Sinchronizuota sauga Sophos Central

Siekiant užtikrinti aukštą informacijos saugos priemonių efektyvumą, svarbus vaidmuo tenka jo komponentų sujungimui. Tai leidžia aprėpti ne tik išorines, bet ir vidines grėsmes. Kuriant tinklo infrastruktūrą, kiekviena saugos priemonė, ar tai būtų antivirusinė, ar ugniasienė, yra svarbi, kad veiktų ne tik savo klasėje (Endpoint security arba NGFW), bet ir galėtų sąveikauti tarpusavyje, kad kartu kovotų su grėsmėmis. .

Teorijos tiek

Nenuostabu, kad šiandieniniai kibernetiniai nusikaltėliai tapo verslesni. Jie naudoja įvairias tinklo technologijas kenkėjiškoms programoms platinti:

Dėl sukčiavimo el. paštu kenkėjiška programa peržengia jūsų tinklo slenkstį, naudodama žinomas atakas, arba nulinės dienos atakas, po kurių privilegijos padidinamos, arba šoninį judėjimą tinkle. Vieno užkrėsto įrenginio turėjimas gali reikšti, kad jūsų tinklas gali būti naudojamas užpuoliko naudai.

Kai kuriais atvejais, kai būtina užtikrinti informacijos saugos komponentų sąveiką, atliekant esamos sistemos būklės informacijos saugumo auditą, jo neįmanoma aprašyti naudojant vieną priemonių rinkinį, kuris yra tarpusavyje susiję. Daugeliu atvejų daugelis technologijų sprendimų, skirtų kovai su tam tikros rūšies grėsme, nesuteikia integracijos su kitais technologijų sprendimais. Pavyzdžiui, galutinio taško apsaugos produktai naudoja parašo ir elgesio analizę, kad nustatytų, ar failas yra užkrėstas, ar ne. Norėdami sustabdyti kenkėjišką srautą, ugniasienės naudoja kitas technologijas, įskaitant žiniatinklio filtravimą, IPS, smėlio dėžę ir kt. Tačiau daugumoje organizacijų šie informacijos saugos komponentai nėra sujungti vienas su kitu ir veikia atskirai.

„Heartbeat“ technologijos diegimo tendencijos

Naujasis požiūris į kibernetinį saugumą apima apsaugą visais lygmenimis, kiekviename lygyje naudojami sprendimai yra tarpusavyje susiję ir gali keistis informacija. Tai veda prie Sunchronized Security (SynSec) sukūrimo. SynSec reiškia informacijos saugumo užtikrinimo procesą kaip vieną sistemą. Šiuo atveju kiekvienas informacijos saugos komponentas yra sujungtas vienas su kitu realiu laiku. Pavyzdžiui, sprendimas „Sophos Central“ įgyvendinama pagal šį principą.

„Security Heartbeat“ technologija leidžia palaikyti ryšį tarp saugos komponentų, todėl sistema bendradarbiauja ir stebi. IN „Sophos Central“ integruoti šių klasių sprendimai:

• Galinių taškų apsauga - klasikinė antivirusinė programa;
• Serverio apsauga - specializuota antivirusinė serverių programa;
• Intercept-X – naujos kartos antivirusinė (be parašų ir su dirbtinio intelekto technologijomis);
• Sophos XG ugniasienė - naujos kartos ugniasienė;
• Mobilumo valdymas (EMM) — mobiliųjų įrenginių valdymas ir prieigos prie įmonės pašto ir failų kontrolė;
• Duomenų apsauga (šifravimas);
• Saugus belaidis internetas — prieigos taškai, valdomi tiek iš debesies, tiek vietoje per Sophos UTM / Sophos XG;
• Interneto saugumas - klasikinis interneto srauto filtravimo sprendimas;
• Pašto saugumas — debesų / vietinis antispam / antivirusinis sprendimas;
• Sukčiavimo grėsmė — darbuotojų informuotumo didinimas, bandomųjų sukčiavimo laiškų vykdymas;
• Cloud Optix — debesijos infrastruktūros auditas.

Nesunku pastebėti, kad Sophos Central palaiko gana platų informacijos saugumo sprendimų spektrą. „Sophos Central“ SynSec koncepcija remiasi trimis svarbiais principais: aptikimu, analize ir atsaku. Norėdami juos išsamiai apibūdinti, mes gyvensime ties kiekvienu iš jų.

