Untuk memastikan efisiensi tinggi alat keamanan informasi, koneksi komponen-komponennya memainkan peran penting. Ini memungkinkan Anda untuk menutupi tidak hanya ancaman eksternal, tetapi juga ancaman internal. Saat merancang infrastruktur jaringan, setiap alat keamanan, baik itu antivirus atau firewall, penting agar berfungsi tidak hanya dalam kelasnya (keamanan Endpoint atau NGFW), tetapi juga memiliki kemampuan untuk berinteraksi satu sama lain untuk bersama-sama memerangi ancaman. .
Sedikit teori
Tidak mengherankan jika penjahat dunia maya saat ini menjadi lebih berjiwa wirausaha. Mereka menggunakan berbagai teknologi jaringan untuk menyebarkan malware:
Phishing email menyebabkan malware melewati ambang batas jaringan Anda menggunakan serangan yang diketahui, baik serangan zero-day yang diikuti dengan peningkatan hak istimewa, atau pergerakan lateral melalui jaringan. Memiliki satu perangkat yang terinfeksi dapat berarti jaringan Anda dapat digunakan untuk kepentingan penyerang.
Dalam beberapa kasus, ketika diperlukan untuk memastikan interaksi komponen keamanan informasi, ketika melakukan audit keamanan informasi terhadap keadaan sistem saat ini, tidak mungkin untuk menggambarkannya menggunakan serangkaian tindakan yang saling berhubungan. Dalam kebanyakan kasus, banyak solusi teknologi yang berfokus pada melawan jenis ancaman tertentu tidak menyediakan integrasi dengan solusi teknologi lainnya. Misalnya, produk perlindungan titik akhir menggunakan tanda tangan dan analisis perilaku untuk menentukan apakah suatu file terinfeksi atau tidak. Untuk menghentikan lalu lintas berbahaya, firewall menggunakan teknologi lain, termasuk pemfilteran web, IPS, sandboxing, dll. Namun, di sebagian besar organisasi, komponen keamanan informasi ini tidak terhubung satu sama lain dan beroperasi secara terpisah.
Tren penerapan teknologi Heartbeat
Pendekatan baru terhadap keamanan siber melibatkan perlindungan di setiap tingkat, dengan solusi yang digunakan di setiap tingkat terhubung satu sama lain dan mampu bertukar informasi. Hal ini mengarah pada penciptaan Sunchronized Security (SynSec). SynSec mewakili proses memastikan keamanan informasi sebagai satu sistem. Dalam hal ini, setiap komponen keamanan informasi terhubung satu sama lain secara real time. Misalnya saja solusinya dilaksanakan berdasarkan prinsip ini.
Teknologi Security Heartbeat memungkinkan komunikasi antar komponen keamanan, memungkinkan kolaborasi dan pemantauan sistem. DI DALAM solusi dari kelas-kelas berikut terintegrasi:
- β antivirus tanda tangan klasik;
- β antivirus khusus untuk server;
- β antivirus generasi baru (tanpa tanda tangan dan dengan teknologi kecerdasan buatan);
- β Firewall Generasi Berikutnya;
- β manajemen perangkat seluler dan kontrol akses ke email dan file perusahaan;
- ;
- β titik akses yang dikelola baik dari cloud maupun secara lokal melalui Sophos UTM / Sophos XG;
- β solusi klasik untuk memfilter lalu lintas web;
- β solusi cloud/anti-spam/antivirus lokal;
- β meningkatkan kesadaran karyawan, melakukan uji surat phishing;
- β audit infrastruktur cloud.
Sangat mudah untuk melihat bahwa Sophos Central mendukung beragam solusi keamanan informasi. Di Sophos Central, konsep SynSec didasarkan pada tiga prinsip penting: deteksi, analisis, dan respons. Untuk menjelaskannya secara rinci, kami akan membahasnya masing-masing.
Konsep SynSec
DETEKSI (deteksi ancaman yang tidak diketahui)
Produk Sophos yang dikelola oleh Sophos Central secara otomatis saling berbagi informasi untuk mengidentifikasi risiko dan ancaman yang tidak diketahui, yang meliputi:
- analisis lalu lintas jaringan dengan kemampuan untuk mengidentifikasi aplikasi berisiko tinggi dan lalu lintas berbahaya;
- deteksi pengguna berisiko tinggi melalui analisis korelasi tindakan online mereka.
