सूचना सुरक्षा उपकरणों की उच्च दक्षता सुनिश्चित करने के लिए, इसके घटकों के कनेक्शन द्वारा एक महत्वपूर्ण भूमिका निभाई जाती है। यह आपको न केवल बाहरी, बल्कि आंतरिक खतरों को भी अवरुद्ध करने की अनुमति देता है। नेटवर्क इन्फ्रास्ट्रक्चर को डिज़ाइन करते समय, सुरक्षा के हर साधन महत्वपूर्ण हैं, चाहे वह एंटीवायरस या फ़ायरवॉल हो, ताकि वे न केवल उनकी कक्षा (एंडपॉइंट सुरक्षा या एनजीएफडब्ल्यू) के भीतर कार्य करें, बल्कि संयुक्त रूप से खतरों का सामना करने के लिए एक-दूसरे के साथ बातचीत करने की क्षमता भी हो।
सिद्धांत की बिट
यह आश्चर्य की बात नहीं है कि वर्तमान साइबर अपराधी अधिक उद्यमी बन गए हैं। वे मैलवेयर फैलाने के लिए कई नेटवर्क तकनीकों का उपयोग करते हैं:
फ़िशिंग ईमेल मालवेयर का कारण ज्ञात हमलों, या "शून्य-दिन के हमलों" का उपयोग करके आपके नेटवर्क के "दहलीज को पार" करेंगे, जिसके बाद नेटवर्क में विशेषाधिकार वृद्धि या पार्श्व आंदोलन होगा। एक संक्रमित डिवाइस होने का मतलब यह हो सकता है कि आपके नेटवर्क का उपयोग किसी हमलावर के भाड़े के उद्देश्यों के लिए किया जा सकता है।
कुछ मामलों में, जब सूचना सुरक्षा घटकों की बातचीत सुनिश्चित करना आवश्यक होता है, जब सिस्टम की वर्तमान स्थिति की सूचना सुरक्षा ऑडिट का आयोजन किया जाता है, तो इसे उपायों के एक सेट का उपयोग करके वर्णित नहीं किया जा सकता है जो परस्पर जुड़े हुए हैं। ज्यादातर मामलों में, कई तकनीकी समाधान जो एक विशिष्ट प्रकार के खतरे का मुकाबला करने पर ध्यान केंद्रित करते हैं, अन्य तकनीकी समाधानों के साथ एकीकरण प्रदान नहीं करते हैं। उदाहरण के लिए, समापन बिंदु सुरक्षा उत्पाद यह निर्धारित करने के लिए हस्ताक्षर-आधारित और व्यवहार विश्लेषण का उपयोग करते हैं कि कोई फ़ाइल संक्रमित है या नहीं। दुर्भावनापूर्ण ट्रैफ़िक को रोकने के लिए फ़ायरवॉल अन्य तकनीकों का उपयोग करते हैं, जिसमें वेब फ़िल्टरिंग, IPS, सैंडबॉक्सिंग आदि शामिल हैं। फिर भी, अधिकांश संगठनों में, ये सूचना सुरक्षा घटक एक दूसरे से जुड़े नहीं हैं और अलगाव में काम करते हैं।
दिल की धड़कन प्रौद्योगिकी रुझान
साइबर सुरक्षा को सुनिश्चित करने के लिए एक नए दृष्टिकोण में हर स्तर पर सुरक्षा शामिल है, जिसमें उनमें से प्रत्येक पर उपयोग किए जाने वाले समाधान आपस में जुड़े हुए हैं और जानकारी का आदान-प्रदान करने की क्षमता रखते हैं। इससे सिंक्रोनाइज़ सिक्योरिटी (SynSec) सिस्टम का निर्माण होता है। SynSec एक एकल प्रणाली के रूप में एक सूचना सुरक्षा प्रक्रिया है। इस स्थिति में, प्रत्येक सूचना सुरक्षा घटक वास्तविक समय में एक दूसरे से जुड़े होते हैं। उदाहरण के लिए, इस सिद्धांत के अनुसार
सोफोस सेंट्रल समाधान लागू किया गया है।
सुरक्षा दिल की धड़कन तकनीक सुरक्षा घटकों के बीच संचार प्रदान करती है, जो प्रणाली और इसकी निगरानी के संयुक्त कामकाज को सुनिश्चित करती है। निम्नलिखित कक्षाएं
सोफोस सेंट्रल में एकीकृत हैं:
यह देखना आसान है कि सोफोस सेंट्रल सूचना सुरक्षा समाधानों की एक विस्तृत श्रृंखला का समर्थन करता है। सोफोस सेंट्रल में, SynSec अवधारणा तीन महत्वपूर्ण सिद्धांतों पर आधारित है: पता लगाना, विश्लेषण और प्रतिक्रिया। उनके विस्तृत विवरण के लिए, आइए हम उनमें से प्रत्येक पर ध्यान दें।
SynSec अवधारणाओं
निष्कर्ष (अज्ञात खतरों की पहचान)
