Маалыматтык коопсуздук инструменттеринин жогорку натыйжалуулугун камсыз кылуу үчүн анын компоненттеринин байланышы маанилүү роль ойнойт. Бул тышкы гана эмес, ички коркунучтарды да жабууга мүмкүндүк берет. Тармактык инфраструктураны долбоорлоодо ар бир коопсуздук куралы, мейли антивирус же брандмауэр болсун, алар өз классында гана иштебестен (Endpoint Security же NGFW), ошондой эле коркунучтарга каршы биргелешип күрөшүү үчүн бири-бири менен өз ара аракеттенүү мүмкүнчүлүгүнө ээ болушу үчүн маанилүү. .
теориясынын бир үзүм
Бүгүнкү киберкылмышкерлердин ишкердикке өтүп кеткени таң калыштуу эмес. Алар зыяндуу программаларды жайылтуу үчүн бир катар тармактык технологияларды колдонушат:
Электрондук фишинг зыяндуу программаны белгилүү чабуулдарды, же нөл күндүк чабуулдарды, андан кийин артыкчылыктарды жогорулатууну, же тармак аркылуу капталдан кыймылды колдонуу менен сиздин тармагыңыздын босогосун аттап өтүүгө себеп болот. Вирус жуккан бир түзмөктүн болушу сиздин тармагыңызды чабуулчунун пайдасына колдонушу мүмкүн дегенди билдирет.
Кээ бир учурларда, маалыматтык коопсуздуктун компоненттеринин өз ара аракеттенүүсүн камсыз кылуу зарыл болгондо, системанын учурдагы абалына маалыматтык коопсуздук аудитин жүргүзүүдө, аны өз ара байланышкан чаралардын бирдиктүү комплексин колдонуу менен сыпаттоо мүмкүн эмес. Көпчүлүк учурларда, коркунучтун белгилүү бир түрүнө каршы багытталган көптөгөн технологиялык чечимдер башка технологиялык чечимдер менен интеграцияны камсыз кылбайт. Мисалы, акыркы чекиттен коргоо өнүмдөрү файлдын жуккан же жукпаганын аныктоо үчүн кол тамганы жана жүрүм-турум анализин колдонот. Зыяндуу трафикти токтотуу үчүн брандмауэрлер веб чыпкалоо, IPS, кумбокс ж.б. камтыган башка технологияларды колдонушат. Бирок, көпчүлүк уюмдарда бул маалыматтык коопсуздук компоненттери бири-бири менен байланышпайт жана өзүнчө иштейт.
Heartbeat технологиясын ишке ашыруудагы тенденциялар
Киберкоопсуздукка жаңы мамиле ар бир деңгээлдеги коргоону камтыйт, ар бир деңгээлде колдонулган чечимдер бири-бирине туташып, маалымат алмашууга жөндөмдүү. Бул Sunchronized Security (SynSec) түзүүгө алып келет. SynSec бирдиктүү система катары маалыматтык коопсуздукту камсыз кылуу процессин билдирет. Мында ар бир маалыматтык коопсуздук компоненти реалдуу убакыт режиминде бири-бири менен туташтырылган. Мисалы, чечим ушул принцип боюнча ишке ашырылат.
Security Heartbeat технологиясы коопсуздук компоненттеринин ортосундагы байланышты камсыз кылып, системанын кызматташуусун жана мониторингди камсыз кылат. IN төмөнкү класстардын чечимдери интеграцияланган:
- — классикалык кол коюу антивирусу;
- — серверлер үчүн атайын антивирус;
- – жаңы муундагы антивирус (кол тамгасы жок жана жасалма интеллект технологиялары менен);
- — Кийинки муундагы брандмауэр;
- — мобилдик аппаратты башкаруу жана корпоративдик почтага жана файлдарга кирүүнү көзөмөлдөө;
- ;
- — булуттан жана жергиликтүү Sophos UTM / Sophos XG аркылуу башкарылуучу кирүү чекиттери;
- — веб-трафикти чыпкалоо үчүн классикалык чечим;
- — булут/локалдык антиспам/антивирус чечими;
- — кызматкерлердин маалымдуулугун жогорулатуу, фишингдик каттарды тестирлөө жүргүзүү;
- — булут инфраструктураларынын аудити.
Sophos Central маалыматтык коопсуздук чечимдеринин кеңири спектрин колдой турганын көрүү оңой. Sophos Centralда SynSec концепциясы үч маанилүү принципке негизделген: аныктоо, талдоо жана жооп берүү. Аларды кеңири баяндоо үчүн биз алардын ар бирине токтолобуз.
SynSec түшүнүктөрү
АНЫКТОО (белгисиз коркунучтарды аныктоо)
Sophos Central тарабынан башкарылуучу Sophos өнүмдөрү тобокелдиктерди жана белгисиз коркунучтарды аныктоо үчүн автоматтык түрдө бири-бири менен маалыматты бөлүшөт, анын ичинде:
- жогорку кооптуу тиркемелерди жана зыяндуу трафикти аныктоо мүмкүнчүлүгү менен тармактык трафикти талдоо;
- жогорку тобокелдикке ээ колдонуучуларды аныктоо, алардын онлайн аракеттерине корреляциялык анализ жүргүзүү.