ANALISIS (instan dan intuitif)
Analisis insiden real-time memberikan pemahaman instan tentang situasi terkini dalam sistem.
- Menampilkan rangkaian peristiwa lengkap yang menyebabkan insiden tersebut, termasuk semua file, kunci registri, URL, dll.
TANGGAPAN (respon insiden otomatis)
Menyiapkan kebijakan keamanan memungkinkan Anda merespons infeksi dan insiden secara otomatis dalam hitungan detik. Hal ini dipastikan:
- isolasi instan perangkat yang terinfeksi dan menghentikan serangan secara real time (bahkan dalam jaringan/domain siaran yang sama);
- membatasi akses ke sumber daya jaringan perusahaan untuk perangkat yang tidak mematuhi kebijakan;
- meluncurkan pemindaian perangkat dari jarak jauh ketika spam keluar terdeteksi.
Kami telah melihat prinsip-prinsip keamanan utama yang menjadi dasar Sophos Central. Sekarang mari kita beralih ke penjelasan tentang bagaimana teknologi SynSec mewujudkan dirinya dalam tindakan.
Dari teori ke praktik
Pertama, mari kita jelaskan bagaimana perangkat berinteraksi menggunakan prinsip SynSec menggunakan teknologi Heartbeat. Langkah pertama adalah mendaftarkan Sophos XG ke Sophos Central. Pada tahap ini, ia menerima sertifikat untuk identifikasi diri, alamat IP dan port yang melaluinya perangkat akhir akan berinteraksi dengannya menggunakan teknologi Heartbeat, serta daftar ID perangkat akhir yang dikelola melalui Sophos Central dan sertifikat kliennya.
Segera setelah pendaftaran Sophos XG terjadi, Sophos Central akan mengirimkan informasi ke titik akhir untuk memulai interaksi Heartbeat:
- daftar otoritas sertifikat yang digunakan untuk menerbitkan sertifikat Sophos XG;
- daftar ID perangkat yang terdaftar pada Sophos XG;
- Alamat IP dan port untuk interaksi menggunakan teknologi Heartbeat.
Informasi ini disimpan di komputer di jalur berikut: %ProgramData%SophosHearbeatConfigHeartbeat.xml dan diperbarui secara berkala.
Komunikasi menggunakan teknologi Heartbeat dilakukan oleh endpoint yang mengirimkan pesan ke alamat IP ajaib 52.5.76.173:8347 dan sebaliknya. Selama analisis terungkap bahwa paket dikirim dengan jangka waktu 15 detik, seperti yang dinyatakan oleh vendor. Perlu dicatat bahwa pesan Heartbeat diproses langsung oleh XG Firewall - pesan ini mencegat paket dan memantau status titik akhir. Jika Anda melakukan penangkapan paket pada host, lalu lintas akan tampak berkomunikasi dengan alamat IP eksternal, meskipun sebenarnya titik akhir berkomunikasi langsung dengan firewall XG.
Misalkan aplikasi jahat entah bagaimana masuk ke komputer Anda. Sophos Endpoint mendeteksi serangan ini atau kami berhenti menerima Detak Jantung dari sistem ini. Perangkat yang terinfeksi secara otomatis mengirimkan informasi tentang sistem yang terinfeksi, memicu serangkaian tindakan otomatis. XG Firewall langsung mengisolasi komputer Anda, mencegah serangan menyebar dan berinteraksi dengan server C&C.
Sophos Endpoint secara otomatis menghapus malware. Setelah dihapus, perangkat akhir disinkronkan dengan Sophos Central, lalu XG Firewall memulihkan akses ke jaringan. Analisis Akar Penyebab (RCA atau EDR - Deteksi dan Respons Titik Akhir) memungkinkan Anda mendapatkan pemahaman mendetail tentang apa yang terjadi.
Dengan asumsi bahwa sumber daya perusahaan diakses melalui perangkat seluler dan tablet, apakah mungkin untuk menyediakan SynSec?
