Om een hoge efficiëntie van informatiebeveiligingstools te garanderen, speelt de verbinding van de componenten ervan een belangrijke rol. Het stelt ons in staat niet alleen externe, maar ook interne bedreigingen te overwinnen. Bij het ontwerpen van een netwerkinfrastructuur is het belangrijk dat elk beveiligingshulpmiddel, of het nu een antivirusprogramma of firewall is, niet alleen binnen zijn klasse (Endpoint Security of NGFW) functioneert, maar ook met elkaar kan samenwerken om gezamenlijk bedreigingen te bestrijden.
Een beetje theorie
Het is geen verrassing dat cybercriminelen tegenwoordig ondernemender zijn geworden. Om malware te verspreiden, maken ze gebruik van een aantal netwerktechnologieën:
Een phishingcampagne via e-mail zorgt ervoor dat malware de drempel van uw netwerk overschrijdt via bekende aanvallen. Dit kunnen zero-day privilege escalation-aanvallen zijn of laterale verplaatsingen binnen het netwerk. Als u één geïnfecteerd apparaat heeft, kan uw netwerk worden misbruikt door een aanvaller.
In sommige gevallen is het, wanneer het nodig is de interactie van informatiebeveiligingscomponenten te verzekeren, bij het uitvoeren van een informatiebeveiligingsaudit van de huidige status van het systeem niet mogelijk om deze te beschrijven met behulp van één reeks onderling verbonden maatregelen. In de meeste gevallen bieden technologische oplossingen die gericht zijn op het bestrijden van een specifiek type bedreiging, geen integratie met andere technologische oplossingen. Endpoint security-producten gebruiken bijvoorbeeld handtekening- en gedragsanalyse om te bepalen of een bestand geïnfecteerd is of niet. Om schadelijk verkeer te stoppen, maken firewalls gebruik van andere technologieën, zoals webfiltering, IPS, sandboxing, enzovoort. In de meeste organisaties zijn deze onderdelen voor informatiebeveiliging echter niet met elkaar verbonden en werken ze geïsoleerd.
Trends in de implementatie van Heartbeat-technologie
De nieuwe aanpak van cyberbeveiliging omvat bescherming op elk niveau. De oplossingen die op elk niveau worden gebruikt, zijn met elkaar verbonden en kunnen informatie uitwisselen. Dit leidt tot de creatie van het Sunchronized Security (SynSec) systeem. SynSec is een proces om de informatiebeveiliging als één systeem te waarborgen. In dit geval zijn alle onderdelen van informatiebeveiliging in realtime met elkaar verbonden. Bijvoorbeeld de oplossing volgens dit principe uitgevoerd.
Met de Security Heartbeat-technologie is communicatie tussen beveiligingscomponenten mogelijk. Zo wordt gewaarborgd dat het systeem gezamenlijk functioneert en wordt bewaakt. IN De volgende klassen oplossingen zijn geïntegreerd:
- — klassieke handtekening antivirus;
- — gespecialiseerde antivirus voor servers;
- – antivirus van de volgende generatie (zonder handtekeningen en met kunstmatige intelligentietechnologieën);
- — Firewall van de volgende generatie;
- — het beheren van mobiele apparaten en het controleren van de toegang tot bedrijfsmail en -bestanden;
- ;
- — toegangspunten beheerd vanuit de cloud en lokaal via Sophos UTM / Sophos XG;
- — een klassieke oplossing voor het filteren van webverkeer;
- — cloud-/lokale anti-spam-/antivirusoplossing;
- — bewustmaking van medewerkers, uitvoeren van test-phishingmailings;
- — audit van cloudinfrastructuren.
Het is duidelijk dat Sophos Central een behoorlijk breed scala aan oplossingen op het gebied van informatiebeveiliging ondersteunt. Bij Sophos Central is het SynSec-concept gebaseerd op drie belangrijke principes: detectie, analyse en respons. Om ze gedetailleerd te beschrijven, gaan we dieper in op elk ervan.
SynSec-concepten
DETECTIE (identificatie van onbekende bedreigingen)
Door Sophos Central beheerde Sophos-producten delen automatisch informatie met elkaar om risico's en onbekende bedreigingen te identificeren, waaronder:
- netwerkverkeersanalyse met de mogelijkheid om risicovolle toepassingen en schadelijk verkeer te identificeren;
- Detectie van gebruikers met een hoog risico door correlatieanalyse van hun online-activiteiten.
