Sinhronizirana varnost v Sophos Central

Za zagotavljanje visoke učinkovitosti orodij za informacijsko varnost igra povezava njegovih komponent pomembno vlogo. Omogoča vam pokrivanje ne le zunanjih, ampak tudi notranjih groženj. Pri načrtovanju omrežne infrastrukture je vsako varnostno orodje, naj bo protivirusni program ali požarni zid, pomembno, da ne deluje le znotraj svojega razreda (varnost končne točke ali NGFW), ampak ima tudi možnost interakcije med seboj za skupen boj proti grožnjam. .

Malo teorije

Ni presenetljivo, da so današnji kiberkriminalci postali bolj podjetni. Za širjenje zlonamerne programske opreme uporabljajo vrsto omrežnih tehnologij:

Lažno predstavljanje po e-pošti povzroči, da zlonamerna programska oprema prestopi prag vašega omrežja z znanimi napadi, bodisi zero-day napadi, ki jim sledi stopnjevanje privilegijev, bodisi stransko premikanje po omrežju. Če imate eno okuženo napravo, lahko to pomeni, da bi lahko vaše omrežje uporabili v korist napadalca.

V nekaterih primerih, ko je treba zagotoviti medsebojno delovanje komponent informacijske varnosti, pri izvajanju revizije informacijske varnosti trenutnega stanja sistema ni mogoče opisati z enim nizom ukrepov, ki so med seboj povezani. V večini primerov številne tehnološke rešitve, ki se osredotočajo na boj proti določeni vrsti grožnje, ne zagotavljajo integracije z drugimi tehnološkimi rešitvami. Izdelki za zaščito končne točke na primer uporabljajo analizo podpisa in vedenja, da ugotovijo, ali je datoteka okužena ali ne. Za zaustavitev zlonamernega prometa požarni zidovi uporabljajo druge tehnologije, ki vključujejo spletno filtriranje, IPS, peskovnik itd. Vendar v večini organizacij te komponente informacijske varnosti niso povezane med seboj in delujejo ločeno.

Trendi pri implementaciji tehnologije Heartbeat

Nov pristop k kibernetski varnosti vključuje zaščito na vseh ravneh, pri čemer so rešitve, ki se uporabljajo na vsaki ravni, povezane med seboj in lahko izmenjujejo informacije. To vodi do ustvarjanja Sunchronized Security (SynSec). SynSec predstavlja proces zagotavljanja informacijske varnosti kot enotnega sistema. V tem primeru je vsaka komponenta informacijske varnosti med seboj povezana v realnem času. Na primer, rešitev Sophos Central izvajajo po tem principu.

Tehnologija Security Heartbeat omogoča komunikacijo med varnostnimi komponentami, kar omogoča sistemsko sodelovanje in nadzor. IN Sophos Central integrirane so rešitve naslednjih razredov:

• Zaščita končnih točk — antivirus s klasičnim podpisom;
• Zaščita strežnik — specializiran protivirusni program za strežnike;
• Intercept-X – antivirus nove generacije (brez podpisov in s tehnologijami umetne inteligence);
• Požarni zid Sophos XG — Požarni zid naslednje generacije;
• Upravljanje mobilnosti (EMM) — upravljanje mobilnih naprav in nadzor dostopa do službene pošte in datotek;
• Zaščita podatkov (šifriranje);
• Varen WiFi — dostopne točke, upravljane tako iz oblaka kot lokalno prek Sophos UTM / Sophos XG;
• Spletna varnost — klasična rešitev za filtriranje spletnega prometa;
• Varnost e-pošte — rešitev v oblaku/lokalna zaščita pred neželeno pošto/protivirusna pošta;
• Phish Threat — ozaveščanje zaposlenih, izvajanje testnih lažnih pošiljanj;
• Cloud Optix — revizija infrastruktur v oblaku.

Preprosto je videti, da Sophos Central podpira precej široko paleto rešitev za informacijsko varnost. Koncept SynSec v podjetju Sophos Central temelji na treh pomembnih načelih: odkrivanje, analiza in odziv. Da bi jih podrobno opisali, se bomo ustavili pri vsakem od njih.

