Sigurtà sinkronizzata f'Sophos Central

Biex tiġi żgurata effiċjenza għolja tal-għodod tas-sigurtà tal-informazzjoni, il-konnessjoni tal-komponenti tagħha għandha rwol importanti. Jippermettilek tkopri mhux biss theddid estern, iżda wkoll intern. Meta tkun qed tiddisinja infrastruttura tan-netwerk, kull għodda ta' sigurtà, kemm jekk tkun antivirus jew firewall, hija importanti sabiex jaħdmu mhux biss fi ħdan il-klassi tagħhom (Endpoint security jew NGFW), iżda jkollhom ukoll il-kapaċità li jinteraġixxu ma' xulxin biex jiġġieldu flimkien it-theddid. .

Daqsxejn ta 'teorija

Mhix sorpriża li ċ-ċiberkriminali tal-lum saru aktar intraprenditorjali. Huma jużaw firxa ta' teknoloġiji tan-netwerk biex ixerrdu malware:

Il-phishing tal-email jikkawża li l-malware jaqsam il-limitu tan-netwerk tiegħek billi juża attakki magħrufa, jew attakki zero-day segwiti minn eskalazzjoni tal-privileġġ, jew moviment laterali fin-netwerk. Li jkollok apparat wieħed infettat jista' jfisser li n-netwerk tiegħek jista' jintuża għall-benefiċċju ta' attakkant.

F'xi każijiet, meta jkun meħtieġ li tiġi żgurata l-interazzjoni tal-komponenti tas-sigurtà tal-informazzjoni, meta ssir verifika tas-sigurtà tal-informazzjoni tal-istat attwali tas-sistema, mhux possibbli li tiġi deskritta bl-użu ta 'sett wieħed ta' miżuri li huma interkonnessi. Fil-biċċa l-kbira tal-każijiet, ħafna soluzzjonijiet teknoloġiċi li jiffokaw fuq il-ġlieda kontra tip speċifiku ta' theddida ma jipprovdux integrazzjoni ma' soluzzjonijiet teknoloġiċi oħra. Pereżempju, il-prodotti għall-protezzjoni tal-endpoint jużaw analiżi tal-firma u tal-imġieba biex jiddeterminaw jekk fajl huwiex infettat jew le. Biex iwaqqfu t-traffiku malizzjuż, il-firewalls jużaw teknoloġiji oħra, li jinkludu filtrazzjoni tal-web, IPS, sandboxing, eċċ. Madankollu, fil-biċċa l-kbira tal-organizzazzjonijiet dawn il-komponenti tas-sigurtà tal-informazzjoni mhumiex konnessi ma 'xulxin u joperaw b'mod iżolat.

Xejriet fl-implimentazzjoni tat-teknoloġija Heartbeat

L-approċċ il-ġdid għaċ-ċibersigurtà jinvolvi protezzjoni f’kull livell, bis-soluzzjonijiet użati f’kull livell konnessi ma’ xulxin u kapaċi jiskambjaw informazzjoni. Dan iwassal għall-ħolqien ta' Sunchronized Security (SynSec). SynSec jirrappreżenta l-proċess biex tiġi żgurata s-sigurtà tal-informazzjoni bħala sistema waħda. F'dan il-każ, kull komponent tas-sigurtà tal-informazzjoni huwa konness ma 'xulxin f'ħin reali. Per eżempju, is-soluzzjoni Sophos Ċentrali implimentati skond dan il-prinċipju.