ANALYSE (direct en intuïtief)
Realtime incidentanalyse biedt direct inzicht in de huidige situatie in het systeem.
- Geeft de volledige reeks gebeurtenissen weer die tot het incident hebben geleid, inclusief alle bestanden, registersleutels, URL's, enzovoort.
ANTWOORD (geautomatiseerde incidentrespons)
Door beveiligingsbeleid in te stellen, kunt u binnen enkele seconden automatisch reageren op infecties en incidenten. Dit wordt gewaarborgd door:
- onmiddellijke isolatie van geïnfecteerde apparaten en het stoppen van aanvallen in realtime (zelfs binnen hetzelfde netwerk/broadcastdomein);
- het beperken van de toegang tot de netwerkbronnen van het bedrijf voor apparaten die niet voldoen aan het beleid;
- Start op afstand een apparaatscan wanneer uitgaande spam wordt gedetecteerd.
We hebben de belangrijkste beveiligingsprincipes besproken waarop Sophos Central is gebaseerd. Laten we nu eens beschrijven hoe de SynSec-technologie in actie komt.
Van theorie naar praktijk
Laten we eerst uitleggen hoe de interactie tussen apparaten tot stand komt op basis van het SynSec-principe met behulp van Heartbeat-technologie. De eerste stap is het registreren van Sophos XG in Sophos Central. In deze fase ontvangt het een certificaat voor zelfidentificatie, een IP-adres en een poort waarmee eindpunten met behulp van Heartbeat-technologie kunnen communiceren, en een lijst met eindpunt-ID's die worden beheerd via Sophos Central en hun clientcertificaten.
Kort nadat Sophos XG is geregistreerd, stuurt Sophos Central eindpuntinformatie om Heartbeat-communicatie te starten:
- Lijst met certificeringsinstanties die Sophos XG-certificaten uitgeven;
- lijst met apparaat-ID's die geregistreerd zijn in Sophos XG;
- IP-adres en poort voor interactie met behulp van Heartbeat-technologie.
Deze informatie wordt op uw computer opgeslagen op het volgende pad: %ProgramData%SophosHearbeatConfigHeartbeat.xml en wordt regelmatig bijgewerkt.
Heartbeatcommunicatie wordt tot stand gebracht door berichten van het eindpunt naar het magische IP-adres 52.5.76.173:8347 en terug te sturen. Tijdens de analyse werd vastgesteld dat de pakketten met een tussenpoos van 15 seconden worden verzonden, zoals aangegeven door de leverancier. Het is belangrijk om te weten dat Heartbeat-berichten rechtstreeks door XG Firewall worden verwerkt. Deze onderschept pakketten en bewaakt de status van het eindpunt. Als u een pakketregistratie uitvoert op de host, lijkt het alsof het verkeer communiceert met een extern IP-adres, terwijl het eindpunt in werkelijkheid rechtstreeks communiceert met de XG-firewall.
Stel je voor dat er op de een of andere manier een schadelijke applicatie op je computer terecht is gekomen. Als Sophos Endpoint deze aanval detecteert, ontvangen we geen Heartbeats meer van dit systeem. Een geïnfecteerd apparaat verstuurt automatisch informatie over de systeeminfectie, waardoor een automatische keten van acties in gang wordt gezet. XG Firewall isoleert uw computer direct, waardoor de verspreiding van aanvallen en interactie met C&C-servers wordt voorkomen.
Sophos Endpoint verwijdert automatisch malware. Nadat het eindpuntapparaat is verwijderd, wordt het gesynchroniseerd met Sophos Central, waarna XG Firewall de netwerktoegang herstelt. Root Cause Analysis (RCA of EDR - Endpoint Detection and Response) biedt een gedetailleerd inzicht in wat er is gebeurd.
Ervan uitgaande dat bedrijfsbronnen toegankelijk zijn via mobiele apparaten en tablets, is het mogelijk om in dit geval SynSec te bieden?
