Për të siguruar efikasitet të lartë të mjeteve të sigurisë së informacionit, lidhja e komponentëve të tij luan një rol të rëndësishëm. Kjo ju lejon të mbuloni jo vetëm kërcënimet e jashtme, por edhe të brendshme. Kur dizajnoni një infrastrukturë rrjeti, çdo mjet sigurie, qoftë një antivirus ose një mur zjarri, është i rëndësishëm në mënyrë që ata të funksionojnë jo vetëm brenda klasës së tyre (Endpoint siguria ose NGFW), por gjithashtu të kenë aftësinë për të bashkëvepruar me njëri-tjetrin për të luftuar së bashku kërcënimet. .
Pak teori
Nuk është çudi që kriminelët e sotëm kibernetikë janë bërë më sipërmarrës. Ata përdorin një sërë teknologjish të rrjetit për të përhapur malware:
Fishimi me email bën që malware të kalojë pragun e rrjetit tuaj duke përdorur sulme të njohura, ose sulme zero-ditore të ndjekura nga përshkallëzimi i privilegjeve ose lëvizje anësore përmes rrjetit. Të kesh një pajisje të infektuar mund të nënkuptojë se rrjeti yt mund të përdoret për të mirën e një sulmuesi.
Në disa raste, kur është e nevojshme të sigurohet ndërveprimi i komponentëve të sigurisë së informacionit, kur kryhet një auditim i sigurisë së informacionit të gjendjes aktuale të sistemit, nuk është e mundur të përshkruhet ai duke përdorur një grup të vetëm masash që janë të ndërlidhura. Në shumicën e rasteve, shumë zgjidhje teknologjike që fokusohen në përballimin e një lloji specifik kërcënimi nuk ofrojnë integrim me zgjidhje të tjera teknologjike. Për shembull, produktet e mbrojtjes së pikës fundore përdorin nënshkrimin dhe analizën e sjelljes për të përcaktuar nëse një skedar është i infektuar apo jo. Për të ndaluar trafikun me qëllim të keq, muret e zjarrit përdorin teknologji të tjera, të cilat përfshijnë filtrimin e uebit, IPS, sandbox, etj. Megjithatë, në shumicën e organizatave këta komponentë të sigurisë së informacionit nuk janë të lidhur me njëri-tjetrin dhe funksionojnë të izoluar.
Tendencat në zbatimin e teknologjisë Heartbeat
Qasja e re ndaj sigurisë kibernetike përfshin mbrojtjen në çdo nivel, me zgjidhjet e përdorura në çdo nivel të lidhura me njëra-tjetrën dhe të aftë për të shkëmbyer informacion. Kjo çon në krijimin e Sigurisë së Sunkronizuar (SynSec). SynSec përfaqëson procesin e sigurimit të sigurisë së informacionit si një sistem i vetëm. Në këtë rast, çdo komponent i sigurisë së informacionit është i lidhur me njëri-tjetrin në kohë reale. Për shembull, zgjidhja zbatohet sipas këtij parimi.
Teknologjia Security Heartbeat mundëson komunikimin midis komponentëve të sigurisë, duke mundësuar bashkëpunimin dhe monitorimin e sistemit. NË zgjidhjet e klasave të mëposhtme janë të integruara:
- — antivirus klasik i nënshkrimit;
- — antivirus i specializuar për serverë;
- – antivirus i gjeneratës së re (pa nënshkrime dhe me teknologji të inteligjencës artificiale);
- — Firewall i gjeneratës së ardhshme;
- — Menaxhimi i pajisjes celulare dhe kontrolli i aksesit në postën dhe skedarët e korporatës;
- ;
- — pikat e hyrjes të menaxhuara si nga cloud ashtu edhe në nivel lokal nëpërmjet Sophos UTM / Sophos XG;
- — një zgjidhje klasike për filtrimin e trafikut në internet;
- — zgjidhje cloud/lokale anti-spam/antivirus;
- — rritja e ndërgjegjësimit të punonjësve, kryerja e postimeve testuese për phishing;
- — auditimi i infrastrukturave cloud.
Është e lehtë të shihet se Sophos Central mbështet një gamë mjaft të gjerë zgjidhjesh të sigurisë së informacionit. Në Sophos Central, koncepti SynSec bazohet në tre parime të rëndësishme: zbulimi, analiza dhe reagimi. Për t'i përshkruar ato në detaje, ne do të ndalemi në secilën prej tyre.
Konceptet e SynSec
ZBULIM (zbulimi i kërcënimeve të panjohura)
Produktet Sophos, të menaxhuara nga Sophos Central, ndajnë automatikisht informacionin me njëri-tjetrin për të identifikuar rreziqet dhe kërcënimet e panjohura, të cilat përfshijnë:
- analiza e trafikut të rrjetit me aftësinë për të identifikuar aplikacione me rrezik të lartë dhe trafik me qëllim të keq;
- zbulimi i përdoruesve me rrezik të lartë përmes analizës së korrelacionit të veprimeve të tyre në internet.
