الأمن المتزامن في سوفوس الوسطى

لضمان الكفاءة العالية لأدوات أمن المعلومات ، يتم لعب دور مهم من خلال توصيل مكوناته. فهو يسمح لك بحظر ليس فقط التهديدات الخارجية ، ولكن أيضًا. عند تصميم البنية التحتية للشبكة ، فإن كل وسيلة للحماية مهمة ، سواء كانت مضاد فيروسات أو جدار حماية ، بحيث لا تعمل فقط داخل فئتها (أمان نقطة النهاية أو NGFW) ، ولكن أيضًا لديها القدرة على التفاعل مع بعضها البعض لمكافحة التهديدات المشتركة.

قليلا من الناحية النظرية

ليس من المستغرب أن مجرمي الإنترنت الحاليين أصبحوا أكثر ريادة في الأعمال. يستخدمون عددًا من تقنيات الشبكات لنشر البرامج الضارة:

سوف تتسبب رسائل البريد الإلكتروني المخادعة في "تجاوز البرامج الضارة للحد الأدنى" لشبكتك باستخدام هجمات معروفة أو "هجمات يوم الصفر" متبوعة بتصعيد الامتياز أو حركة جانبية عبر الشبكة. قد يعني وجود جهاز مصاب واحد أنه يمكن استخدام شبكتك لأغراض المرتزقة للمهاجمين.

في بعض الحالات ، عندما يكون من الضروري ضمان تفاعل مكونات أمن المعلومات ، عند إجراء تدقيق لأمن المعلومات للحالة الحالية للنظام ، لا يمكن وصفه باستخدام مجموعة واحدة من التدابير المترابطة. في معظم الحالات ، لا توفر العديد من الحلول التكنولوجية التي تركز على مواجهة نوع معين من التهديد التكامل مع الحلول التكنولوجية الأخرى. على سبيل المثال ، تستخدم منتجات حماية نقطة النهاية تحليلًا قائمًا على التوقيع والسلوكية لتحديد ما إذا كان الملف مصابًا أم لا. تستخدم جدران الحماية تقنيات أخرى لإيقاف حركة المرور الضارة ، بما في ذلك تصفية الويب ، و IPS ، و sandboxing ، إلخ. ومع ذلك ، في معظم المؤسسات ، لا ترتبط مكونات أمان المعلومات ببعضها البعض وتعمل بمعزل عن غيرها.

اتجاهات نبضات التكنولوجيا

يتضمن النهج الجديد لضمان الأمن السيبراني الحماية على كل مستوى ، حيث تكون الحلول المستخدمة في كل منها مترابطة ولديها القدرة على تبادل المعلومات. هذا يؤدي إلى إنشاء نظام الأمان المتزامن (SynSec). SynSec هي عملية أمان معلومات كنظام واحد. في هذه الحالة ، يرتبط كل مكون من عناصر أمان المعلومات ببعضها البعض في الوقت الفعلي. على سبيل المثال ، يتم تطبيق حل Sophos Central وفقًا لهذا المبدأ.


توفر تقنية Security Heartbeat الاتصال بين مكونات الأمان ، مما يضمن التشغيل المشترك للنظام ومراقبته. تم دمج الفئات التالية في Sophos Central :

• حماية نقطة النهاية - مضاد فيروسات توقيع كلاسيكي ؛
• حماية الخادم - مضاد فيروسات متخصص للخوادم ؛
• Intercept-X - جيل جديد من مضادات الفيروسات (بدون توقيعات ومع تقنيات الذكاء الاصطناعي) ؛
• جدار حماية Sophos XG - جدار حماية الجيل التالي ؛
• إدارة التنقل (EMM) - إدارة الأجهزة المحمولة والتحكم في الوصول إلى بريد الشركات والملفات ؛
• حماية البيانات (التشفير) ؛
• اتصال Wi-Fi آمن - نقاط الوصول التي تتم إدارتها من السحابة والمحلي من خلال Sophos UTM / Sophos XG ؛
• أمان الويب - حل كلاسيكي لتصفية حركة مرور الويب ؛
• البريد الإلكتروني الأمن - سحابة / المحلية لمكافحة البريد المزعج / مكافحة الفيروسات الحل ؛
• Phish Threat - رفع وعي الموظفين ، وإجراء رسائل البريد الإلكتروني للاختبار الاحتيالي ؛
• Cloud Optix - تدقيق البنى التحتية السحابية.

من السهل أن نرى أن Sophos Central تدعم مجموعة واسعة من حلول أمن المعلومات. في Sophos Central ، يعتمد مفهوم SynSec على ثلاثة مبادئ مهمة: الاكتشاف والتحليل والاستجابة. للحصول على وصف مفصل لهم ، دعونا نتحدث عن كل منهم.

