Sophos Central の同期セキュリティ

情報セキュリティ ツールの高い効率を確保するには、そのコンポーネントの接続が重要な役割を果たします。 外部だけでなく内部の脅威にも対応できます。 ネットワーク インフラストラクチャを設計する場合、ウイルス対策であれファイアウォールであれ、各セキュリティ ツールがそのクラス (エンドポイント セキュリティまたは NGFW) 内で機能するだけでなく、相互に作用して共同して脅威と戦う機能を持たせることが重要です。 。

いくつかの説

今日のサイバー犯罪者がより起業家精神を強めていることは驚くべきことではありません。 彼らはマルウェアを拡散するためにさまざまなネットワーク テクノロジーを使用します。

電子メール フィッシングでは、既知の攻撃 (ゼロデイ攻撃とその後の特権昇格、またはネットワーク内での横方向の移動) を使用して、マルウェアがネットワークのしきい値を超えます。 感染したデバイスが XNUMX 台あるということは、ネットワークが攻撃者の利益のために使用される可能性があることを意味します。

場合によっては、システムの現在の状態について情報セキュリティ監査を実施する際に、情報セキュリティ コンポーネントの相互作用を確保する必要がある場合、相互に関連する単一の対策セットを使用して状態を説明することができないことがあります。 ほとんどの場合、特定の種類の脅威に対抗することに焦点を当てた多くのテクノロジー ソリューションは、他のテクノロジー ソリューションとの統合を提供しません。 たとえば、エンドポイント保護製品は、シグネチャ分析と動作分析を使用して、ファイルが感染しているかどうかを判断します。 悪意のあるトラフィックを阻止するために、ファイアウォールは Web フィルタリング、IPS、サンドボックスなどの他のテクノロジーを使用します。 ただし、ほとんどの組織では、これらの情報セキュリティ コンポーネントは相互に接続されておらず、単独で動作します。

Heartbeat テクノロジーの導入動向

サイバーセキュリティへの新しいアプローチには、あらゆるレベルでの保護が含まれており、各レベルで使用されるソリューションは相互に接続され、情報を交換できます。 これにより、Sunchronized Security (SynSec) が作成されます。 SynSec は、情報セキュリティを確保するプロセスを単一のシステムとして表します。 この場合、各情報セキュリティコンポーネントはリアルタイムで相互に接続されます。 たとえば、解決策 ソフォスセントラル この原則に従って実装されます。

Security Heartbeat テクノロジーにより、セキュリティ コンポーネント間の通信が可能になり、システムの連携と監視が可能になります。 で ソフォスセントラル 次のクラスのソリューションが統合されています。

• エンドポイント保護 — クラシック シグネチャ アンチウイルス;
• サーバーの保護 — サーバー向けに特化したウイルス対策;
• インターセプト-X – 新世代のウイルス対策 (シグネチャなし、人工知能テクノロジーを使用);
• ソフォスXGファイアウォール — 次世代ファイアウォール。
• モビリティ管理 (EMM) - モバイルデバイスの管理と企業メールおよびファイルへのアクセス制御。
• データ保護 (暗号化);
• 安全なWi-Fi — アクセス ポイントはクラウドと Sophos UTM / Sophos XG 経由のローカルの両方で管理されます。
• Webセキュリティ — Web トラフィックをフィルタリングするための古典的なソリューション。
• 電子メールのセキュリティ — クラウド/ローカルのスパム/ウイルス対策ソリューション。
• フィッシングの脅威 - 従業員の意識を高め、フィッシングメールのテストを実施する。
• クラウドオプティクス — クラウド インフラストラクチャの監査。

Sophos Central がかなり広範囲の情報セキュリティ ソリューションをサポートしていることが簡単にわかります。 Sophos Central では、SynSec の概念は、検出、分析、対応という XNUMX つの重要な原則に基づいています。 それらを詳しく説明するために、それぞれについて説明します。

