为了确保信息安全工具的高效率,其组件的连接起着重要作用。 它不仅可以让您应对外部威胁,还可以应对内部威胁。 在设计网络基础设施时,每个安全工具(无论是防病毒工具还是防火墙)都很重要,因为它们不仅在其类别(端点安全或 NGFW)内发挥作用,而且还具有相互交互以共同对抗威胁的能力。
有些理论
当今的网络犯罪分子变得更具创业精神也就不足为奇了。 他们使用一系列网络技术来传播恶意软件:
电子邮件网络钓鱼会导致恶意软件使用已知攻击(零日攻击后进行权限升级)或通过网络横向移动来跨越网络阈值。 拥有一台受感染的设备可能意味着您的网络可能会被攻击者利用。
在某些情况下,当需要确保信息安全组件的交互时,在对系统当前状态进行信息安全审计时,不可能使用一组相互关联的措施来描述它。 在大多数情况下,许多专注于应对特定类型威胁的技术解决方案不提供与其他技术解决方案的集成。 例如,端点保护产品使用签名和行为分析来确定文件是否被感染。 为了阻止恶意流量,防火墙使用其他技术,包括网页过滤、IPS、沙箱等。 然而,在大多数组织中,这些信息安全组件并不相互连接,而是孤立运行。
Heartbeat技术的实施趋势
新的网络安全方法涉及各个级别的保护,每个级别使用的解决方案相互连接并能够交换信息。 这导致了 Sunchronized Security (SynSec) 的创建。 SynSec 代表确保单个系统信息安全的过程。 在这种情况下,每个信息安全组件彼此实时连接。 例如,解决方案 按照这个原则来实施。
安全心跳技术可实现安全组件之间的通信,从而实现系统协作和监控。 在 集成了以下类别的解决方案:
- — 经典签名防病毒软件;
- — 服务器专用防病毒软件;
- – 新一代防病毒软件(无签名且采用人工智能技术);
- — 下一代防火墙;
- — 移动设备管理以及对公司邮件和文件的访问控制;
- ;
- — 通过 Sophos UTM / Sophos XG 从云端和本地管理接入点;
- — 过滤网络流量的经典解决方案;
- — 云/本地反垃圾邮件/防病毒解决方案;
- — 提高员工意识,进行网络钓鱼邮件测试;
- — 云基础设施的审计。
不难看出,Sophos Central 支持相当广泛的信息安全解决方案。 在 Sophos Central,SynSec 概念基于三个重要原则:检测、分析和响应。 为了详细描述它们,我们将详细讨论它们中的每一个。
SynSec概念
检测 (检测未知威胁)
由 Sophos Central 管理的 Sophos 产品会自动相互共享信息以识别风险和未知威胁,其中包括:
- 网络流量分析,能够识别高风险应用程序和恶意流量;
- 通过在线行为的相关性分析来检测高风险用户。
分析 (即时且直观)
实时事件分析可以即时了解系统当前状况。
- 显示导致事件的完整事件链,包括所有文件、注册表项、URL 等。
回复 (自动事件响应)
设置安全策略使您可以在几秒钟内自动响应感染和事件。 这是确保的:
- 立即隔离受感染设备并实时停止攻击(即使在同一网络/广播域内);
- 限制不符合策略的设备访问公司网络资源;
- 当检测到传出垃圾邮件时,远程启动设备扫描。
我们已经了解了 Sophos Central 所依据的主要安全原则。 现在让我们继续描述 SynSec 技术如何在实际中体现出来。
从理论到实践
首先,我们来解释一下设备如何利用 SynSec 原理利用 Heartbeat 技术进行交互。 第一步是向 Sophos Central 注册 Sophos XG。 在此阶段,他会收到用于自我识别的证书、终端设备将通过其使用 Heartbeat 技术与他进行交互的 IP 地址和端口,以及通过 Sophos Central 管理的终端设备的 ID 列表及其客户端证书。
Sophos XG 注册后不久,Sophos Central 将向端点发送信息以启动心跳交互:
- 用于颁发 Sophos XG 证书的证书颁发机构列表;
- 向 Sophos XG 注册的设备 ID 列表;
- 使用Heartbeat技术进行交互的IP地址和端口。
此信息存储在计算机上的以下路径中:%ProgramData%SophosHearbeatConfigHeartbeat.xml 并定期更新。
