Til að tryggja mikla skilvirkni upplýsingaöryggistækja gegnir tenging íhluta þess mikilvægu hlutverki. Það gerir þér kleift að ná ekki aðeins utanaðkomandi, heldur einnig innri ógnir. Þegar hannað er netinnviði er hvert öryggisverkfæri, hvort sem það er vírusvarnarefni eða eldveggur, mikilvægt svo að það virki ekki aðeins innan sinna flokks (endapunktaöryggi eða NGFW), heldur hafi einnig getu til að hafa samskipti sín á milli til að berjast í sameiningu gegn ógnum .
Smá kenning
Það kemur ekki á óvart að netglæpamenn í dag hafi orðið frumkvöðlari. Þeir nota ýmsa nettækni til að dreifa spilliforritum:
Vefveiðar í tölvupósti veldur því að spilliforritið fer yfir þröskuld netkerfisins þíns með því að nota þekktar árásir, annaðhvort núlldagaárásir fylgt eftir með aukningu forréttinda eða hliðarhreyfing í gegnum netið. Að hafa eitt sýkt tæki gæti þýtt að hægt væri að nota netið þitt í þágu árásaraðila.
Í sumum tilfellum, þegar nauðsynlegt er að tryggja samspil upplýsingaöryggisþátta, þegar gerð er upplýsingaöryggisúttekt á núverandi ástandi kerfisins, er ekki hægt að lýsa því með því að nota eitt sett af ráðstöfunum sem eru samtengdar. Í flestum tilfellum eru margar tæknilausnir sem leggja áherslu á að vinna gegn ákveðnum tegundum ógnar ekki samþættingu við aðrar tæknilausnir. Til dæmis nota endapunktavörn undirskriftar- og hegðunargreiningu til að ákvarða hvort skrá sé sýkt eða ekki. Til að stöðva skaðlega umferð nota eldveggir aðra tækni, þar á meðal vefsíun, IPS, sandkassa osfrv. Hins vegar eru þessir upplýsingaöryggishlutar í flestum stofnunum ekki tengdir hver öðrum og starfa í einangrun.
Stefna í innleiðingu Heartbeat tækni
Hin nýja nálgun á netöryggi felur í sér vernd á öllum stigum, þar sem lausnirnar sem notaðar eru á hverju stigi eru tengdar innbyrðis og geta skipt á upplýsingum. Þetta leiðir til stofnunar Sunchronized Security (SynSec). SynSec táknar ferlið við að tryggja upplýsingaöryggi sem eitt kerfi. Í þessu tilviki er hver upplýsingaöryggisþáttur tengdur hver öðrum í rauntíma. Til dæmis lausnin framkvæmd samkvæmt þessari meginreglu.
Öryggi Heartbeat tækni gerir samskipti milli öryggisíhluta kleift, sem gerir kerfissamvinnu og eftirlit kleift. IN lausnir eftirfarandi flokka eru samþættar:
- - klassískt undirskrift vírusvarnarefni;
- - sérhæft vírusvarnarefni fyrir netþjóna;
- - ný kynslóð vírusvarnar (án undirskrifta og með gervigreindartækni);
- — Næsta kynslóð eldvegg;
- — farsímastjórnun og aðgangsstýring að fyrirtækjapósti og skrám;
- ;
- — aðgangsstaðir stjórnaðir bæði úr skýinu og á staðnum í gegnum Sophos UTM / Sophos XG;
- — klassísk lausn til að sía vefumferð;
- — ský/staðbundin ruslpósts-/vírusvarnarlausn;
- — að vekja starfsmenn til meðvitundar, framkvæma tilraunapóstsendingar fyrir vefveiðar;
- — úttekt á skýjainnviðum.
Það er auðvelt að sjá að Sophos Central styður nokkuð breitt úrval upplýsingaöryggislausna. Hjá Sophos Central er SynSec hugmyndin byggð á þremur mikilvægum meginreglum: uppgötvun, greiningu og svörun. Til að lýsa þeim í smáatriðum munum við dvelja við hvert þeirra.
SynSec hugtök
UPPGREINING (uppgötvun óþekktra ógna)
Sophos vörur, sem stjórnað er af Sophos Central, deila upplýsingum sjálfkrafa sín á milli til að bera kennsl á áhættur og óþekktar ógnir, sem felur í sér:
- netumferðargreining með getu til að bera kennsl á háhættuforrit og skaðlega umferð;
- uppgötvun áhættunotenda með fylgnigreiningu á aðgerðum þeirra á netinu.
