Axborot xavfsizligi vositalarining yuqori samaradorligini ta'minlash uchun uning tarkibiy qismlarini ulash muhim rol o'ynaydi. Bu nafaqat tashqi, balki ichki tahdidlarni ham qoplash imkonini beradi. Tarmoq infratuzilmasini loyihalashda har bir xavfsizlik vositasi, xoh u antivirus yoki xavfsizlik devori bo'lsin, ular nafaqat o'z sinfida (Endpoint security yoki NGFW) ishlashi, balki tahdidlarga birgalikda qarshi kurashish uchun bir-biri bilan o'zaro ta'sir o'tkazish qobiliyatiga ega bo'lishi uchun muhimdir. .
Bir oz nazariya
Bugungi kiberjinoyatchilarning tadbirkorlik bilan shug‘ullanishi ajablanarli emas. Ular zararli dasturlarni tarqatish uchun bir qator tarmoq texnologiyalaridan foydalanadilar:
Elektron pochta fishingi zararli dasturning ma'lum hujumlar yoki nol kunlik hujumlardan so'ng imtiyozlarning kuchayishi yoki tarmoq bo'ylab lateral harakati yordamida tarmog'ingiz ostonasidan o'tishiga olib keladi. Bitta virusli qurilmaga ega bo'lish sizning tarmog'ingiz tajovuzkor manfaati uchun ishlatilishi mumkinligini anglatishi mumkin.
Ba'zi hollarda, axborot xavfsizligi komponentlarining o'zaro ta'sirini ta'minlash zarur bo'lganda, tizimning joriy holatining axborot xavfsizligi auditini o'tkazishda, uni o'zaro bog'liq bo'lgan yagona chora-tadbirlar majmuasidan foydalangan holda tavsiflash mumkin emas. Ko'pgina hollarda, muayyan turdagi tahdidlarga qarshi turishga qaratilgan ko'plab texnologik echimlar boshqa texnologik echimlar bilan integratsiyani ta'minlamaydi. Masalan, so'nggi nuqtani himoya qilish mahsulotlari fayl infektsiyalangan yoki yo'qligini aniqlash uchun imzo va xatti-harakatlar tahlilidan foydalanadi. Zararli trafikni to'xtatish uchun xavfsizlik devorlari veb-filtrlash, IPS, sandboxing va boshqalarni o'z ichiga olgan boshqa texnologiyalardan foydalanadi. Biroq, aksariyat tashkilotlarda ushbu axborot xavfsizligi komponentlari bir-biri bilan bog'lanmagan va izolyatsiya qilingan holda ishlaydi.
Heartbeat texnologiyasini joriy etish tendentsiyalari
Kiberxavfsizlikka yangi yondashuv har bir darajadagi himoyani o'z ichiga oladi, har bir darajadagi yechimlar bir-biriga bog'langan va ma'lumot almashish imkoniyatiga ega. Bu Sunchronized Security (SynSec) yaratilishiga olib keladi. SynSec yagona tizim sifatida axborot xavfsizligini ta'minlash jarayonini ifodalaydi. Bunda har bir axborot xavfsizligi komponenti real vaqt rejimida bir-biriga ulanadi. Masalan, yechim ushbu tamoyilga muvofiq amalga oshiriladi.
Security Heartbeat texnologiyasi xavfsizlik komponentlari oʻrtasidagi aloqani taʼminlaydi, tizim bilan hamkorlik va monitoringni amalga oshiradi. IN Quyidagi sinflarning yechimlari birlashtirilgan:
- — klassik imzo antivirusi;
- — serverlar uchun maxsus antivirus;
- – yangi avlod antivirusi (imzolarsiz va sun’iy intellekt texnologiyalari bilan);
- — Keyingi avlod xavfsizlik devori;
- — mobil qurilmalarni boshqarish va korporativ pochta va fayllarga kirishni boshqarish;
- ;
- — bulutdan ham, mahalliy sifatida ham Sophos UTM / Sophos XG orqali boshqariladigan kirish nuqtalari;
- — veb-trafikni filtrlash uchun klassik yechim;
- — bulutli/mahalliy antispam/virusga qarshi yechim;
- — xodimlarning xabardorligini oshirish, test phishing jo‘natmalarini o‘tkazish;
- — bulutli infratuzilmalar auditi.
