Задля більшої ефективності засобів інформаційної безпеки велику роль грає зв'язок її компонентів. Вона дозволяє перекрити як зовнішні, а й внутрішні загрози. При проектуванні мережної інфраструктури важливе значення має кожен засіб захисту, будь це антивірус або firewall, щоб вони функціонували не тільки в рамках свого класу (Endpoint security або NGFW), але й мали можливість взаємодіяти між собою для спільної боротьби з загрозами.
Трохи теорії
Не дивно, що нинішні кіберзлочинці стали більш заповзятливими. Для поширення шкідливих програм вони застосовують цілу низку мережевих технологій:
Фішингове розсилання електронною поштою призводить до того, що шкідлива програма «переступає поріг» вашої мережі, використовуючи відомі атаки, або «атаки нульового дня» з подальшим підвищенням привілеїв, або горизонтальне просування (lateral movement) по мережі. Наявність одного зараженого пристрою може означати, що мережа може використовуватися в корисливих цілях зловмисника.
У деяких випадках, коли необхідно забезпечити взаємодію компонентів ІБ, при проведенні аудиту інформаційної безпеки поточного стану системи її не вдається описати за допомогою єдиного комплексу заходів, пов'язаних між собою. У більшості випадків багато технологічних рішень, що фокусуються на протидії певному виду загроз, не передбачають інтеграції з іншими технологічними рішеннями. Наприклад, продукти захисту кінцевих пристроїв використовують сигнатурний і поведінковий аналіз визначення, чи файл зараженим чи ні. Для зупинки шкідливого трафіку міжмережевими екранами використовують інші технології, до яких можна віднести веб-фільтрацію, IPS, пісочницю і т.д. Проте в більшості організацій ці компоненти забезпечення інформаційної безпеки не пов'язані один з одним і працюють ізольовано.
Тенденції у реалізації технології Heartbeat
Новий підхід до забезпечення кібербезпеки передбачає захист кожному рівні, у якому рішення, використовувані кожному з них, пов'язані друг з одним і мають можливість обмінюватися інформацією. Це призводить до створення системи Sunchronized Security (SynSec). SynSec є процесом забезпечення інформаційної безпеки як єдину систему. У цьому випадку кожен компонент забезпечення інформаційної безпеки з'єднано один з одним у реальному часі. Наприклад, рішення реалізовано за цим принципом.
Технологія Security Heartbeat забезпечує зв'язок між компонентами безпеки, забезпечуючи спільне функціонування системи та її моніторинг. У інтегровані рішення наступних класів:
- - Класичний сигнатурний антивірус;
- - Спеціалізований антивірус для серверів;
- – антивірус нового покоління (без сигнатур та з технологіями штучного інтелекту);
- - Next-Generation Firewall;
- — керування мобільними пристроями та контроль доступу до корпоративної пошти та файлів;
- ;
- - Точки доступу, керовані як з хмари, так і локально через Sophos UTM / Sophos XG;
- - Класичне рішення для фільтрації веб-трафіку;
- - Хмарне/локальне анти-спам/антивірус рішення;
- - Підвищення обізнаності співробітників, проведення тестових фішингових розсилок;
- - Аудит хмарних інфраструктур.
Неважко помітити, що Sophos Central підтримує досить широкий спектр рішень щодо інформаційної безпеки. У Sophos Central концепція SynSec базується на трьох важливих принципах: виявлення, аналіз та реагування. Для детального їх опису зупинимося кожному з них.
Концепція SynSec
Виявлення (Виявлення невідомих загроз)
Продукти Sophos під керуванням Sophos Central в автоматичному режимі діляться інформацією між собою для виявлення ризиків та невідомих загроз, що включає:
- аналіз мережевого трафіку з можливістю ідентифікувати додатки з високим ризиком та шкідливий трафік;
- виявлення користувачів із високою групою ризику шляхом кореляційного аналізу їхніх дій у мережі.
АНАЛІЗ (миттєвий та інтуїтивний)
Аналіз інцидентів як реального часу забезпечує миттєве розуміння поточної ситуації у системі.
- Відображення повного ланцюжка подій, які призвели до інциденту, включаючи всі файли, ключі реєстру, URL-адреси і т.д.
РЕАГУВАННЯ (автоматичне реагування на інциденти)
Налаштування політик безпеки дозволяє автоматично за лічені секунди реагувати на зараження та інциденти. Це забезпечується:
- миттєвою ізоляцією заражених пристроїв та зупинкою атаки в режимі реального часу (навіть у межах однієї мережі/широкомовного домену);
- обмеження доступу до мережевих ресурсів компанії для пристроїв, які не відповідають політикам;
- віддалений запуск сканування пристрою при виявленні вихідного спаму.
Ми розглянули основні принципи захисту, на яких ґрунтується робота Sophos Central. Тепер перейдемо до опису того, як технологія SynSec поводиться в дії.
Від теорії до практики
Спочатку роз'яснимо, як встановлюється взаємодія пристроїв за принципом SynSec за допомогою технології Heartbeat. Перший етап полягає в реєстрації Sophos XG у Sophos Central. На цьому етапі він отримує сертифікат для самоідентифікації, IP-адресу і порт, через який кінцеві пристрої будуть взаємодіяти з ним за технологією Heartbeat, а також список ID кінцевих пристроїв, керованих через Sophos Central та їх клієнтських сертифікатів.
Незабаром після того, як відбудеться реєстрація Sophos XG, Sophos Central передасть кінцевим пристроям інформацію для ініціювання взаємодії за технологією Heartbeat:
- список центрів сертифікації для випуску сертифікатів Sophos XG;
- список ID пристроїв, зареєстрованих у Sophos XG;
- IP адреса та порт для взаємодії за технологією Heartbeat.