مفاهيم SynSec

الكشف (تحديد التهديدات غير المعروفة)
تقوم منتجات Sophos التي تديرها Sophos Central تلقائيًا بمشاركة المعلومات فيما بينها لتحديد المخاطر والتهديدات غير المعروفة ، والتي تشمل:

• تحليل حركة مرور الشبكة مع القدرة على تحديد التطبيقات عالية الخطورة وحركة المرور الخبيثة ؛
• الكشف عن المستخدمين الذين لديهم مجموعة عالية الخطورة من خلال تحليل الارتباط لإجراءاتهم على الشبكة.

تحليل (لحظة وبديهية)
يوفر تحليل الحادث في الوقت الحقيقي فهمًا فوريًا للوضع الحالي في النظام.

• يعرض السلسلة الكاملة للأحداث التي أدت إلى الحادث ، بما في ذلك جميع الملفات ، مفاتيح التسجيل ، عناوين URL ، إلخ.

الاستجابة ( الاستجابة التلقائية للحوادث)
يتيح لك إعداد سياسات الأمان الاستجابة تلقائيًا للعدوى والحوادث في غضون ثوانٍ. يتم توفيرها بواسطة:

• العزلة الفورية للأجهزة المصابة وإيقاف الهجوم في الوقت الفعلي (حتى داخل نفس نطاق الشبكة / البث) ؛
• تقييد الوصول إلى موارد شبكة الشركة للأجهزة التي لا تتوافق مع السياسات ؛
• البدء عن بُعد في فحص الجهاز عند اكتشاف البريد العشوائي الصادر.

استعرضنا المبادئ الأمنية الأساسية التي تعمل عليها سوفوس سنترال. الآن دعنا ننتقل إلى وصف لكيفية عمل تقنية SynSec في العمل.

من النظرية إلى الممارسة

للبدء ، دعنا نفسر كيف تنشئ SynSec تفاعل الجهاز باستخدام تقنية Heartbeat. الخطوة الأولى هي تسجيل Sophos XG لدى Sophos Central. في هذه المرحلة ، يتلقى شهادة تحديد الهوية ، وعنوان IP والمنفذ الذي من خلاله ستتواصل الأجهزة الطرفية معه باستخدام تقنية Heartbeat ، فضلاً عن قائمة بمعرفات الجهاز النهائي المدارة من خلال Sophos Central وشهادات العملاء الخاصة بهم.

بعد فترة وجيزة من التسجيل في Sophos XG ، سوف يقوم Sophos Central بنقل المعلومات إلى الأجهزة النهائية لبدء اتصالات Heartbeat:

• قائمة المراجع المصدقة المستخدمة لإصدار شهادات Sophos XG
• قائمة بمعرفات الأجهزة التي تم تسجيلها مع Sophos XG ؛
• Heartbeat عنوان IP ومنفذ للاتصال.

يتم تخزين هذه المعلومات على الكمبيوتر بالطريقة التالية:٪ ProgramData٪ \ Sophos \ Hearbeat \ Config \ Heartbeat.xml ويتم تحديثها بانتظام.

تتصل تقنية Heartbeat بإرسال رسائل نقطة النهاية إلى عنوان IP السحري 52.5.76.173:8347 والعكس صحيح. كشف التحليل أن الحزم يتم إرسالها خلال فترة 15 ثانية ، كما أعلن البائع. تجدر الإشارة إلى أن رسائل Heartbeat تتم معالجتها مباشرة بواسطة جدار حماية XG - فهي تعترض الحزم وتراقب حالة نقطة النهاية. إذا قمت بالتقاط حزم على المضيف ، فإن تدفق حركة المرور سيكون مشابهًا للاتصال مع عنوان IP خارجي ، على الرغم من أن نقطة النهاية تتصل مباشرة بجدار الحماية XG.



اسمح للتطبيق الضار بالوصول إلى الكمبيوتر بطريقة ما. يكتشف Sophos Endpoint هذا الهجوم ، أو نتوقف عن تلقي Heartbeat من هذا النظام. يرسل الجهاز المصاب تلقائيًا معلومات حول إصابة النظام ، مما يؤدي إلى سلسلة من الإجراءات التلقائية. يعمل جدار الحماية XG Firewall على الفور على عزل الكمبيوتر ، مما يمنع انتشار الهجمات والتفاعل مع خوادم C&C.

سوفوس إندبوينت تلقائيا يزيل البرامج الضارة. بعد إزالته ، تتم مزامنة الجهاز النهائي مع Sophos Central ، ثم يقوم جدار الحماية XG باستعادة الوصول إلى الشبكة. يوفر تحليل السبب الجذري (RCA أو EDR - الكشف عن نقطة النهاية واستجابتها) فكرة مفصلة عما حدث.


