אבטחה מסונכרנת ב-Sophos Central

כדי להבטיח יעילות גבוהה של כלי אבטחת מידע, החיבור של מרכיביו משחק תפקיד חשוב. זה מאפשר לך לכסות לא רק איומים חיצוניים, אלא גם פנימיים. בעת תכנון תשתית רשת, כל כלי אבטחה, בין אם זה אנטי וירוס או חומת אש, חשוב כדי שיתפקדו לא רק במסגרת הכיתה שלהם (Endpoint Security או NGFW), אלא גם יהיו בעלי יכולת אינטראקציה זה עם זה כדי להילחם במשותף באיומים .

קצת תיאוריה

אין זה מפתיע שפושעי הסייבר של היום הפכו ליזמים יותר. הם משתמשים במגוון טכנולוגיות רשת כדי להפיץ תוכנות זדוניות:

דיוג בדוא"ל גורם לתוכנה הזדונית לחצות את סף הרשת שלך באמצעות התקפות ידועות, או התקפות של יום אפס ואחריהן הסלמה של הרשאות, או תנועה רוחבית דרך הרשת. שימוש במכשיר אחד נגוע יכול להיות שהרשת שלך יכולה לשמש לטובת תוקף.

במקרים מסוימים, כאשר יש צורך להבטיח את האינטראקציה של רכיבי אבטחת מידע, בעת ביצוע ביקורת אבטחת מידע על המצב הנוכחי של המערכת, לא ניתן לתאר זאת באמצעות סט אחד של אמצעים המחוברים ביניהם. ברוב המקרים, פתרונות טכנולוגיים רבים המתמקדים בהתמודדות עם סוג מסוים של איום אינם מספקים אינטגרציה עם פתרונות טכנולוגיים אחרים. לדוגמה, מוצרי הגנה על נקודות קצה משתמשים בניתוח חתימה והתנהגות כדי לקבוע אם קובץ נגוע או לא. כדי לעצור תעבורה זדונית, חומות אש משתמשות בטכנולוגיות אחרות, הכוללות סינון אתרים, IPS, ארגז חול וכו'. עם זאת, ברוב הארגונים רכיבי אבטחת מידע אלו אינם מחוברים זה לזה ופועלים במנותק.

מגמות ביישום טכנולוגיית Heartbeat

הגישה החדשה לאבטחת סייבר כוללת הגנה בכל רמה, כאשר הפתרונות המשמשים בכל רמה מחוברים זה לזה ומסוגלים להחליף מידע. זה מוביל ליצירת Sunchronized Security (SynSec). SynSec מייצג את התהליך של הבטחת אבטחת מידע כמערכת אחת. במקרה זה, כל רכיב אבטחת מידע מחובר זה לזה בזמן אמת. למשל, הפתרון סופוס סנטרל מיושם על פי עיקרון זה.

טכנולוגיית אבטחה Heartbeat מאפשרת תקשורת בין רכיבי אבטחה, ומאפשרת שיתוף פעולה וניטור מערכת. IN סופוס סנטרל פתרונות של המחלקות הבאות משולבים:

• הגנת נקודות קצה - אנטי וירוס חתימה קלאסית;
• שרת ההגנה - אנטי וירוס מיוחד לשרתים;
• יירוט-X - אנטי וירוס מהדור החדש (ללא חתימות ועם טכנולוגיות בינה מלאכותית);
• חומת האש של Sophos XG - חומת האש של הדור הבא;
• ניהול ניידות (EMM) - ניהול מכשירים ניידים ובקרת גישה לדואר ולקבצים ארגוניים;
• הגנת נתונים (הצפנה);
• Wi-Fi מאובטח - נקודות גישה המנוהלות הן מהענן והן באופן מקומי באמצעות Sophos UTM / Sophos XG;
• אבטחת רשת - פתרון קלאסי לסינון תעבורת אינטרנט;
• אבטחת דוא"ל - פתרון אנטי ספאם/אנטי וירוס בענן/מקומי;
• איום פיש - העלאת מודעות העובדים, ביצוע דיוור דיוג מבחן;
• Cloud Optix - ביקורת על תשתיות ענן.

קל לראות ש-Sophos Central תומך במגוון רחב למדי של פתרונות אבטחת מידע. ב-Sophos Central, הרעיון של SynSec מבוסס על שלושה עקרונות חשובים: זיהוי, ניתוח ותגובה. כדי לתאר אותם בפירוט, נתעכב על כל אחד מהם.

