Kanggo mesthekake efisiensi dhuwur saka piranti keamanan informasi, sambungan komponen sawijining peran penting. Iki ngidini sampeyan nutupi ora mung ancaman eksternal, nanging uga internal. Nalika ngrancang infrastruktur jaringan, saben alat keamanan, dadi antivirus utawa firewall, penting supaya bisa digunakake ora mung ing kelas (keamanan Endpoint utawa NGFW), nanging uga nduweni kemampuan kanggo sesambungan karo siji liyane kanggo bebarengan nglawan ancaman. .
Minangka teori
Ora nggumunake manawa para penjahat siber saiki wis dadi wirausaha. Dheweke nggunakake macem-macem teknologi jaringan kanggo nyebar malware:
Email phishing nyebabake malware ngliwati ambang jaringan sampeyan nggunakake serangan sing dikenal, serangan nol dina sing diikuti eskalasi hak istimewa, utawa gerakan lateral liwat jaringan. Duwe piranti sing kena infeksi bisa uga tegese jaringan sampeyan bisa digunakake kanggo entuk manfaat saka panyerang.
Ing sawetara kasus, nalika perlu kanggo mesthekake interaksi komponen keamanan informasi, nalika nganakake audit keamanan informasi saka negara saiki saka sistem, iku ora bisa kanggo njlèntrèhaké nggunakake pesawat siji saka ngukur sing interconnected. Umume kasus, akeh solusi teknologi sing fokus kanggo nglawan jinis ancaman tartamtu ora nyedhiyakake integrasi karo solusi teknologi liyane. Contone, produk perlindungan endpoint nggunakake analisis teken lan prilaku kanggo nemtokake manawa file kasebut kena infeksi utawa ora. Kanggo ngendhegake lalu lintas ala, firewall nggunakake teknologi liyane, sing kalebu nyaring web, IPS, sandboxing, lsp. Nanging, ing umume organisasi, komponen keamanan informasi kasebut ora nyambung lan bisa digunakake kanthi mandiri.
Tren ing implementasine teknologi Heartbeat
Pendekatan anyar kanggo cybersecurity kalebu proteksi ing saben level, kanthi solusi sing digunakake ing saben level disambungake lan bisa ijol-ijolan informasi. Iki nyebabake nggawe Keamanan Sunchronized (SynSec). SynSec nggambarake proses njamin keamanan informasi minangka sistem siji. Ing kasus iki, saben komponen keamanan informasi disambungake ing wektu nyata. Contone, solusi dileksanakake miturut prinsip iki.
Keamanan Teknologi Heartbeat mbisakake komunikasi antarane komponen keamanan, mbisakake kolaborasi sistem lan ngawasi. ING solusi saka kelas ing ngisor iki digabungake:
- - antivirus teken klasik;
- - antivirus khusus kanggo server;
- - antivirus generasi anyar (tanpa teken lan nganggo teknologi intelijen buatan);
- - Firewall Generasi Sabanjure;
- - manajemen piranti seluler lan kontrol akses menyang email lan file perusahaan;
- ;
- — titik akses sing dikelola saka awan lan lokal liwat Sophos UTM / Sophos XG;
- - solusi klasik kanggo nyaring lalu lintas web;
- — solusi anti-spam/antivirus awan/lokal;
- - nambah kesadaran karyawan, nganakake tes phishing mail;
- - audit infrastruktur awan.
Iku gampang kanggo ndeleng sing Sophos Central ndhukung sawetara cukup sudhut solusi keamanan informasi. Ing Sophos Central, konsep SynSec adhedhasar telung prinsip penting: deteksi, analisis lan respon. Kanggo njlèntrèhaké kanthi rinci, kita bakal njlèntrèhaké saben wong.
konsep SynSec
DETEKSI (deteksi ancaman sing ora dingerteni)
Produk Sophos, dikelola dening Sophos Central, kanthi otomatis nuduhake informasi siji liyane kanggo ngenali risiko lan ancaman sing ora dingerteni, kalebu:
- analisis lalu lintas jaringan kanthi kemampuan kanggo ngenali aplikasi beresiko dhuwur lan lalu lintas angkoro;
- deteksi pangguna berisiko dhuwur liwat analisis korélasi tumindak online.
