Sophos Central'da senkronize güvenlik

Bilgi güvenliği araçlarının yüksek verimliliğini sağlamak için bileşenlerinin bağlantısı önemli bir rol oynar. Yalnızca dış değil, aynı zamanda iç tehditleri de korumanıza olanak tanır. Bir ağ altyapısı tasarlarken, ister antivirüs ister güvenlik duvarı olsun, her bir güvenlik aracı önemlidir; böylece yalnızca kendi sınıflarında (Uç Nokta güvenliği veya NGFW) çalışmakla kalmaz, aynı zamanda tehditlerle ortaklaşa mücadele etmek için birbirleriyle etkileşime girebilme yeteneğine de sahip olurlar. .

Biraz teori

Günümüzün siber suçlularının daha girişimci hale gelmesi sürpriz değil. Kötü amaçlı yazılım yaymak için çeşitli ağ teknolojilerini kullanıyorlar:

E-posta kimlik avı, kötü amaçlı yazılımın bilinen saldırıları (sıfır gün saldırıları ve ardından ayrıcalık yükseltme) veya ağ üzerinde yanal hareket kullanarak ağınızın eşiğini geçmesine neden olur. Virüs bulaşmış bir cihaza sahip olmak, ağınızın bir saldırganın yararına kullanılabileceği anlamına gelebilir.

Bazı durumlarda bilgi güvenliği bileşenlerinin etkileşiminin sağlanması gerektiğinde, sistemin mevcut durumunun bilgi güvenliği denetimi yapılırken, bunu birbirine bağlı tek bir önlem seti kullanarak açıklamak mümkün değildir. Çoğu durumda, belirli bir tür tehdide karşı koymaya odaklanan birçok teknoloji çözümü, diğer teknoloji çözümleriyle entegrasyon sağlamaz. Örneğin uç nokta koruma ürünleri, bir dosyaya virüs bulaşıp bulaşmadığını belirlemek için imza ve davranış analizini kullanır. Kötü amaçlı trafiği durdurmak için güvenlik duvarları web filtreleme, IPS, korumalı alan oluşturma vb. gibi diğer teknolojileri kullanır. Ancak çoğu kuruluşta bu bilgi güvenliği bileşenleri birbirine bağlı değildir ve izole bir şekilde çalışır.

Heartbeat teknolojisinin uygulanmasındaki eğilimler

Siber güvenliğe yeni yaklaşım, her seviyede kullanılan çözümlerin birbirine bağlı ve bilgi alışverişinde bulunabilmesiyle her seviyede korumayı içeriyor. Bu, Sunchronized Security'nin (SynSec) oluşturulmasına yol açar. SynSec, bilgi güvenliğinin tek bir sistem olarak sağlanması sürecini temsil eder. Bu durumda her bir bilgi güvenliği bileşeni gerçek zamanlı olarak birbirine bağlanır. Örneğin, çözüm Sophos Merkez bu prensibe göre uygulanır.

Güvenlik Heartbeat teknolojisi, güvenlik bileşenleri arasındaki iletişimi sağlayarak sistem işbirliğini ve izlemeyi mümkün kılar. İÇİNDE Sophos Merkez Aşağıdaki sınıfların çözümleri entegre edilmiştir:

• Son Nokta Koruması — klasik imzalı antivirüs;
• Sunucu Koruması — sunucular için özel antivirüs;
• Kesişme-X – yeni nesil antivirüs (imzasız ve yapay zeka teknolojilerine sahip);
• Sophos XG Güvenlik Duvarı — Yeni Nesil Güvenlik Duvarı;
• Mobilite Yönetimi (EMM) — mobil cihaz yönetimi ve kurumsal posta ve dosyalara erişim kontrolü;
• Veri Koruma (Şifreleme);
• Güvenli Wi-Fi — Sophos UTM / Sophos XG aracılığıyla hem buluttan hem de yerel olarak yönetilen erişim noktaları;
• Web Güvenliği — web trafiğini filtrelemek için klasik bir çözüm;
• E-posta Güvenliği — bulut/yerel anti-spam/antivirüs çözümü;
• Kimlik Avı Tehdidi — çalışanların farkındalığının arttırılması, test amaçlı kimlik avı e-postalarının gerçekleştirilmesi;
• Bulut Optix — bulut altyapılarının denetimi.

Sophos Central'ın oldukça geniş bir yelpazedeki bilgi güvenliği çözümlerini desteklediğini görmek kolaydır. Sophos Central'da SynSec konsepti üç önemli prensibe dayanmaktadır: algılama, analiz ve yanıt. Bunları ayrıntılı olarak açıklamak için her biri üzerinde duracağız.

