Upang matiyak ang mataas na kahusayan ng mga tool sa seguridad ng impormasyon, ang koneksyon ng mga bahagi nito ay gumaganap ng isang mahalagang papel. Pinapayagan ka nitong masakop hindi lamang ang panlabas, kundi pati na rin ang mga panloob na banta. Kapag nagdidisenyo ng isang imprastraktura ng network, ang bawat tool sa seguridad, maging ito ay isang antivirus o isang firewall, ay mahalaga upang sila ay gumana hindi lamang sa loob ng kanilang klase (Endpoint security o NGFW), ngunit mayroon ding kakayahang makipag-ugnayan sa isa't isa upang magkasamang labanan ang mga pagbabanta .
Isang kaunting teorya
Hindi nakakagulat na ang mga cybercriminal ngayon ay naging mas entrepreneurial. Gumagamit sila ng isang hanay ng mga teknolohiya ng network upang maikalat ang malware:
Ang email phishing ay nagiging sanhi ng malware na tumawid sa threshold ng iyong network gamit ang mga kilalang pag-atake, alinman sa mga zero-day na pag-atake na sinusundan ng pagtaas ng pribilehiyo, o pag-ilid na paggalaw sa network. Ang pagkakaroon ng isang nahawaang device ay maaaring mangahulugan na ang iyong network ay magagamit para sa kapakinabangan ng isang umaatake.
Sa ilang mga kaso, kapag kinakailangan upang matiyak ang pakikipag-ugnayan ng mga bahagi ng seguridad ng impormasyon, kapag nagsasagawa ng pag-audit ng seguridad ng impormasyon ng kasalukuyang estado ng system, hindi posible na ilarawan ito gamit ang isang solong hanay ng mga hakbang na magkakaugnay. Sa karamihan ng mga kaso, maraming mga solusyon sa teknolohiya na nakatuon sa pagkontra sa isang partikular na uri ng pagbabanta ay hindi nagbibigay ng pagsasama sa iba pang mga solusyon sa teknolohiya. Halimbawa, ang mga produkto ng proteksyon sa endpoint ay gumagamit ng signature at behavioral analysis upang matukoy kung ang isang file ay nahawaan o hindi. Upang ihinto ang nakakahamak na trapiko, gumagamit ang mga firewall ng iba pang mga teknolohiya, na kinabibilangan ng pag-filter ng web, IPS, sandboxing, atbp. Gayunpaman, sa karamihan ng mga organisasyon ang mga bahaging ito ng seguridad ng impormasyon ay hindi konektado sa isa't isa at gumagana nang hiwalay.
Mga uso sa pagpapatupad ng teknolohiya ng Heartbeat
Ang bagong diskarte sa cybersecurity ay nagsasangkot ng proteksyon sa bawat antas, kasama ang mga solusyon na ginagamit sa bawat antas na konektado sa isa't isa at nakapagpapalitan ng impormasyon. Ito ay humahantong sa paglikha ng Sunchronized Security (SynSec). Kinakatawan ng SynSec ang proseso ng pagtiyak ng seguridad ng impormasyon bilang isang sistema. Sa kasong ito, ang bawat bahagi ng seguridad ng impormasyon ay konektado sa isa't isa sa real time. Halimbawa, ang solusyon ipinatupad ayon sa prinsipyong ito.
Ang teknolohiya ng Security Heartbeat ay nagbibigay-daan sa komunikasyon sa pagitan ng mga bahagi ng seguridad, na nagpapagana ng pakikipagtulungan at pagsubaybay sa system. SA ang mga solusyon ng mga sumusunod na klase ay isinama:
- - klasikong signature antivirus;
- β dalubhasang antivirus para sa mga server;
- β bagong henerasyong antivirus (nang walang mga lagda at may mga teknolohiyang artipisyal na katalinuhan);
- β Next-Generation Firewall;
- β pamamahala ng mobile device at kontrol sa pag-access sa corporate mail at mga file;
- ;
- β pinamamahalaan ang mga access point mula sa cloud at lokal sa pamamagitan ng Sophos UTM / Sophos XG;
- β isang klasikong solusyon para sa pag-filter ng trapiko sa web;
- β cloud/lokal na solusyon sa anti-spam/antivirus;
- β pagpapataas ng kamalayan ng empleyado, pagsasagawa ng mga pagsubok na pagpapadala ng phishing;
- β pag-audit ng mga imprastraktura ng ulap.
Madaling makita na sinusuportahan ng Sophos Central ang isang medyo malawak na hanay ng mga solusyon sa seguridad ng impormasyon. Sa Sophos Central, ang konsepto ng SynSec ay batay sa tatlong mahahalagang prinsipyo: pagtuklas, pagsusuri at pagtugon. Upang ilarawan ang mga ito nang detalyado, tatalakayin natin ang bawat isa sa kanila.