מושגי SynSec

איתור (זיהוי איומים לא ידועים)
מוצרי Sophos, המנוהלים על ידי Sophos Central, חולקים מידע זה עם זה באופן אוטומטי כדי לזהות סיכונים ואיומים לא ידועים, הכוללים:

• ניתוח תעבורת רשת עם היכולת לזהות יישומים בסיכון גבוה ותעבורה זדונית;
• איתור משתמשים בסיכון גבוה באמצעות ניתוח מתאם של פעולותיהם המקוונות.

אָנָלִיזָה (מיידי ואינטואיטיבי)
ניתוח אירועים בזמן אמת מספק הבנה מיידית של המצב הנוכחי במערכת.

• מציג את שרשרת האירועים השלמה שהובילה לאירוע, כולל כל הקבצים, מפתחות הרישום, כתובות האתרים וכו'.

תְגוּבָה (תגובה אוטומטית לאירועים)
הגדרת מדיניות אבטחה מאפשרת לך להגיב אוטומטית לזיהומים ולתקריות תוך שניות. זה מובטח:

• בידוד מיידי של מכשירים נגועים ועצירת המתקפה בזמן אמת (אפילו בתוך אותו רשת/תחום שידור);
• הגבלת גישה למשאבי רשת של החברה עבור מכשירים שאינם עומדים במדיניות;
• הפעל מרחוק סריקת מכשיר כאשר מזוהה דואר זבל יוצא.

בדקנו את עקרונות האבטחה העיקריים שעליהם מבוסס Sophos Central. כעת נעבור לתיאור כיצד טכנולוגיית SynSec באה לידי ביטוי בפעולה.

מתיאוריה לפרקטיקה

ראשית, בואו נסביר כיצד מכשירים מקיימים אינטראקציה באמצעות עקרון SynSec באמצעות טכנולוגיית Heartbeat. הצעד הראשון הוא לרשום את Sophos XG עם Sophos Central. בשלב זה הוא מקבל תעודה לזיהוי עצמי, כתובת IP ופורט שדרכם יתקשרו איתו מכשירי קצה באמצעות טכנולוגיית Heartbeat וכן רשימת מזהים של מכשירי קצה המנוהלים באמצעות Sophos Central ותעודות הלקוח שלהם.

זמן קצר לאחר שהרישום של Sophos XG מתרחש, Sophos Central ישלח מידע לנקודות קצה כדי ליזום אינטראקציה של Heartbeat:

• רשימת רשויות האישורים המשמשות להנפקת תעודות Sophos XG;
• רשימה של מזהי מכשירים הרשומים ב-Sophos XG;
• כתובת IP ויציאה לאינטראקציה באמצעות טכנולוגיית Heartbeat.

מידע זה מאוחסן במחשב בנתיב הבא: %ProgramData%SophosHearbeatConfigHeartbeat.xml ומתעדכן באופן קבוע.

תקשורת באמצעות טכנולוגיית Heartbeat מתבצעת על ידי נקודת הקצה שליחת הודעות לכתובת ה-IP הקסומה 52.5.76.173:8347 ובחזרה. במהלך הניתוח התברר כי מנות נשלחות בפרק זמן של 15 שניות, כאמור על ידי הספק. ראוי לציין שהודעות Heartbeat מעובדות ישירות על ידי XG Firewall - היא מיירטת מנות ומנטרת את מצב נקודת הקצה. אם תבצע לכידת מנות על המארח, נראה שהתעבורה מתקשרת עם כתובת ה-IP החיצונית, למרות שלמעשה נקודת הקצה מתקשרת ישירות עם חומת האש של XG.

נניח שיישום זדוני הגיע איכשהו למחשב שלך. Sophos Endpoint מזהה את ההתקפה הזו או שאנחנו מפסיקים לקבל Heartbeat מהמערכת הזו. מכשיר נגוע שולח באופן אוטומטי מידע על המערכת הנגועה, וגורם לשרשרת פעולות אוטומטית. XG Firewall מבודדת באופן מיידי את המחשב שלך, ומונעת מההתקפה להתפשט וליצור אינטראקציה עם שרתי C&C.

Sophos Endpoint מסירה אוטומטית תוכנות זדוניות. לאחר הסרתו, מכשיר הקצה מסתנכרן עם Sophos Central, ואז XG Firewall משחזר את הגישה לרשת. ניתוח סיבת שורש (RCA או EDR - Endpoint Detection and Response) מאפשר לך לקבל הבנה מפורטת של מה שקרה.

בהנחה שהגישה למשאבים ארגוניים מתבצעת באמצעות מכשירים ניידים וטאבלטים, האם ניתן לספק SynSec?

