Սինքրոնացված անվտանգություն Sophos Central-ում

Տեղեկատվական անվտանգության գործիքների բարձր արդյունավետությունն ապահովելու համար կարևոր դեր է խաղում դրա բաղադրիչների միացումը։ Այն թույլ է տալիս լուսաբանել ոչ միայն արտաքին, այլեւ ներքին սպառնալիքները։ Ցանցային ենթակառուցվածքի նախագծման ժամանակ անվտանգության յուրաքանչյուր գործիք, լինի դա հակավիրուս, թե firewall, կարևոր է, որպեսզի նրանք գործեն ոչ միայն իրենց դասի շրջանակներում (Endpoint Security կամ NGFW), այլև հնարավորություն ունենան փոխգործակցելու միմյանց հետ՝ համատեղ պայքարելու սպառնալիքների դեմ: .

Մի քիչ տեսություն

Զարմանալի չէ, որ այսօրվա կիբերհանցագործները դարձել են ավելի ձեռնարկատիրական: Նրանք օգտագործում են մի շարք ցանցային տեխնոլոգիաներ՝ չարամիտ ծրագրեր տարածելու համար.

Էլփոստի ֆիշինգը հանգեցնում է նրան, որ չարամիտ ծրագիրը հատում է ձեր ցանցի շեմը՝ օգտագործելով հայտնի հարձակումները, կա՛մ զրոյական օրվա հարձակումները, որին հաջորդում են արտոնությունների ընդլայնումը, կա՛մ կողային շարժումը ցանցի միջոցով: Մեկ վարակված սարք ունենալը կարող է նշանակել, որ ձեր ցանցը կարող է օգտագործվել հօգուտ հարձակվողի:

Որոշ դեպքերում, երբ անհրաժեշտ է ապահովել տեղեկատվական անվտանգության բաղադրիչների փոխազդեցությունը, համակարգի ներկա վիճակի տեղեկատվական անվտանգության աուդիտ իրականացնելիս հնարավոր չէ այն նկարագրել՝ օգտագործելով փոխկապակցված միջոցների մեկ փաթեթ: Շատ դեպքերում, շատ տեխնոլոգիական լուծումներ, որոնք ուղղված են որոշակի տեսակի սպառնալիքների դեմ պայքարին, չեն ապահովում այլ տեխնոլոգիական լուծումների հետ ինտեգրում: Օրինակ, վերջնակետի պաշտպանության միջոցները օգտագործում են ստորագրության և վարքագծային վերլուծություն՝ որոշելու համար՝ արդյոք ֆայլը վարակված է, թե ոչ: Վնասակար երթեւեկությունը դադարեցնելու համար firewalls-ը օգտագործում է այլ տեխնոլոգիաներ, որոնք ներառում են վեբ զտիչ, IPS, sandboxing և այլն։ Այնուամենայնիվ, շատ կազմակերպություններում տեղեկատվական անվտանգության այս բաղադրիչները կապված չեն միմյանց հետ և գործում են առանձին:

Heartbeat տեխնոլոգիայի ներդրման միտումները

Կիբերանվտանգության նոր մոտեցումը ներառում է պաշտպանություն յուրաքանչյուր մակարդակում, յուրաքանչյուր մակարդակում օգտագործվող լուծումները կապված են միմյանց հետ և կարող են տեղեկատվություն փոխանակել: Սա հանգեցնում է Sunchronized Security (SynSec) ստեղծմանը: SynSec-ը ներկայացնում է տեղեկատվական անվտանգության ապահովման գործընթացը որպես միասնական համակարգ: Այս դեպքում տեղեկատվական անվտանգության յուրաքանչյուր բաղադրիչ իրական ժամանակում միացված է միմյանց: Օրինակ, լուծումը Sophos Central- ը իրականացվում է այս սկզբունքով։

Անվտանգության Heartbeat տեխնոլոգիան հնարավորություն է տալիս հաղորդակցվել անվտանգության բաղադրիչների միջև՝ հնարավորություն տալով համակարգի համագործակցությունը և մոնիտորինգը: IN Sophos Central- ը ինտեգրված են հետևյալ դասերի լուծումները.