GREINING (augnablik og leiðandi)
Rauntíma atvikagreining veitir strax skilning á núverandi ástandi í kerfinu.
- Sýnir alla atburðarásina sem leiddu til atviksins, þar á meðal allar skrár, skrásetningarlykla, vefslóðir osfrv.
SVAR (sjálfvirk viðbrögð við atvikum)
Að setja upp öryggisstefnu gerir þér kleift að bregðast sjálfkrafa við sýkingum og atvikum á nokkrum sekúndum. Þetta er tryggt:
- tafarlaus einangrun sýktra tækja og stöðva árásina í rauntíma (jafnvel innan sama netkerfis/útsendingarléns);
- takmarka aðgang að netauðlindum fyrirtækisins fyrir tæki sem eru ekki í samræmi við reglur;
- ræstu tækjaskönnun með fjarstýringu þegar ruslpóstur á útleið greinist.
Við höfum skoðað helstu öryggisreglur sem Sophos Central byggir á. Nú skulum við halda áfram að lýsa því hvernig SynSec tæknin birtist í verki.
Frá kenningu til framkvæmdar
Í fyrsta lagi skulum við útskýra hvernig tæki hafa samskipti með því að nota SynSec meginregluna með því að nota Heartbeat tækni. Fyrsta skrefið er að skrá Sophos XG hjá Sophos Central. Á þessu stigi fær hann vottorð til sjálfsauðkenningar, IP-tölu og tengi sem endatæki munu hafa samskipti við hann með því að nota Heartbeat tækni, auk lista yfir auðkenni endatækja sem stjórnað er í gegnum Sophos Central og viðskiptavinavottorð þeirra.
Stuttu eftir að Sophos XG skráning á sér stað mun Sophos Central senda upplýsingar til endapunkta til að hefja hjartsláttarverkun:
- listi yfir vottorðsyfirvöld sem notuð eru til að gefa út Sophos XG vottorð;
- listi yfir auðkenni tækis sem eru skráð hjá Sophos XG;
- IP tölu og tengi fyrir samskipti með Heartbeat tækni.
Þessar upplýsingar eru geymdar á tölvunni á eftirfarandi slóð: %ProgramData%SophosHearbeatConfigHeartbeat.xml og eru uppfærðar reglulega.
Samskipti með Heartbeat tækni fara fram með því að endapunkturinn sendir skilaboð á töfra IP töluna 52.5.76.173:8347 og til baka. Við greininguna kom í ljós að pakkar eru sendir með 15 sekúndna fresti eins og fram kemur hjá seljanda. Það er athyglisvert að Heartbeat skilaboð eru unnin beint af XG Firewall - hann hlerar pakka og fylgist með stöðu endapunktsins. Ef þú framkvæmir pakkafanga á hýsilinn virðist umferðin vera í samskiptum við ytri IP tölu, þó að endapunkturinn sé í beinum samskiptum við XG eldvegginn.
Segjum sem svo að illgjarn forrit hafi einhvern veginn komist inn í tölvuna þína. Sophos Endpoint skynjar þessa árás eða við hættum að fá Heartbeat frá þessu kerfi. Sýkt tæki sendir sjálfkrafa upplýsingar um kerfið sem er sýkt og kveikir á sjálfvirkri keðju aðgerða. XG Firewall einangrar tölvuna þína samstundis og kemur í veg fyrir að árásin dreifist og hafi samskipti við C&C netþjóna.
Sophos Endpoint fjarlægir sjálfkrafa spilliforrit. Þegar það hefur verið fjarlægt samstillast endatækið við Sophos Central, þá endurheimtir XG Firewall aðgang að netinu. Root Cause Analysis (RCA eða EDR - Endpoint Detection and Response) gerir þér kleift að fá nákvæman skilning á því sem gerðist.
Að því gefnu að aðgangur sé að fyrirtækjaauðlindum í gegnum farsíma og spjaldtölvur, er þá mögulegt að veita SynSec?
