Ji bo pêbaweriya bilind a amûrên ewlehiya agahdariyê, girêdana pêkhateyên wê rolek girîng dilîze. Ew dihêle hûn ne tenê tehdîdên derve, lê di heman demê de tehdîtên hundurîn jî veşêrin. Dema sêwirana binesaziyek torê, her amûrek ewlehiyê, çi antivirus an dîwarek agir be, girîng e ku ew ne tenê di nav pola xwe de (ewlekariya Endpoint an NGFW) tevbigerin, lê di heman demê de xwediyê şiyana ku bi hevûdu re têkilî daynin da ku bi hev re li dijî gefan şer bikin. .
Hinek hestê
Ne surprîz e ku sûcdarên siberojê yên îroyîn zêdetir karsazî bûne. Ew cûrbecûr teknolojiyên torê bikar tînin da ku malware belav bikin:
Fişkirina e-nameyê dibe sedem ku malware bi karanîna êrişên naskirî, an êrişên roja sifir li dû zêdekirina îmtiyazê, an jî tevgera laş bi navgîniya torê ve, sînorê tora we derbas bike. Hebûna yek amûrek vegirtî dikare were vê wateyê ku tora we dikare ji bo berjewendiya êrîşkar were bikar anîn.
Di hin rewşan de, gava ku pêdivî ye ku pêwendiya pêkhateyên ewlehiya agahdarî were misoger kirin, dema ku vekolînek ewlehiya agahdariyê ya rewşa heyî ya pergalê tê meşandin, ne gengaz e ku wê bi karanîna yekane tedbîrên ku bi hev ve girêdayî ne diyar bikin. Di pir rewşan de, gelek çareseriyên teknolojiyê yên ku balê dikişînin ser rûbirûbûna celebek xeterek taybetî, bi çareseriyên teknolojiyê yên din re entegrasyonê peyda nakin. Mînakî, hilberên parastina xala dawîn nîşan û analîza behrê bikar tînin da ku diyar bikin ka pelek vegirtî ye an na. Ji bo rawestandina seyrûsefera xirab, dîwarên agir teknolojiyên din bikar tînin, ku tê de fîlterkirina malperê, IPS, sandboxing, hwd. Lêbelê, di pir rêxistinan de ev hêmanên ewlehiya agahdariyê bi hevûdu ve ne girêdayî ne û di îzolekirinê de tevdigerin.
Trendên di pêkanîna teknolojiya Heartbeat de
Nêzîkatiya nû ya ewlehiya sîber di her astê de parastinê vedihewîne, digel çareseriyên ku di her astê de têne bikar anîn bi hevûdu ve girêdayî ne û dikarin agahdarî biguhezînin. Ev dibe sedema afirandina Ewlekariya Sunchronized (SynSec). SynSec pêvajoya dabînkirina ewlehiya agahdariyê wekî pergalek yekane temsîl dike. Di vê rewşê de, her pêkhateya ewlehiya agahdariyê di demek rast de bi hevûdu ve girêdayî ye. Ji bo nimûne, çareserî li gorî vê prensîbê tê meşandin.
Teknolojiya Ewlekariya Heartbeat danûstendina di navbera pêkhateyên ewlehiyê de dihêle, hevkariya pergalê û çavdêriyê dike. LI çareseriyên çînên jêrîn yekgirtî ne:
- - antivirus nîşana klasîk;
- - ji bo pêşkêşkeran antivirus pispor;
- - antivirus nifşê nû (bê îmze û bi teknolojiyên îstîxbarata sûnî);
- - Firewall-Nifşa Pêşerojê;
- - Rêvebiriya cîhaza mobîl û kontrolkirina gihîştina e-name û pelên pargîdanî;
- ;
- - xalên gihîştinê hem ji ewr û hem jî herêmî bi rêya Sophos UTM / Sophos XG ve têne rêve kirin;
- - çareseriyek klasîk ji bo fîlterkirina seyrûsefera malperê;
- - çareseriya ewr / herêmî antî-spam / antivirus;
- - bilindkirina hişmendiya karmendan, pêkanîna ceribandina posteyên phishing;
- - kontrolkirina binesaziyên ewr.
Meriv hêsan e ku meriv bibîne ku Sophos Central cûrbecûr çareseriyên ewlehiya agahdariyê piştgirî dike. Li Sophos Central, konsepta SynSec li ser sê prensîbên girîng pêk tê: tespîtkirin, analîzkirin û bersiv. Ji bo ravekirina wan bi berfirehî, em ê li ser her yek ji wan rawestin.
Têgehên SynSec
SERVEKIRIN (dîtina gefên nenas)
Berhemên Sophos, ku ji hêla Sophos Central ve têne rêve kirin, bixweber agahdarî bi hev re parve dikin da ku xetere û xetereyên nenas nas bikin, ku tê de hene:
- analîza seyrûsefera torê ya bi şiyana nasandina serîlêdanên xeternak û seyrûsefera xerab;
- tespîtkirina bikarhênerên xeternak bi riya analîzkirina pêwendiya çalakiyên wan ên serhêl.