• Վերջնակետի պաշտպանություն - դասական ստորագրության հակավիրուսային;
• Սերվերի պաշտպանություն - մասնագիտացված հակավիրուսային սերվերների համար;
• Ընդհատում-X – նոր սերնդի հակավիրուսային (առանց ստորագրության և արհեստական ​​ինտելեկտի տեխնոլոգիաներով);
• Sophos XG Firewall — Հաջորդ սերնդի Firewall;
• Շարժունակության կառավարում (EMM) — շարժական սարքերի կառավարում և կորպորատիվ փոստի և ֆայլերի մուտքի վերահսկում.
• Տվյալների պաշտպանություն (գաղտնագրում);
• Ապահով Wi-Fi — մուտքի կետերը կառավարվում են ինչպես ամպից, այնպես էլ տեղական Sophos UTM / Sophos XG-ի միջոցով;
• Վեբ անվտանգություն — դասական լուծում վեբ տրաֆիկի զտման համար.
• Էլ. Փոստի անվտանգություն — ամպային/տեղական հակասպամի/հակավիրուսային լուծում;
• Ֆիշի սպառնալիք — բարձրացնել աշխատակիցների իրազեկությունը, թեստային ֆիշինգի փոստերի իրականացում.
• Cloud Optix — Ամպային ենթակառուցվածքների աուդիտ:

Հեշտ է տեսնել, որ Sophos Central-ն աջակցում է տեղեկատվական անվտանգության լուծումների բավականին լայն շրջանակի: Sophos Central-ում SynSec հայեցակարգը հիմնված է երեք կարևոր սկզբունքների վրա՝ հայտնաբերում, վերլուծություն և արձագանք: Նրանց մանրամասն նկարագրելու համար մենք կանդրադառնանք դրանցից յուրաքանչյուրին:

SynSec հասկացությունները

ԲԱՑԱՀԱՅՏՈՒՄ (անհայտ սպառնալիքների հայտնաբերում)
Sophos-ի արտադրանքը, որը կառավարվում է Sophos Central-ի կողմից, ավտոմատ կերպով կիսվում է միմյանց հետ՝ բացահայտելու ռիսկերն ու անհայտ սպառնալիքները, որոնք ներառում են.

• ցանցային տրաֆիկի վերլուծություն՝ բարձր ռիսկային հավելվածները և վնասակար երթևեկությունը հայտնաբերելու ունակությամբ.
• բարձր ռիսկային օգտվողների հայտնաբերում նրանց առցանց գործողությունների հարաբերական վերլուծության միջոցով:

ՎԵՐԼՈՒԾՈՒԹՅՈՒՆ (ակնթարթային և ինտուիտիվ)
Իրական ժամանակի միջադեպերի վերլուծությունը ապահովում է համակարգում առկա իրավիճակի ակնթարթային պատկերացում:

• Ցուցադրում է իրադարձությունների ամբողջական շղթան, որոնք հանգեցրել են միջադեպին, ներառյալ բոլոր ֆայլերը, ռեեստրի բանալիները, URL-ները և այլն:

ՊԱՏԱՍԽԱՆ (միջադեպի ավտոմատ արձագանք)
Անվտանգության քաղաքականության կարգավորումը թույլ է տալիս ավտոմատ կերպով արձագանքել վարակներին և միջադեպերին մի քանի վայրկյանում: Սա ապահովված է.

• վարակված սարքերի ակնթարթային մեկուսացում և հարձակման դադարեցում իրական ժամանակում (նույնիսկ նույն ցանցի/հեռարձակման տիրույթում);
• քաղաքականությանը չհամապատասխանող սարքերի համար ընկերության ցանցային ռեսուրսների մուտքի սահմանափակում.
• հեռակա կերպով գործարկել սարքի սկանավորումը, երբ հայտնաբերվում է ելքային սպամ:

Մենք դիտարկել ենք անվտանգության հիմնական սկզբունքները, որոնց վրա հիմնված է Sophos Central-ը: Այժմ եկեք անցնենք նկարագրությանը, թե ինչպես է SynSec տեխնոլոգիան դրսևորվում գործողության մեջ:

Տեսությունից մինչև պրակտիկա

Նախ, եկեք բացատրենք, թե ինչպես են սարքերը փոխազդում SynSec սկզբունքով, օգտագործելով Heartbeat տեխնոլոգիան: Առաջին քայլը Sophos XG-ի գրանցումն է Sophos Central-ում: Այս փուլում նա ստանում է ինքնորոշման վկայագիր, IP հասցե և պորտ, որի միջոցով վերջնական սարքերը կշփվեն նրա հետ՝ օգտագործելով Heartbeat տեխնոլոգիան, ինչպես նաև Sophos Central-ի և նրանց հաճախորդների վկայագրերի միջոցով կառավարվող վերջնական սարքերի ID-ների ցուցակը:

Sophos XG-ի գրանցումից անմիջապես հետո Sophos Central-ը տեղեկատվություն կուղարկի վերջնակետեր՝ Heartbeat փոխազդեցություն սկսելու համար.

