Keselamatan disegerakkan di Sophos Central

Untuk memastikan kecekapan tinggi alat keselamatan maklumat, sambungan komponennya memainkan peranan penting. Ia membolehkan anda melindungi bukan sahaja ancaman luaran, tetapi juga ancaman dalaman. Apabila mereka bentuk infrastruktur rangkaian, setiap alat keselamatan, sama ada antivirus atau firewall, adalah penting supaya ia berfungsi bukan sahaja dalam kelas mereka (Keselamatan Endpoint atau NGFW), tetapi juga mempunyai keupayaan untuk berinteraksi antara satu sama lain untuk bersama-sama memerangi ancaman. .

Sedikit teori

Tidak menghairankan bahawa penjenayah siber hari ini telah menjadi lebih keusahawanan. Mereka menggunakan pelbagai teknologi rangkaian untuk menyebarkan perisian hasad:

Pancingan data e-mel menyebabkan perisian hasad melintasi ambang rangkaian anda menggunakan serangan yang diketahui, sama ada serangan sifar hari diikuti oleh peningkatan keistimewaan atau pergerakan sisi melalui rangkaian. Mempunyai satu peranti yang dijangkiti boleh bermakna rangkaian anda boleh digunakan untuk manfaat penyerang.

Dalam sesetengah kes, apabila perlu untuk memastikan interaksi komponen keselamatan maklumat, apabila menjalankan audit keselamatan maklumat keadaan semasa sistem, tidak mungkin untuk menerangkannya menggunakan satu set langkah yang saling berkaitan. Dalam kebanyakan kes, banyak penyelesaian teknologi yang menumpukan pada menangani jenis ancaman tertentu tidak menyediakan penyepaduan dengan penyelesaian teknologi lain. Sebagai contoh, produk perlindungan titik akhir menggunakan analisis tandatangan dan tingkah laku untuk menentukan sama ada fail dijangkiti atau tidak. Untuk menghentikan trafik berniat jahat, tembok api menggunakan teknologi lain, yang termasuk penapisan web, IPS, kotak pasir, dsb. Walau bagaimanapun, dalam kebanyakan organisasi, komponen keselamatan maklumat ini tidak bersambung antara satu sama lain dan beroperasi secara berasingan.

Trend dalam pelaksanaan teknologi Denyutan Jantung

Pendekatan baharu kepada keselamatan siber melibatkan perlindungan di setiap peringkat, dengan penyelesaian yang digunakan pada setiap peringkat bersambung antara satu sama lain dan boleh bertukar maklumat. Ini membawa kepada penciptaan Sunchronized Security (SynSec). SynSec mewakili proses memastikan keselamatan maklumat sebagai satu sistem. Dalam kes ini, setiap komponen keselamatan maklumat disambungkan antara satu sama lain dalam masa nyata. Sebagai contoh, penyelesaiannya Pusat Sophos dilaksanakan mengikut prinsip ini.

Teknologi Security Heartbeat membolehkan komunikasi antara komponen keselamatan, membolehkan kerjasama sistem dan pemantauan. DALAM Pusat Sophos penyelesaian kelas berikut disepadukan:

• Perlindungan Endpoint - antivirus tandatangan klasik;
• Perlindungan Pelayan — antivirus khusus untuk pelayan;
• Memintas-X – antivirus generasi baharu (tanpa tandatangan dan dengan teknologi kecerdasan buatan);
• Tembok Api Sophos XG — Tembok Api Generasi Seterusnya;
• Pengurusan Mobiliti (EMM) — pengurusan peranti mudah alih dan kawalan akses kepada mel dan fail korporat;
• Perlindungan Data (Penyulitan);
• Wi-Fi selamat — titik akses diuruskan dari awan dan secara tempatan melalui Sophos UTM / Sophos XG;
• Keselamatan Web — penyelesaian klasik untuk menapis trafik web;
• Keselamatan E-mel — penyelesaian anti-spam/antivirus awan/tempatan;
• Ancaman Phish — meningkatkan kesedaran pekerja, menjalankan ujian mel pancingan data;
• Cloud Optix — audit infrastruktur awan.

Adalah mudah untuk melihat bahawa Sophos Central menyokong rangkaian penyelesaian keselamatan maklumat yang agak luas. Di Sophos Central, konsep SynSec adalah berdasarkan tiga prinsip penting: pengesanan, analisis dan tindak balas. Untuk menerangkannya secara terperinci, kami akan membincangkan setiap daripada mereka.

