For å sikre høy effektivitet av informasjonssikkerhetsverktøy, spiller tilkoblingen av komponentene en viktig rolle. Den lar deg dekke ikke bare eksterne, men også interne trusler. Når du designer en nettverksinfrastruktur, er hvert sikkerhetsverktøy, det være seg et antivirus eller en brannmur, viktig slik at de ikke bare fungerer innenfor sin klasse (Endpoint security eller NGFW), men også har evnen til å samhandle med hverandre for i fellesskap å bekjempe trusler. .
Litt teori
Det er ingen overraskelse at dagens nettkriminelle har blitt mer gründer. De bruker en rekke nettverksteknologier for å spre skadelig programvare:
E-post-phishing får skadelig programvare til å krysse terskelen til nettverket ditt ved hjelp av kjente angrep, enten nulldagers angrep etterfulgt av rettighetseskalering, eller sideveis bevegelse gjennom nettverket. Å ha én infisert enhet kan bety at nettverket ditt kan brukes til fordel for en angriper.
I noen tilfeller, når det er nødvendig å sikre samspillet mellom informasjonssikkerhetskomponenter, når du utfører en informasjonssikkerhetsrevisjon av den nåværende tilstanden til systemet, er det ikke mulig å beskrive det ved å bruke et enkelt sett med tiltak som er sammenkoblet. I de fleste tilfeller gir mange teknologiløsninger som fokuserer på å motvirke en bestemt type trussel ikke integrasjon med andre teknologiløsninger. For eksempel bruker endepunktbeskyttelsesprodukter signatur- og atferdsanalyse for å avgjøre om en fil er infisert eller ikke. For å stoppe ondsinnet trafikk bruker brannmurer andre teknologier, som inkluderer nettfiltrering, IPS, sandboxing, etc. I de fleste organisasjoner er imidlertid disse informasjonssikkerhetskomponentene ikke koblet til hverandre og fungerer isolert.
Trender i implementeringen av Heartbeat-teknologi
Den nye tilnærmingen til cybersikkerhet innebærer beskyttelse på alle nivåer, med løsningene som brukes på hvert nivå koblet til hverandre og i stand til å utveksle informasjon. Dette fører til opprettelsen av Sunchronized Security (SynSec). SynSec representerer prosessen med å sikre informasjonssikkerhet som et enkelt system. I dette tilfellet er hver informasjonssikkerhetskomponent koblet til hverandre i sanntid. For eksempel løsningen implementert etter dette prinsippet.
Sikkerhet Heartbeat-teknologi muliggjør kommunikasjon mellom sikkerhetskomponenter, noe som muliggjør systemsamarbeid og overvåking. I løsninger av følgende klasser er integrert:
- - klassisk signatur antivirus;
- - spesialisert antivirus for servere;
- – ny generasjon antivirus (uten signaturer og med kunstig intelligens-teknologier);
- — Neste generasjons brannmur;
- — administrasjon av mobilenheter og tilgangskontroll til bedriftspost og filer;
- ;
- — tilgangspunkter administrert både fra skyen og lokalt via Sophos UTM / Sophos XG;
- — en klassisk løsning for filtrering av nettrafikk;
- — sky/lokal anti-spam/antivirusløsning;
- — bevisstgjøring av ansatte, gjennomføring av test-phishing-utsendelser;
- — revisjon av skyinfrastrukturer.
Det er lett å se at Sophos Central støtter et ganske bredt spekter av informasjonssikkerhetsløsninger. Hos Sophos Central er SynSec-konseptet basert på tre viktige prinsipper: deteksjon, analyse og respons. For å beskrive dem i detalj, vil vi dvele ved hver av dem.
SynSec-konsepter
GJENKJENNING (deteksjon av ukjente trusler)
Sophos-produkter, administrert av Sophos Central, deler automatisk informasjon med hverandre for å identifisere risikoer og ukjente trusler, som inkluderer:
- nettverkstrafikkanalyse med muligheten til å identifisere høyrisikoapplikasjoner og ondsinnet trafikk;
- oppdagelse av høyrisikobrukere gjennom korrelasjonsanalyse av deres online handlinger.
