Zsynchronizowane bezpieczeństwo w Sophos Central

Aby zapewnić wysoką skuteczność narzędzi bezpieczeństwa informacji, ważną rolę odgrywa połączenie ich elementów. Umożliwia ochronę nie tylko przed zagrożeniami zewnętrznymi, ale także wewnętrznymi. Projektując infrastrukturę sieciową, każde narzędzie bezpieczeństwa, czy to antywirus, czy firewall, jest ważne, aby funkcjonowało nie tylko w ramach swojej klasy (Endpoint security, czyli NGFW), ale także miało możliwość interakcji ze sobą w celu wspólnego zwalczania zagrożeń .

Trochę teorii

Nic dziwnego, że dzisiejsi cyberprzestępcy stali się bardziej przedsiębiorczy. Wykorzystują szereg technologii sieciowych do rozprzestrzeniania złośliwego oprogramowania:

Wyłudzanie wiadomości e-mail powoduje, że złośliwe oprogramowanie przekracza próg Twojej sieci przy użyciu znanych ataków – albo ataków dnia zerowego, po których następuje eskalacja uprawnień, albo bocznego ruchu w sieci. Posiadanie jednego zainfekowanego urządzenia może oznaczać, że Twoja sieć może zostać wykorzystana na korzyść osoby atakującej.

W niektórych przypadkach, gdy konieczne jest zapewnienie współdziałania elementów bezpieczeństwa informacji, przeprowadzając audyt bezpieczeństwa informacji bieżącego stanu systemu, nie jest możliwe opisanie go za pomocą jednego zestawu wzajemnie powiązanych mierników. W większości przypadków wiele rozwiązań technologicznych skupiających się na zwalczaniu określonego rodzaju zagrożeń nie zapewnia integracji z innymi rozwiązaniami technologicznymi. Na przykład produkty do ochrony punktów końcowych korzystają z analizy sygnatur i zachowania, aby określić, czy plik jest zainfekowany, czy nie. Aby zatrzymać złośliwy ruch, zapory sieciowe wykorzystują inne technologie, które obejmują filtrowanie sieci, IPS, sandboxing itp. Jednak w większości organizacji te komponenty bezpieczeństwa informacji nie są ze sobą połączone i działają w izolacji.

Trendy we wdrażaniu technologii Heartbeat

Nowe podejście do cyberbezpieczeństwa zakłada ochronę na każdym poziomie, a stosowane na każdym poziomie rozwiązania są ze sobą powiązane i zdolne do wymiany informacji. Prowadzi to do powstania Sunchronized Security (SynSec). SynSec reprezentuje proces zapewnienia bezpieczeństwa informacji jako jeden system. W tym przypadku każdy element bezpieczeństwa informacji jest ze sobą połączony w czasie rzeczywistym. Na przykład rozwiązanie Centrum Sophos realizowane zgodnie z tą zasadą.

Technologia Security Heartbeat umożliwia komunikację pomiędzy komponentami bezpieczeństwa, umożliwiając współpracę i monitorowanie systemu. W Centrum Sophos integrowane są rozwiązania następujących klas:

• Ochrona punktów końcowych — klasyczny antywirus sygnowany;
• Protection Server — specjalistyczny program antywirusowy dla serwerów;
• Przechwytywanie-X – antywirus nowej generacji (bez sygnatur i z technologiami sztucznej inteligencji);
• Zapora Sophos XG — Zapora ogniowa nowej generacji;
• Zarządzanie mobilnością (EMM) — zarządzanie urządzeniami mobilnymi i kontrola dostępu do poczty i plików firmowych;
• Ochrona danych (szyfrowanie);
• Bezpieczne Wi-Fi — punkty dostępowe zarządzane zarówno z chmury, jak i lokalnie poprzez Sophos UTM / Sophos XG;
• Bezpieczeństwo sieci — klasyczne rozwiązanie do filtrowania ruchu sieciowego;
• Bezpieczeństwo poczty elektronicznej — rozwiązanie antyspamowe/antywirusowe w chmurze/lokalne;
• Zagrożenie rybami — podnoszenie świadomości pracowników, prowadzenie testowych mailingów phishingowych;
• Chmura Optix — audyt infrastruktury chmurowej.

Łatwo zauważyć, że Sophos Central obsługuje dość szeroką gamę rozwiązań z zakresu bezpieczeństwa informacji. W Sophos Central koncepcja SynSec opiera się na trzech ważnych zasadach: wykrywaniu, analizie i reagowaniu. Aby je szczegółowo opisać, zatrzymamy się nad każdym z nich.