ANALIZ (i menjëhershëm dhe intuitiv)
Analiza e incidentit në kohë reale ofron një kuptim të menjëhershëm të situatës aktuale në sistem.
- Shfaq zinxhirin e plotë të ngjarjeve që çuan në incident, duke përfshirë të gjithë skedarët, çelësat e regjistrit, URL-të, etj.
PËRGJIGJE (përgjigjja automatike e incidentit)
Vendosja e politikave të sigurisë ju lejon të përgjigjeni automatikisht ndaj infeksioneve dhe incidenteve brenda pak sekondash. Kjo sigurohet:
- izolimi i menjëhershëm i pajisjeve të infektuara dhe ndalimi i sulmit në kohë reale (edhe brenda të njëjtit domen të rrjetit/transmetimit);
- kufizimi i aksesit në burimet e rrjetit të kompanisë për pajisjet që nuk përputhen me politikat;
- nisni në distancë një skanim të pajisjes kur zbulohet mesazhi i padëshiruar në dalje.
Ne kemi parë parimet kryesore të sigurisë mbi të cilat bazohet Sophos Central. Tani le të kalojmë në një përshkrim se si teknologjia SynSec manifestohet në veprim.
Nga teoria në praktikë
Së pari, le të shpjegojmë se si pajisjet ndërveprojnë duke përdorur parimin SynSec duke përdorur teknologjinë Heartbeat. Hapi i parë është të regjistroni Sophos XG me Sophos Central. Në këtë fazë, ai merr një certifikatë për vetëidentifikim, një adresë IP dhe port përmes së cilës pajisjet fundore do të ndërveprojnë me të duke përdorur teknologjinë Heartbeat, si dhe një listë të ID-ve të pajisjeve fundore të menaxhuara përmes Sophos Central dhe certifikatave të klientëve të tyre.
Menjëherë pasi të ndodhë regjistrimi i Sophos XG, Sophos Central do të dërgojë informacion në pikat përfundimtare për të nisur një ndërveprim të rrahjeve të zemrës:
- lista e autoriteteve të certifikimit të përdorura për lëshimin e certifikatave Sophos XG;
- një listë e ID-ve të pajisjes që janë regjistruar me Sophos XG;
- Adresa IP dhe porta për ndërveprim duke përdorur teknologjinë Heartbeat.
Ky informacion ruhet në kompjuter në shtegun e mëposhtëm: %ProgramData%SophosHearbeatConfigHeartbeat.xml dhe përditësohet rregullisht.
Komunikimi duke përdorur teknologjinë Heartbeat kryhet nga pika përfundimtare që dërgon mesazhe në adresën IP magjike 52.5.76.173:8347 dhe mbrapa. Gjatë analizës, u zbulua se paketat dërgohen me një periudhë prej 15 sekondash, siç thuhet nga shitësi. Vlen të përmendet se mesazhet Heartbeat përpunohen drejtpërdrejt nga XG Firewall - ai kap paketat dhe monitoron statusin e pikës fundore. Nëse kryeni kapjen e paketave në host, trafiku do të duket se po komunikon me adresën IP të jashtme, megjithëse në fakt pika përfundimtare po komunikon drejtpërdrejt me murin e zjarrit XG.
Supozoni se një aplikacion me qëllim të keq ka hyrë disi në kompjuterin tuaj. Sophos Endpoint zbulon këtë sulm ose ne ndalojmë marrjen e rrahjeve të zemrës nga ky sistem. Një pajisje e infektuar dërgon automatikisht informacion në lidhje me sistemin që infektohet, duke shkaktuar një zinxhir automatik veprimesh. XG Firewall izolon menjëherë kompjuterin tuaj, duke parandaluar përhapjen e sulmit dhe ndërveprimin me serverët C&C.
Sophos Endpoint heq automatikisht malware. Pasi të hiqet, pajisja fundore sinkronizohet me Sophos Central, më pas XG Firewall rikthen aksesin në rrjet. Analiza e shkakut rrënjësor (RCA ose EDR - Zbulimi dhe Përgjigja e Pikës së Fundit) ju lejon të kuptoni të detajuar atë që ndodhi.
Duke supozuar se burimet e korporatës aksesohen nëpërmjet pajisjeve celulare dhe tabletave, a është e mundur të sigurohet SynSec?