Sophos Central memberikan dukungan untuk skenario ini ΠΈ . Katakanlah seorang pengguna mencoba melanggar kebijakan keamanan pada perangkat seluler yang dilindungi dengan Sophos Mobile. Sophos Mobile mendeteksi pelanggaran kebijakan keamanan dan mengirimkan pemberitahuan ke seluruh sistem, memicu respons yang telah dikonfigurasi sebelumnya terhadap insiden tersebut. Jika Sophos Mobile memiliki kebijakan βtolak koneksi jaringanβ yang dikonfigurasi, Sophos Wireless akan membatasi akses jaringan untuk perangkat ini. Pemberitahuan akan muncul di dasbor Sophos Central di bawah tab Sophos Wireless yang menunjukkan bahwa perangkat terinfeksi. Ketika pengguna mencoba mengakses jaringan, layar splash akan muncul di layar yang memberi tahu mereka bahwa akses Internet dibatasi.
Titik akhir memiliki beberapa status Detak Jantung: merah, kuning, dan hijau.
Status merah terjadi dalam kasus berikut:
- malware aktif terdeteksi;
- upaya meluncurkan malware terdeteksi;
- lalu lintas jaringan berbahaya terdeteksi;
- malware tersebut tidak dihapus.
Status kuning berarti titik akhir telah mendeteksi malware yang tidak aktif atau telah mendeteksi PUP (program yang mungkin tidak diinginkan). Status hijau menunjukkan bahwa tidak ada satu pun masalah di atas yang terdeteksi.
Setelah melihat beberapa skenario klasik untuk interaksi perangkat yang dilindungi dengan Sophos Central, mari beralih ke deskripsi antarmuka grafis dari solusi dan tinjauan pengaturan utama dan fungsionalitas yang didukung.
GUI
Panel kontrol menampilkan notifikasi terbaru. Ringkasan berbagai komponen proteksi juga ditampilkan dalam bentuk diagram. Dalam hal ini, ringkasan data tentang perlindungan komputer pribadi ditampilkan. Panel ini juga menyediakan informasi ringkasan tentang upaya mengunjungi sumber daya berbahaya dan sumber daya dengan konten tidak pantas, dan statistik analisis email.
Sophos Central mendukung tampilan notifikasi berdasarkan tingkat keparahan, mencegah pengguna melewatkan peringatan keamanan penting. Selain ringkasan status sistem keamanan yang ditampilkan secara ringkas, Sophos Central mendukung pencatatan peristiwa dan integrasi dengan sistem SIEM. Bagi banyak perusahaan, Sophos Central adalah platform untuk SOC internal dan untuk menyediakan layanan kepada pelanggan mereka - MSSP.
Salah satu fitur penting adalah dukungan untuk cache pembaruan untuk klien titik akhir. Hal ini memungkinkan Anda menghemat bandwidth pada lalu lintas eksternal, karena dalam hal ini pembaruan diunduh satu kali ke salah satu klien titik akhir, dan kemudian titik akhir lainnya mengunduh pembaruan dari klien tersebut. Selain fitur yang dijelaskan, titik akhir yang dipilih dapat menyampaikan pesan kebijakan keamanan dan laporan informasi ke cloud Sophos. Fungsi ini akan berguna jika ada perangkat akhir yang tidak memiliki akses langsung ke Internet, namun memerlukan perlindungan. Sophos Central memberikan opsi (perlindungan tamper) yang melarang perubahan pengaturan keamanan komputer atau menghapus agen titik akhir.
Salah satu komponen perlindungan titik akhir adalah antivirus generasi baru (NGAV) - . Dengan menggunakan teknologi pembelajaran mesin yang mendalam, antivirus ini mampu mengidentifikasi ancaman yang sebelumnya tidak diketahui tanpa menggunakan tanda tangan. Akurasi pendeteksiannya sebanding dengan analog tanda tangan, namun tidak seperti keduanya, ia memberikan perlindungan proaktif, mencegah serangan zero-day. Intercept X mampu bekerja secara paralel dengan antivirus khas dari vendor lain.
Pada artikel ini, kami membahas secara singkat tentang konsep SynSec yang diterapkan di Sophos Central, serta beberapa kemampuan solusi ini. Kami akan menjelaskan bagaimana masing-masing komponen keamanan yang diintegrasikan ke dalam Sophos Central berfungsi dalam artikel berikut. Anda bisa mendapatkan versi demo dari solusinya .
Sumber: www.habr.com