Synkroniserad säkerhet i Sophos Central

För att säkerställa hög effektivitet hos verktyg för informationssäkerhet spelar anslutningen av dess komponenter en viktig roll. Det låter dig täcka inte bara externa utan även interna hot. När man designar en nätverksinfrastruktur är varje säkerhetsverktyg, oavsett om det är ett antivirus eller en brandvägg, viktigt så att de inte bara fungerar inom sin klass (Endpoint security eller NGFW), utan också har förmågan att interagera med varandra för att gemensamt bekämpa hot .

Lite teori

Det är ingen överraskning att dagens cyberkriminella har blivit mer entreprenöriella. De använder en rad nätverkstekniker för att sprida skadlig programvara:

Nätfiske via e-post får skadlig programvara att passera tröskeln för ditt nätverk med kända attacker, antingen nolldagsattacker följt av privilegieskalering eller sidorörelse genom nätverket. Att ha en infekterad enhet kan innebära att ditt nätverk kan användas till förmån för en angripare.

I vissa fall, när det är nödvändigt att säkerställa interaktionen mellan informationssäkerhetskomponenter, när man genomför en informationssäkerhetsrevision av systemets nuvarande tillstånd, är det inte möjligt att beskriva det med en enda uppsättning åtgärder som är sammankopplade. I de flesta fall ger många tekniska lösningar som fokuserar på att motverka en specifik typ av hot inte integration med andra tekniska lösningar. Till exempel använder slutpunktsskyddsprodukter signatur- och beteendeanalys för att avgöra om en fil är infekterad eller inte. För att stoppa skadlig trafik använder brandväggar andra tekniker, som inkluderar webbfiltrering, IPS, sandlådor etc. Men i de flesta organisationer är dessa informationssäkerhetskomponenter inte kopplade till varandra och fungerar isolerat.

Trender i implementeringen av Heartbeat-teknik

Den nya strategin för cybersäkerhet innebär skydd på alla nivåer, med de lösningar som används på varje nivå kopplade till varandra och kan utbyta information. Detta leder till skapandet av Sunchronized Security (SynSec). SynSec representerar processen att säkerställa informationssäkerhet som ett enda system. I detta fall är varje informationssäkerhetskomponent kopplad till varandra i realtid. Till exempel lösningen Sophos Central genomförs enligt denna princip.

Säkerhet Heartbeat-teknik möjliggör kommunikation mellan säkerhetskomponenter, vilket möjliggör systemsamarbete och övervakning. I Sophos Central lösningar av följande klasser är integrerade:

• Endpoint Protection — klassiskt antivirusprogram;
• Server Skydd — Specialiserat antivirus för servrar.
• Intercept-X – Ny generation antivirus (utan signaturer och med artificiell intelligens).
• Sophos XG-brandvägg — Nästa generations brandvägg;
• Mobility Management (EMM) — Hantering av mobila enheter och åtkomstkontroll till företagspost och filer.
• Dataskydd (kryptering);
• Säkert Wi-Fi — åtkomstpunkter som hanteras både från molnet och lokalt via Sophos UTM / Sophos XG;
• Webbsäkerhet — en klassisk lösning för att filtrera webbtrafik;
• E-postsäkerhet — moln/lokal anti-spam/antiviruslösning;
• Phish Hot — öka de anställdas medvetenhet, genomföra testutskick av nätfiske;
• Cloud Optix — Revision av molninfrastruktur.

Det är lätt att se att Sophos Central stöder ett ganska brett utbud av informationssäkerhetslösningar. På Sophos Central bygger SynSec-konceptet på tre viktiga principer: detektion, analys och respons. För att beskriva dem i detalj kommer vi att uppehålla oss vid var och en av dem.

SynSec-koncept

UPPTÄCKT (upptäckt av okända hot)
Sophos-produkter, som hanteras av Sophos Central, delar automatiskt information med varandra för att identifiera risker och okända hot, vilket inkluderar:

• nätverkstrafikanalys med förmågan att identifiera högriskapplikationer och skadlig trafik;
• upptäckt av högriskanvändare genom korrelationsanalys av deras onlinehandlingar.

ANALYS (omedelbar och intuitiv)
Incidentanalys i realtid ger omedelbar förståelse för den aktuella situationen i systemet.

• Visar hela kedjan av händelser som ledde till incidenten, inklusive alla filer, registernycklar, webbadresser, etc.

SVAR (automatisk incidentrespons)
Genom att ställa in säkerhetspolicyer kan du automatiskt svara på infektioner och incidenter på några sekunder. Detta är säkerställt:

• omedelbar isolering av infekterade enheter och stoppa attacken i realtid (även inom samma nätverk/sändningsdomän);
• begränsa åtkomst till företagets nätverksresurser för enheter som inte följer policyer;
• starta en enhetsskanning på distans när utgående skräppost upptäcks.

Vi har tittat på de viktigaste säkerhetsprinciperna som Sophos Central bygger på. Låt oss nu gå vidare till en beskrivning av hur SynSec-tekniken manifesterar sig i handling.

Från teori till övning

Låt oss först förklara hur enheter interagerar med SynSec-principen med hjälp av Heartbeat-teknik. Det första steget är att registrera Sophos XG hos Sophos Central. I detta skede får han ett certifikat för självidentifiering, en IP-adress och port genom vilken slutenheter kommer att interagera med honom med hjälp av Heartbeat-teknik, samt en lista över ID:n för slutenheter som hanteras genom Sophos Central och deras klientcertifikat.

Kort efter att Sophos XG-registrering sker, kommer Sophos Central att skicka information till slutpunkter för att initiera en Heartbeat-interaktion:

• lista över certifikatmyndigheter som används för att utfärda Sophos XG-certifikat;
• en lista över enhets-ID:n som är registrerade hos Sophos XG;
• IP-adress och port för interaktion med Heartbeat-teknik.