Sophos Central biedt ondersteuning voor dit scenario. и . Stel dat een gebruiker probeert het beveiligingsbeleid te schenden op een mobiel apparaat dat beveiligd is door Sophos Mobile. Sophos Mobile detecteert een schending van het beveiligingsbeleid en stuurt meldingen naar de rest van het systeem. Hierdoor wordt een vooraf geconfigureerde incidentrespons geactiveerd. Als Sophos Mobile het beleid 'netwerkverbinding weigeren' heeft ingesteld, beperkt Sophos Wireless de netwerktoegang voor dat apparaat. In het Sophos Central-dashboard wordt op het tabblad Sophos Wireless een melding weergegeven dat uw apparaat is geïnfecteerd. Wanneer de gebruiker toegang tot het netwerk probeert te krijgen, verschijnt er een welkomstscherm met de melding dat de internettoegang beperkt is.
Het eindpunt heeft meerdere Heartbeat-statussen: rood, geel en groen.
De rode status treedt op in de volgende gevallen:
- actieve malware gedetecteerd;
- Er is een poging tot het starten van malware gedetecteerd;
- kwaadaardig netwerkverkeer gedetecteerd;
- De malware is niet verwijderd.
De gele status betekent dat er inactieve malware of een PUP (potentieel ongewenst programma) op het eindpunt is gedetecteerd. De groene status geeft aan dat geen van de bovenstaande problemen zijn gedetecteerd.
Nadat we enkele klassieke scenario's van interactie tussen beveiligde apparaten en Sophos Central hebben besproken, gaan we verder met een beschrijving van de grafische interface van de oplossing en een onderzoek naar de belangrijkste instellingen en ondersteunde functionaliteit.
Grafische interface
Op het bedieningspaneel worden de laatste meldingen weergegeven. Tevens worden in diagramvorm een samenvatting van de kenmerken van de verschillende beschermingscomponenten weergegeven. In dit geval worden samenvattende gegevens over de beveiliging van personal computers weergegeven. Dit paneel biedt ook samenvattende informatie over pogingen om gevaarlijke bronnen en bronnen met ongepaste inhoud te bezoeken, en statistieken over e-mailanalyse.
Sophos Central ondersteunt het weergeven van meldingen op basis van ernst. Zo voorkomt u dat de gebruiker belangrijke beveiligingswaarschuwingen mist. Naast de beknopt weergegeven samenvattende informatie over de status van het beveiligingssysteem, ondersteunt Sophos Central gebeurtenisregistratie en integratie met SIEM-systemen. Voor veel bedrijven is Sophos Central een platform voor zowel het interne SOC als voor het leveren van diensten aan hun klanten (MSSP's).
Een van de belangrijke functies is de ondersteuning voor een updatecache voor eindpuntclients. Hiermee kunt u externe bandbreedte voor verkeer besparen, omdat updates in dit geval één keer naar een van de eindpuntclients worden gedownload en andere eindapparaten de updates vervolgens daarvandaan downloaden. Naast de beschreven mogelijkheden kan het geselecteerde eindpunt beveiligingsbeleidberichten en informatierapporten doorsturen naar de Sophos-cloud. Deze functie is handig als er eindapparaten zijn die geen directe toegang tot internet hebben, maar wel bescherming nodig hebben. Sophos Central heeft een optie (manipulatiebeveiliging) waarmee het wijzigen van de beveiligingsinstellingen van de computer en het verwijderen van de eindpuntagent worden voorkomen.
Een van de componenten van endpoint protection is de next-generation antivirus (NGAV) — . Met behulp van diepgaande machine learning-technologieën kan het antivirusprogramma voorheen onbekende bedreigingen detecteren zonder gebruik te maken van handtekeningen. De detectienauwkeurigheid is vergelijkbaar met die van analoge handtekeningen, maar in tegenstelling tot deze biedt het proactieve bescherming en voorkomt het zero-day-aanvallen. Intercept X kan parallel werken met antivirusprogramma's van andere leveranciers.
In dit artikel beschrijven we kort het SynSec-concept dat in Sophos Central is geïmplementeerd, evenals enkele mogelijkheden van deze oplossing. In de volgende artikelen leggen we uit hoe elk van de in Sophos Central geïntegreerde beschermingscomponenten functioneert. U kunt een demoversie van de oplossing krijgen .
Bron: www.habr.com