SynSec の概念

検出 (未知の脅威の検出)
Sophos Central によって管理されるソフォス製品は、次のようなリスクや未知の脅威を特定するために相互に情報を自動的に共有します。

• 高リスクのアプリケーションと悪意のあるトラフィックを特定する機能を備えたネットワーク トラフィック分析。
• オンライン行動の相関分析を通じて高リスクのユーザーを検出します。

分析 (即時かつ直観的)
リアルタイムのインシデント分析により、システム内の現在の状況を瞬時に把握できます。

• すべてのファイル、レジストリ キー、URL など、インシデントの原因となった一連のイベント全体を表示します。

応答 (自動インシデント対応)
セキュリティ ポリシーを設定すると、感染やインシデントに数秒で自動的に対応できます。 これは保証されています:

• 感染したデバイスを即座に隔離し、（同じネットワーク/ブロードキャスト ドメイン内であっても）リアルタイムで攻撃を阻止します。
• ポリシーに準拠していないデバイスの企業ネットワーク リソースへのアクセスを制限する。
• 送信スパムが検出されたときにデバイス スキャンをリモートで開始します。

Sophos Central の基礎となる主要なセキュリティ原則について見てきました。 それでは、SynSec テクノロジーが実際にどのように機能するかについての説明に移りましょう。

理論から実践へ

まず、Heartbeat テクノロジーを使用した SynSec 原理を使用してデバイスがどのように対話するかを説明しましょう。 最初のステップは、Sophos XG を Sophos Central に登録することです。 この段階で、彼は自己識別用の証明書、エンドデバイスがハートビートテクノロジーを使用して通信する際に経由する IP アドレスとポート、さらに Sophos Central を通じて管理されるエンドデバイスの ID のリストとそのクライアント証明書を受け取ります。

Sophos XG の登録が行われるとすぐに、Sophos Central はハートビート インタラクションを開始するための情報をエンドポイントに送信します。

• Sophos XG 証明書の発行に使用される認証局のリスト。
• Sophos XG に登録されているデバイス ID のリスト。
• Heartbeat テクノロジーを使用した対話用の IP アドレスとポート。

この情報は、コンピュータのパス %ProgramData%SophosHearbeatConfigHeartbeat.xml に保存され、定期的に更新されます。

Heartbeat テクノロジーを使用した通信は、エンドポイントがマジック IP アドレス 52.5.76.173:8347 にメッセージを送信し、その逆にメッセージを送信することによって実行されます。 分析中に、ベンダーが述べたように、パケットは 15 秒の周期で送信されていることが判明しました。 ハートビート メッセージは XG Firewall によって直接処理されることに注意してください。XG Firewall はパケットをインターセプトし、エンドポイントのステータスを監視します。 ホスト上でパケット キャプチャを実行すると、実際にはエンドポイントが XG ファイアウォールと直接通信しているにもかかわらず、トラフィックは外部 IP アドレスと通信しているように見えます。

悪意のあるアプリケーションが何らかの方法でコンピュータに侵入したとします。 Sophos Endpoint がこの攻撃を検出しないと、このシステムからのハートビートの受信が停止されます。 感染したデバイスは、感染したシステムに関する情報を自動的に送信し、自動的な一連のアクションをトリガーします。 XG Firewall はコンピュータを即座に隔離し、攻撃の拡散や C&C サーバーとのやり取りを防ぎます。

Sophos Endpoint はマルウェアを自動的に削除します。 削除されると、エンドデバイスは Sophos Central と同期し、XG Firewall がネットワークへのアクセスを復元します。 根本原因分析 (RCA または EDR - エンドポイントの検出と対応) により、何が起こったのかを詳細に理解できます。

モバイルデバイスやタブレット経由で企業リソースにアクセスすることを想定した場合、SynSecを提供することは可能でしょうか?