Sophos Central axborot xavfsizligi bo'yicha keng ko'lamli yechimlarni qo'llab-quvvatlashini ko'rish oson. Sophos Central’da SynSec kontseptsiyasi uchta muhim tamoyilga asoslanadi: aniqlash, tahlil qilish va javob berish. Ularni batafsil tavsiflash uchun biz ularning har biriga to'xtalib o'tamiz.
SynSec tushunchalari
ANGILASH (noma'lum tahdidlarni aniqlash)
Sophos Central tomonidan boshqariladigan Sophos mahsulotlari xavf va noma'lum tahdidlarni aniqlash uchun avtomatik ravishda bir-biri bilan ma'lumot almashadi, jumladan:
- yuqori xavfli ilovalar va zararli trafikni aniqlash qobiliyatiga ega tarmoq trafigini tahlil qilish;
- yuqori xavfli foydalanuvchilarni onlayn harakatlarini korrelyatsiya tahlil qilish orqali aniqlash.
TAHLILOT (tezkor va intuitiv)
Voqealarni real vaqtda tahlil qilish tizimdagi mavjud vaziyatni bir zumda tushunish imkonini beradi.
- Hodisaga olib kelgan voqealarning to'liq zanjirini, shu jumladan barcha fayllarni, ro'yxatga olish kitobi kalitlarini, URL manzillarini va boshqalarni ko'rsatadi.
JAVOB (avtomatik hodisaga javob)
Xavfsizlik siyosatini o'rnatish sizga bir necha soniya ichida infektsiyalar va hodisalarga avtomatik javob berish imkonini beradi. Bu ta'minlanadi:
- zararlangan qurilmalarni bir zumda izolyatsiya qilish va real vaqt rejimida hujumni to'xtatish (hatto bir xil tarmoq/eshittirish domenida ham);
- siyosatga mos kelmaydigan qurilmalar uchun kompaniyaning tarmoq resurslariga kirishni cheklash;
- chiquvchi spam aniqlanganda qurilmani skanerlashni masofadan ishga tushiring.
Biz Sophos Central asos bo'lgan asosiy xavfsizlik tamoyillarini ko'rib chiqdik. Endi keling, SynSec texnologiyasi amalda qanday namoyon bo'lishining tavsifiga o'tamiz.
Nazariyadan amaliyotga
Avvalo, qurilmalarning Heartbeat texnologiyasidan foydalangan holda SynSec printsipi yordamida o'zaro qanday ishlashini tushuntirib beraylik. Birinchi qadam Sophos XG-ni Sophos Central bilan ro'yxatdan o'tkazishdir. Ushbu bosqichda u o'zini identifikatsiya qilish uchun sertifikat, IP-manzil va oxirgi qurilmalar Heartbeat texnologiyasidan foydalangan holda u bilan o'zaro aloqada bo'ladigan portni, shuningdek, Sophos Central orqali boshqariladigan so'nggi qurilmalar identifikatorlari ro'yxatini va ularning mijoz sertifikatlarini oladi.
Sophos XG ro'yxatdan o'tgandan ko'p o'tmay, Sophos Central yurak urishi o'zaro ta'sirini boshlash uchun so'nggi nuqtalarga ma'lumot yuboradi:
- Sophos XG sertifikatlarini berish uchun foydalaniladigan sertifikat organlari ro'yxati;
- Sophos XG da ro'yxatdan o'tgan qurilma identifikatorlari ro'yxati;
- Heartbeat texnologiyasidan foydalangan holda o'zaro aloqa qilish uchun IP-manzil va port.
