Sophos Wireless lapon, jelezve, hogy az eszköz fertőzött. Amikor a felhasználó megpróbál hozzáférni a hálózathoz, egy indítóképernyő jelenik meg a képernyőn, amely tájékoztatja, hogy az internet-hozzáférés korlátozott.

A végpontnak számos szívverési állapota van: piros, sárga és zöld.
A vörös állapot a következő esetekben fordul elő:

• aktív rosszindulatú program észlelve;
• rosszindulatú program indítására tett kísérletet észleltek;
• rosszindulatú hálózati forgalom észlelve;
• a kártevőt nem távolították el.

A sárga állapot azt jelenti, hogy a végpont inaktív malware-t vagy PUP-t (potenciálisan nem kívánt program) észlelt. A zöld állapot azt jelzi, hogy a fenti problémák egyike sem észlelhető.

Miután megvizsgáltunk néhány klasszikus forgatókönyvet a védett eszközök és a Sophos Central interakciójára, térjünk át a megoldás grafikus felületének leírására, valamint a fő beállítások és a támogatott funkciók áttekintésére.

Grafikus felület

A vezérlőpult a legfrissebb értesítéseket jeleníti meg. A különféle védelmi komponensek összefoglalása diagramok formájában is megjelenik. Ebben az esetben a személyi számítógépek védelmére vonatkozó összefoglaló adatok jelennek meg. Ez a panel összefoglaló információkat is tartalmaz a veszélyes és nem megfelelő tartalmú források meglátogatására tett kísérletekről, valamint e-mail-elemzési statisztikákat.

A Sophos Central támogatja az értesítések súlyosság szerinti megjelenítését, így megakadályozza, hogy a felhasználó figyelmen kívül hagyja a kritikus biztonsági figyelmeztetéseket. A biztonsági rendszer állapotának tömören megjelenített összefoglalója mellett a Sophos Central támogatja az eseménynaplózást és a SIEM rendszerekkel való integrációt. Sok vállalat számára a Sophos Central platformot jelent mind a belső SOC-hoz, mind az ügyfeleknek nyújtott szolgáltatásokhoz - MSSP.

Az egyik fontos szolgáltatás a végponti ügyfelek frissítési gyorsítótárának támogatása. Ez lehetővé teszi a külső forgalom sávszélességének megtakarítását, mivel ebben az esetben a frissítések egyszer letöltésre kerülnek az egyik végpont-ügyfélre, majd a többi végpont onnan tölti le a frissítéseket. A leírt szolgáltatáson kívül a kiválasztott végpont biztonsági házirend-üzeneteket és információs jelentéseket továbbíthat a Sophos felhőbe. Ez a funkció akkor hasznos, ha vannak olyan végkészülékek, amelyek nem férnek hozzá közvetlenül az internethez, de védelmet igényelnek. A Sophos Central lehetőséget biztosít (szabotázs elleni védelem), amely tiltja a számítógép biztonsági beállításainak módosítását vagy a végpont ügynök törlését.

A végpontvédelem egyik összetevője egy új generációs vírusirtó (NGAV) - Elfogni X. A mély gépi tanulási technológiák segítségével a víruskereső képes azonosítani a korábban ismeretlen fenyegetéseket aláírások használata nélkül. Az észlelési pontosság az aláírás-analógokéhoz hasonlítható, de azokkal ellentétben proaktív védelmet nyújt, megelőzve a nulladik napi támadásokat. Az Intercept X párhuzamosan tud működni más gyártók víruskeresőivel.

Ebben a cikkben röviden szót ejtettünk a SynSec koncepcióról, amelyet a Sophos Centralban valósítottak meg, valamint a megoldás néhány képességéről. A következő cikkekben leírjuk, hogy a Sophos Centralba integrált biztonsági összetevők hogyan működnek. Beszerezheti a megoldás demo verzióját itt.

Forrás: will.com