Konsep SynSec

PENGESANAN (pengesanan ancaman yang tidak diketahui)
Produk Sophos, yang diuruskan oleh Sophos Central, berkongsi maklumat secara automatik antara satu sama lain untuk mengenal pasti risiko dan ancaman yang tidak diketahui, yang termasuk:

• analisis trafik rangkaian dengan keupayaan untuk mengenal pasti aplikasi berisiko tinggi dan trafik berniat jahat;
• pengesanan pengguna berisiko tinggi melalui analisis korelasi tindakan dalam talian mereka.

ANALISIS (segera dan intuitif)
Analisis insiden masa nyata memberikan pemahaman segera tentang situasi semasa dalam sistem.

• Memaparkan rangkaian lengkap peristiwa yang membawa kepada kejadian itu, termasuk semua fail, kunci pendaftaran, URL, dsb.

RESPONS (tindak balas insiden automatik)
Menyediakan dasar keselamatan membolehkan anda bertindak balas secara automatik kepada jangkitan dan insiden dalam masa beberapa saat. Ini dipastikan:

• pengasingan segera peranti yang dijangkiti dan menghentikan serangan dalam masa nyata (walaupun dalam rangkaian/domain penyiaran yang sama);
• mengehadkan akses kepada sumber rangkaian syarikat untuk peranti yang tidak mematuhi dasar;
• melancarkan imbasan peranti dari jauh apabila spam keluar dikesan.

Kami telah melihat prinsip keselamatan utama yang menjadi asas Sophos Central. Sekarang mari kita beralih kepada penerangan tentang cara teknologi SynSec memanifestasikan dirinya dalam tindakan.

Dari teori untuk berlatih

Mula-mula, mari kita terangkan cara peranti berinteraksi menggunakan prinsip SynSec menggunakan teknologi Heartbeat. Langkah pertama ialah mendaftar Sophos XG dengan Sophos Central. Pada peringkat ini, dia menerima sijil untuk pengenalan diri, alamat IP dan port yang melaluinya peranti akhir akan berinteraksi dengannya menggunakan teknologi Heartbeat, serta senarai ID peranti akhir yang diuruskan melalui Sophos Central dan sijil pelanggan mereka.

Tidak lama selepas pendaftaran Sophos XG berlaku, Sophos Central akan menghantar maklumat ke titik akhir untuk memulakan interaksi Denyutan Jantung:

• senarai pihak berkuasa sijil yang digunakan untuk mengeluarkan sijil Sophos XG;
• senarai ID peranti yang didaftarkan dengan Sophos XG;
• Alamat IP dan port untuk interaksi menggunakan teknologi Heartbeat.

Maklumat ini disimpan pada komputer dalam laluan berikut: %ProgramData%SophosHearbeatConfigHeartbeat.xml dan dikemas kini dengan kerap.

Komunikasi menggunakan teknologi Heartbeat dijalankan oleh titik akhir menghantar mesej ke alamat IP ajaib 52.5.76.173:8347 dan belakang. Semasa analisis, ia mendedahkan bahawa paket dihantar dengan tempoh 15 saat, seperti yang dinyatakan oleh vendor. Perlu diingat bahawa mesej Heartbeat diproses secara langsung oleh XG Firewall - ia memintas paket dan memantau status titik akhir. Jika anda melakukan penangkapan paket pada hos, trafik akan kelihatan berkomunikasi dengan alamat IP luaran, walaupun sebenarnya titik akhir berkomunikasi secara langsung dengan tembok api XG.

Katakan aplikasi berniat jahat entah bagaimana masuk ke komputer anda. Sophos Endpoint mengesan serangan ini atau kami berhenti menerima Heartbeat daripada sistem ini. Peranti yang dijangkiti menghantar maklumat secara automatik tentang sistem yang dijangkiti, mencetuskan rantaian tindakan automatik. XG Firewall mengasingkan komputer anda serta-merta, menghalang serangan daripada merebak dan berinteraksi dengan pelayan C&C.

Sophos Endpoint mengalih keluar perisian hasad secara automatik. Sebaik sahaja ia dialih keluar, peranti akhir disegerakkan dengan Sophos Central, kemudian XG Firewall memulihkan akses kepada rangkaian. Analisis Punca Punca (RCA atau EDR - Pengesanan dan Tindak Balas Titik Akhir) membolehkan anda mendapatkan pemahaman terperinci tentang apa yang berlaku.

Dengan mengandaikan bahawa sumber korporat diakses melalui peranti mudah alih dan tablet, adakah mungkin untuk menyediakan SynSec?