It-teknoloġija Heartbeat tas-Sigurtà tippermetti l-komunikazzjoni bejn il-komponenti tas-sigurtà, li tippermetti kollaborazzjoni u monitoraġġ tas-sistema. IN Sophos Ċentrali soluzzjonijiet tal-klassijiet li ġejjin huma integrati:

• Protezzjoni tal-Endpoint — antivirus tal-firma klassika;
• Protezzjoni tas-Server — antivirus speċjalizzat għal servers;
• Interċetta-X – antivirus ta' ġenerazzjoni ġdida (mingħajr firem u b'teknoloġiji ta' intelliġenza artifiċjali);
• Sophos XG Firewall — Firewall tal-Ġenerazzjoni li jmiss;
• Ġestjoni tal-Mobilità (EMM) — ġestjoni ta' apparat mobbli u kontroll ta' aċċess għal posta u fajls korporattivi;
• Protezzjoni tad-Data (Encryption);
• Wi-Fi sigur — punti ta’ aċċess ġestiti kemm mill-cloud kif ukoll lokalment permezz ta’ Sophos UTM / Sophos XG;
• Sigurtà tal-Web — soluzzjoni klassika għall-iffiltrar tat-traffiku tal-web;
• Sigurtà tal-Email — sħaba/soluzzjoni lokali kontra l-ispam/antivirus;
• Theddida tal-Pish — iż-żieda fil-kuxjenza tal-impjegati, it-twettiq ta' test phishing mailings;
• Cloud Optix — verifika tal-infrastrutturi tal-cloud.

Huwa faċli li wieħed jara li Sophos Central jappoġġja firxa pjuttost wiesgħa ta' soluzzjonijiet ta' sigurtà tal-informazzjoni. F'Sophos Central, il-kunċett SynSec huwa bbażat fuq tliet prinċipji importanti: skoperta, analiżi u rispons. Biex niddeskrivuhom fid-dettall, se noqogħdu fuq kull wieħed minnhom.

Kunċetti SynSec

SKOPERTA (sejbien ta' theddid mhux magħruf)
Il-prodotti Sophos, immaniġġjati minn Sophos Central, awtomatikament jaqsmu l-informazzjoni ma’ xulxin biex jidentifikaw riskji u theddid mhux magħruf, li jinkludi:

• analiżi tat-traffiku tan-netwerk bil-kapaċità li tidentifika applikazzjonijiet ta 'riskju għoli u traffiku malizzjuż;
• sejbien ta' utenti ta' riskju għoli permezz ta' analiżi ta' korrelazzjoni tal-azzjonijiet tagħhom onlajn.

ANALIŻI (instant u intuwittiv)
Analiżi ta 'inċidenti f'ħin reali tipprovdi fehim immedjat tas-sitwazzjoni attwali fis-sistema.

• Turi l-katina sħiħa ta 'avvenimenti li wasslu għall-inċident, inklużi l-fajls kollha, ċwievet tar-reġistru, URLs, eċċ.

RISPONS (rispons awtomatiku għall-inċident)
It-twaqqif ta’ politiki ta’ sigurtà jippermettilek li tirrispondi awtomatikament għal infezzjonijiet u inċidenti fi ftit sekondi. Dan huwa żgurat:

• iżolament immedjat ta 'apparati infettati u twaqqaf l-attakk f'ħin reali (anke fl-istess netwerk/dominju tax-xandir);
• ir-restrizzjoni tal-aċċess għar-riżorsi tan-netwerk tal-kumpanija għal apparati li ma jikkonformawx mal-politiki;
• tniedi mill-bogħod skan tat-tagħmir meta jinstab spam ħierġa.

Ħarsa lejn il-prinċipji ewlenin tas-sigurtà li fuqhom hija bbażata Sophos Central. Issa ejja ngħaddu għal deskrizzjoni ta 'kif it-teknoloġija SynSec timmanifesta ruħha fl-azzjoni.

Mit-teorija għall-prattika

L-ewwel, ejja nispjegaw kif l-apparati jinteraġixxu bl-użu tal-prinċipju SynSec bl-użu tat-teknoloġija Heartbeat. L-ewwel pass huwa li tirreġistra Sophos XG ma' Sophos Central. F'dan l-istadju, jirċievi ċertifikat għall-awto-identifikazzjoni, indirizz IP u port li permezz tiegħu l-apparati finali se jinteraġixxu miegħu bl-użu tat-teknoloġija Heartbeat, kif ukoll lista ta 'IDs ta' apparati finali ġestiti permezz ta 'Sophos Central u ċ-ċertifikati tal-klijenti tagħhom.