ANALISIS (intuisi lan cepet)
Analisis kedadean wektu nyata nyedhiyakake pangerten cepet babagan kahanan saiki ing sistem kasebut.
- Nampilake rantai lengkap acara sing nyebabake kedadeyan kasebut, kalebu kabeh file, kunci registri, URL, lsp.
RESPONSE (respon insiden otomatis)
Nyetel kabijakan keamanan ngidini sampeyan nanggapi infeksi lan kedadeyan kanthi otomatis sajrone sawetara detik. Iki dijamin:
- isolasi cepet saka piranti sing kena infeksi lan mungkasi serangan ing wektu nyata (sanajan ing jaringan sing padha / domain siaran);
- matesi akses menyang sumber daya jaringan perusahaan kanggo piranti sing ora tundhuk karo kabijakan;
- miwiti mindai piranti kanthi adoh nalika spam metu dideteksi.
Kita wis ndeleng prinsip keamanan utama sing adhedhasar Sophos Central. Saiki ayo pindhah menyang katrangan babagan carane teknologi SynSec mujudake tumindak.
Saka teori menyang praktek
Pisanan, ayo nerangake carane piranti sesambungan nggunakake prinsip SynSec nggunakake teknologi Heartbeat. Langkah pertama yaiku ndhaptar Sophos XG karo Sophos Central. Ing tahap iki, dheweke nampa sertifikat kanggo identifikasi diri, alamat IP lan port sing bisa digunakake piranti pungkasan bakal sesambungan karo dheweke nggunakake teknologi Heartbeat, uga dhaptar ID piranti pungkasan sing dikelola liwat Sophos Central lan sertifikat klien.
Ora suwe sawise registrasi Sophos XG, Sophos Central bakal ngirim informasi menyang titik pungkasan kanggo miwiti interaksi Detak Jantung:
- dhaptar panguwasa sertifikat sing digunakake kanggo ngetokake sertifikat Sophos XG;
- dhaptar ID piranti sing kadhaptar karo Sophos XG;
- Alamat IP lan port kanggo interaksi nggunakake teknologi Heartbeat.
Informasi iki disimpen ing komputer ing dalan ing ngisor iki: %ProgramData%SophosHearbeatConfigHeartbeat.xml lan dianyari ajeg.
Komunikasi nggunakake teknologi Heartbeat digawa metu dening endpoint ngirim pesen menyang alamat IP gaib 52.5.76.173:8347 lan bali. Sajrone analisis, dicethakaké manawa paket dikirim kanthi wektu 15 detik, kaya sing dikandhakake vendor. Wigati dicathet yen pesen Heartbeat diproses langsung dening XG Firewall - nyegat paket lan ngawasi status titik pungkasan. Yen sampeyan nindakake panangkepan paket ing host, lalu lintas bakal katon komunikasi karo alamat IP eksternal, sanajan nyatane titik pungkasan komunikasi langsung karo firewall XG.
Upaminipun aplikasi angkoro piye wae entuk menyang komputer. Sophos Endpoint ndeteksi serangan iki utawa kita mandheg nampa Detak Jantung saka sistem iki. Piranti sing kena infeksi kanthi otomatis ngirim informasi babagan sistem sing kena infeksi, nyebabake rantai tumindak otomatis. XG Firewall langsung ngisolasi komputer, nyegah serangan saka nyebar lan sesambungan karo server C&C.
Sophos Endpoint kanthi otomatis mbusak malware. Sawise dibusak, piranti pungkasan nyelarasake karo Sophos Central, banjur XG Firewall mulihake akses menyang jaringan. Analisis Panyebab Root (RCA utawa EDR - Deteksi lan Tanggapan Titik Akhir) ngidini sampeyan entuk pangerten sing rinci babagan kedadeyan kasebut.
Nganggep manawa sumber daya perusahaan diakses liwat piranti seluler lan tablet, apa bisa nyedhiyakake SynSec?