ANALYSE (umiddelbar og intuitiv)
Sanntidshendelsesanalyse gir umiddelbar forståelse av den nåværende situasjonen i systemet.
- Viser hele kjeden av hendelser som førte til hendelsen, inkludert alle filer, registernøkler, URL-er osv.
RESPONS (automatisk hendelsesreaksjon)
Ved å sette opp sikkerhetspolicyer kan du automatisk svare på infeksjoner og hendelser i løpet av sekunder. Dette er sikret:
- øyeblikkelig isolering av infiserte enheter og stopp av angrepet i sanntid (selv innenfor samme nettverk/kringkastingsdomene);
- begrense tilgangen til selskapets nettverksressurser for enheter som ikke overholder retningslinjene;
- fjernstart en enhetsskanning når utgående spam oppdages.
Vi har sett på hovedsikkerhetsprinsippene som Sophos Central bygger på. La oss nå gå videre til en beskrivelse av hvordan SynSec-teknologien manifesterer seg i handling.
Fra teori til praksis
La oss først forklare hvordan enheter samhandler ved hjelp av SynSec-prinsippet ved hjelp av Heartbeat-teknologi. Det første trinnet er å registrere Sophos XG hos Sophos Central. På dette stadiet mottar han et sertifikat for selvidentifikasjon, en IP-adresse og port som sluttenheter vil samhandle med ham ved hjelp av Heartbeat-teknologi, samt en liste over IDer for sluttenheter administrert gjennom Sophos Central og deres klientsertifikater.
Kort tid etter at Sophos XG-registrering skjer, vil Sophos Central sende informasjon til endepunkter for å starte en Heartbeat-interaksjon:
- liste over sertifikatmyndigheter som brukes til å utstede Sophos XG-sertifikater;
- en liste over enhets-IDer som er registrert hos Sophos XG;
- IP-adresse og port for interaksjon ved hjelp av Heartbeat-teknologi.
Denne informasjonen lagres på datamaskinen i følgende bane: %ProgramData%SophosHearbeatConfigHeartbeat.xml og oppdateres jevnlig.
Kommunikasjon ved hjelp av Heartbeat-teknologi utføres ved at endepunktet sender meldinger til den magiske IP-adressen 52.5.76.173:8347 og tilbake. Under analysen ble det avdekket at pakker sendes med en periode på 15 sekunder, som oppgitt av leverandøren. Det er verdt å merke seg at Heartbeat-meldinger behandles direkte av XG Firewall - den fanger opp pakker og overvåker statusen til endepunktet. Hvis du utfører pakkefangst på verten, vil trafikken se ut til å kommunisere med den eksterne IP-adressen, selv om endepunktet faktisk kommuniserer direkte med XG-brannmuren.
Anta at et ondsinnet program på en eller annen måte har kommet inn på datamaskinen din. Sophos Endpoint oppdager dette angrepet, eller vi slutter å motta Heartbeat fra dette systemet. En infisert enhet sender automatisk informasjon om systemet som blir infisert, og utløser en automatisk handlingskjede. XG Firewall isolerer umiddelbart datamaskinen din, og hindrer angrepet i å spre seg og samhandle med C&C-servere.
Sophos Endpoint fjerner automatisk skadelig programvare. Når den er fjernet, synkroniseres sluttenheten med Sophos Central, deretter gjenoppretter XG Firewall tilgang til nettverket. Root Cause Analysis (RCA eller EDR - Endpoint Detection and Response) lar deg få en detaljert forståelse av hva som skjedde.
Forutsatt at bedriftens ressurser er tilgjengelig via mobile enheter og nettbrett, er det mulig å tilby SynSec?