LÊKOLÎNE (bi lez û bez)
Analîzkirina bûyera di dema rast de têgihîştina tavilê ya rewşa heyî ya pergalê peyda dike.
- Zencîreya bêkêmasî ya bûyerên ku bûne sedema bûyerê, tevî hemî pelan, bişkokên qeydê, URL-an, û hwd, nîşan dide.
BERSIV (bersiva bûyerê ya otomatîk)
Sazkirina polîtîkayên ewlehiyê dihêle hûn di nav çend hûrdeman de bixweber bersivê bidin enfeksiyon û bûyeran. Ev tê misoger kirin:
- îzolekirina tavilê ya amûrên vegirtî û rawestandina êrîşê di wextê rast de (tewra di heman torê / qada weşanê de);
- sînordarkirina gihîştina çavkaniyên torê yên pargîdanî ji bo cîhazên ku bi polîtîkayan re tevnagerin;
- gava ku spam-ya derketinê were tespît kirin ji dûr ve şanek amûrek dest pê bikin.
Me li prensîbên ewlehiyê yên sereke nihêrî ku Sophos Central li ser bingeha wan e. Naha em werin ser ravekirinek ka teknolojiya SynSec çawa xwe di çalakiyê de diyar dike.
Ji teoriyê heya pratîkê
Pêşîn, ka em rave bikin ka cîhaz çawa bi karanîna prensîba SynSec bi karanîna teknolojiya Heartbeat re têkilî didin. Gava yekem ev e ku hûn Sophos XG bi Sophos Central re qeyd bikin. Di vê qonaxê de, ew sertîfîkayek ji bo xwenaskirinê, navnîşanek IP-yê û portek werdigire ku bi navgîniya wê cîhazên dawiya wê bi karanîna teknolojiya Heartbeat bi wî re têkilî daynin, û her weha navnîşek nasnameyên cîhazên dawî yên ku bi riya Sophos Central û sertîfîkayên xerîdarên wan ve têne rêve kirin.
Demek kin piştî ku qeydkirina Sophos XG pêk tê, Sophos Central dê agahdarî ji xalên dawî re bişîne da ku têkiliyek Heartbeat bide destpêkirin:
- navnîşa rayedarên sertîfîkayê yên ku ji bo derxistina sertîfîkayên Sophos XG hatine bikar anîn;
- navnîşek nasnameyên cîhaza ku bi Sophos XG re hatine tomar kirin;
- Navnîşana IP û porta ji bo danûstendinê bi karanîna teknolojiya Heartbeat.
Ev agahî li ser kompîturê di rêya jêrîn de tê hilanîn: %ProgramData%SophosHearbeatConfigHeartbeat.xml û bi rêkûpêk tê nûve kirin.
Têkiliya ku bi teknolojiya Heartbeat ve tê bikar anîn ji hêla xala dawiyê ve ji navnîşana IP-ya sêrbaz 52.5.76.173:8347 û paş ve peyaman dişîne. Di dema analîzê de, hate eşkere kirin ku pakêt bi heyama 15 çirkeyan re têne şandin, wekî ku ji hêla firoşker ve hatî destnîşan kirin. Hêjayî gotinê ye ku peyamên Heartbeat rasterast ji hêla XG Firewall ve têne hilberandin - ew pakêtan digire û rewşa xala dawîn dişopîne. Ger hûn girtina pakêtê li ser mêvandar bikin, dê seyrûsefer xuya bibe ku bi navnîşanek IP-ya derveyî re têkilî daynin, her çend di rastiyê de xala dawî rasterast bi dîwarê agir XG re danûstendinê dike.
Bifikirin ku serîlêdanek xirab bi rengekî ket ser komputera we. Sophos Endpoint vê êrîşê tesbît dike an jî em dest ji wergirtina Heartbeat ji vê pergalê berdidin. Amûrek vegirtî bixweber agahdariya pergala ku vegirtî dişîne, zincîreyek otomatîkî ya çalakiyan çêdike. XG Firewall tavilê komputera we îzole dike, pêşî li belavbûna êrîşê digire û bi serverên C&C re têkildar dibe.
Sophos Endpoint bixweber malware jê dike. Piştî ku ew were rakirin, cîhaza paşîn bi Sophos Central re hevdeng dibe, dûv re XG Firewall gihîştina torê vedigire. Analîza Sedema Root (RCA an EDR - Tespîtkirin û Bersiva Endpoint) dihêle hûn têgihîştinek berfireh a çi qewimî bistînin.
Bihesibînin ku çavkaniyên pargîdanî bi cîhazên mobîl û tabletan ve têne gihîştin, ma gengaz e ku SynSec peyda bike?
