為了確保資訊安全工具的高效率,其組件的連接起著重要作用。 它不僅可以讓您應對外部威脅,還可以應對內部威脅。 在設計網路基礎架構時,每個安全工具(無論是防毒工具還是防火牆)都很重要,因為它們不僅在其類別(端點安全或NGFW)內發揮作用,而且還具有相互互動以共同對抗威脅的能力。
一點理論
現今的網路犯罪分子變得更具創業精神也就不足為奇了。 他們使用一系列網路技術來傳播惡意軟體:
電子郵件網路釣魚會導致惡意軟體使用已知攻擊(零時差攻擊後進行權限升級)或透過網路橫向移動來跨越網路閾值。 擁有一台受感染的設備可能意味著您的網路可能會被攻擊者利用。
在某些情況下,當需要確保資訊安全組件的交互時,在對系統當前狀態進行資訊安全審計時,不可能使用一組相互關聯的措施來描述它。 在大多數情況下,許多專注於應對特定類型威脅的技術解決方案不提供與其他技術解決方案的整合。 例如,端點保護產品使用簽名和行為分析來確定檔案是否被感染。 為了阻止惡意流量,防火牆使用其他技術,包括網頁過濾、IPS、沙箱等。 然而,在大多數組織中,這些資訊安全組件並非相互連接,而是孤立運作。
Heartbeat技術的實施趨勢
新的網路安全方法涉及各個層級的保護,每個層級使用的解決方案相互連接並能夠交換資訊。 這導致了 Sunchronized Security (SynSec) 的創建。 SynSec 代表確保單一系統資訊安全的流程。 在這種情況下,每個資訊安全組件彼此即時連接。 例如,解決方案 按照這個原則來實施。
安全心跳技術可實現安全組件之間的通信,從而實現系統協作和監控。 在 整合了以下類別的解決方案:
- — 經典簽名防毒軟體;
- — 伺服器專用防毒軟體;
- – 新一代防毒軟體(無簽名且採用人工智慧技術);
- — 新一代防火牆;
- — 行動裝置管理以及對公司郵件和文件的存取控制;
- ;
- — 透過 Sophos UTM / Sophos XG 從雲端和本地管理存取點;
- — 過濾網路流量的經典解決方案;
- — 雲端/本地反垃圾郵件/防毒解決方案;
- — 提高員工意識,進行網路釣魚郵件測試;
- — 雲端基礎設施的審計。
不難看出,Sophos Central 支援相當廣泛的資訊安全解決方案。 在 Sophos Central,SynSec 概念基於三個重要原則:檢測、分析和回應。 為了詳細描述它們,我們將詳細討論它們中的每一個。
SynSec概念
偵測 (偵測未知威脅)
由 Sophos Central 管理的 Sophos 產品會自動相互分享資訊以識別風險和未知威脅,其中包括:
- 網路流量分析,能夠識別高風險應用程式和惡意流量;
- 透過線上行為的相關性分析來檢測高風險用戶。
分析 (即時且直覺)
即時事件分析可以即時了解系統目前狀況。
- 顯示導致事件的完整事件鏈,包括所有檔案、註冊表項、URL 等。
回覆 (自動事件回應)
設定安全性策略可讓您在幾秒鐘內自動回應感染和事件。 這是確保的:
- 立即隔離受感染設備並即時停止攻擊(即使在同一網路/廣播域內);
- 限制不符合策略的設備存取公司網路資源;
- 當偵測到傳出垃圾郵件時,遠端啟動設備掃描。
我們已經了解了 Sophos Central 所依據的主要安全原則。 現在讓我們繼續描述 SynSec 技術如何在實際中體現。
從理論到實踐
首先,讓我們來解釋一下裝置如何利用 SynSec 原理利用 Heartbeat 技術進行互動。 第一步是向 Sophos Central 註冊 Sophos XG。 在此階段,他會收到用於自我識別的證書、終端設備將透過其使用 Heartbeat 技術與他進行交互的 IP 位址和端口,以及透過 Sophos Central 管理的終端設備的 ID 列表及其客戶端證書。
Sophos XG 註冊後不久,Sophos Central 將向端點發送訊息以啟動心跳互動:
- 用於頒發 Sophos XG 證書的證書頒發機構清單;
- 向 Sophos XG 註冊的設備 ID 清單;
- 使用Heartbeat技術進行互動的IP位址和連接埠。
此資訊儲存在電腦上的以下路徑:%ProgramData%SophosHearbeatConfigHeartbeat.xml 並定期更新。
使用 Heartbeat 技術的通訊是透過端點向魔術 IP 位址 52.5.76.173:8347 發送訊息並傳回訊息來執行的。 在分析過程中發現,如供應商所說,資料包的發送週期為 15 秒。 值得注意的是,Heartbeat 訊息由 XG Firewall 直接處理 - 它攔截資料包並監視端點的狀態。 如果您在主機上執行封包捕獲,流量將顯示為與外部 IP 位址通信,但實際上端點正在直接與 XG 防火牆通訊。
假設惡意應用程式以某種方式進入您的電腦。 Sophos Endpoint 偵測到此攻擊,或者我們停止從該系統接收 Heartbeat。 受感染的設備會自動發送有關受感染系統的訊息,從而觸發一系列自動操作。 XG Firewall 立即隔離您的計算機,防止攻擊傳播並與 C&C 伺服器互動。
Sophos Endpoint 自動移除惡意軟體。 刪除後,終端設備將與 Sophos Central 同步,然後 XG Firewall 恢復對網路的存取。 根本原因分析(RCA 或 EDR - 端點偵測和回應)可讓您詳細了解所發生的情況。
假設透過行動裝置和平板電腦存取企業資源,是否可以提供 SynSec?