Ushbu ma'lumot kompyuterda quyidagi yo'lda saqlanadi: %ProgramData%SophosHearbeatConfigHeartbeat.xml va muntazam ravishda yangilanadi.
Heartbeat texnologiyasidan foydalangan holda aloqa 52.5.76.173:8347 va orqaga sehrli IP-manzilga xabarlarni yuborishning so'nggi nuqtasi orqali amalga oshiriladi. Tahlil davomida ma'lum bo'lishicha, sotuvchi aytganidek, paketlar 15 soniya muddat bilan jo'natiladi. Shuni ta'kidlash kerakki, Heartbeat xabarlari to'g'ridan-to'g'ri XG Firewall tomonidan qayta ishlanadi - u paketlarni ushlab turadi va oxirgi nuqta holatini nazorat qiladi. Agar siz xostda paketlarni yozib olishni amalga oshirsangiz, trafik tashqi IP-manzil bilan bog'langandek ko'rinadi, garchi aslida oxirgi nuqta to'g'ridan-to'g'ri XG xavfsizlik devori bilan bog'langan bo'lsa.
Aytaylik, zararli dastur qandaydir tarzda kompyuteringizga kirdi. Sophos Endpoint bu hujumni aniqlaydi yoki biz bu tizimdan Heartbeat qabul qilishni to'xtatamiz. Infektsiyalangan qurilma avtomatik ravishda tizim infektsiyasi haqida ma'lumot yuboradi va bu avtomatik harakatlar zanjirini ishga tushiradi. XG Firewall kompyuteringizni bir zumda izolyatsiya qiladi, bu hujum tarqalishining oldini oladi va C&C serverlari bilan o'zaro ta'sir qiladi.
Sophos Endpoint zararli dasturlarni avtomatik ravishda yo'q qiladi. U olib tashlangandan so'ng, oxirgi qurilma Sophos Central bilan sinxronlanadi, so'ngra XG Firewall tarmoqqa kirishni tiklaydi. Root Cause Analysis (RCA yoki EDR - Endpoint Detection and Response) nima sodir bo'lganligi haqida batafsil ma'lumot olish imkonini beradi.
Korporativ resurslarga mobil qurilmalar va planshetlar orqali kirish mumkin deb hisoblasak, SynSec-ni taqdim etish mumkinmi?
Sophos Central ushbu stsenariyni qo'llab-quvvatlaydi и . Aytaylik, foydalanuvchi Sophos Mobile bilan himoyalangan mobil qurilmada xavfsizlik siyosatini buzishga harakat qiladi. Sophos Mobile xavfsizlik siyosatining buzilishini aniqlaydi va tizimning qolgan qismiga bildirishnomalarni yuboradi, bu hodisaga oldindan sozlangan javobni ishga tushiradi. Agar Sophos Mobileda “tarmoq ulanishini rad etish” siyosati sozlangan boʻlsa, Sophos Wireless ushbu qurilma uchun tarmoqqa kirishni cheklaydi. Sophos Central asboblar panelida Sophos Wireless yorlig'i ostida qurilma infektsiyalanganligini bildiruvchi bildirishnoma paydo bo'ladi. Foydalanuvchi tarmoqqa kirishga harakat qilganda, ekranda Internetga kirish cheklanganligi haqida xabar beruvchi ekran paydo bo'ladi.
Yakuniy nuqta bir nechta Heartbeat holatiga ega: qizil, sariq va yashil.
Qizil holat quyidagi hollarda yuzaga keladi:
- faol zararli dastur aniqlandi;
- zararli dasturni ishga tushirishga urinish aniqlandi;
- zararli tarmoq trafigi aniqlandi;
- zararli dastur o'chirilmadi.
Sariq holat oxirgi nuqta faol bo'lmagan zararli dasturni aniqlaganligini yoki PUP (potentsial kiruvchi dastur) ni aniqlaganligini anglatadi. Yashil holat yuqoridagi muammolarning hech biri aniqlanmaganligini ko'rsatadi.