Sophos Central מספק תמיכה לתרחיש זה סופוס מובייל и Sophos Wireless. נניח שמשתמש מנסה להפר את מדיניות האבטחה במכשיר נייד המוגן באמצעות Sophos Mobile. Sophos Mobile מזהה הפרת מדיניות אבטחה ושולחת התראות לשאר המערכת, מה שמפעיל תגובה מוגדרת מראש לאירוע. אם ל-Sophos Mobile מוגדרת מדיניות "דחיית חיבור רשת", Sophos Wireless יגביל את הגישה לרשת עבור מכשיר זה. הודעה תופיע בלוח המחוונים של Sophos Central מתחת ללשונית Sophos Wireless המציינת שהמכשיר נגוע. כאשר המשתמש מנסה לגשת לרשת, יופיע מסך פתיחה על המסך המודיע לו שהגישה לאינטרנט מוגבלת.

לנקודת הקצה יש מספר סטטוסים של פעימות לב: אדום, צהוב וירוק.
מצב אדום מתרחש במקרים הבאים:

• תוכנה זדונית פעילה זוהתה;
• זוהה ניסיון להשיק תוכנות זדוניות;
• זוהתה תעבורת רשת זדונית;
• התוכנה הזדונית לא הוסרה.

מצב צהוב אומר שנקודת הקצה זיהתה תוכנה זדונית לא פעילה או זיהתה PUP (תוכנית שעלולה להיות לא רצויה). מצב ירוק מציין שאף אחת מהבעיות לעיל לא זוהתה.

לאחר שבדקנו כמה תרחישים קלאסיים לאינטראקציה של מכשירים מוגנים עם Sophos Central, בואו נעבור לתיאור הממשק הגרפי של הפתרון ולסקירה של ההגדרות העיקריות והפונקציונליות הנתמכת.

ממשק גרפי

לוח הבקרה מציג את ההתראות האחרונות. תקציר של מרכיבי ההגנה השונים מוצג גם בצורה של דיאגרמות. במקרה זה, מוצגים נתוני סיכום על הגנה על מחשבים אישיים. חלונית זו מספקת גם מידע מסכם על ניסיונות לבקר במשאבים ובמשאבים מסוכנים עם תוכן לא הולם, וסטטיסטיקות ניתוח דוא"ל.

Sophos Central תומך בהצגת התראות לפי חומרה, ומונע מהמשתמש לפספס התראות אבטחה קריטיות. בנוסף לסיכום המוצג בצורה תמציתית של מצב מערכת האבטחה, Sophos Central תומך ברישום אירועים ואינטגרציה עם מערכות SIEM. עבור חברות רבות, Sophos Central מהווה פלטפורמה הן ל-SOC פנימי והן למתן שירותים ללקוחותיהן - MSSP.

אחת התכונות החשובות היא תמיכה במטמון עדכון עבור לקוחות נקודות קצה. זה מאפשר לך לחסוך רוחב פס על תעבורה חיצונית, שכן במקרה זה עדכונים מורידים פעם אחת לאחד מלקוחות הקצה, ואז נקודות קצה אחרות מורידות ממנו עדכונים. בנוסף לתכונה המתוארת, נקודת הקצה שנבחרה יכולה להעביר הודעות מדיניות אבטחה ודוחות מידע לענן Sophos. פונקציה זו תהיה שימושית אם יש התקני קצה שאין להם גישה ישירה לאינטרנט, אך דורשים הגנה. Sophos Central מספקת אפשרות (הגנה מפני חבלה) האוסרת על שינוי הגדרות האבטחה של המחשב או מחיקת סוכן נקודת הקצה.

אחד המרכיבים של הגנת נקודות קצה הוא אנטי וירוס מהדור החדש (NGAV) - ליירט X. באמצעות טכנולוגיות למידת מכונה עמוקות, האנטי וירוס מסוגל לזהות איומים שלא היו ידועים בעבר מבלי להשתמש בחתימות. דיוק הזיהוי דומה לאנלוגים חתומים, אך בניגוד אליהם, הוא מספק הגנה פרואקטיבית, ומונע התקפות של יום אפס. Intercept X מסוגל לעבוד במקביל עם אנטי-וירוס חתימה של ספקים אחרים.

במאמר זה, דיברנו בקצרה על הרעיון של SynSec, אשר מיושם ב-Sophos Central, כמו גם על חלק מהיכולות של פתרון זה. נתאר כיצד כל אחד ממרכיבי האבטחה משולבים ב-Sophos Central מתפקד במאמרים הבאים. אתה יכול לקבל גרסת הדגמה של הפתרון כאן.

מקור: www.habr.com