بافتراض الوصول إلى موارد الشركة باستخدام الأجهزة المحمولة والأجهزة اللوحية ، هل من الممكن توفير SynSec في هذه الحالة؟

بالنسبة لهذا السيناريو ، يوفر Sophos Central الدعم لـ Sophos Mobile و Sophos Wireless . افترض أن المستخدم يحاول انتهاك سياسة الأمان على جهاز محمول محمي بواسطة Sophos Mobile. يكتشف Sophos Mobile انتهاكًا لسياسة الأمان ويرسل إشعارات إلى بقية النظام ، مما يؤدي إلى استجابة مُعدة مسبقًا للحادث. إذا كان لدى Sophos Mobile سياسة "حظر اتصال الشبكة" ، فسوف تقوم Sophos Wireless بتقييد الوصول إلى الشبكة لهذا الجهاز. يعرض شريط أدوات Sophos Central في علامة التبويب Sophos Wireless إشعارًا بأن الجهاز مصاب. في الوقت الذي يحاول فيه المستخدم الوصول إلى الشبكة ، ستظهر شاشة البداية على الشاشة ، مع العلم أن الوصول إلى الإنترنت محدود.



تحتوي نقطة النهاية على العديد من حالات حالة Heartbeat: الأحمر والأصفر والأخضر.
يحدث الوضع الأحمر في الحالات التالية:

• الكشف عن البرامج الضارة النشطة
• جرت محاولة لإطلاق البرامج الضارة ؛
• تم اكتشاف حركة مرور الشبكة الضارة
• لم تتم إزالة البرامج الضارة.

تعني الحالة الصفراء أنه تم اكتشاف برامج ضارة غير نشطة في نقطة النهاية ، أو تم الكشف عن PUP (برنامج غير مرغوب فيه على الأرجح). تشير الحالة الخضراء إلى أنه لم يتم اكتشاف أي من المشكلات المذكورة أعلاه.

بعد فحص بعض السيناريوهات الكلاسيكية لتفاعل الأجهزة المحمية مع Sophos Central ، سنستمر في وصف الواجهة الرسومية للحل والنظر في الإعدادات الأساسية والوظائف المدعومة.

واجهة رسومية

تعرض لوحة التحكم أحدث الإخطارات. أيضًا ، في شكل مخططات ، يتم عرض خاصية ملخص لمكونات الحماية المختلفة. في هذه الحالة ، يتم عرض البيانات الموجزة لحماية أجهزة الكمبيوتر الشخصية. تحتوي هذه اللوحة أيضًا على معلومات موجزة حول محاولات زيارة الموارد الخطرة ذات المحتوى غير المناسب وإحصائيات تحليل البريد الإلكتروني.


يدعم Sophos Central عرض التنبيهات حسب درجة الخطورة ، مما يمنع المستخدم من تخطي تنبيهات الأمان الهامة. بالإضافة إلى معلومات موجزة معروضة بإيجاز حول حالة نظام الأمان ، يدعم Sophos Central تسجيل الأحداث والتكامل مع أنظمة SIEM. بالنسبة للعديد من الشركات ، تعد Sophos Central منصة لكل من SOC الداخلية ولتقديم الخدمات لعملائها - MSSP.

إحدى الميزات المهمة هي دعم ذاكرة التخزين المؤقت للتحديث لعملاء نقطة النهاية. يحفظ هذا النطاق الترددي لحركة المرور الخارجية ، حيث يتم في هذه الحالة تنزيل التحديثات مرة واحدة إلى أحد عملاء نقطة النهاية ، ثم تقوم الأجهزة الطرفية الأخرى بتنزيل التحديثات منها. بالإضافة إلى الميزة الموضحة ، يمكن لنقطة النهاية المحددة نقل رسائل سياسة الأمان وتقارير المعلومات إلى سحابة سوفوس. ستكون هذه الوظيفة مفيدة إذا كانت هناك أجهزة نهائية لا تتمتع بوصول مباشر إلى الإنترنت ، ولكنها تتطلب الحماية. لدى Sophos Central خيار (حماية العبث) الذي يحظر تغيير إعدادات حماية الكمبيوتر أو حذف عامل نقطة النهاية.

أحد مكونات حماية نقطة النهاية هو الجيل التالي من برامج مكافحة الفيروسات (NGAV) - اعتراض X. باستخدام تقنيات تعلم الآلة العميقة ، يمكن أن تكتشف مكافحة الفيروسات التهديدات غير المعروفة سابقًا دون استخدام التواقيع. تتشابه دقة الكشف مع نظرائهم في التوقيع ، ولكن على عكسهم ، فإنها توفر حماية استباقية ، وتمنع هجمات اليوم صفر. اعتراض X قادر على العمل بالتوازي مع مضادات الفيروسات التوقيع من البائعين الآخرين.

في هذه المقالة ، تحدثنا لفترة وجيزة عن مفهوم SynSec ، والذي يتم تنفيذه في Sophos Central ، وكذلك بعض ميزات هذا الحل. سنتحدث عن كيفية دمج كل مكون من مكونات الأمان في Sophos Central في المقالات التالية. يمكنك الحصول على نسخة تجريبية من الحل هنا .

إذا كنت مهتمًا بالحل ، يمكنك الاتصال بنا - Factor Group company ، موزع Sophos. يكفي أن تكتب في شكل حر إلى sophos@fgts.ru .