Himoyalangan qurilmalarning Sophos Central bilan o'zaro ta'siri bo'yicha ba'zi klassik stsenariylarni ko'rib chiqqandan so'ng, keling, yechimning grafik interfeysi tavsifiga va asosiy sozlamalar va qo'llab-quvvatlanadigan funksiyalarni ko'rib chiqishga o'tamiz.
Grafik interfeys
Boshqaruv paneli so'nggi bildirishnomalarni ko'rsatadi. Turli xil himoya komponentlarining qisqacha mazmuni diagrammalar shaklida ham ko'rsatiladi. Bunday holda, shaxsiy kompyuterlarni himoya qilish bo'yicha umumlashtirilgan ma'lumotlar ko'rsatiladi. Bu panel, shuningdek, xavfli manbalar va nomaqbul kontentga ega manbalarga tashrif buyurishga urinishlar va elektron pochta tahlili statistikasi haqida umumiy maʼlumotlarni taqdim etadi.
Sophos Central foydalanuvchining muhim xavfsizlik ogohlantirishlarini o'tkazib yuborishiga yo'l qo'ymaslik uchun bildirishnomalarni jiddiylik darajasi bo'yicha ko'rsatishni qo'llab-quvvatlaydi. Xavfsizlik tizimining holatining qisqacha ko'rsatilgan xulosasiga qo'shimcha ravishda, Sophos Central hodisalarni qayd etish va SIEM tizimlari bilan integratsiyani qo'llab-quvvatlaydi. Ko'pgina kompaniyalar uchun Sophos Central ham ichki SOC uchun, ham o'z mijozlariga xizmat ko'rsatish platformasi - MSSP.
Muhim xususiyatlardan biri oxirgi nuqta mijozlari uchun yangilanish keshini qo'llab-quvvatlashdir. Bu sizga tashqi trafikda tarmoqli kengligini tejash imkonini beradi, chunki bu holda yangilanishlar so'nggi nuqta mijozlaridan biriga bir marta yuklab olinadi, so'ngra boshqa so'nggi nuqtalar undan yangilanishlarni yuklab oladi. Ta'riflangan xususiyatga qo'shimcha ravishda, tanlangan so'nggi nuqta xavfsizlik siyosati xabarlari va axborot hisobotlarini Sophos bulutiga yuborishi mumkin. Ushbu funktsiya Internetga to'g'ridan-to'g'ri kirish imkoniga ega bo'lmagan, ammo himoyani talab qiladigan so'nggi qurilmalar mavjud bo'lsa foydali bo'ladi. Sophos Central kompyuterning xavfsizlik sozlamalarini o'zgartirish yoki so'nggi nuqta agentini o'chirishni taqiqlovchi variantni (buzg'unchilikdan himoya) taqdim etadi.
Oxirgi nuqtani himoya qilish komponentlaridan biri bu yangi avlod antivirusi (NGAV) - . Chuqur mashinani o'rganish texnologiyalaridan foydalangan holda, antivirus imzolardan foydalanmasdan avval noma'lum tahdidlarni aniqlay oladi. Aniqlash aniqligi imzo analoglari bilan taqqoslanadi, lekin ulardan farqli o'laroq, u nol kunlik hujumlarning oldini olib, faol himoyani ta'minlaydi. Intercept X boshqa ishlab chiqaruvchilarning imzo antiviruslari bilan parallel ravishda ishlashga qodir.
Ushbu maqolada biz Sophos Central-da amalga oshirilgan SynSec kontseptsiyasi, shuningdek, ushbu yechimning ba'zi imkoniyatlari haqida qisqacha gaplashdik. Sophos Central bilan birlashtirilgan xavfsizlik komponentlarining har biri qanday ishlashini keyingi maqolalarda tasvirlab beramiz. Siz yechimning demo versiyasini olishingiz mumkin .
Manba: www.habr.com