使用 Heartbeat 技术的通信是通过端点向魔术 IP 地址 52.5.76.173:8347 发送消息并返回消息来执行的。 在分析过程中发现,正如供应商所说,数据包的发送周期为 15 秒。 值得注意的是,Heartbeat 消息由 XG Firewall 直接处理 - 它拦截数据包并监视端点的状态。 如果您在主机上执行数据包捕获,流量将显示为与外部 IP 地址通信,但实际上端点正在直接与 XG 防火墙通信。
假设恶意应用程序以某种方式进入您的计算机。 Sophos Endpoint 检测到此攻击,或者我们停止从该系统接收 Heartbeat。 受感染的设备会自动发送有关受感染系统的信息,从而触发一系列自动操作。 XG Firewall 立即隔离您的计算机,防止攻击传播并与 C&C 服务器交互。
Sophos Endpoint 自动删除恶意软件。 删除后,终端设备将与 Sophos Central 同步,然后 XG Firewall 恢复对网络的访问。 根本原因分析(RCA 或 EDR - 端点检测和响应)可让您详细了解所发生的情况。
假设通过移动设备和平板电脑访问企业资源,是否可以提供 SynSec?
Sophos Central 提供对此场景的支持 и 。 假设用户试图违反受 Sophos Mobile 保护的移动设备上的安全策略。 Sophos Mobile 检测到安全策略违规并向系统的其余部分发送通知,触发针对该事件的预配置响应。 如果 Sophos Mobile 配置了“拒绝网络连接”策略,Sophos Wireless 将限制该设备的网络访问。 Sophos Central 仪表板中的 Sophos Wireless 选项卡下将显示一条通知,指示设备已被感染。 当用户尝试访问网络时,屏幕上会出现闪屏,通知他们互联网访问受到限制。
终端有多种心跳状态:红、黄、绿。
在以下情况下会出现红色状态:
- 检测到活跃的恶意软件;
- 检测到启动恶意软件的尝试;
- 检测到恶意网络流量;
- 恶意软件未被删除。
黄色状态表示端点已检测到非活动恶意软件或已检测到 PUP(潜在有害程序)。 绿色状态表示未检测到上述问题。
了解了受保护设备与 Sophos Central 交互的一些经典场景后,让我们继续介绍该解决方案的图形界面,并回顾一下主要设置和支持的功能。
图形界面
控制面板显示最新通知。 各种保护组件的摘要也以图表的形式显示。 在这种情况下,显示有关个人计算机保护的概要数据。 该面板还提供有关尝试访问危险资源和包含不当内容的资源的摘要信息以及电子邮件分析统计信息。
Sophos Central 支持按严重性显示通知,防止用户错过重要的安全警报。 除了简洁显示安全系统状态的摘要之外,Sophos Central 还支持事件日志记录以及与 SIEM 系统的集成。 对于许多公司而言,Sophos Central 是一个既可用于内部 SOC 又可为其客户提供服务的平台 - MSSP。
重要功能之一是支持端点客户端的更新缓存。 这使您可以节省外部流量的带宽,因为在这种情况下,更新会下载一次到其中一个端点客户端,然后其他端点会从中下载更新。 除了所描述的功能之外,所选端点还可以将安全策略消息和信息报告中继到 Sophos 云。 如果存在无法直接访问互联网但需要保护的终端设备,则此功能将非常有用。 Sophos Central 提供了一个选项(防篡改),禁止更改计算机的安全设置或删除端点代理。
端点保护的组成部分之一是新一代防病毒软件 (NGAV) - 。 使用深度机器学习技术,防病毒软件能够在不使用签名的情况下识别以前未知的威胁。 检测精度与签名类似物相当,但与它们不同的是,它提供主动保护,防止零日攻击。 Intercept X 能够与其他供应商的签名防病毒软件并行工作。
在本文中,我们简要讨论了在 Sophos Central 中实现的 SynSec 概念,以及该解决方案的一些功能。 我们将在以下文章中介绍如何将每个安全组件集成到 Sophos Central 中发挥作用。 您可以获得该解决方案的演示版本 .
来源: habr.com