Sophos Central ji bo vê senaryoyê piştgirî dide и . Ka em bibêjin bikarhênerek hewl dide ku polîtîkaya ewlehiyê li ser amûrek mobîl a ku bi Sophos Mobile ve hatî parastin binpê bike. Sophos Mobile binpêkirinek polîtîkaya ewlehiyê tespît dike û agahdariyan ji pergalên mayî re dişîne, ji bûyerê re bersivek pêş-sazkirî destnîşan dike. Ger Sophos Mobile polîtîkaya "girêdana torê înkar bike" hatî mîheng kirin, Sophos Wireless dê gihandina torê ji bo vê cîhazê sînordar bike. Agahiyek dê di dashboarda Sophos Central de di binê tabloya Sophos Wireless de xuya bibe ku destnîşan dike ku cîhaz vegirtî ye. Dema ku bikarhêner hewl dide ku xwe bigihîne torê, dê ekranek splash li ser ekranê xuya bibe ku ew agahdar dike ku gihîştina Înternetê sînordar e.
Di xala dawî de çend statûyên Lêdana Dil hene: sor, zer û kesk.
Rewşa sor di rewşên jêrîn de pêk tê:
- malware çalak hate dîtin;
- hewldanek ji bo destpêkirina malware hate dîtin;
- seyrûsefera torê ya xerab hat tespît kirin;
- malware nehat rakirin.
Rewşek zer tê vê wateyê ku xala dawiyê malwareya neçalak tesbît kiriye an jî PUP (bernameyeke potansiyel nedilxwaz) tespît kiriye. Rewşek kesk destnîşan dike ku yek ji pirsgirêkên jorîn nehatine dîtin.
Piştî ku li hin senaryoyên klasîk ên ji bo danûstendina cîhazên parastî bi Sophos Central re mêze kirin, em biçin ser ravekirina navrûya grafîkî ya çareseriyê û vekolînek mîhengên sereke û fonksiyonên piştgirî.
Navrûya grafîkî
Panela kontrolê agahdariya herî dawî nîşan dide. Kurteyek ji pêkhateyên parastinê yên cihêreng jî di forma diagraman de tê xuyang kirin. Di vê rewşê de, daneyên kurteya li ser parastina komputerên kesane têne xuyang kirin. Ev panel di derheqê hewildanên serdana çavkanî û çavkaniyên xeternak ên bi naverokek neguncav, û statîstîkên analîza e-nameyê de jî agahdariya kurt peyda dike.
Sophos Central nîşana ragihandinê ji hêla tundiyê ve piştgirî dike, nahêle ku bikarhêner hişyariyên ewlehiyê yên krîtîk winda bike. Digel kurteyek kurtkirî ya rewşa pergala ewlehiyê, Sophos Central piştgirî dide qeydkirina bûyerê û yekbûna bi pergalên SIEM re. Ji bo gelek pargîdaniyan, Sophos Central hem ji bo SOC-ya navxweyî hem jî ji bo peydakirina karûbaran ji xerîdarên xwe re platformek e - MSSP.
Yek ji taybetmendiyên girîng piştgirî ji bo cache nûvekirinê ji bo xerîdarên xala dawî ye. Ev dihêle hûn li ser seyrûsefera derveyî bandê hilînin, ji ber ku di vê rewşê de nûvekirin carekê ji yek ji xerîdarên xala paşîn re têne dakêşandin, û dûv re xalên dawîn ên din nûvekirinên jê dakêşin. Digel taybetmendiya diyarkirî, xala dawiya hilbijartî dikare peyamên polîtîkaya ewlehiyê û raporên agahdarî ji ewrê Sophos re veguhezîne. Ev fonksiyon dê bikêr be heke cîhazên paşîn hebin ku rasterast xwedan înternetê nebin, lê parastinê hewce ne. Sophos Central vebijarkek (parastina tamperkirinê) peyda dike ku guheztina mîhengên ewlehiyê yên komputerê an jêbirina nûnerê xala dawîn qedexe dike.
Yek ji hêmanên parastina xala dawîn antivirusek nifşek nû (NGAV) e - . Bi karanîna teknolojiyên fêrbûna makîneya kûr, antivirus dikare bêyî ku îmzeyan bikar bîne xetereyên berê nenas nas bike. Rastiya tespîtkirinê bi analogên îmzeyê re hevber e, lê berevajî wan, ew parastina proaktîf peyda dike, pêşî li êrîşên zero-roj digire. Intercept X dikare bi antivirusên îmzeyê yên ji firoşkarên din re paralel bixebite.
Di vê gotarê de, me bi kurtî li ser konsepta SynSec, ku di Sophos Central de tête bicîh kirin, û her weha hin kapasîteyên vê çareseriyê axivî. Em ê di gotarên jêrîn de diyar bikin ka her yek ji hêmanên ewlehiyê yên ku di Sophos Central de yekbûyî ne. Hûn dikarin guhertoyek demo ya çareseriyê bistînin .
Source: www.habr.com