SynSec kavramları

TESPİT ETME (bilinmeyen tehditlerin tespiti)
Sophos Central tarafından yönetilen Sophos ürünleri, aşağıdakileri içeren riskleri ve bilinmeyen tehditleri belirlemek için birbirleriyle otomatik olarak bilgi paylaşır:

• yüksek riskli uygulamaları ve kötü amaçlı trafiği belirleme yeteneğine sahip ağ trafiği analizi;
• Çevrimiçi eylemlerinin korelasyon analizi yoluyla yüksek riskli kullanıcıların tespiti.

ANALİZ (anında ve sezgisel)
Gerçek zamanlı olay analizi, sistemdeki mevcut durumun anlık anlaşılmasını sağlar.

• Tüm dosyalar, kayıt defteri anahtarları, URL'ler vb. dahil olmak üzere olaya yol açan olayların tam zincirini görüntüler.

CEVAP (otomatik olay müdahalesi)
Güvenlik politikaları oluşturmak, enfeksiyonlara ve olaylara birkaç saniye içinde otomatik olarak yanıt vermenize olanak tanır. Bu sağlanır:

• virüslü cihazların anında izolasyonu ve saldırının gerçek zamanlı olarak durdurulması (aynı ağ/yayın alanı içinde bile);
• politikalara uymayan cihazlar için şirket ağ kaynaklarına erişimin kısıtlanması;
• Giden spam algılandığında uzaktan bir cihaz taraması başlatın.

Sophos Central'ın dayandığı temel güvenlik ilkelerine baktık. Şimdi SynSec teknolojisinin kendisini eylem halinde nasıl gösterdiğinin açıklamasına geçelim.

Teoriden uygulamaya

Öncelikle Heartbeat teknolojisini kullanarak SynSec prensibini kullanarak cihazların nasıl etkileşime girdiğini açıklayalım. İlk adım Sophos XG'yi Sophos Central'a kaydetmektir. Bu aşamada, kendisini tanımlamaya yönelik bir sertifika, son cihazların Heartbeat teknolojisini kullanarak kendisiyle etkileşime gireceği bir IP adresi ve bağlantı noktasının yanı sıra Sophos Central aracılığıyla yönetilen uç cihazların kimliklerinin bir listesini ve istemci sertifikalarını alır.

Sophos XG kaydı gerçekleştikten kısa bir süre sonra Sophos Central, Heartbeat etkileşimini başlatmak için uç noktalara bilgi gönderecektir:

• Sophos XG sertifikalarını düzenlemek için kullanılan sertifika yetkililerinin listesi;
• Sophos XG'ye kayıtlı cihaz kimliklerinin listesi;
• Heartbeat teknolojisini kullanan etkileşim için IP adresi ve bağlantı noktası.

Bu bilgiler bilgisayarda şu yolda saklanır: %ProgramData%SophosHearbeatConfigHeartbeat.xml ve düzenli olarak güncellenir.

Heartbeat teknolojisini kullanan iletişim, uç noktanın 52.5.76.173:8347 sihirli IP adresine ve gerisine mesaj göndermesiyle gerçekleştirilir. Analiz sırasında paketlerin satıcının belirttiği gibi 15 saniyelik periyotlarla gönderildiği ortaya çıktı. Heartbeat mesajlarının doğrudan XG Güvenlik Duvarı tarafından işlendiğini belirtmekte fayda var; paketlere müdahale eder ve uç noktanın durumunu izler. Ana bilgisayarda paket yakalama gerçekleştirirseniz trafik harici IP adresiyle iletişim kuruyormuş gibi görünecektir, ancak aslında uç nokta doğrudan XG güvenlik duvarıyla iletişim kuruyor.

Kötü amaçlı bir uygulamanın bir şekilde bilgisayarınıza bulaştığını varsayalım. Sophos Endpoint bu saldırıyı tespit ederse, bu sistemden Heartbeat almayı durdururuz. Virüs bulaşmış bir cihaz, virüs bulaştığı sistem hakkında otomatik olarak bilgi göndererek otomatik bir eylem zincirini tetikler. XG Güvenlik Duvarı bilgisayarınızı anında izole ederek saldırının yayılmasını ve C&C sunucularıyla etkileşime girmesini önler.

Sophos Endpoint, kötü amaçlı yazılımları otomatik olarak kaldırır. Kaldırıldıktan sonra uç cihaz Sophos Central ile senkronize olur ve ardından XG Güvenlik Duvarı ağa erişimi geri yükler. Kök Neden Analizi (RCA veya EDR - Uç Nokta Tespiti ve Yanıtı), ne olduğuna dair ayrıntılı bir anlayış elde etmenizi sağlar.

Kurumsal kaynaklara mobil cihaz ve tablet üzerinden erişildiği varsayılırsa SynSec sağlanabilir mi?