Sophos Central はこのシナリオのサポートを提供します ソフォスモバイル и ソフォス ワイヤレス。 Sophos Mobile で保護されているモバイル デバイスのセキュリティ ポリシーにユーザーが違反しようとしているとします。 Sophos Mobile はセキュリティ ポリシー違反を検出し、システムの残りの部分に通知を送信し、インシデントに対する事前設定された対応をトリガーします。 Sophos Mobile に「ネットワーク接続の拒否」ポリシーが設定されている場合、Sophos Wireless はこのデバイスのネットワーク アクセスを制限します。 Sophos Central ダッシュボードの [Sophos Wireless] タブに、デバイスが感染していることを示す通知が表示されます。 ユーザーがネットワークにアクセスしようとすると、インターネット アクセスが制限されていることを通知するスプラッシュ スクリーンが画面に表示されます。

エンドポイントには、赤、黄、緑などのいくつかのハートビート ステータスがあります。
赤色のステータスは次の場合に発生します。

• アクティブなマルウェアが検出されました。
• マルウェアを起動しようとする試みが検出されました。
• 悪意のあるネットワークトラフィックが検出されました。
• マルウェアは削除されませんでした。

黄色のステータスは、エンドポイントが非アクティブなマルウェアを検出したか、PUP (不審なプログラム) を検出したことを意味します。 緑色のステータスは、上記の問題が検出されていないことを示します。

保護されたデバイスと Sophos Central の対話に関するいくつかの古典的なシナリオを確認したところで、ソリューションのグラフィカル インターフェースの説明と、主な設定とサポートされる機能の確認に移りましょう。

GUI

コントロール パネルには最新の通知が表示されます。 さまざまな保護コンポーネントの概要も図の形式で表示されます。 この場合、パソコンの保護に関する概要データが表示されます。 このパネルには、危険なリソースや不適切なコンテンツを含むリソースへのアクセスの試みに関する概要情報、および電子メール分析統計も表示されます。

Sophos Central は重大度別の通知の表示をサポートしており、ユーザーが重要なセキュリティ アラートを見逃すことを防ぎます。 Sophos Central は、セキュリティ システムのステータスの簡潔な概要の表示に加えて、イベントのログ記録と SIEM システムとの統合をサポートしています。 多くの企業にとって、Sophos Central は内部 SOC と顧客にサービスを提供する MSSP の両方のプラットフォームです。

重要な機能の XNUMX つは、エンドポイント クライアントの更新キャッシュのサポートです。 これにより、更新がエンドポイント クライアントの XNUMX つに一度ダウンロードされ、その後、他のエンドポイントがそこから更新をダウンロードするため、外部トラフィックの帯域幅を節約できます。 説明した機能に加えて、選択したエンドポイントはセキュリティ ポリシー メッセージと情報レポートをソフォス クラウドに中継できます。 この機能は、インターネットに直接アクセスできないが、保護が必要なエンドデバイスがある場合に役立ちます。 Sophos Central には、コンピュータのセキュリティ設定の変更やエンドポイント エージェントの削除を禁止するオプション (タンパー プロテクション) が用意されています。

エンドポイント保護のコンポーネントの XNUMX つは、新世代ウイルス対策 (NGAV) です。 インターセプトX。 このアンチウイルスは、深層機械学習テクノロジーを使用して、シグネチャを使用せずにこれまで知られていなかった脅威を識別できます。 検出精度はシグネチャ類似物と同等ですが、それらとは異なり、プロアクティブな保護を提供し、ゼロデイ攻撃を防ぎます。 Intercept X は、他のベンダーのシグネチャ アンチウイルスと並行して動作できます。

この記事では、Sophos Central に実装されている SynSec の概念と、このソリューションの機能の一部について簡単に説明しました。 次の記事では、Sophos Central に統合された各セキュリティ コンポーネントがどのように機能するかについて説明します。 ソリューションのデモ版を入手できます ここで.

出所： habr.com