Mga konsepto ng SynSec
DETECTION (pagtuklas ng mga hindi kilalang banta)
Ang mga produkto ng Sophos, na pinamamahalaan ng Sophos Central, ay awtomatikong nagbabahagi ng impormasyon sa isa't isa upang matukoy ang mga panganib at hindi kilalang banta, na kinabibilangan ng:
- pagtatasa ng trapiko sa network na may kakayahang tumukoy ng mga application na may mataas na peligro at nakakahamak na trapiko;
- pagtuklas ng mga user na may mataas na panganib sa pamamagitan ng pagsusuri ng ugnayan ng kanilang mga online na aksyon.
ANALISIS (instant at intuitive)
Ang real-time na pagtatasa ng insidente ay nagbibigay ng agarang pag-unawa sa kasalukuyang sitwasyon sa system.
- Ipinapakita ang kumpletong hanay ng mga kaganapan na humantong sa insidente, kabilang ang lahat ng mga file, registry key, URL, atbp.
TUGON (awtomatikong pagtugon sa insidente)
Ang pagse-set up ng mga patakaran sa seguridad ay nagbibigay-daan sa iyong awtomatikong tumugon sa mga impeksyon at insidente sa loob ng ilang segundo. Ito ay sinisiguro:
- agarang paghihiwalay ng mga nahawaang device at paghinto ng pag-atake sa real time (kahit na sa loob ng parehong network/broadcast domain);
- paghihigpit sa pag-access sa mga mapagkukunan ng network ng kumpanya para sa mga device na hindi sumusunod sa mga patakaran;
- malayong maglunsad ng pag-scan ng device kapag may nakitang papalabas na spam.
Tiningnan namin ang mga pangunahing prinsipyo ng seguridad kung saan nakabatay ang Sophos Central. Ngayon ay lumipat tayo sa isang paglalarawan kung paano ipinapakita ng teknolohiya ng SynSec ang sarili sa pagkilos.
Mula sa teorya upang magsanay
Una, ipaliwanag natin kung paano nakikipag-ugnayan ang mga device gamit ang prinsipyo ng SynSec gamit ang teknolohiyang Heartbeat. Ang unang hakbang ay irehistro ang Sophos XG sa Sophos Central. Sa yugtong ito, nakakatanggap siya ng certificate para sa self-identification, isang IP address at port kung saan makikipag-ugnayan sa kanya ang mga end device gamit ang Heartbeat na teknolohiya, pati na rin ang isang listahan ng mga ID ng mga end device na pinamamahalaan sa pamamagitan ng Sophos Central at mga certificate ng kanilang kliyente.
Di-nagtagal pagkatapos mangyari ang pagpaparehistro ng Sophos XG, magpapadala ang Sophos Central ng impormasyon sa mga endpoint upang simulan ang pakikipag-ugnayan ng Heartbeat:
- listahan ng mga awtoridad sa sertipiko na ginamit upang magbigay ng mga sertipiko ng Sophos XG;
- isang listahan ng mga device ID na nakarehistro sa Sophos XG;
- IP address at port para sa pakikipag-ugnayan gamit ang teknolohiya ng Heartbeat.
Ang impormasyong ito ay naka-imbak sa computer sa sumusunod na landas: %ProgramData%SophosHearbeatConfigHeartbeat.xml at regular na ina-update.
Ang komunikasyon gamit ang teknolohiya ng Heartbeat ay isinasagawa sa pamamagitan ng endpoint na pagpapadala ng mga mensahe sa magic IP address na 52.5.76.173:8347 at pabalik. Sa panahon ng pagsusuri, napag-alaman na ang mga packet ay ipinapadala sa loob ng 15 segundo, gaya ng sinabi ng vendor. Kapansin-pansin na ang mga mensahe ng Heartbeat ay direktang pinoproseso ng XG Firewall - hinaharang nito ang mga packet at sinusubaybayan ang katayuan ng endpoint. Kung gagawa ka ng packet capture sa host, ang trapiko ay lalabas na nakikipag-ugnayan sa panlabas na IP address, bagama't sa katunayan ang endpoint ay direktang nakikipag-ugnayan sa XG firewall.
Ipagpalagay na may malisyosong application na napunta sa iyong computer. Natukoy ng Sophos Endpoint ang pag-atakeng ito o huminto kami sa pagtanggap ng Heartbeat mula sa system na ito. Awtomatikong nagpapadala ng impormasyon ang isang nahawaang device tungkol sa system na nahawaan, na nagti-trigger ng awtomatikong hanay ng mga aksyon. Agad na inihihiwalay ng XG Firewall ang iyong computer, na pinipigilan ang pag-atake mula sa pagkalat at pakikipag-ugnayan sa mga server ng C&C.
Awtomatikong inaalis ng Sophos Endpoint ang malware. Kapag naalis na ito, nagsi-sync ang end device sa Sophos Central, pagkatapos ay ire-restore ng XG Firewall ang access sa network. Ang Root Cause Analysis (RCA o EDR - Endpoint Detection and Response) ay nagbibigay-daan sa iyo na makakuha ng detalyadong pag-unawa sa nangyari.
Ipagpalagay na ang mga mapagkukunan ng kumpanya ay naa-access sa pamamagitan ng mga mobile device at tablet, posible bang magbigay ng SynSec?
