Да би се обезбедила висока ефикасност алата за безбедност информација, повезивање његових компоненти игра важну улогу. Омогућава вам да покријете не само спољне, већ и унутрашње претње. Приликом дизајнирања мрежне инфраструктуре, сваки безбедносни алат, било да се ради о антивирусном или заштитном зиду, је важан како би функционисао не само у оквиру своје класе (Ендпоинт сецурити или НГФВ), већ и имао могућност да међусобно комуницирају како би се заједнички борили против претњи. .
Мало теорије
Није изненађење да су данашњи сајбер криминалци постали предузетнички настројени. Они користе низ мрежних технологија за ширење злонамерног софтвера:
Пецање е-поште узрокује да малвер пређе праг ваше мреже користећи познате нападе, било нападе нултог дана праћене ескалацијом привилегија, или бочно кретање кроз мрежу. Имати један заражени уређај може значити да се ваша мрежа може користити у корист нападача.
У неким случајевима, када је потребно обезбедити интеракцију компоненти информационе безбедности, приликом спровођења ревизије информационе безбедности тренутног стања система, није могуће описати га помоћу јединственог скупа мера које су међусобно повезане. У већини случајева, многа технолошка решења која се фокусирају на сузбијање одређене врсте претњи не обезбеђују интеграцију са другим технолошким решењима. На пример, производи за заштиту крајњих тачака користе анализу потписа и понашања да би утврдили да ли је датотека заражена или не. Да би зауставили злонамерни саобраћај, заштитни зидови користе друге технологије, које укључују веб филтрирање, ИПС, сандбокинг итд. Међутим, у већини организација ове компоненте безбедности информација нису повезане једна са другом и делују изоловано.
Трендови у примени Хеартбеат технологије
Нови приступ сајбер безбедности укључује заштиту на сваком нивоу, при чему су решења која се користе на сваком нивоу повезана једно са другим и могу да размењују информације. Ово доводи до стварања Сунцхронизед Сецурити (СинСец). СинСец представља процес обезбеђивања безбедности информација као јединственог система. У овом случају, свака компонента безбедности информација је повезана једна са другом у реалном времену. На пример, решење спроведена по овом принципу.
Сецурити Хеартбеат технологија омогућава комуникацију између безбедносних компоненти, омогућавајући системску сарадњу и надзор. ИН интегрисана су решења следећих класа:
- — класични антивирусни потпис;
- — специјализовани антивирус за сервере;
- – антивирус нове генерације (без потписа и са технологијама вештачке интелигенције);
- — Заштитни зид следеће генерације;
- — управљање мобилним уређајем и контрола приступа корпоративној пошти и датотекама;
- ;
- — приступне тачке којима се управља и из облака и локално преко Сопхос УТМ / Сопхос КСГ;
- — класично решење за филтрирање веб саобраћаја;
- — цлоуд/локално анти-спам/антивирус решење;
- — подизање свести запослених, спровођење пробних пхисхинг порука;
- — ревизија инфраструктуре облака.
Лако је видети да Сопхос Централ подржава прилично широк спектар решења за безбедност информација. У Сопхос Централ, СинСец концепт је заснован на три важна принципа: детекција, анализа и одговор. Да бисмо их детаљно описали, задржаћемо се на сваком од њих.
СинСец концепти
ДЕТЕКЦИЈА (откривање непознатих претњи)
Сопхос производи, којима управља Сопхос Централ, аутоматски деле информације једни са другима како би идентификовали ризике и непознате претње, што укључује:
- анализа мрежног саобраћаја са могућношћу идентификације високоризичних апликација и злонамерног саобраћаја;
- откривање корисника високог ризика кроз корелационе анализе њихових онлајн акција.
АНАЛИЗА (тренутни и интуитивни)
Анализа инцидената у реалном времену омогућава тренутно разумевање тренутне ситуације у систему.
- Приказује комплетан ланац догађаја који су довели до инцидента, укључујући све датотеке, кључеве регистратора, УРЛ адресе итд.
РЕСПОНСЕ (аутоматски одговор на инцидент)
Подешавање безбедносних политика вам омогућава да аутоматски одговорите на инфекције и инциденте у року од неколико секунди. Ово је осигурано:
- тренутна изолација заражених уређаја и заустављање напада у реалном времену (чак и унутар исте мреже/броадцаст домена);
- ограничавање приступа мрежним ресурсима компаније за уређаје који нису у складу са смерницама;
- даљински покренути скенирање уређаја када се открије одлазна нежељена пошта.
Погледали смо главне безбедносне принципе на којима се заснива Сопхос Централ. Сада пређимо на опис како се СинСец технологија манифестује у акцији.
Од теорије до праксе
Прво, хајде да објаснимо како уређаји комуницирају користећи СинСец принцип користећи Хеартбеат технологију. Први корак је да региструјете Сопхос КСГ код Сопхос Централ. У овој фази добија сертификат за самоидентификовање, ИП адресу и порт преко којег ће крајњи уређаји комуницирати са њим користећи Хеартбеат технологију, као и листу ИД-ова крајњих уређаја којима се управља преко Сопхос Централ и њихових клијентских сертификата.
Убрзо након регистрације Сопхос КСГ, Сопхос Централ ће слати информације крајњим тачкама да би започели интеракцију Хеартбеат-а:
- списак ауторитета за сертификацију који се користе за издавање Сопхос КСГ сертификата;
- списак ИД-ова уређаја који су регистровани код Сопхос КСГ;
- ИП адреса и порт за интеракцију користећи Хеартбеат технологију.
