Synchroniséiert Sécherheet am Sophos Central

Fir héich Effizienz vun Informatiounssécherheetsinstrumenter ze garantéieren, spillt d'Verbindung vu senge Komponenten eng wichteg Roll. Et erlaabt Iech net nëmmen extern, awer och intern Geforen ze decken. Wann Dir eng Netzwierkinfrastruktur designt, ass all Sécherheetsinstrument, sief et en Antivirus oder eng Firewall, wichteg sou datt se net nëmmen an hirer Klass funktionnéieren (Endpoint Security oder NGFW), awer och d'Fäegkeet hunn mateneen ze interagéieren fir gemeinsam Bedrohungen ze bekämpfen .

E bësse vun der Theorie

Et ass keng Iwwerraschung datt d'Cyberkrimineller vun haut méi entrepreneurial ginn. Si benotzen eng Rei vun Netzwierktechnologien fir Malware ze verbreeden:

E-Mail Phishing verursaacht datt d'Malware d'Schwell vun Ärem Netz iwwerschreift mat bekannten Attacken, entweder Null-Dag Attacke gefollegt vu Privileg Eskalatioun, oder lateral Bewegung duerch d'Netz. Een infizéiert Apparat ze hunn kéint bedeiten datt Äert Netzwierk fir de Benefice vun engem Ugräifer benotzt ka ginn.

An e puer Fäll, wann et néideg ass d'Interaktioun vun Informatiounssécherheetskomponenten ze garantéieren, wann Dir en Informatiounssécherheetsaudit vum aktuellen Zoustand vum System duerchféiert, ass et net méiglech et mat engem eenzege Set vu Moossnamen ze beschreiwen, déi matenee verbonne sinn. An deene meeschte Fäll si vill Technologieléisungen, déi sech op d'Bekämpfung vun enger spezifescher Bedrohung konzentréieren, keng Integratioun mat aneren Technologieléisungen ubidden. Zum Beispill, Endpunkt Schutzprodukter benotzen Ënnerschrëft a Verhalensanalyse fir ze bestëmmen ob eng Datei infizéiert ass oder net. Fir béiswëlleg Traffic ze stoppen, benotze Firewalls aner Technologien, déi Webfilter, IPS, Sandboxing, etc. Wéi och ëmmer, an de meeschten Organisatiounen sinn dës Informatiounssécherheetskomponenten net matenee verbonne a funktionnéieren isoléiert.

Trends an der Ëmsetzung vun Heartbeat Technologie

Déi nei Approche zur Cybersécherheet beinhalt de Schutz op all Niveau, mat de Léisungen, déi op all Niveau benotzt gi matenee verbonnen a kënnen Informatioun austauschen. Dëst féiert zu der Schafung vu Sunchronized Security (SynSec). SynSec representéiert de Prozess fir Informatiounssécherheet als eenzege System ze garantéieren. An dësem Fall ass all Informatiounssécherheetskomponent an Echtzäit matenee verbonnen. Zum Beispill, d'Léisung Sophos Zentral no dësem Prinzip ëmgesat.

Sécherheet Heartbeat Technologie erméiglecht d'Kommunikatioun tëscht Sécherheetskomponenten, erlaabt System Zesummenaarbecht an Iwwerwaachung. IN Sophos Zentral Léisunge vun de folgende Klassen sinn integréiert:

• Endpunkt Schutz - klassesch Ënnerschrëft Antivirus;
• Server Schutz - spezialiséiert Antivirus fir Serveren;
• Interceptioun-X - Nei Generatioun Antivirus (ouni Ënnerschrëften a mat kënschtlechen Intelligenz Technologien);
• Sophos XG Firewall - Next-Generation Firewall;
• Mobility Management (EMM) - Gestioun vun mobilen Apparater an Zougangskontrolle fir Firmemail a Dateien;
• Dateschutz (Verschlësselung);
• Séchert Wi-Fi - Zougangspunkte geréiert souwuel aus der Wollek a lokal iwwer Sophos UTM / Sophos XG;
• Web Sécherheet - eng klassesch Léisung fir de Webverkéier ze filteren;
• Email Sécherheet - Cloud / lokal Anti-Spam / Antivirus Léisung;
• Phish Bedrohung - Employé Sensibiliséierung erhéijen, Test Phishing Mailings maachen;
• Cloud Optix - Audit vun Cloud Infrastrukturen.

Et ass einfach ze gesinn datt Sophos Central eng zimlech breet Palette vun Informatiounssécherheetsléisungen ënnerstëtzt. Um Sophos Central baséiert d'SynSec Konzept op dräi wichteg Prinzipien: Detektioun, Analyse an Äntwert. Fir se am Detail ze beschreiwen, wäerte mir op jiddereng vun hinnen ophalen.