Sophos Central nyedhiyakake dhukungan kanggo skenario iki и . Contone, pangguna nyoba nglanggar kabijakan keamanan ing piranti seluler sing dilindhungi karo Sophos Mobile. Sophos Mobile ndeteksi nglanggar kabijakan keamanan lan ngirim kabar menyang sistem liyane, nyebabake respon sing wis dikonfigurasi kanggo kedadeyan kasebut. Yen Sophos Mobile duwe kabijakan "nolak sambungan jaringan" sing dikonfigurasi, Sophos Wireless bakal mbatesi akses jaringan kanggo piranti iki. Kabar bakal katon ing dashboard Sophos Central ing tab Sophos Wireless sing nuduhake yen piranti kasebut kena infeksi. Nalika pangguna nyoba ngakses jaringan, layar cipratan bakal katon ing layar sing ngandhani yen akses Internet diwatesi.
Titik pungkasan duwe sawetara status Detak Jantung: abang, kuning, lan ijo.
Status abang dumadi ing kasus ing ngisor iki:
- malware aktif dideteksi;
- nyoba kanggo miwiti malware dideteksi;
- lalu lintas jaringan angkoro dideteksi;
- malware ora dibusak.
Status kuning tegese titik pungkasan wis ndeteksi malware sing ora aktif utawa wis ndeteksi PUP (program sing potensial ora dikarepake). Status ijo nuduhake yen ora ana masalah ing ndhuwur sing dideteksi.
Sawise ndeleng sawetara skenario klasik kanggo interaksi piranti sing dilindhungi karo Sophos Central, ayo pindhah menyang katrangan babagan antarmuka grafis solusi lan tinjauan setelan utama lan fungsi sing didhukung.
GUI
Panel kontrol nampilake kabar paling anyar. Ringkesan saka macem-macem komponen pangayoman uga ditampilake ing wangun diagram. Ing kasus iki, data ringkesan babagan proteksi komputer pribadi ditampilake. Panel iki uga menehi informasi ringkesan babagan upaya ngunjungi sumber daya lan sumber daya sing mbebayani kanthi konten sing ora cocog, lan statistik analisis email.
Sophos Central ndhukung tampilan kabar kanthi keruwetan, nyegah pangguna supaya ora ilang tandha keamanan kritis. Saliyane ringkesan status sistem keamanan sing ditampilake kanthi ringkes, Sophos Central ndhukung logging acara lan integrasi karo sistem SIEM. Kanggo akeh perusahaan, Sophos Central minangka platform kanggo SOC internal lan kanggo nyedhiyakake layanan kanggo pelanggan - MSSP.
Salah sawijining fitur penting yaiku dhukungan kanggo cache nganyari kanggo klien titik pungkasan. Iki ngidini sampeyan ngirit bandwidth lalu lintas eksternal, amarga ing kasus iki, nganyari diundhuh sapisan menyang salah sawijining klien titik pungkasan, lan banjur nganyari nganyari saka titik pungkasan liyane. Saliyane fitur sing diterangake, titik pungkasan sing dipilih bisa ngirim pesen kabijakan keamanan lan laporan informasi menyang awan Sophos. Fungsi iki bakal migunani yen ana piranti pungkasan sing ora duwe akses langsung menyang Internet, nanging mbutuhake pangayoman. Sophos Central menehi pilihan (proteksi tamper) sing nglarang ngganti setelan keamanan komputer utawa mbusak agen endpoint.
Salah sawijining komponen perlindungan endpoint yaiku antivirus generasi anyar (NGAV) - . Nggunakake teknologi machine learning jero, antivirus bisa ngenali ancaman sadurunge ora dingerteni tanpa nggunakake teken. Akurasi deteksi bisa dibandhingake karo analog teken, nanging ora kaya dheweke, menehi proteksi proaktif, nyegah serangan nol dina. Intercept X bisa digunakake kanthi paralel karo antivirus teken saka vendor liyane.
Ing artikel iki, kita ngobrol babagan konsep SynSec, sing dileksanakake ing Sophos Central, uga sawetara kemampuan solusi iki. Kita bakal njlèntrèhaké carane saben komponen keamanan Integrasi menyang Sophos Central fungsi ing artikel ing ngisor iki. Sampeyan bisa njaluk versi demo saka solusi .
Source: www.habr.com