Sophos Central 提供對此場景的支持 и 。 假設使用者試圖違反受 Sophos Mobile 保護的行動裝置上的安全策略。 Sophos Mobile 偵測到安全性原則違規並向系統的其餘部分發送通知,觸發針對該事件的預先設定回應。 如果 Sophos Mobile 配置了「拒絕網路連線」策略,Sophos Wireless 將限制該裝置的網路存取。 Sophos Central 儀表板中的 Sophos Wireless 標籤下方將顯示一則通知,指示裝置已被感染。 當使用者嘗試存取網路時,螢幕上會出現閃屏,通知他們網路存取受到限制。
終端機有多種心跳狀態:紅、黃、綠。
在以下情況下會出現紅色狀態:
- 檢測到活躍的惡意軟體;
- 偵測到啟動惡意軟體的嘗試;
- 偵測到惡意網路流量;
- 惡意軟體未被刪除。
黃色狀態表示端點已偵測到非活動惡意軟體或已偵測到 PUP(潛在有害程式)。 綠色狀態表示未偵測到上述問題。
在了解了受保護裝置與 Sophos Central 互動的一些經典場景後,讓我們繼續介紹解決方案的圖形介面,並回顧一下主要設定和支援的功能。
圖形使用者介面
控制面板顯示最新通知。 各種保護組件的摘要也以圖表的形式顯示。 在這種情況下,顯示有關個人電腦保護的概要資料。 該面板還提供有關嘗試存取危險資源和包含不當內容的資源的摘要資訊以及電子郵件分析統計資料。
Sophos Central 支援以嚴重性顯示通知,防止使用者錯過重要的安全警報。 除了簡潔顯示安全系統狀態的摘要之外,Sophos Central 還支援事件日誌記錄以及與 SIEM 系統的整合。 對許多公司而言,Sophos Central 是一個既可用於內部 SOC 又可為其客戶提供服務的平台 - MSSP。
重要功能之一是支援端點客戶端的更新快取。 這允許您節省外部流量的頻寬,因為在這種情況下,更新會下載一次到其中一個端點用戶端,然後其他端點會從中下載更新。 除了所描述的功能之外,所選端點還可以將安全性原則訊息和資訊報告中繼到 Sophos 雲端。 如果存在無法直接存取網際網路但需要保護的終端設備,則此功能將非常有用。 Sophos Central 提供了一個選項(防篡改),禁止更改電腦的安全設定或刪除端點代理程式。
端點保護的組成部分之一是新一代防毒軟體 (NGAV) - 。 使用深度機器學習技術,防毒軟體能夠在不使用簽名的情況下識別以前未知的威脅。 偵測精確度與簽章類似物相當,但與它們不同的是,它提供主動保護,防止零時差攻擊。 Intercept X 能夠與其他供應商的簽章防毒軟體並行工作。
在本文中,我們簡要討論了 Sophos Central 中實現的 SynSec 概念,以及該解決方案的一些功能。 我們將在以下文章中介紹如何將每個安全組件整合到 Sophos Central 中發揮作用。 您可以獲得該解決方案的演示版本 .
來源: www.habr.com