SynSec Konzepter

DETECTION (Detektioun vun onbekannte Gefore)
Sophos Produkter, geréiert vum Sophos Central, deelen automatesch Informatioun matenee fir Risiken an onbekannte Geforen z'identifizéieren, wat enthält:

• Netzverkéier Analyse mat der Fäegkeet fir héich-Risiko Uwendungen a béiswëlleg Verkéier z'identifizéieren;
• Detektioun vun héich-Risiko Benotzer duerch Korrelatioun Analyse vun hiren Online Aktiounen.

ANALYSIS (direkt an intuitiv)
Echtzäit Tëschefall Analyse bitt direkt Verständnis vun der aktueller Situatioun am System.

• Weist déi komplett Kette vun Eventer déi zum Tëschefall gefouert hunn, inklusiv all Dateien, Registry Schlësselen, URLen, etc.

RESPONS (automatesch Tëschefall Äntwert)
Sécherheetspolitik opzestellen erlaabt Iech automatesch op Infektiounen an Tëschefäll an e puer Sekonnen z'äntwerten. Dëst ass garantéiert:

• Instant Isolatioun vun infizéierte Geräter an d'Attack an Echtzäit ze stoppen (och am selwechte Netzwierk / Broadcast Domain);
• Aschränkung vun Zougang zu Firmennetzressourcen fir Apparater déi net mat der Politik entspriechen;
• lancéiert en Apparat Scan op afstand wann erausginn Spam festgestallt gëtt.

Mir hunn d'Haaptsécherheetsprinzipien gekuckt, op deenen Sophos Central baséiert. Loosst eis elo op eng Beschreiwung goen wéi d'SynSec Technologie sech an Handlung manifestéiert.

Vun Theorie bis Praxis

Als éischt, loosst eis erkläre wéi Geräter interagéieren mam SynSec Prinzip mat Heartbeat Technologie. Den éischte Schrëtt ass de Sophos XG bei Sophos Central anzeschreiwen. Op dëser Etapp kritt hien e Certificat fir Selbstidentifikatioun, eng IP Adress an den Hafen, duerch deen d'Endgeräter mat him interagéieren mat Heartbeat Technologie, souwéi eng Lëscht vun IDen vun Endapparater, déi duerch Sophos Central an hir Clientszertifikater verwaltet ginn.

Kuerz nodeems d'Sophos XG Registréierung geschitt ass, schéckt Sophos Central Informatioun un Endpunkte fir eng Heartbeat Interaktioun ze initiéieren:

• Lëscht vun Zertifikat Autoritéiten benotzt fir Sophos XG Certificaten auszeginn;
• eng Lëscht vun Apparat IDen déi mat Sophos XG registréiert sinn;
• IP Adress an Hafen fir Interaktioun mat Heartbeat Technologie.

Dës Informatioun gëtt um Computer am folgende Wee gespäichert: %ProgramData%SophosHearbeatConfigHeartbeat.xml a gëtt regelméisseg aktualiséiert.

Kommunikatioun mat Hëllef vun Heartbeat Technologie gëtt duerch den Endpunkt schéckt Messagen un déi magesch IP Adress 52.5.76.173:8347 an zréck. Wärend der Analyse gouf opgedeckt datt Päck mat enger Period vu 15 Sekonnen geschéckt ginn, wéi de Verkeefer gesot huet. Et ass derwäert ze bemierken datt Heartbeat Messagen direkt vun der XG Firewall veraarbecht ginn - et interceptéiert Päckchen an iwwerwaacht de Status vum Endpunkt. Wann Dir Packet Capture um Host ausféiert, schéngt de Verkéier mat der externer IP Adress ze kommunizéieren, obwuel tatsächlech den Endpunkt direkt mat der XG Firewall kommunizéiert.

Ugeholl datt eng béiswëlleg Applikatioun iergendwéi op Äre Computer koum. Sophos Endpoint erkennt dësen Attack oder mir stoppen Heartbeat vun dësem System ze kréien. En infizéierte Gerät schéckt automatesch Informatioun iwwer de System deen infizéiert gëtt, wat eng automatesch Kette vun Aktiounen ausléist. XG Firewall isoléiert direkt Äre Computer, verhënnert datt d'Attack sech verbreet an interagéiert mat C&C Serveren.

Sophos Endpoint läscht automatesch Malware. Wann et ewechgeholl gëtt, synchroniséiert den Endapparat mat Sophos Central, da restauréiert XG Firewall den Zougang zum Netz. Root Cause Analysis (RCA oder EDR - Endpoint Detection and Response) erlaabt Iech en detailléierte Verständnis ze kréien wat geschitt ass.

Unzehuelen datt Firmenressourcen iwwer mobilen Apparater a Pëllen zougänglech sinn, ass et méiglech SynSec ze bidden?