Koncepti SynSec

DETEKCIJA (odkrivanje neznanih groženj)
Izdelki Sophos, ki jih upravlja Sophos Central, samodejno izmenjujejo informacije med seboj za prepoznavanje tveganj in neznanih groženj, kar vključuje:

• analiza omrežnega prometa z možnostjo prepoznavanja visoko tveganih aplikacij in zlonamernega prometa;
• odkrivanje visoko tveganih uporabnikov s korelacijsko analizo njihovih spletnih dejanj.

ANALIZA (takojšnje in intuitivno)
Analiza incidentov v realnem času omogoča takojšnje razumevanje trenutne situacije v sistemu.

• Prikaže celotno verigo dogodkov, ki so privedli do incidenta, vključno z vsemi datotekami, registrskimi ključi, URL-ji itd.

ODZIV (samodejni odziv na incident)
Nastavitev varnostnih politik vam omogoča, da se samodejno odzovete na okužbe in incidente v nekaj sekundah. To je zagotovljeno:

• takojšnja izolacija okuženih naprav in zaustavitev napada v realnem času (tudi znotraj istega omrežja/oddajne domene);
• omejevanje dostopa do omrežnih virov podjetja za naprave, ki niso v skladu s pravilniki;
• na daljavo zažene pregled naprave, ko je zaznana odhodna neželena pošta.

Ogledali smo si glavna varnostna načela, na katerih temelji Sophos Central. Zdaj pa preidimo na opis, kako se tehnologija SynSec manifestira v akciji.

Od teorije do prakse

Najprej razložimo, kako naprave medsebojno delujejo po principu SynSec s tehnologijo Heartbeat. Prvi korak je registracija Sophos XG pri Sophos Central. Na tej stopnji prejme potrdilo za samoidentifikacijo, naslov IP in vrata, prek katerih bodo končne naprave komunicirale z njim s pomočjo tehnologije Heartbeat, kot tudi seznam ID-jev končnih naprav, ki jih upravlja Sophos Central in njihovih odjemalskih certifikatov.

Kmalu po tem, ko pride do registracije Sophos XG, bo Sophos Central poslal informacije končnim točkam za sprožitev interakcije Heartbeat:

• seznam overiteljev, ki se uporabljajo za izdajo potrdil Sophos XG;
• seznam ID-jev naprav, ki so registrirane pri Sophos XG;
• IP naslov in vrata za interakcijo s tehnologijo Heartbeat.

Te informacije so shranjene v računalniku na naslednji poti: %ProgramData%SophosHearbeatConfigHeartbeat.xml in se redno posodabljajo.

Komunikacija s tehnologijo Heartbeat poteka tako, da končna točka pošilja sporočila na čarobni naslov IP 52.5.76.173:8347 in nazaj. Med analizo je bilo ugotovljeno, da se paketi pošiljajo s časom 15 sekund, kot je navedel prodajalec. Omeniti velja, da sporočila Heartbeat obdeluje neposredno požarni zid XG - prestreže pakete in spremlja stanje končne točke. Če izvedete zajem paketov na gostitelju, bo videti, kot da promet komunicira z zunanjim naslovom IP, čeprav v resnici končna točka komunicira neposredno s požarnim zidom XG.

Recimo, da je zlonamerna aplikacija nekako prišla v vaš računalnik. Sophos Endpoint zazna ta napad ali pa prenehamo prejemati Heartbeat od tega sistema. Okužena naprava samodejno pošlje informacije o sistemu, ki je okužen, in sproži samodejno verigo dejanj. Požarni zid XG takoj izolira vaš računalnik in prepreči širjenje napada ter interakcijo s strežniki C&C.

Sophos Endpoint samodejno odstrani zlonamerno programsko opremo. Ko je odstranjena, se končna naprava sinhronizira s Sophos Centralom, nato pa požarni zid XG obnovi dostop do omrežja. Analiza temeljnega vzroka (RCA ali EDR – zaznavanje in odziv končne točke) vam omogoča, da dobite podrobno razumevanje, kaj se je zgodilo.

Ali je ob predpostavki, da se do virov podjetja dostopa prek mobilnih naprav in tablic, mogoče zagotoviti SynSec?