Sophos Central ofron mbështetje për këtë skenar и . Le të themi se një përdorues përpiqet të shkelë politikën e sigurisë në një pajisje celulare të mbrojtur me Sophos Mobile. Sophos Mobile zbulon një shkelje të politikës së sigurisë dhe dërgon njoftime te pjesa tjetër e sistemit, duke shkaktuar një përgjigje të para-konfiguruar ndaj incidentit. Nëse Sophos Mobile ka të konfiguruar një politikë "mohoni lidhjen me rrjetin", Sophos Wireless do të kufizojë aksesin në rrjet për këtë pajisje. Një njoftim do të shfaqet në pultin e Sophos Central nën skedën Sophos Wireless që tregon se pajisja është e infektuar. Kur përdoruesi përpiqet të hyjë në rrjet, një ekran spërkatës do të shfaqet në ekran duke i informuar ata se aksesi në internet është i kufizuar.
Pika përfundimtare ka disa statuse të rrahjeve të zemrës: e kuqe, e verdhë dhe e gjelbër.
Statusi i kuq shfaqet në rastet e mëposhtme:
- u zbulua malware aktiv;
- u zbulua një përpjekje për të nisur malware;
- zbulohet trafiku i rrjetit me qëllim të keq;
- malware nuk u hoq.
Një status i verdhë do të thotë që pika përfundimtare ka zbuluar malware joaktiv ose ka zbuluar një PUP (program potencialisht të padëshiruar). Një status i gjelbër tregon se asnjë nga problemet e mësipërme nuk është zbuluar.
Pasi kemi parë disa skenarë klasikë për ndërveprimin e pajisjeve të mbrojtura me Sophos Central, le të kalojmë në një përshkrim të ndërfaqes grafike të zgjidhjes dhe një rishikim të cilësimeve kryesore dhe funksionalitetit të mbështetur.
Ndërfaqja grafike
Paneli i kontrollit shfaq njoftimet më të fundit. Një përmbledhje e komponentëve të ndryshëm të mbrojtjes shfaqet gjithashtu në formën e diagrameve. Në këtë rast, shfaqen të dhëna përmbledhëse për mbrojtjen e kompjuterëve personalë. Ky panel gjithashtu ofron informacion përmbledhës në lidhje me përpjekjet për të vizituar burime dhe burime të rrezikshme me përmbajtje të papërshtatshme dhe statistika të analizës së emailit.
Sophos Central mbështet shfaqjen e njoftimeve sipas ashpërsisë, duke parandaluar që përdoruesi të humbasë sinjalizimet kritike të sigurisë. Përveç një përmbledhjeje të shfaqur në mënyrë të përmbledhur të statusit të sistemit të sigurisë, Sophos Central mbështet regjistrimin e ngjarjeve dhe integrimin me sistemet SIEM. Për shumë kompani, Sophos Central është një platformë si për KOS-in e brendshëm ashtu edhe për ofrimin e shërbimeve për klientët e tyre - MSSP.
Një nga veçoritë e rëndësishme është mbështetja për një cache përditësuese për klientët e pikës fundore. Kjo ju lejon të kurseni gjerësinë e brezit në trafikun e jashtëm, pasi në këtë rast përditësimet shkarkohen një herë në një nga klientët e pikës fundore, dhe më pas pikat e tjera fundore shkarkojnë përditësime prej tij. Përveç veçorisë së përshkruar, pika përfundimtare e zgjedhur mund të transmetojë mesazhe të politikës së sigurisë dhe raporte informacioni në renë kompjuterike Sophos. Ky funksion do të jetë i dobishëm nëse ka pajisje fundore që nuk kanë qasje të drejtpërdrejtë në internet, por kërkojnë mbrojtje. Sophos Central ofron një opsion (mbrojtje nga manipulimi) që ndalon ndryshimin e cilësimeve të sigurisë së kompjuterit ose fshirjen e agjentit të pikës së fundit.
Një nga komponentët e mbrojtjes së pikës fundore është një antivirus i gjeneratës së re (NGAV) - . Duke përdorur teknologjitë e të mësuarit të makinerive të thella, antivirusi është në gjendje të identifikojë kërcënimet e panjohura më parë pa përdorur nënshkrime. Saktësia e zbulimit është e krahasueshme me analogët e nënshkrimit, por ndryshe nga ata, ajo siguron mbrojtje proaktive, duke parandaluar sulmet e ditës zero. Intercept X është në gjendje të punojë paralelisht me antiviruset e nënshkrimit nga shitësit e tjerë.
Në këtë artikull folëm shkurtimisht për konceptin SynSec, i cili zbatohet në Sophos Central, si dhe për disa nga aftësitë e kësaj zgjidhjeje. Ne do të përshkruajmë se si funksionon secili nga komponentët e sigurisë të integruar në Sophos Central në artikujt e mëposhtëm. Mund të merrni një version demo të zgjidhjes .
Burimi: www.habr.com