Sophos Central veitir stuðning við þessa atburðarás и . Segjum að notandi reyni að brjóta öryggisstefnu á farsíma sem er varið með Sophos Mobile. Sophos Mobile skynjar brot á öryggisstefnu og sendir tilkynningar til restarinnar af kerfinu, sem kallar á fyrirfram stillt svar við atvikinu. Ef Sophos Mobile er með „neita nettengingu“ stefnu stillt, mun Sophos Wireless takmarka netaðgang fyrir þetta tæki. Tilkynning mun birtast á Sophos Central mælaborðinu undir Sophos Wireless flipanum sem gefur til kynna að tækið sé sýkt. Þegar notandinn reynir að komast inn á netið birtist sprettigluggi á skjánum sem tilkynnir þeim að internetaðgangur sé takmarkaður.
Endapunkturinn hefur nokkrar hjartsláttarstöður: rauður, gulur og grænn.
Rauður staða kemur fram í eftirfarandi tilvikum:
- virkur spilliforrit fannst;
- tilraun til að ræsa spilliforrit fannst;
- skaðleg netumferð greind;
- spilliforritið var ekki fjarlægt.
Gul staða þýðir að endapunkturinn hefur greint óvirkan spilliforrit eða hefur fundið PUP (hugsanlega óæskilegt forrit). Græn staða gefur til kynna að ekkert af ofangreindum vandamálum hafi fundist.
Eftir að hafa skoðað nokkrar klassískar aðstæður fyrir samspil verndaðra tækja við Sophos Central, skulum við halda áfram að lýsingu á grafísku viðmóti lausnarinnar og yfirferð yfir helstu stillingar og studda virkni.
Grafískt viðmót
Stjórnborðið sýnir nýjustu tilkynningarnar. Yfirlit yfir hina ýmsu verndarhluta er einnig sýnd í formi skýringarmynda. Í þessu tilviki birtast yfirlitsgögn um vernd einkatölva. Þetta spjaldið veitir einnig yfirlitsupplýsingar um tilraunir til að heimsækja hættulegar auðlindir og auðlindir með óviðeigandi efni og tölfræði greiningar tölvupósts.
Sophos Central styður birtingu tilkynninga eftir alvarleika, sem kemur í veg fyrir að notandinn missi af mikilvægum öryggisviðvörunum. Til viðbótar við hnitmiðaða yfirlit yfir stöðu öryggiskerfisins, styður Sophos Central atburðaskráningu og samþættingu við SIEM kerfi. Fyrir mörg fyrirtæki er Sophos Central vettvangur fyrir bæði innri SOC og til að veita viðskiptavinum sínum þjónustu - MSSP.
Einn af mikilvægustu eiginleikum er stuðningur við uppfærslu skyndiminni fyrir endapunkta viðskiptavini. Þetta gerir þér kleift að spara bandbreidd á utanaðkomandi umferð, þar sem í þessu tilfelli er uppfærslum hlaðið niður einu sinni á einn af endapunktaþjónustunni og síðan hlaða aðrir endapunktar niður uppfærslur frá honum. Til viðbótar við lýst eiginleika, getur valinn endapunktur sent öryggisskilaboðum og upplýsingaskýrslum til Sophos skýsins. Þessi aðgerð mun nýtast ef það eru endatæki sem hafa ekki beinan aðgang að internetinu en þurfa vernd. Sophos Central býður upp á valmöguleika (einkavörn) sem bannar að breyta öryggisstillingum tölvunnar eða eyða endapunktsmiðlinum.
Einn af þáttum endapunktaverndar er ný kynslóð vírusvarnar (NGAV) - . Með því að nota djúpa vélanámstækni getur vírusvörnin greint áður óþekktar ógnir án þess að nota undirskriftir. Uppgötvunarnákvæmni er sambærileg við undirskriftarhliðstæður, en ólíkt þeim veitir hún fyrirbyggjandi vernd og kemur í veg fyrir núll-daga árásir. Intercept X er fær um að vinna samhliða einkennandi vírusvörnum frá öðrum söluaðilum.
Í þessari grein ræddum við stuttlega um SynSec hugmyndina, sem er útfærð í Sophos Central, sem og suma möguleika þessarar lausnar. Við munum lýsa því hvernig hver og einn öryggisþáttur samþættur Sophos Central virkar í eftirfarandi greinum. Þú getur fengið kynningarútgáfu af lausninni .
Heimild: www.habr.com