SynSec sąvokos

NUSTATYMAS (nežinomų grėsmių aptikimas)
„Sophos Central“ valdomi „Sophos“ produktai automatiškai dalijasi informacija tarpusavyje, kad nustatytų riziką ir nežinomas grėsmes, įskaitant:

• tinklo srauto analizė su galimybe identifikuoti didelės rizikos programas ir kenkėjišką srautą;
• didelės rizikos vartotojų aptikimas atliekant jų veiksmų internete koreliacinę analizę.

ANALIZĖ (akimirksniu ir intuityviu)
Realaus laiko incidentų analizė leidžia akimirksniu suprasti esamą situaciją sistemoje.

• Rodoma visa įvykių, dėl kurių įvyko incidentas, grandinė, įskaitant visus failus, registro raktus, URL ir kt.

ATSAKYMAS (automatinis atsakas į incidentą)
Saugos politikos nustatymas leidžia automatiškai reaguoti į infekcijas ir incidentus per kelias sekundes. Tai užtikrinama:

• momentinis užkrėstų įrenginių izoliavimas ir atakos sustabdymas realiuoju laiku (net tame pačiame tinkle/transliavimo domene);
• prieigos prie įmonės tinklo išteklių apribojimas įrenginiams, kurie neatitinka politikos;
• nuotoliniu būdu paleiskite įrenginio nuskaitymą, kai aptinkamas siunčiamas šlamštas.

Išnagrinėjome pagrindinius saugumo principus, kuriais remiasi „Sophos Central“. Dabar pereikime prie aprašymo, kaip SynSec technologija pasireiškia veikloje.

Nuo teorijos prie praktikos

Pirmiausia paaiškinkime, kaip įrenginiai sąveikauja naudojant „SynSec“ principą naudojant „Heartbeat“ technologiją. Pirmasis žingsnis yra užregistruoti Sophos XG su Sophos Central. Šiame etape jis gauna savęs identifikavimo sertifikatą, IP adresą ir prievadą, per kurį galutiniai įrenginiai sąveikaus su juo naudodami Heartbeat technologiją, taip pat galutinių įrenginių, valdomų per Sophos Central, ID sąrašą ir jų klientų sertifikatus.

Netrukus po „Sophos XG“ registracijos „Sophos Central“ išsiųs informaciją galutiniams taškams, kad būtų pradėta širdies plakimo sąveika:

• sertifikavimo institucijų, naudojamų išduodant Sophos XG sertifikatus, sąrašas;
• įrenginių ID, užregistruotų Sophos XG, sąrašas;
• IP adresas ir prievadas sąveikai naudojant Heartbeat technologiją.

Ši informacija saugoma kompiuteryje tokiu keliu: %ProgramData%SophosHearbeatConfigHeartbeat.xml ir yra reguliariai atnaujinama.

Ryšys naudojant Heartbeat technologiją vykdomas galutiniam taškui siunčiant pranešimus magišku IP adresu 52.5.76.173:8347 ir atgal. Analizės metu paaiškėjo, kad, kaip teigia pardavėjas, paketai siunčiami per 15 sekundžių. Verta paminėti, kad Heartbeat pranešimus tiesiogiai apdoroja XG ugniasienė – ji perima paketus ir stebi galutinio taško būseną. Jei pagrindiniame kompiuteryje atliekate paketų fiksavimą, atrodys, kad srautas susisiekia su išoriniu IP adresu, nors iš tikrųjų galutinis taškas tiesiogiai bendrauja su XG užkarda.

Tarkime, kenkėjiška programa kažkaip pateko į jūsų kompiuterį. „Sophos Endpoint“ aptinka šią ataką arba mes nustojame gauti širdies plakimą iš šios sistemos. Užkrėstas įrenginys automatiškai siunčia informaciją apie užkrėstą sistemą, suaktyvindamas automatinę veiksmų grandinę. XG ugniasienė akimirksniu izoliuoja jūsų kompiuterį, neleisdama atakai plisti ir sąveikauti su C&C serveriais.

„Sophos Endpoint“ automatiškai pašalina kenkėjiškas programas. Kai jis pašalinamas, galutinis įrenginys sinchronizuojasi su Sophos Central, tada XG ugniasienė atkuria prieigą prie tinklo. Pagrindinės priežasties analizė (RCA arba EDR – Endpoint Detection and Response) leidžia išsamiai suprasti, kas atsitiko.

Darant prielaidą, kad įmonės ištekliai pasiekiami per mobiliuosius įrenginius ir planšetinius kompiuterius, ar galima teikti „SynSec“?