Sophos Central bu senaryo için destek sağlıyor Sophos Mobil и Sophos Kablosuz. Diyelim ki bir kullanıcı Sophos Mobile ile korunan bir mobil cihazda güvenlik politikasını ihlal etmeye çalışıyor. Sophos Mobile, bir güvenlik politikası ihlalini tespit eder ve sistemin geri kalanına bildirimler göndererek olaya önceden yapılandırılmış bir müdahaleyi tetikler. Sophos Mobile'da "ağ bağlantısını reddet" politikası yapılandırılmışsa, Sophos Wireless bu cihazın ağ erişimini kısıtlayacaktır. Sophos Central kontrol panelinde, Sophos Kablosuz sekmesi altında, cihaza virüs bulaştığını belirten bir bildirim görünecektir. Kullanıcı ağa erişmeye çalıştığında, ekranda İnternet erişiminin sınırlı olduğunu bildiren bir açılış ekranı görünecektir.

Uç noktanın çeşitli Kalp Atışı durumları vardır: kırmızı, sarı ve yeşil.
Kırmızı durum aşağıdaki durumlarda ortaya çıkar:

• etkin kötü amaçlı yazılım algılandı;
• kötü amaçlı yazılım başlatma girişimi algılandı;
• kötü amaçlı ağ trafiği algılandı;
• kötü amaçlı yazılım kaldırılmadı.

Sarı durum, uç noktanın etkin olmayan kötü amaçlı yazılım algıladığı veya bir PUP (potansiyel olarak istenmeyen program) algıladığı anlamına gelir. Yeşil durum yukarıdaki sorunlardan hiçbirinin algılanmadığını gösterir.

Korunan cihazların Sophos Central ile etkileşimi için bazı klasik senaryolara baktıktan sonra, çözümün grafik arayüzünün açıklamasına ve ana ayarların ve desteklenen işlevlerin incelemesine geçelim.

Grafik arayüzü

Kontrol paneli en son bildirimleri görüntüler. Çeşitli koruma bileşenlerinin bir özeti de diyagramlar biçiminde görüntülenir. Bu durumda kişisel bilgisayarların korunmasına ilişkin özet veriler görüntülenir. Bu panel aynı zamanda tehlikeli kaynakları ve uygunsuz içeriğe sahip kaynakları ziyaret etme girişimleri ve e-posta analiz istatistikleri hakkında özet bilgi sağlar.

Sophos Central, bildirimlerin önem derecesine göre görüntülenmesini destekleyerek kullanıcının kritik güvenlik uyarılarını kaçırmasını önler. Güvenlik sisteminin durumunun kısa ve öz bir şekilde görüntülenen özetine ek olarak Sophos Central, olay günlüğü tutmayı ve SIEM sistemleriyle entegrasyonu destekler. Birçok şirket için Sophos Central, hem dahili SOC hem de müşterilerine (MSSP) hizmet sağlamaya yönelik bir platformdur.

Önemli özelliklerden biri, uç nokta istemcileri için güncelleme önbelleği desteğidir. Bu, harici trafikte bant genişliğinden tasarruf etmenize olanak tanır, çünkü bu durumda güncellemeler uç nokta istemcilerinden birine bir kez indirilir ve ardından diğer uç noktalar güncellemeleri ondan indirir. Açıklanan özelliğe ek olarak seçilen uç nokta, güvenlik politikası mesajlarını ve bilgi raporlarını Sophos bulutuna aktarabilir. Bu işlev, İnternet'e doğrudan erişimi olmayan ancak korumaya ihtiyaç duyan uç cihazlar varsa faydalı olacaktır. Sophos Central, bilgisayarın güvenlik ayarlarının değiştirilmesini veya uç nokta aracısının silinmesini yasaklayan bir seçenek (kurcalamaya karşı koruma) sağlar.

Uç nokta korumasının bileşenlerinden biri yeni nesil antivirüstür (NGAV) - X'i kes. Derin makine öğrenimi teknolojilerini kullanan antivirüs, daha önce bilinmeyen tehditleri imza kullanmadan tespit edebiliyor. Tespit doğruluğu imza analoglarıyla karşılaştırılabilir ancak onlardan farklı olarak proaktif koruma sağlayarak sıfır gün saldırılarını önler. Intercept X, diğer satıcıların imza antivirüsleriyle paralel olarak çalışabilir.

Bu yazımızda Sophos Central üzerinde uygulanan SynSec konseptinden ve bu çözümün bazı yeteneklerinden kısaca bahsettik. Aşağıdaki makalelerde her bir güvenlik bileşeninin Sophos Central'a nasıl entegre edildiğini anlatacağız. Çözümün demo versiyonunu alabilirsiniz burada.

Kaynak: habr.com