Sophos Central gir støtte for dette scenariet и . La oss si at en bruker prøver å bryte sikkerhetspolitikken på en mobilenhet som er beskyttet med Sophos Mobile. Sophos Mobile oppdager et sikkerhetsbrudd og sender varsler til resten av systemet, og utløser et forhåndskonfigurert svar på hendelsen. Hvis Sophos Mobile har en "nekt nettverkstilkobling"-policy konfigurert, vil Sophos Wireless begrense nettverkstilgangen for denne enheten. Et varsel vil vises i Sophos Central-dashbordet under Sophos Wireless-fanen som indikerer at enheten er infisert. Når brukeren prøver å få tilgang til nettverket, vises en splash-skjerm på skjermen som informerer dem om at Internett-tilgangen er begrenset.
Endepunktet har flere hjerteslagstatuser: rød, gul og grønn.
Rød status oppstår i følgende tilfeller:
- aktiv skadelig programvare oppdaget;
- et forsøk på å starte skadelig programvare ble oppdaget;
- ondsinnet nettverkstrafikk oppdaget;
- skadelig programvare ble ikke fjernet.
En gul status betyr at endepunktet har oppdaget inaktiv skadelig programvare eller har oppdaget en PUP (potensielt uønsket program). En grønn status indikerer at ingen av problemene ovenfor har blitt oppdaget.
Etter å ha sett på noen klassiske scenarier for samspillet mellom beskyttede enheter og Sophos Central, la oss gå videre til en beskrivelse av det grafiske grensesnittet til løsningen og en gjennomgang av hovedinnstillingene og støttet funksjonalitet.
Grafisk grensesnitt
Kontrollpanelet viser de siste varslene. En oppsummering av de ulike beskyttelseskomponentene vises også i form av diagrammer. I dette tilfellet vises sammendragsdata om beskyttelse av personlige datamaskiner. Dette panelet gir også sammendragsinformasjon om forsøk på å besøke farlige ressurser og ressurser med upassende innhold, og e-postanalysestatistikk.
Sophos Central støtter visning av varsler etter alvorlighetsgrad, og forhindrer at brukeren går glipp av kritiske sikkerhetsvarsler. I tillegg til en kortfattet oppsummering av statusen til sikkerhetssystemet, støtter Sophos Central hendelseslogging og integrasjon med SIEM-systemer. For mange bedrifter er Sophos Central en plattform for både intern SOC og for å levere tjenester til sine kunder – MSSP.
En av de viktige funksjonene er støtte for en oppdateringsbuffer for endepunktklienter. Dette lar deg spare båndbredde på ekstern trafikk, siden oppdateringer i dette tilfellet lastes ned én gang til en av endepunktklientene, og deretter laster andre endepunkter ned oppdateringer fra den. I tillegg til den beskrevne funksjonen, kan det valgte endepunktet videresende sikkerhetspolicymeldinger og informasjonsrapporter til Sophos-skyen. Denne funksjonen vil være nyttig hvis det er sluttenheter som ikke har direkte tilgang til Internett, men som krever beskyttelse. Sophos Central gir et alternativ (sabotasjebeskyttelse) som forbyr endring av datamaskinens sikkerhetsinnstillinger eller sletting av endepunktagenten.
En av komponentene i endepunktsbeskyttelse er en ny generasjons antivirus (NGAV) - . Ved å bruke dype maskinlæringsteknologier er antiviruset i stand til å identifisere tidligere ukjente trusler uten å bruke signaturer. Deteksjonsnøyaktigheten er sammenlignbar med signaturanaloger, men i motsetning til dem gir den proaktiv beskyttelse, og forhindrer nulldagsangrep. Intercept X er i stand til å jobbe parallelt med signatur-antivirus fra andre leverandører.
I denne artikkelen snakket vi kort om SynSec-konseptet, som er implementert i Sophos Central, samt noen av mulighetene til denne løsningen. Vi vil beskrive hvordan hver av sikkerhetskomponentene integrert i Sophos Central fungerer i de følgende artiklene. Du kan få en demoversjon av løsningen .
Kilde: www.habr.com