Koncepcje SynSec

WYKRYCIE (wykrywanie nieznanych zagrożeń)
Produkty Sophos, zarządzane przez Sophos Central, automatycznie wymieniają między sobą informacje w celu identyfikacji ryzyk i nieznanych zagrożeń, co obejmuje:

• analiza ruchu sieciowego z możliwością identyfikacji aplikacji wysokiego ryzyka i szkodliwego ruchu;
• wykrywanie użytkowników wysokiego ryzyka poprzez analizę korelacji ich działań w Internecie.

ANALIZA (natychmiastowy i intuicyjny)
Analiza incydentów w czasie rzeczywistym zapewnia natychmiastowe zrozumienie aktualnej sytuacji w systemie.

• Wyświetla pełny łańcuch zdarzeń, który doprowadził do zdarzenia, w tym wszystkie pliki, klucze rejestru, adresy URL itp.

ODPOWIEDŹ (automatyczna reakcja na incydent)
Konfigurowanie zasad bezpieczeństwa pozwala automatycznie reagować na infekcje i incydenty w ciągu kilku sekund. Jest to zapewnione:

• natychmiastowa izolacja zainfekowanych urządzeń i zatrzymanie ataku w czasie rzeczywistym (nawet w tej samej sieci/domenie rozgłoszeniowej);
• ograniczanie dostępu do zasobów sieci firmowej dla urządzeń niezgodnych z politykami;
• zdalnie uruchomić skanowanie urządzenia w przypadku wykrycia spamu wychodzącego.

Przyjrzeliśmy się głównym zasadom bezpieczeństwa, na których opiera się Sophos Central. Przejdźmy teraz do opisu tego jak technologia SynSec objawia się w działaniu.

Od teorii do praktyki

Najpierw wyjaśnijmy, w jaki sposób urządzenia współdziałają, korzystając z zasady SynSec i technologii Heartbeat. Pierwszym krokiem jest rejestracja Sophos XG w Sophos Central. Na tym etapie otrzymuje certyfikat umożliwiający samoidentyfikację, adres IP oraz port, przez który urządzenia końcowe będą z nim współdziałać przy wykorzystaniu technologii Heartbeat, a także listę identyfikatorów urządzeń końcowych zarządzanych poprzez Sophos Central oraz ich certyfikaty klienckie.

Krótko po zarejestrowaniu Sophos XG, Sophos Central wyśle ​​informacje do punktów końcowych w celu zainicjowania interakcji Heartbeat:

• lista urzędów certyfikacji wykorzystywanych do wydawania certyfikatów Sophos XG;
• lista identyfikatorów urządzeń zarejestrowanych w Sophos XG;
• Adres IP i port do interakcji z wykorzystaniem technologii Heartbeat.

Informacje te są przechowywane na komputerze w następującej ścieżce: %ProgramData%SophosHearbeatConfigHeartbeat.xml i są regularnie aktualizowane.

Komunikacja wykorzystująca technologię Heartbeat realizowana jest poprzez punkt końcowy wysyłający komunikaty na magiczny adres IP 52.5.76.173:8347 i z powrotem. Podczas analizy okazało się, że zgodnie ze stwierdzeniem dostawcy pakiety są wysyłane w odstępie 15 sekund. Warto zaznaczyć, że komunikaty Heartbeat przetwarzane są bezpośrednio przez XG Firewall – przechwytuje on pakiety i monitoruje stan punktu końcowego. Jeśli przechwytujesz pakiety na hoście, będzie wyglądało na to, że ruch komunikuje się z zewnętrznym adresem IP, chociaż w rzeczywistości punkt końcowy komunikuje się bezpośrednio z zaporą XG.

Załóżmy, że złośliwa aplikacja w jakiś sposób dostała się na Twój komputer. Sophos Endpoint wykryje ten atak lub przestaniemy otrzymywać Heartbeat z tego systemu. Zainfekowane urządzenie automatycznie wysyła informację o zainfekowaniu systemu, uruchamiając automatyczny łańcuch działań. XG Firewall natychmiast izoluje Twój komputer, zapobiegając rozprzestrzenianiu się ataku i interakcjom z serwerami C&C.

Sophos Endpoint automatycznie usuwa złośliwe oprogramowanie. Po jego usunięciu urządzenie końcowe synchronizuje się z Sophos Central, po czym XG Firewall przywraca dostęp do sieci. Analiza przyczyn źródłowych (RCA lub EDR – wykrywanie i reakcja punktu końcowego) pozwala uzyskać szczegółowe zrozumienie tego, co się stało.

Czy zakładając, że dostęp do zasobów korporacyjnych odbywa się za pośrednictwem urządzeń mobilnych i tabletów, możliwe jest zapewnienie SynSec?