„Sophos Central“ teikia paramą šiam scenarijui „Sophos Mobile“. и „Sophos Wireless“.. Tarkime, kad vartotojas bando pažeisti saugumo politiką mobiliajame įrenginyje, apsaugotame „Sophos Mobile“. „Sophos Mobile“ aptinka saugos politikos pažeidimą ir siunčia pranešimus likusiai sistemos daliai, suaktyvindama iš anksto sukonfigūruotą atsaką į incidentą. Jei „Sophos Mobile“ sukonfigūruota „neleisti prisijungti prie tinklo“, „Sophos Wireless“ apribos šio įrenginio prieigą prie tinklo. „Sophos Central“ prietaisų skydelyje po „Sophos Wireless“ skirtuku pasirodys pranešimas, nurodantis, kad įrenginys užkrėstas. Kai vartotojas bando prisijungti prie tinklo, ekrane pasirodys ekranas, informuojantis, kad interneto prieiga yra ribota.

Galutinis taškas turi keletą širdies plakimo būsenų: raudoną, geltoną ir žalią.
Raudona būsena atsiranda šiais atvejais:

• aptikta aktyvi kenkėjiška programa;
• buvo aptiktas bandymas paleisti kenkėjišką programą;
• aptiktas kenkėjiškas tinklo srautas;
• kenkėjiška programa nebuvo pašalinta.

Geltona būsena reiškia, kad galutinis taškas aptiko neaktyvią kenkėjišką programą arba aptiko PUP (potencialiai nepageidaujamą programą). Žalia būsena rodo, kad nebuvo aptikta nė viena iš pirmiau minėtų problemų.

Peržiūrėję kai kuriuos klasikinius apsaugotų įrenginių sąveikos su Sophos Central scenarijus, pereikime prie sprendimo grafinės sąsajos aprašymo ir pagrindinių nustatymų bei palaikomų funkcijų apžvalgos.

Grafinė sąsaja

Valdymo skydelyje rodomi naujausi pranešimai. Įvairių apsaugos komponentų santrauka taip pat rodoma diagramų pavidalu. Tokiu atveju rodomi suvestiniai duomenys apie asmeninių kompiuterių apsaugą. Šiame skydelyje taip pat pateikiama suvestinė informacija apie bandymus aplankyti pavojingus išteklius ir netinkamo turinio išteklius bei el. pašto analizės statistika.

„Sophos Central“ palaiko pranešimų rodymą pagal sunkumą, neleidžiant vartotojui praleisti svarbių saugos įspėjimų. Be glaustai pateiktos saugos sistemos būsenos santraukos, Sophos Central palaiko įvykių registravimą ir integravimą su SIEM sistemomis. Daugeliui įmonių Sophos Central yra platforma tiek vidiniam SOC, tiek paslaugų teikimui savo klientams – MSSP.

Viena iš svarbių funkcijų yra galutinio taško klientų naujinimo talpyklos palaikymas. Tai leidžia sutaupyti išorinio srauto pralaidumą, nes šiuo atveju naujinimai vieną kartą atsisiunčiami į vieną iš galutinio taško klientų, o tada kiti galiniai taškai atsisiunčia naujinimus iš jo. Be aprašytos funkcijos, pasirinktas galinis taškas gali perduoti saugos politikos pranešimus ir informacines ataskaitas į Sophos debesį. Ši funkcija bus naudinga, jei yra galutinių įrenginių, kurie neturi tiesioginės prieigos prie interneto, tačiau reikalauja apsaugos. „Sophos Central“ suteikia parinktį (apsaugą nuo klastojimo), kuri draudžia keisti kompiuterio saugos parametrus arba ištrinti galutinio taško agentą.

Vienas iš galinių taškų apsaugos komponentų yra naujos kartos antivirusinė (NGAV) – Sulaikyti X. Naudodama giliojo mašininio mokymosi technologijas, antivirusinė programa gali atpažinti anksčiau nežinomas grėsmes nenaudodama parašų. Aptikimo tikslumas yra panašus į parašo analogus, tačiau skirtingai nei jie, jis užtikrina aktyvią apsaugą, užkertant kelią nulinės dienos atakoms. Intercept X gali veikti lygiagrečiai su kitų gamintojų antivirusinėmis programomis.

Šiame straipsnyje trumpai kalbėjome apie SynSec koncepciją, kuri yra įdiegta Sophos Central, bei kai kurias šio sprendimo galimybes. Kituose straipsniuose apibūdinsime, kaip veikia kiekvienas iš „Sophos Central“ integruotų saugos komponentų. Galite gauti demonstracinę sprendimo versiją čia.

Šaltinis: www.habr.com