Sophos Central bitt Ënnerstëtzung fir dësen Szenario Sophos Mobile и Sophos Wireless. Loosst eis soen datt e Benotzer probéiert d'Sécherheetspolitik op engem mobilen Apparat geschützt mat Sophos Mobile ze verletzen. Sophos Mobile erkennt eng Verstouss géint d'Sécherheetspolitik a schéckt Notifikatiounen un de Rescht vum System, wat eng pre-konfiguréiert Äntwert op den Tëschefall ausléist. Wann Sophos Mobile eng "Netzverbindung verleegnen" Politik konfiguréiert huet, beschränkt Sophos Wireless den Netzzougang fir dësen Apparat. Eng Notifikatioun erschéngt am Sophos Central Dashboard ënner der Sophos Wireless Tab déi uginn datt den Apparat infizéiert ass. Wann de Benotzer probéiert op d'Netz ze kommen, erschéngt e Splashscreen um Bildschierm an informéiert hinnen datt den Internetzougang limitéiert ass.

Den Endpunkt huet verschidde Heartbeat-Statusen: rout, giel a gréng.
Red Status geschitt an de folgende Fäll:

• aktiv Malware entdeckt;
• e Versuch fir Malware ze starten gouf festgestallt;
• béiswëlleg Netzverkéier entdeckt;
• d'Malware gouf net geläscht.

E giele Status bedeit datt den Endpunkt inaktiv Malware entdeckt huet oder e PUP (potenziell ongewollt Programm) entdeckt huet. E grénge Status weist datt keng vun den uewe genannte Probleemer festgestallt goufen.

Nodeems Dir e puer klassesch Szenarie fir d'Interaktioun vu geschützte Geräter mat Sophos Central gekuckt hutt, loosst eis op eng Beschreiwung vun der graphescher Interface vun der Léisung goen an eng Iwwerpréiwung vun den Haaptastellungen an ënnerstëtzte Funktionalitéit.

Grafesch Interface

D'Kontrollpanel weist déi lescht Notifikatiounen. E Resumé vun de verschiddene Schutzkomponenten gëtt och a Form vun Diagrammer ugewisen. An dësem Fall gi Resumédaten iwwer de Schutz vu perséinleche Computeren ugewisen. Dëse Panel bitt och Resuméinformatioun iwwer Versuche fir geféierlech Ressourcen a Ressourcen mat onpassend Inhalt ze besichen, an E-Mail Analysestatistiken.

Sophos Central ënnerstëtzt d'Display vun Notifikatiounen no Gravitéit, verhënnert datt de Benotzer kritesch Sécherheetsalarmer vermësst. Zousätzlech zu engem succinctly ugewisenen Zesummefaassung vum Status vum Sécherheetssystem, ënnerstëtzt Sophos Central Eventlogging an Integratioun mat SIEM Systemer. Fir vill Firmen ass Sophos Central eng Plattform fir béid intern SOC a fir Servicer fir hir Clienten ze liwweren - MSSP.

Ee vun de wichtege Funktiounen ass Ënnerstëtzung fir en Update Cache fir Endpunkt Clienten. Dëst erlaabt Iech Bandbreedung op externen Traffic ze retten, well an dësem Fall Aktualiséierungen eemol op ee vun den Endpunkt Clienten erofgeluede ginn, an dann aner Endpunkte download Aktualiséierungen aus et. Zousätzlech zu der beschriwwener Feature kann de gewielte Endpunkt Sécherheetspolitik Messagen an Informatiounsberichter op d'Sophos Cloud weiderginn. Dës Funktioun wäert nëtzlech sinn wann et Endapparater sinn déi keen direkten Zougang zum Internet hunn, awer Schutz erfuerderen. Sophos Central bitt eng Optioun (Tamper Schutz) déi verbitt d'Sécherheetsastellunge vum Computer z'änneren oder den Endpunkt Agent ze läschen.

Ee vun de Komponente vum Endpunktschutz ass eng nei Generatioun Antivirus (NGAV) - Abschnitt X. Mat Deep Machine Learning Technologien ass den Antivirus fäeg virdrun onbekannte Bedrohungen z'identifizéieren ouni Ënnerschrëften ze benotzen. D'Detektiounsgenauegkeet ass vergläichbar mat Ënnerschrëftanalogen, awer am Géigesaz zu hinnen, bitt et proaktive Schutz, verhënnert Null-Dag Attacken. Intercept X ass fäeg parallel mat Ënnerschrëft Antivirusen vun anere Verkeefer ze schaffen.

An dësem Artikel hu mir kuerz iwwer d'SynSec Konzept geschwat, dat am Sophos Central ëmgesat gëtt, wéi och e puer vun de Fäegkeeten vun dëser Léisung. Mir beschreiwen wéi jidderee vun de Sécherheetskomponenten an de Sophos Central integréiert ass an de folgenden Artikelen. Dir kënnt eng Demo Versioun vun der Léisung kréien hei.

Source: will.com