Sophos Central zapewnia wsparcie dla tego scenariusza Sophos Mobile и Bezprzewodowe Sophos. Załóżmy, że użytkownik próbuje złamać zasady bezpieczeństwa na urządzeniu mobilnym chronionym przez Sophos Mobile. Sophos Mobile wykrywa naruszenie polityki bezpieczeństwa i wysyła powiadomienia do reszty systemu, uruchamiając wstępnie skonfigurowaną reakcję na incydent. Jeśli w Sophos Mobile skonfigurowana jest polityka „odmowy połączenia sieciowego”, Sophos Wireless ograniczy dostęp do sieci dla tego urządzenia. W panelu kontrolnym Sophos Central, w zakładce Sophos Wireless, pojawi się powiadomienie wskazujące, że urządzenie jest zainfekowane. Gdy użytkownik spróbuje uzyskać dostęp do sieci, na ekranie pojawi się ekran powitalny informujący go, że dostęp do Internetu jest ograniczony.

Punkt końcowy ma kilka stanów pulsu: czerwony, żółty i zielony.
Stan czerwony występuje w następujących przypadkach:

• wykryto aktywne złośliwe oprogramowanie;
• wykryto próbę uruchomienia złośliwego oprogramowania;
• wykryto złośliwy ruch sieciowy;
• złośliwe oprogramowanie nie zostało usunięte.

Żółty status oznacza, że ​​punkt końcowy wykrył nieaktywne złośliwe oprogramowanie lub wykrył PUP (potencjalnie niechciany program). Stan zielony oznacza, że ​​nie wykryto żadnego z powyższych problemów.

Po zapoznaniu się z klasycznymi scenariuszami interakcji chronionych urządzeń z Sophos Central przejdźmy do opisu interfejsu graficznego rozwiązania oraz przeglądu głównych ustawień i obsługiwanych funkcjonalności.

Interfejs graficzny

W panelu sterowania wyświetlane są najnowsze powiadomienia. Zestawienie różnych elementów ochrony jest również wyświetlane w formie diagramów. W takim przypadku wyświetlane są zbiorcze dane dotyczące ochrony komputerów osobistych. Panel ten udostępnia także podsumowanie informacji o próbach odwiedzenia niebezpiecznych zasobów i zasobów z niewłaściwą treścią oraz statystyki analizy wiadomości e-mail.

Sophos Central obsługuje wyświetlanie powiadomień według ważności, zapobiegając przeoczeniu przez użytkownika krytycznych alertów bezpieczeństwa. Oprócz zwięźle wyświetlanego podsumowania stanu systemu bezpieczeństwa, Sophos Central obsługuje rejestrację zdarzeń i integrację z systemami SIEM. Dla wielu firm Sophos Central jest platformą zarówno wewnętrznego SOC, jak i świadczenia usług dla swoich klientów – MSSP.

Jedną z ważnych funkcji jest obsługa pamięci podręcznej aktualizacji dla klientów końcowych. Pozwala to zaoszczędzić przepustowość ruchu zewnętrznego, ponieważ w tym przypadku aktualizacje są pobierane jednorazowo do jednego z klientów końcowych, a następnie inne punkty końcowe pobierają z niego aktualizacje. Oprócz opisanej funkcji wybrany punkt końcowy może przekazywać komunikaty polityki bezpieczeństwa i raporty informacyjne do chmury Sophos. Funkcja ta przyda się w przypadku, gdy istnieją urządzenia końcowe, które nie mają bezpośredniego dostępu do Internetu, ale wymagają ochrony. Sophos Central udostępnia opcję (ochronę przed manipulacją), która zabrania zmiany ustawień zabezpieczeń komputera lub usunięcia agenta punktu końcowego.

Jednym z elementów ochrony punktów końcowych jest antywirus nowej generacji (NGAV) - Przechwyć X. Wykorzystując technologie głębokiego uczenia maszynowego, antywirus jest w stanie identyfikować nieznane wcześniej zagrożenia bez użycia sygnatur. Dokładność wykrywania jest porównywalna z analogami sygnatur, ale w przeciwieństwie do nich zapewnia proaktywną ochronę, zapobiegając atakom dnia zerowego. Intercept X może współpracować równolegle z sygnowanymi programami antywirusowymi innych dostawców.

W tym artykule pokrótce omówiliśmy koncepcję SynSec, która jest zaimplementowana w Sophos Central, a także niektóre możliwości tego rozwiązania. W kolejnych artykułach opiszemy działanie każdego z komponentów bezpieczeństwa zintegrowanych z Sophos Central. Możesz otrzymać wersję demonstracyjną rozwiązania tutaj.

Źródło: www.habr.com