АНАЛИЗ (тез жана интуитивдик)
Реалдуу убакытта болгон инциденттерди талдоо системадагы учурдагы кырдаалды заматта түшүнүүгө мүмкүндүк берет.
- Окуяга алып келген окуялардын толук чынжырын көрсөтөт, анын ичинде бардык файлдар, реестр ачкычтары, URL даректери ж.б.
ЖООП (автоматтык инцидент жооп)
Коопсуздук саясаттарын орнотуу инфекцияларга жана инциденттерге бир нече секунданын ичинде автоматтык түрдө жооп берүүгө мүмкүндүк берет. Бул камсыз кылынат:
- жуккан түзмөктөрдү заматта изоляциялоо жана реалдуу убакыт режиминде чабуулду токтотуу (ал тургай, ошол эле тармактын/берүү доменинин ичинде);
- саясатка туура келбеген түзмөктөр үчүн компаниянын тармак ресурстарына кирүү мүмкүнчүлүгүн чектөө;
- чыгуучу спам аныкталганда түзмөктү издөөнү алыстан ишке киргизиңиз.
Биз Sophos Central негизделген негизги коопсуздук принциптерин карап чыктык. Эми SynSec технологиясы иш жүзүндө кандайча көрүнөөрүн сүрөттөөгө өтөлү.
From теориясы иш жүзүндө
Биринчиден, Heartbeat технологиясын колдонуу менен SynSec принцибинин жардамы менен түзмөктөр кантип өз ара аракеттенишерин түшүндүрүп берели. Биринчи кадам - Sophos XGди Sophos Central менен каттоо. Бул этапта ал өзүн-өзү идентификациялоо сертификатын, Heartbeat технологиясын колдонуу менен акыркы түзмөктөр аны менен иштеше турган IP дарегин жана портун, ошондой эле Sophos Central аркылуу башкарылуучу акыркы түзмөктөрдүн идентификаторлорунун тизмесин жана алардын кардар сертификаттарын алат.
Sophos XG каттоодон өткөндөн көп өтпөй, Sophos Central Жүрөктүн согушу аракетин баштоо үчүн акыркы чекиттерге маалыматты жөнөтөт:
- Sophos XG сертификаттарын берүү үчүн колдонулган сертификаттык органдардын тизмеси;
- Sophos XG менен катталган түзмөктүн идентификаторлорунун тизмеси;
- Heartbeat технологиясын колдонуу менен өз ара аракеттенүү үчүн IP дареги жана порту.
Бул маалымат компьютерде төмөнкү жолдо сакталат: %ProgramData%SophosHearbeatConfigHeartbeat.xml жана дайыма жаңыланып турат.
Heartbeat технологиясын колдонуу менен байланыш 52.5.76.173:8347 жана кайра сыйкырдуу IP дарекке билдирүүлөрдү жөнөтүүчү акыркы чекит аркылуу ишке ашырылат. Анализдин жүрүшүндө сатуучу белгилегендей, пакеттер 15 секунддук мөөнөт менен жөнөтүлгөнү аныкталган. Белгилей кетсек, Heartbeat билдирүүлөрү түздөн-түз XG Firewall тарабынан иштетилет - ал пакеттерди кармап, акыркы чекиттин абалын көзөмөлдөйт. Эгерде сиз пакетти басып алууну хостто аткарсаңыз, трафик тышкы IP дареги менен байланышып жаткандай көрүнөт, бирок чындыгында акыркы чекит XG брандмауэри менен түз байланышып жатат.
Зыяндуу тиркеме кандайдыр бир жол менен сиздин компьютериңизге кирди дейли. Sophos Endpoint бул чабуулду аныктайт же биз бул системадан Heartbeat кабыл алууну токтотобуз. Вирус жуккан аппарат автоматтык түрдө иш-аракеттер чынжырын ишке киргизип, жуккан система жөнүндө маалыматты автоматтык түрдө жөнөтөт. XG Firewall компьютериңизди заматта изоляциялап, чабуулдун жайылышынын жана C&C серверлери менен иштешинин алдын алат.
Sophos Endpoint зыяндуу программаларды автоматтык түрдө жок кылат. Ал алынып салынгандан кийин, акыркы түзмөк Sophos Central менен шайкештештирилет, андан кийин XG Firewall тармакка кирүү мүмкүнчүлүгүн калыбына келтирет. Түпкү себептердин анализи (RCA же EDR - Endpoint Detection and Response) эмне болгонун толук түшүнүүгө мүмкүндүк берет.
Корпоративдик ресурстарга мобилдик түзмөктөр жана планшеттер аркылуу кирүүгө болот деп ойлосок, SynSec менен камсыздоо мүмкүнбү?