Nagbibigay ang Sophos Central ng suporta para sa senaryo na ito ΠΈ . Sabihin nating sinusubukan ng isang user na lumabag sa patakaran sa seguridad sa isang mobile device na protektado ng Sophos Mobile. Nakakita ang Sophos Mobile ng paglabag sa patakaran sa seguridad at nagpapadala ng mga notification sa iba pang bahagi ng system, na nagti-trigger ng paunang na-configure na tugon sa insidente. Kung ang Sophos Mobile ay may naka-configure na patakarang "tanggihan ang koneksyon sa network", paghihigpitan ng Sophos Wireless ang access sa network para sa device na ito. May lalabas na notification sa Sophos Central dashboard sa ilalim ng Sophos Wireless tab na nagsasaad na ang device ay nahawaan. Kapag sinubukan ng user na i-access ang network, may lalabas na splash screen sa screen na nagpapaalam sa kanila na limitado ang access sa Internet.
Ang endpoint ay may ilang status ng Heartbeat: pula, dilaw, at berde.
Ang pulang katayuan ay nangyayari sa mga sumusunod na kaso:
- natukoy ang aktibong malware;
- may nakitang pagtatangkang maglunsad ng malware;
- nakita ang malisyosong trapiko sa network;
- hindi inalis ang malware.
Ang isang dilaw na katayuan ay nangangahulugan na ang endpoint ay naka-detect ng hindi aktibong malware o naka-detect ng PUP (potensyal na hindi gustong program). Ang isang berdeng katayuan ay nagpapahiwatig na wala sa mga problema sa itaas ang nakita.
Sa pagtingin sa ilang mga klasikong senaryo para sa pakikipag-ugnayan ng mga protektadong device sa Sophos Central, lumipat tayo sa isang paglalarawan ng graphical na interface ng solusyon at isang pagsusuri ng mga pangunahing setting at suportadong pag-andar.
GUI
Ipinapakita ng control panel ang pinakabagong mga notification. Ang isang buod ng iba't ibang bahagi ng proteksyon ay ipinapakita din sa anyo ng mga diagram. Sa kasong ito, ipinapakita ang buod ng data sa proteksyon ng mga personal na computer. Nagbibigay din ang panel na ito ng buod na impormasyon tungkol sa mga pagtatangka na bisitahin ang mga mapanganib na mapagkukunan at mapagkukunan na may hindi naaangkop na nilalaman, at mga istatistika ng pagsusuri sa email.
Sinusuportahan ng Sophos Central ang pagpapakita ng mga abiso ayon sa kalubhaan, na pumipigil sa user na mawala ang mga kritikal na alerto sa seguridad. Bilang karagdagan sa isang maiikling ipinakitang buod ng katayuan ng sistema ng seguridad, sinusuportahan ng Sophos Central ang pag-log ng kaganapan at pagsasama sa mga system ng SIEM. Para sa maraming kumpanya, ang Sophos Central ay isang platform para sa parehong panloob na SOC at para sa pagbibigay ng mga serbisyo sa kanilang mga customer - MSSP.
Ang isa sa mga mahahalagang feature ay suporta para sa isang update cache para sa mga endpoint client. Binibigyang-daan ka nitong makatipid ng bandwidth sa panlabas na trapiko, dahil sa kasong ito, ang mga update ay nai-download nang isang beses sa isa sa mga endpoint client, at pagkatapos ay ang ibang mga endpoint ay nagda-download ng mga update mula dito. Bilang karagdagan sa inilarawang tampok, ang napiling endpoint ay maaaring maghatid ng mga mensahe ng patakaran sa seguridad at mga ulat ng impormasyon sa Sophos cloud. Magiging kapaki-pakinabang ang function na ito kung may mga end device na walang direktang access sa Internet, ngunit nangangailangan ng proteksyon. Nagbibigay ang Sophos Central ng opsyon (tamper protection) na nagbabawal sa pagbabago ng mga setting ng seguridad ng computer o pagtanggal ng endpoint agent.
Ang isa sa mga bahagi ng proteksyon ng endpoint ay isang bagong henerasyong antivirus (NGAV) - . Gamit ang malalim na teknolohiya sa pag-aaral ng makina, nagagawa ng antivirus na tukuyin ang mga dati nang hindi kilalang banta nang hindi gumagamit ng mga lagda. Ang katumpakan ng pagtuklas ay maihahambing sa mga signature analogue, ngunit hindi tulad ng mga ito, nagbibigay ito ng proactive na proteksyon, na pumipigil sa mga zero-day na pag-atake. Ang Intercept X ay maaaring gumana nang kahanay sa mga signature antivirus mula sa iba pang mga vendor.
Sa artikulong ito, maikling pinag-usapan namin ang tungkol sa konsepto ng SynSec, na ipinatupad sa Sophos Central, pati na rin ang ilan sa mga kakayahan ng solusyon na ito. Ilalarawan namin kung paano gumagana ang bawat isa sa mga bahagi ng seguridad sa Sophos Central sa mga sumusunod na artikulo. Maaari kang makakuha ng demo na bersyon ng solusyon .
Pinagmulan: www.habr.com