Sophos Central menyediakan sokongan untuk senario ini Mudah Alih Sophos и Sophos Wireless. Katakan pengguna cuba melanggar dasar keselamatan pada peranti mudah alih yang dilindungi dengan Sophos Mobile. Sophos Mobile mengesan pelanggaran dasar keselamatan dan menghantar pemberitahuan kepada seluruh sistem, mencetuskan tindak balas prakonfigurasi terhadap kejadian itu. Jika Sophos Mobile mempunyai dasar "tolak sambungan rangkaian" yang dikonfigurasikan, Sophos Wireless akan menyekat akses rangkaian untuk peranti ini. Pemberitahuan akan muncul dalam papan pemuka Pusat Sophos di bawah tab Wayarles Sophos yang menunjukkan bahawa peranti itu dijangkiti. Apabila pengguna cuba mengakses rangkaian, skrin percikan akan muncul pada skrin memberitahu mereka bahawa akses Internet adalah terhad.

Titik akhir mempunyai beberapa status Denyutan Jantung: merah, kuning dan hijau.
Status merah berlaku dalam kes berikut:

• perisian hasad aktif dikesan;
• percubaan untuk melancarkan perisian hasad telah dikesan;
• trafik rangkaian berniat jahat dikesan;
• perisian hasad tidak dialih keluar.

Status kuning bermakna titik akhir telah mengesan perisian hasad yang tidak aktif atau telah mengesan PUP (program yang berkemungkinan tidak diingini). Status hijau menunjukkan bahawa tiada masalah di atas telah dikesan.

Setelah melihat beberapa senario klasik untuk interaksi peranti yang dilindungi dengan Sophos Central, mari kita beralih kepada penerangan mengenai antara muka grafik penyelesaian dan semakan tetapan utama dan kefungsian yang disokong.

Antara muka grafik

Panel kawalan memaparkan pemberitahuan terkini. Ringkasan pelbagai komponen perlindungan juga dipaparkan dalam bentuk gambar rajah. Dalam kes ini, data ringkasan mengenai perlindungan komputer peribadi dipaparkan. Panel ini juga menyediakan maklumat ringkasan tentang percubaan untuk melawat sumber dan sumber berbahaya dengan kandungan yang tidak sesuai, dan statistik analisis e-mel.

Sophos Central menyokong paparan pemberitahuan mengikut keterukan, menghalang pengguna daripada kehilangan makluman keselamatan kritikal. Sebagai tambahan kepada ringkasan status sistem keselamatan yang dipaparkan secara ringkas, Sophos Central menyokong pengelogan acara dan penyepaduan dengan sistem SIEM. Bagi kebanyakan syarikat, Sophos Central ialah platform untuk SOC dalaman dan untuk menyediakan perkhidmatan kepada pelanggan mereka - MSSP.

Salah satu ciri penting ialah sokongan untuk cache kemas kini untuk pelanggan titik akhir. Ini membolehkan anda menjimatkan lebar jalur pada trafik luaran, kerana dalam kes ini kemas kini dimuat turun sekali ke salah satu pelanggan titik akhir, dan kemudian titik akhir lain memuat turun kemas kini daripadanya. Sebagai tambahan kepada ciri yang diterangkan, titik akhir yang dipilih boleh menyampaikan mesej dasar keselamatan dan laporan maklumat kepada awan Sophos. Fungsi ini akan berguna jika terdapat peranti akhir yang tidak mempunyai akses terus ke Internet, tetapi memerlukan perlindungan. Sophos Central menyediakan pilihan (perlindungan gangguan) yang melarang menukar tetapan keselamatan komputer atau memadam ejen titik akhir.

Salah satu komponen perlindungan titik akhir ialah antivirus generasi baharu (NGAV) - Memintas X. Menggunakan teknologi pembelajaran mesin yang mendalam, antivirus dapat mengenal pasti ancaman yang tidak diketahui sebelum ini tanpa menggunakan tandatangan. Ketepatan pengesanan adalah setanding dengan analog tandatangan, tetapi tidak seperti mereka, ia menyediakan perlindungan proaktif, menghalang serangan sifar hari. Intercept X dapat berfungsi selari dengan antivirus tandatangan daripada vendor lain.

Dalam artikel ini, kami bercakap secara ringkas tentang konsep SynSec, yang dilaksanakan di Sophos Central, serta beberapa keupayaan penyelesaian ini. Kami akan menerangkan cara setiap komponen keselamatan diintegrasikan ke dalam Sophos Central berfungsi dalam artikel berikut. Anda boleh mendapatkan versi demo penyelesaian di sini.

Sumber: www.habr.com