Ове информације се чувају на рачунару на следећој путањи: %ПрограмДата%СопхосХеарбеатЦонфигХеартбеат.кмл и редовно се ажурирају.
Комуникација помоћу Хеартбеат технологије се обавља тако што крајња тачка шаље поруке на магичну ИП адресу 52.5.76.173:8347 и назад. Током анализе је откривено да се пакети шаљу са периодом од 15 секунди, како је навео продавац. Вреди напоменути да се Хеартбеат поруке директно обрађују од стране КСГ Фиревалл-а – он пресреће пакете и прати статус крајње тачке. Ако извршите хватање пакета на хосту, изгледа да саобраћај комуницира са спољном ИП адресом, иако у ствари крајња тачка комуницира директно са КСГ заштитним зидом.
Претпоставимо да је злонамерна апликација некако доспела на ваш рачунар. Сопхос Ендпоинт детектује овај напад или ћемо престати да примамо откуцаје срца са овог система. Заражени уређај аутоматски шаље информације о систему који је заражен, покрећући аутоматски ланац акција. КСГ Фиревалл тренутно изолује ваш рачунар, спречавајући ширење напада и интеракцију са Ц&Ц серверима.
Сопхос Ендпоинт аутоматски уклања малвер. Када се уклони, крајњи уређај се синхронизује са Сопхос Централ, а затим КСГ заштитни зид враћа приступ мрежи. Анализа основног узрока (РЦА или ЕДР – откривање и одговор крајње тачке) омогућава вам да добијете детаљно разумевање онога што се догодило.
Под претпоставком да се корпоративним ресурсима приступа преко мобилних уређаја и таблета, да ли је могуће обезбедити СинСец?
Сопхос Централ пружа подршку за овај сценарио и . Рецимо да корисник покушава да прекрши безбедносну политику на мобилном уређају заштићеном Сопхос Мобиле. Сопхос Мобиле открива кршење безбедносне политике и шаље обавештења остатку система, покрећући унапред конфигурисан одговор на инцидент. Ако Сопхос Мобиле има конфигурисану политику „одбијање мрежне везе“, Сопхос Вирелесс ће ограничити приступ мрежи за овај уређај. На Сопхос Централ контролној табли испод картице Сопхос Вирелесс појавиће се обавештење које указује да је уређај заражен. Када корисник покуша да приступи мрежи, на екрану ће се појавити почетни екран који га обавештава да је приступ Интернету ограничен.
Крајња тачка има неколико статуса откуцаја срца: црвена, жута и зелена.
Црвени статус се јавља у следећим случајевима:
- откривен активни злонамерни софтвер;
- откривен је покушај покретања малвера;
- откривен злонамерни мрежни саобраћај;
- злонамерни софтвер није уклоњен.
Жути статус значи да је крајња тачка открила неактиван малвер или да је открила ПУП (потенцијално нежељени програм). Зелени статус означава да ниједан од горе наведених проблема није откривен.
Пошто смо погледали неке класичне сценарије за интеракцију заштићених уређаја са Сопхос Централом, пређимо на опис графичког интерфејса решења и преглед главних подешавања и подржаних функционалности.
ГУИ
Контролна табла приказује најновија обавештења. Резиме различитих заштитних компоненти је такође приказан у облику дијаграма. У овом случају се приказују збирни подаци о заштити персоналних рачунара. Овај панел такође пружа сажете информације о покушајима посете опасним ресурсима и ресурсима са неприкладним садржајем, као и статистику анализе е-поште.
Сопхос Централ подржава приказ обавештења по озбиљности, спречавајући корисника да пропусти критична безбедносна упозорења. Поред сажето приказаног резимеа статуса безбедносног система, Сопхос Централ подржава евидентирање догађаја и интеграцију са СИЕМ системима. За многе компаније, Сопхос Централ је платформа за интерни СОЦ и за пружање услуга њиховим клијентима - МССП.
Једна од важних карактеристика је подршка за кеш ажурирања за клијенте крајње тачке. Ово вам омогућава да уштедите пропусни опсег на спољном саобраћају, пошто се у овом случају ажурирања преузимају једном на један од клијената крајње тачке, а затим друге крајње тачке преузимају ажурирања са њега. Поред описане функције, изабрана крајња тачка може да преноси поруке безбедносне политике и извештаје са информацијама у Сопхос облак. Ова функција ће бити корисна ако постоје крајњи уређаји који немају директан приступ Интернету, али захтевају заштиту. Сопхос Централ пружа опцију (заштиту од неовлашћеног приступа) која забрањује промену безбедносних поставки рачунара или брисање агента крајње тачке.
Једна од компоненти заштите крајњих тачака је антивирус нове генерације (НГАВ) - . Користећи технологије дубоког машинског учења, антивирус је у стању да идентификује раније непознате претње без употребе потписа. Тачност детекције је упоредива са аналозима потписа, али за разлику од њих, пружа проактивну заштиту, спречавајући нападе нултог дана. Интерцепт Кс може да ради паралелно са антивирусима других произвођача.
У овом чланку смо укратко говорили о концепту СинСец који је имплементиран у Сопхос Централ, као и о неким од могућности овог решења. Описаћемо како свака од безбедносних компоненти интегрисаних у Сопхос Централ функционише у следећим чланцима. Можете добити демо верзију решења .
Извор: ввв.хабр.цом