Ftit wara li ssir ir-reġistrazzjoni ta' Sophos XG, Sophos Central se tibgħat informazzjoni lill-endpoints biex tibda interazzjoni Heartbeat:

• lista ta' awtoritajiet taċ-ċertifikat użati biex joħorġu ċ-ċertifikati Sophos XG;
• lista ta' IDs tat-tagħmir li huma rreġistrati ma' Sophos XG;
• Indirizz IP u port għall-interazzjoni bl-użu tat-teknoloġija Heartbeat.

Din l-informazzjoni hija maħżuna fuq il-kompjuter fil-mogħdija li ġejja: %ProgramData%SophosHearbeatConfigHeartbeat.xml u tiġi aġġornata regolarment.

Il-komunikazzjoni bl-użu tat-teknoloġija Heartbeat titwettaq mill-endpoint li jibgħat messaġġi lill-indirizz IP maġiku 52.5.76.173:8347 u lura. Matul l-analiżi, ġie żvelat li l-pakketti jintbagħtu b'perjodu ta '15-il sekonda, kif iddikjarat mill-bejjiegħ. Ta 'min jinnota li l-messaġġi Heartbeat huma pproċessati direttament mill-XG Firewall - jinterċetta pakketti u jimmonitorja l-istatus tal-endpoint. Jekk twettaq qbid ta 'pakketti fuq l-ospitant, it-traffiku jidher li qed jikkomunika mal-indirizz IP estern, għalkemm fil-fatt l-endpoint qed jikkomunika direttament mal-firewall XG.

Ejja ngħidu li applikazzjoni malizzjuża b'xi mod waslet fuq il-kompjuter tiegħek. Sophos Endpoint jiskopri dan l-attakk jew nieqfu nirċievu Heartbeat minn din is-sistema. Apparat infettat awtomatikament jibgħat informazzjoni dwar is-sistema li tkun qed tiġi infettata, u b'hekk iwassal għal katina awtomatika ta' azzjonijiet. XG Firewall iżola istantanjament il-kompjuter tiegħek, u jipprevjeni l-attakk milli jinfirex u jinteraġixxi mas-servers C&C.

Sophos Endpoint tneħħi awtomatikament il-malware. Ladarba titneħħa, l-apparat finali jissinkronizza ma' Sophos Central, imbagħad XG Firewall jerġa' jġib l-aċċess għan-netwerk. Root Cause Analysis (RCA jew EDR - Endpoint Detection and Response) tippermettilek li tikseb fehim dettaljat ta 'dak li ġara.

Jekk wieħed jassumi li r-riżorsi korporattivi huma aċċessati permezz ta 'apparat mobbli u tablets, huwa possibbli li jiġi pprovdut SynSec?

Sophos Central tipprovdi appoġġ għal dan ix-xenarju Sophos Mobile и Sophos Wireless. Ejja ngħidu li utent jipprova jikser il-politika tas-sigurtà fuq apparat mobbli protett b'Sophos Mobile. Sophos Mobile jiskopri ksur tal-politika tas-sigurtà u jibgħat notifiki lill-bqija tas-sistema, u b'hekk tiskatta rispons konfigurat minn qabel għall-inċident. Jekk Sophos Mobile għandha politika ta’ “ċaħda ta’ konnessjoni tan-netwerk” konfigurata, Sophos Wireless se tirrestrinġi l-aċċess għan-netwerk għal dan l-apparat. Notifika se tidher fid-dashboard tas-Sophos Ċentrali taħt it-tab tas-Sophos Wireless li tindika li l-apparat huwa infettat. Meta l-utent jipprova jaċċessa n-netwerk, se jidher splash screen fuq l-iskrin li jinfurmah li l-aċċess għall-Internet huwa limitat.

L-endpoint għandu diversi status ta' Heartbeat: aħmar, isfar u aħdar.
L-istatus aħmar iseħħ fil-każijiet li ġejjin:

• misjub malware attiv;
• ġie skopert tentattiv biex jitnieda malware;
• traffiku tan-netwerk malizzjuż misjub;
• il-malware ma tneħħiex.