Ця інформація зберігається на комп'ютері наступним шляхом: %ProgramData%SophosHearbeatConfigHeartbeat.xml і регулярно оновлюється.
Комунікація за технологією Heartbeat здійснюється через відправлення кінцевою точкою повідомлень на magic IP адресу 52.5.76.173:8347 і назад. У ході аналізу було виявлено, що пакети відправляються з періодом 15 секунд, як і заявлено вендором. Варто зазначити, що повідомлення Heartbeat обробляються безпосередньо XG Firewall – він перехоплює пакети та відстежує статус кінцевої точки. Якщо виконати захоплення пакетів на хості, то рух трафіку буде схожим на комунікацію із зовнішньою IP-адресою, хоча насправді кінцева точка взаємодіє з міжмережевим екраном XG безпосередньо.
Нехай на комп'ютер якимось чином потрапив шкідливий додаток. Sophos Endpoint виявляє цю атаку або ми перестаємо отримувати Heartbeat від цієї системи. Заражений пристрій автоматично розсилає інформацію про зараження системи, викликаючи автоматичний ланцюжок дій. XG Firewall миттєво ізолює комп'ютер, запобігаючи поширенню атаки та взаємодії з C&C серверами.
Sophos Endpoint автоматично видаляє зловмисне програмне забезпечення. Після його видалення кінцевий пристрій синхронізується із Sophos Central, потім XG Firewall відновлює доступ до мережі. Аналіз кореневих причин (Root Cause Analysis - RCA або EDR - Endpoint Detection and Responce) дозволяє отримати детальне уявлення про те, що сталося.
Якщо припустити, що доступ до корпоративних ресурсів здійснюється за допомогою мобільних пристроїв та планшетів, чи можна в цьому випадку забезпечити SynSec?
Для такого сценарію в Sophos Central передбачена підтримка и . Припустимо, що користувач намагається порушити безпекову політику на мобільному пристрої, захищеному за допомогою Sophos Mobile. Sophos Mobile виявляє порушення політики безпеки та розсилає повідомлення щодо інших компонентів системи, викликаючи заздалегідь налаштовану реакцію на інцидент. Якщо Sophos Mobile налаштована політики «заборонити підключення по мережі», то Sophos Wireless обмежить доступ до мережі для даного пристрою. На панелі інструментів Sophos Central на вкладці Sophos Wireless з'явиться повідомлення, що пристрій заражений. Коли користувач спробує отримати доступ до мережі, на екрані з'явиться заставка, яка повідомляє, що доступ до Інтернету обмежений.
Кінцева точка має кілька статусів стану Heartbeat: червоний, жовтий та зелений.
Червоний статус виникає у таких випадках:
- виявлено активне шкідливе ПЗ;
- виявлено спробу запуску шкідливого ПЗ;
- виявлено шкідливий мережевий трафік;
- зловмисне програмне забезпечення не було видалено.
Жовтий статус означає, що у кінцевої точці виявлено неактивне шкідливе ПЗ чи виявлено ПНП (потенційно небажана програма). Зелений статус свідчить про те, що жодних перерахованих вище проблем не виявлено.
Розглянувши деякі класичні сценарії взаємодії пристроїв з Sophos Central, перейдемо до опису графічного інтерфейсу рішення і розгляду основних налаштувань і підтримуваного функціоналу.
Графічний інтерфейс
На панелі керування відображаються останні повідомлення. Також у вигляді діаграм відображена зведена характеристика різних компонентів захисту. У цьому випадку відображаються дані щодо захисту персональних комп'ютерів. На цій панелі також є зведена інформація про спроби відвідування небезпечних ресурсів і ресурсів з неприйнятним змістом, статистика аналізу електронної пошти.
Sophos Central підтримує відображення повідомлень за ступенем важливості, що не дозволить користувачеві пропустити критичні оповіщення системи безпеки. Крім лаконічно відображуваної зведеної інформації про стан системи захисту, Sophos Central підтримує логування подій, інтеграцію із SIEM-системами. Sophos Central для багатьох компаній є платформою як внутрішнього SOC, так надання послуг своїм замовникам — MSSP.
Однією з важливих особливостей є підтримка кешу оновлень для endpoint-клієнтів. Це дозволяє заощаджувати пропускну здатність зовнішнього трафіку, оскільки в цьому випадку оновлення завантажуються один раз на один з endpoint-клієнтів, а далі інші кінцеві пристрої завантажують оновлення з нього. На додаток до описаної можливості обраний endpoint може ретранслювати повідомлення про політиків безпеки та інформаційні звіти в хмару Sophos. Ця функція буде корисною, якщо є кінцеві пристрої, які не мають прямого доступу до Інтернету, але потребують захисту. У Sophos Central передбачена опція (tamper protection), що забороняє змінювати налаштування захисту комп'ютера або видаляти endpoint-агент.
Одним із компонентів endpoint-захисту є антивірус нового покоління (NGAV). . За допомогою технологій глибокого машинного навчання антивірус здатний виявляти невідомі раніше загрози без використання сигнатур. Точність виявлення можна порівняти з сигнатурними аналогами, але на відміну від них забезпечує проактивний захист, запобігаючи атакам «нульового дня». Intercept X здатний працювати паралельно із сигнатурними антивірусами інших вендорів.
У цій статті ми коротко розповіли про концепцію SynSec, яка реалізована в Sophos Central, а також про деякі можливості цього рішення. Про те, як функціонує кожен із компонентів захисту, інтегрований у Sophos Central, ми розповімо в наступних статтях. Отримати демо-версію рішення ви можете .
Джерело: habr.com