• սերտիֆիկատների մարմինների ցանկ, որոնք օգտագործվում են Sophos XG վկայագրերը տրամադրելու համար.
• սարքի ID-ների ցանկ, որոնք գրանցված են Sophos XG-ում.
• IP հասցեն և պորտը Heartbeat տեխնոլոգիայի միջոցով փոխազդեցության համար:

Այս տեղեկատվությունը պահվում է համակարգչում հետևյալ ճանապարհով՝ %ProgramData%SophosHearbeatConfigHeartbeat.xml և պարբերաբար թարմացվում է:

Heartbeat տեխնոլոգիայի միջոցով հաղորդակցությունն իրականացվում է վերջնակետի միջոցով՝ ուղարկելով հաղորդագրություններ 52.5.76.173:8347 կախարդական IP հասցեին և հետ: Վերլուծության ընթացքում պարզվել է, որ փաթեթներն ուղարկվում են 15 վայրկյան ժամկետով, ինչպես նշել է վաճառողը: Հարկ է նշել, որ Heartbeat հաղորդագրությունները մշակվում են անմիջապես XG Firewall-ի կողմից՝ այն ընդհատում է փաթեթները և վերահսկում վերջնակետի կարգավիճակը: Եթե ​​դուք կատարում եք փաթեթների գրավում հոսթի վրա, ապա տրաֆիկը կհայտնվի, որ հաղորդակցվում է արտաքին IP հասցեի հետ, չնայած իրականում վերջնակետը ուղղակիորեն հաղորդակցվում է XG firewall-ի հետ:

Ենթադրենք, որ վնասակար ծրագիր ինչ-որ կերպ հայտնվել է ձեր համակարգչի վրա: Sophos Endpoint-ը հայտնաբերում է այս հարձակումը, հակառակ դեպքում մենք կդադարենք ստանալ Heartbeat այս համակարգից: Վարակված սարքն ավտոմատ կերպով տեղեկատվություն է ուղարկում վարակված համակարգի մասին՝ գործարկելով գործողությունների ավտոմատ շղթա: XG Firewall-ը ակնթարթորեն մեկուսացնում է ձեր համակարգիչը՝ կանխելով գրոհի տարածումը և C&C սերվերների հետ փոխազդեցությունը:

Sophos Endpoint-ը ավտոմատ կերպով հեռացնում է չարամիտ ծրագրերը: Այն հեռացնելուց հետո վերջնական սարքը համաժամացվում է Sophos Central-ի հետ, այնուհետև XG Firewall-ը վերականգնում է մուտքը ցանց: Արմատային պատճառի վերլուծությունը (RCA կամ EDR - Վերջնակետի հայտնաբերում և արձագանք) թույլ է տալիս մանրամասն պատկերացում կազմել տեղի ունեցածի մասին:

Ենթադրելով, որ կորպորատիվ ռեսուրսները հասանելի են բջջային սարքերի և պլանշետների միջոցով, հնարավո՞ր է արդյոք ապահովել SynSec-ը:

Sophos Central-ը աջակցություն է տրամադրում այս սցենարին Sophos Mobile и Sophos Wireless. Ենթադրենք, որ օգտվողը փորձում է խախտել անվտանգության քաղաքականությունը Sophos Mobile-ով պաշտպանված շարժական սարքի վրա: Sophos Mobile-ը հայտնաբերում է անվտանգության քաղաքականության խախտում և ծանուցումներ է ուղարկում համակարգի մնացած մասերին՝ առաջացնելով նախապես կազմաձևված պատասխան միջադեպին: Եթե ​​Sophos Mobile-ում կազմաձևված է «մերժել ցանցային կապի» քաղաքականությունը, Sophos Wireless-ը կսահմանափակի ցանցի մուտքն այս սարքի համար: Sophos Central-ի վահանակում Sophos Wireless ներդիրի տակ կհայտնվի ծանուցում, որը ցույց է տալիս, որ սարքը վարակված է: Երբ օգտատերը փորձում է մուտք գործել ցանց, էկրանին կհայտնվի շաղ տվող էկրան՝ տեղեկացնելով, որ ինտերնետ հասանելիությունը սահմանափակ է:

Վերջնական կետն ունի Սրտի զարկերի մի քանի կարգավիճակ՝ կարմիր, դեղին և կանաչ:
Կարմիր կարգավիճակը տեղի է ունենում հետևյալ դեպքերում.