Sophos Central zagotavlja podporo za ta scenarij Sophos Mobile и Sophos Wireless. Recimo, da uporabnik poskuša kršiti varnostno politiko na mobilni napravi, zaščiteni s Sophos Mobile. Sophos Mobile zazna kršitev varnostne politike in pošlje obvestila preostalemu sistemu, kar sproži vnaprej konfiguriran odziv na incident. Če ima Sophos Mobile konfiguriran pravilnik »zavrni omrežno povezavo«, bo Sophos Wireless omejil dostop do omrežja za to napravo. Na nadzorni plošči Sophos Central pod zavihkom Sophos Wireless se prikaže obvestilo, ki označuje, da je naprava okužena. Ko uporabnik poskuša dostopati do omrežja, se na zaslonu pojavi pozdravni zaslon, ki ga obvešča, da je dostop do interneta omejen.

Končna točka ima več statusov srčnega utripa: rdeče, rumeno in zeleno.
Rdeče stanje se pojavi v naslednjih primerih:

• zaznana aktivna zlonamerna programska oprema;
• zaznan je bil poskus zagona zlonamerne programske opreme;
• zaznan zlonamerni omrežni promet;
• zlonamerna programska oprema ni bila odstranjena.

Rumeno stanje pomeni, da je končna točka zaznala neaktivno zlonamerno programsko opremo ali PUP (potencialno nezaželen program). Zeleno stanje pomeni, da nobena od zgornjih težav ni bila zaznana.

Ko smo si ogledali nekaj klasičnih scenarijev za interakcijo zaščitenih naprav s Sophos Central, preidimo na opis grafičnega vmesnika rešitve in pregled glavnih nastavitev in podprte funkcionalnosti.

Grafični vmesnik

Nadzorna plošča prikazuje najnovejša obvestila. V obliki diagramov je prikazan tudi povzetek različnih komponent zaščite. V tem primeru se prikažejo zbirni podatki o zaščiti osebnih računalnikov. Ta plošča ponuja tudi povzetek informacij o poskusih obiska nevarnih virov in virov z neprimerno vsebino ter statistiko analize e-pošte.

Sophos Central podpira prikaz obvestil glede na resnost, kar uporabniku preprečuje, da bi zamudil kritična varnostna opozorila. Poleg jedrnato prikazanega povzetka stanja varnostnega sistema Sophos Central podpira beleženje dogodkov in integracijo s sistemi SIEM. Za številna podjetja je Sophos Central platforma tako za notranji SOC kot za zagotavljanje storitev njihovim strankam - MSSP.

Ena od pomembnih funkcij je podpora za predpomnilnik posodobitev za odjemalce končne točke. To vam omogoča, da prihranite pasovno širino zunanjega prometa, saj se v tem primeru posodobitve enkrat prenesejo na enega od odjemalcev končne točke, nato pa druge končne točke prenesejo posodobitve z njega. Poleg opisane funkcije lahko izbrana končna točka posreduje sporočila varnostne politike in informacijska poročila v oblak Sophos. Ta funkcija bo uporabna, če obstajajo končne naprave, ki nimajo neposrednega dostopa do interneta, vendar potrebujejo zaščito. Sophos Central ponuja možnost (zaščita pred posegi), ki prepoveduje spreminjanje varnostnih nastavitev računalnika ali brisanje agenta končne točke.

Ena od komponent zaščite končne točke je antivirus nove generacije (NGAV) – Prestreči X. Z uporabo tehnologij globokega strojnega učenja je protivirusni program sposoben prepoznati prej neznane grožnje brez uporabe podpisov. Natančnost zaznavanja je primerljiva s podpisnimi analogi, vendar za razliko od njih zagotavlja proaktivno zaščito, ki preprečuje napade ničelnega dne. Intercept X lahko deluje vzporedno s protivirusnimi podpisi drugih proizvajalcev.

V tem članku smo na kratko spregovorili o konceptu SynSec, ki je implementiran v Sophos Central, kot tudi o nekaterih zmožnostih te rešitve. V naslednjih člankih bomo opisali, kako deluje vsaka od varnostnih komponent, integriranih v Sophos Central. Dobite lahko demo različico rešitve tukaj.

Vir: www.habr.com