Status isfar ifisser li l-endpoint skopra malware inattiv jew skopra PUP (programm potenzjalment mhux mixtieq). Status aħdar jindika li l-ebda waħda mill-problemi ta 'hawn fuq ma ġiet skoperta.

Wara li ħares lejn xi xenarji klassiċi għall-interazzjoni ta 'apparati protetti ma' Sophos Central, ejja ngħaddu għal deskrizzjoni tal-interface grafika tas-soluzzjoni u reviżjoni tas-settings ewlenin u l-funzjonalità appoġġjata.

Interfaċċja grafika

Il-pannell tal-kontroll juri l-aħħar notifiki. Sommarju tad-diversi komponenti ta 'protezzjoni jintwera wkoll fil-forma ta' dijagrammi. F'dan il-każ, tintwera data fil-qosor dwar il-protezzjoni tal-kompjuters personali. Dan il-panel jipprovdi wkoll informazzjoni fil-qosor dwar tentattivi biex iżuru riżorsi u riżorsi perikolużi b'kontenut mhux xieraq, u statistika tal-analiżi tal-email.

Sophos Central jappoġġja l-wiri ta’ notifiki skont is-severità, u jipprevjeni lill-utent milli jitlef twissijiet ta’ sigurtà kritiċi. Minbarra sommarju murija fil-qosor tal-istatus tas-sistema tas-sigurtà, Sophos Central jappoġġja l-illoggjar tal-avvenimenti u l-integrazzjoni mas-sistemi SIEM. Għal ħafna kumpaniji, Sophos Central hija pjattaforma kemm għas-SOC intern kif ukoll biex tipprovdi servizzi lill-klijenti tagħhom - MSSP.

Waħda mill-karatteristiċi importanti hija l-appoġġ għal cache ta 'aġġornament għall-klijenti endpoint. Dan jippermettilek tiffranka bandwidth fuq traffiku estern, peress li f'dan il-każ l-aġġornamenti jitniżżlu darba lil wieħed mill-klijenti tal-endpoints, u mbagħad endpoints oħra jniżżlu aġġornamenti minnu. Minbarra l-karatteristika deskritta, l-endpoint magħżul jista 'jittrasmetti messaġġi ta' politika ta 'sigurtà u rapporti ta' informazzjoni lill-sħab ta 'Sophos. Din il-funzjoni tkun utli jekk ikun hemm apparati finali li m'għandhomx aċċess dirett għall-Internet, iżda jeħtieġu protezzjoni. Sophos Central jipprovdi għażla (protezzjoni kontra t-tbagħbis) li tipprojbixxi t-tibdil tas-settings tas-sigurtà tal-kompjuter jew it-tħassir tal-aġent tal-endpoint.

Wieħed mill-komponenti tal-protezzjoni tal-endpoint huwa antivirus ta 'ġenerazzjoni ġdida (NGAV) - Interċetta X. Bl-użu ta 'teknoloġiji ta' tagħlim tal-magni fil-fond, l-antivirus huwa kapaċi jidentifika theddid qabel mhux magħruf mingħajr ma juża firem. L-eżattezza tas-sejbien hija komparabbli mal-analogi tal-firma, iżda b'differenza minnhom, tipprovdi protezzjoni proattiva, li tipprevjeni attakki zero-day. Intercept X huwa kapaċi jaħdem b'mod parallel ma 'antiviruses tal-firma minn bejjiegħa oħra.

F'dan l-artikolu, tkellimna fil-qosor dwar il-kunċett SynSec, li huwa implimentat f'Sophos Central, kif ukoll xi wħud mill-kapaċitajiet ta 'din is-soluzzjoni. Se niddeskrivu kif kull wieħed mill-komponenti tas-sigurtà integrati fis-Sophos Central jiffunzjona fl-artikoli li ġejjin. Tista 'tikseb verżjoni demo tas-soluzzjoni hawn.

Sors: www.habr.com