• հայտնաբերված ակտիվ չարամիտ ծրագիր;
• հայտնաբերվել է չարամիտ ծրագրեր գործարկելու փորձ.
• հայտնաբերվել է չարամիտ ցանցային տրաֆիկ;
• չարամիտ ծրագիրը չի հեռացվել:

Դեղին կարգավիճակը նշանակում է, որ վերջնակետը հայտնաբերել է ոչ ակտիվ չարամիտ ծրագիր կամ հայտնաբերել է PUP (պոտենցիալ անցանկալի ծրագիր): Կանաչ կարգավիճակը ցույց է տալիս, որ վերը նշված խնդիրներից ոչ մեկը չի հայտնաբերվել:

Նայելով Sophos Central-ի հետ պաշտպանված սարքերի փոխազդեցության որոշ դասական սցենարներին, եկեք անցնենք լուծման գրաֆիկական ինտերֆեյսի նկարագրությանը և հիմնական պարամետրերի և աջակցվող գործառույթների վերանայմանը:

GUI

Կառավարման վահանակը ցուցադրում է վերջին ծանուցումները: Պաշտպանության տարբեր բաղադրիչների ամփոփումը նույնպես ցուցադրվում է դիագրամների տեսքով: Այս դեպքում ցուցադրվում են անհատական ​​համակարգիչների պաշտպանության վերաբերյալ ամփոփ տվյալներ: Այս վահանակը նաև ամփոփ տեղեկատվություն է տրամադրում ոչ պատշաճ բովանդակությամբ վտանգավոր ռեսուրսներ և ռեսուրսներ այցելելու փորձերի և էլփոստի վերլուծության վիճակագրության մասին:

Sophos Central-ն աջակցում է ծանուցումների ցուցադրումն ըստ խստության՝ թույլ չտալով օգտվողին բաց թողնել անվտանգության կարևոր ազդանշանները: Ի լրումն անվտանգության համակարգի կարգավիճակի հակիրճ ցուցադրված ամփոփագրի, Sophos Central-ն աջակցում է իրադարձությունների գրանցմանը և ինտեգրմանը SIEM համակարգերի հետ: Շատ ընկերությունների համար Sophos Central-ը հարթակ է ինչպես ներքին SOC-ի, այնպես էլ իրենց հաճախորդներին ծառայություններ մատուցելու համար՝ MSSP:

Կարևոր առանձնահատկություններից մեկը վերջնական կետի հաճախորդների համար թարմացման քեշի աջակցությունն է: Սա թույլ է տալիս խնայել թողունակությունը արտաքին տրաֆիկի վրա, քանի որ այս դեպքում թարմացումները մեկ անգամ ներբեռնվում են վերջնական կետի հաճախորդներից մեկում, այնուհետև այլ վերջնակետերը ներբեռնում են թարմացումները դրանից: Բացի նկարագրված հատկությունից, ընտրված վերջնակետը կարող է փոխանցել անվտանգության քաղաքականության հաղորդագրությունները և տեղեկատվական հաշվետվությունները Sophos ամպին: Այս գործառույթը օգտակար կլինի, եթե կան վերջնական սարքեր, որոնք չունեն ուղղակի մուտք դեպի ինտերնետ, բայց պահանջում են պաշտպանություն: Sophos Central-ը տրամադրում է տարբերակ (խափանումներից պաշտպանություն), որն արգելում է փոխել համակարգչի անվտանգության կարգավորումները կամ ջնջել վերջնական կետի գործակալը:

Վերջնակետի պաշտպանության բաղադրիչներից մեկը նոր սերնդի հակավիրուսն է (NGAV). Ընդհատում X. Օգտագործելով խորը մեքենայական ուսուցման տեխնոլոգիաներ՝ հակավիրուսը կարողանում է նույնականացնել նախկինում անհայտ սպառնալիքները՝ առանց ստորագրությունների օգտագործման։ Հայտնաբերման ճշգրտությունը համեմատելի է ստորագրության անալոգների հետ, բայց ի տարբերություն նրանց, այն ապահովում է ակտիվ պաշտպանություն՝ կանխելով զրոյական օրվա հարձակումները: Intercept X-ը կարող է զուգահեռ աշխատել այլ վաճառողների ստորագրությամբ հակավիրուսների հետ:

Այս հոդվածում մենք հակիրճ խոսեցինք SynSec հայեցակարգի մասին, որն իրականացվում է Sophos Central-ում, ինչպես նաև այս լուծման որոշ հնարավորությունների մասին։ Մենք նկարագրելու ենք, թե ինչպես է գործում Sophos Central-ում ինտեգրված անվտանգության բաղադրիչներից յուրաքանչյուրը հաջորդ հոդվածներում: Դուք կարող եք ստանալ լուծման ցուցադրական տարբերակը այստեղ.

Source: www.habr.com