Sophos Central бул сценарийге колдоо көрсөтөт и . Колдонуучу Sophos Mobile менен корголгон мобилдик түзмөктө коопсуздук саясатын бузууга аракет кылды дейли. Sophos Mobile коопсуздук саясатынын бузулушун аныктап, системанын калган бөлүгүнө эскертмелерди жөнөтүп, окуяга алдын ала конфигурацияланган жоопту ишке киргизет. Эгер Sophos Mobile "тармакка туташуудан баш тартуу" саясаты конфигурацияланган болсо, Sophos Wireless бул түзмөк үчүн тармакка кирүүнү чектейт. Sophos Central панелинде Sophos Wireless өтмөгүнүн астындагы аппаратка вирус жуккандыгын көрсөткөн эскертме пайда болот. Колдонуучу тармакка кирүүгө аракет кылганда, экранда Интернетке кирүү чектелгендиги жөнүндө кабарлоочу экран пайда болот.
Акыркы чекиттин бир нече Heartbeat статустары бар: кызыл, сары жана жашыл.
Кызыл абал төмөнкү учурларда пайда болот:
- активдүү кесепеттүү программа табылган;
- кесепеттүү программаны ишке киргизүү аракети аныкталды;
- зыяндуу тармак трафиги аныкталган;
- зыяндуу программа жок кылынган эмес.
Сары абал акыркы чекит активдүү эмес кесепеттүү программаны аныктаганын же PUP (потенциалдуу керексиз программа) аныктаганын билдирет. Жашыл статус жогорудагы көйгөйлөрдүн бири да табылбаганын билдирет.
Sophos Central менен корголгон түзүлүштөрдүн өз ара аракеттенүүсүнүн кээ бир классикалык сценарийлерин карап чыгып, келгиле, чечимдин графикалык интерфейсинин сыпаттамасына жана негизги орнотууларды жана колдоого алынган функцияларды карап чыгалы.
жуурулушуу Interface
Башкаруу панели акыркы эскертмелерди көрсөтөт. Ар кандай коргоо компоненттеринин кыскача баяндамасы диаграммалар түрүндө да көрсөтүлөт. Бул учурда жеке компьютерлерди коргоо боюнча жыйынды маалыматтар көрсөтүлөт. Бул панель ошондой эле кооптуу ресурстарга жана орунсуз мазмунга ээ ресурстарга баруу аракеттери жөнүндө кыскача маалымат жана электрондук почтанын анализи статистикасын берет.
Sophos Central эскертмелерди катаалдыгы боюнча көрсөтүүнү колдойт, бул колдонуучунун маанилүү коопсуздук эскертүүлөрүн өткөрүп жибербөөсүнө жол бербейт. Коопсуздук тутумунун абалынын кыскача чагылдырылган корутундусунан тышкары, Sophos Central окуяларды каттоону жана SIEM системалары менен интеграцияны колдойт. Көптөгөн компаниялар үчүн Sophos Central ички SOC үчүн да, алардын кардарларына кызмат көрсөтүү үчүн платформа - MSSP.
Маанилүү өзгөчөлүктөрдүн бири акыркы чекит кардарлары үчүн жаңыртуу кэшин колдоо болуп саналат. Бул тышкы трафиктен өткөрүү жөндөмдүүлүгүн үнөмдөөгө мүмкүндүк берет, анткени бул учурда жаңыртуулар акыркы чекиттин кардарларынын бирине бир жолу жүктөлөт, андан кийин башка акыркы чекиттер андан жаңыртууларды жүктөп алышат. Сүрөттөлгөн өзгөчөлүктөн тышкары, тандалган акыркы чекит коопсуздук саясатынын билдирүүлөрүн жана маалымат отчетторун Sophos булутуна жөнөтө алат. Бул функция Интернетке түз кирүү мүмкүнчүлүгү жок, бирок коргоону талап кылган акыркы түзмөктөр болсо пайдалуу болот. Sophos Central компьютердин коопсуздук жөндөөлөрүн өзгөртүүгө же акыркы чекит агентин жок кылууга тыюу салган опцияны (бурмалоодон коргоо) камсыз кылат.
Акыркы чекиттерди коргоонун компоненттеринин бири жаңы муундагы антивирус (NGAV) - . Терең машинаны үйрөнүү технологияларын колдонуу менен антивирус кол тамгаларды колдонбостон мурда белгисиз коркунучтарды аныктай алат. аныктоо тактыгы кол аналогдор менен салыштырууга болот, бирок алардан айырмаланып, нөл күндүк чабуулдарды алдын алуу, активдүү коргоону камсыз кылат. Intercept X башка сатуучулардын кол антивирустары менен параллелдүү иштей алат.
Бул макалада биз Sophos Centralда ишке ашырылган SynSec концепциясы, ошондой эле бул чечимдин айрым мүмкүнчүлүктөрү жөнүндө кыскача сүйлөштүк. Sophos Centralга интеграцияланган коопсуздук компоненттеринин ар бири кандайча иштээрин кийинки макалаларда сүрөттөп беребиз. Сиз чечимдин демо версиясын ала аласыз .
Source: www.habr.com