Denna information lagras på datorn i följande sökväg: %ProgramData%SophosHearbeatConfigHeartbeat.xml och uppdateras regelbundet.

Kommunikation med hjälp av Heartbeat-teknik utförs genom att slutpunkten skickar meddelanden till den magiska IP-adressen 52.5.76.173:8347 och tillbaka. Under analysen avslöjades att paket skickas med en period på 15 sekunder, enligt säljaren. Det är värt att notera att Heartbeat-meddelanden behandlas direkt av XG-brandväggen - den fångar upp paket och övervakar slutpunktens status. Om du utför paketfångning på värden kommer trafiken att tyckas kommunicera med den externa IP-adressen, även om slutpunkten faktiskt kommunicerar direkt med XG-brandväggen.

Anta att ett skadligt program på något sätt hamnat i din dator. Sophos Endpoint upptäcker denna attack eller så slutar vi ta emot Heartbeat från det här systemet. En infekterad enhet skickar automatiskt information om systemet som är infekterat, vilket utlöser en automatisk kedja av åtgärder. XG Firewall isolerar omedelbart din dator och förhindrar att attacken sprids och interagerar med C&C-servrar.

Sophos Endpoint tar automatiskt bort skadlig programvara. När den väl har tagits bort synkroniseras slutenheten med Sophos Central, sedan återställer XG Firewall åtkomst till nätverket. Root Cause Analysis (RCA eller EDR - Endpoint Detection and Response) låter dig få en detaljerad förståelse av vad som hände.

Om man antar att företagets resurser nås via mobila enheter och surfplattor, är det möjligt att tillhandahålla SynSec?

Sophos Central ger stöd för detta scenario Sophos mobil и Sophos trådlös. Låt oss säga att en användare försöker bryta mot säkerhetspolicyn på en mobil enhet som skyddas med Sophos Mobile. Sophos Mobile upptäcker ett brott mot säkerhetspolicyn och skickar meddelanden till resten av systemet, vilket utlöser ett förkonfigurerat svar på incidenten. Om Sophos Mobile har en policy för "neka nätverksanslutning" konfigurerad, kommer Sophos Wireless att begränsa nätverksåtkomsten för den här enheten. Ett meddelande visas i Sophos Central-instrumentpanelen under fliken Sophos Wireless som indikerar att enheten är infekterad. När användaren försöker komma åt nätverket visas en startskärm på skärmen som informerar dem om att internetåtkomsten är begränsad.

Slutpunkten har flera hjärtslagsstatusar: röd, gul och grön.
Röd status uppstår i följande fall:

• aktiv skadlig programvara upptäckt;
• ett försök att starta skadlig programvara upptäcktes;
• skadlig nätverkstrafik upptäckt;
• skadlig programvara togs inte bort.

En gul status betyder att slutpunkten har upptäckt inaktiv skadlig programvara eller har upptäckt en PUP (potentiellt oönskat program). En grön status indikerar att inget av ovanstående problem har upptäckts.

Efter att ha tittat på några klassiska scenarier för interaktionen av skyddade enheter med Sophos Central, låt oss gå vidare till en beskrivning av det grafiska gränssnittet för lösningen och en översyn av huvudinställningarna och de funktioner som stöds.

grafiskt gränssnitt

Kontrollpanelen visar de senaste aviseringarna. En sammanfattning av de olika skyddskomponenterna visas också i form av diagram. I det här fallet visas sammanfattande data om skyddet av persondatorer. Den här panelen ger också sammanfattande information om försök att besöka farliga resurser och resurser med olämpligt innehåll, och statistik för e-postanalys.

Sophos Central stöder visning av meddelanden efter allvarlighetsgrad, vilket förhindrar att användaren missar kritiska säkerhetsvarningar. Förutom en kortfattad sammanfattning av säkerhetssystemets status, stöder Sophos Central händelseloggning och integration med SIEM-system. För många företag är Sophos Central en plattform för både intern SOC och för att tillhandahålla tjänster till sina kunder – MSSP.

En av de viktiga funktionerna är stöd för en uppdateringscache för slutpunktsklienter. Detta gör att du kan spara bandbredd på extern trafik, eftersom uppdateringar i det här fallet laddas ner en gång till en av slutpunktsklienterna och sedan andra slutpunkter hämtar uppdateringar från den. Förutom den beskrivna funktionen kan den valda slutpunkten vidarebefordra säkerhetspolicymeddelanden och informationsrapporter till Sophos-molnet. Den här funktionen kommer att vara användbar om det finns slutenheter som inte har direkt tillgång till Internet, men som kräver skydd. Sophos Central tillhandahåller ett alternativ (manipuleringsskydd) som förbjuder att ändra datorns säkerhetsinställningar eller ta bort slutpunktsagenten.

En av komponenterna i slutpunktsskydd är en ny generation antivirus (NGAV) - Avlyssna X. Genom att använda djupa maskininlärningstekniker kan antiviruset identifiera tidigare okända hot utan att använda signaturer. Detekteringsnoggrannheten är jämförbar med signaturanaloger, men till skillnad från dem ger den ett proaktivt skydd och förhindrar nolldagsattacker. Intercept X kan arbeta parallellt med signaturantivirus från andra leverantörer.

I den här artikeln pratade vi kort om SynSec-konceptet, som är implementerat i Sophos Central, samt några av funktionerna i denna lösning. Vi kommer att beskriva hur var och en av säkerhetskomponenterna integrerade i Sophos Central fungerar i följande artiklar. Du kan få en demoversion av lösningen här.

Källa: will.com