सोफोस सेंट्रल द्वारा चलाए जाने वाले सोफोस उत्पाद जोखिम और अज्ञात खतरों की पहचान करने के लिए स्वचालित रूप से जानकारी साझा करते हैं, जिसमें शामिल हैं:
- उच्च जोखिम वाले अनुप्रयोगों और दुर्भावनापूर्ण ट्रैफ़िक की पहचान करने की क्षमता के साथ नेटवर्क ट्रैफ़िक विश्लेषण;
- नेटवर्क पर अपने कार्यों के सहसंबंध विश्लेषण के माध्यम से एक उच्च जोखिम समूह वाले उपयोगकर्ताओं का पता लगाना।
विश्लेषण (तत्काल और सहज ज्ञान युक्त)
वास्तविक समय की घटना विश्लेषण प्रणाली में वर्तमान स्थिति की तत्काल समझ प्रदान करता है।
- उन घटनाओं की पूरी श्रृंखला प्रदर्शित करता है, जो घटना के लिए बनाई गई थीं, जिसमें सभी फाइलें, रजिस्ट्री कुंजी, URL इत्यादि शामिल हैं।
जवाब (स्वचालित घटना प्रतिक्रिया)
सुरक्षा नीतियों को सेट करना आपको सेकंड के एक मामले में संक्रमण और घटनाओं के लिए स्वचालित रूप से प्रतिक्रिया करने की अनुमति देता है। इसके द्वारा प्रदान किया गया है:
- संक्रमित उपकरणों का तत्काल अलगाव और वास्तविक समय में हमले को रोकना (यहां तक कि एक ही नेटवर्क / प्रसारण डोमेन के भीतर);
- नीतियों को पूरा नहीं करने वाले उपकरणों के लिए कंपनी नेटवर्क संसाधनों तक पहुंच को प्रतिबंधित करना;
- जावक स्पैम का पता चलने पर डिवाइस स्कैन की दूरस्थ शुरुआत।
हमने बुनियादी सुरक्षा सिद्धांतों की समीक्षा की, जिस पर सोफोस सेंट्रल काम करता है। अब चलिए वर्णन करते हैं कि SynSec तकनीक कैसे क्रिया करती है।
सिद्धांत से अभ्यास तक
आरंभ करने के लिए, बताएं कि दिल की धड़कन तकनीक का उपयोग करके SynSec डिवाइस इंटरैक्शन को कैसे स्थापित करता है। पहला कदम सोफोस एक्सजी को सोफोस सेंट्रल के साथ पंजीकृत करना है। इस स्तर पर, उन्हें आत्म-पहचान, आईपी पते और पोर्ट के लिए एक प्रमाण पत्र प्राप्त होता है, जिसके माध्यम से अंत डिवाइस हार्टबीट तकनीक का उपयोग करते हुए उनके साथ संवाद करेंगे, साथ ही सोफोस सेंट्रल और उनके क्लाइंट प्रमाणपत्रों के माध्यम से प्रबंधित अंतिम डिवाइस आईडी की एक सूची।
सोफोस एक्सजी नामांकन होने के कुछ समय बाद, सोफोस सेंट्रल दिल की धड़कन संचार शुरू करने के लिए उपकरणों को समाप्त करने के लिए सूचना प्रसारित करेगा:
- प्रमाणीकरण अधिकारियों की सूची जो सोफोस XG प्रमाणपत्र जारी करती थी
- डिवाइस आईडी की एक सूची जो सोफोस एक्सजी के साथ पंजीकृत है;
- दिल की धड़कन आईपी पते और संचार के लिए बंदरगाह।
यह जानकारी कंप्यूटर पर निम्न तरीके से संग्रहीत है:% ProgramData% \ Sophos \ Hearbeat \ Config \ Heartbeat.xml और नियमित रूप से अपडेट किया जाता है।
दिल की धड़कन तकनीक जादू आईपी पते को समापन बिंदु संदेश 52.5.76.173:8347 और इसके विपरीत संदेश भेजकर संचार करती है। विश्लेषण से पता चला कि पैकेट 15 सेकंड की अवधि के साथ भेजे जाते हैं, जैसा कि विक्रेता द्वारा घोषित किया गया है। यह ध्यान देने योग्य है कि हार्टबीट संदेशों को सीधे XG फ़ायरवॉल द्वारा संसाधित किया जाता है - यह पैकेट को स्वीकार करता है और समापन बिंदु की स्थिति की निगरानी करता है। यदि आप होस्ट पर पैकेट कैप्चर करते हैं, तो ट्रैफ़िक प्रवाह बाहरी आईपी पते के साथ संचार करने के समान होगा, हालांकि वास्तव में समापन बिंदु XG फ़ायरवॉल के साथ सीधे संवाद करता है।
दुर्भावनापूर्ण एप्लिकेशन को किसी तरह कंप्यूटर पर आने दें। सोफोस एंडपॉइंट इस हमले का पता लगाता है, या हम इस प्रणाली से हार्टबीट प्राप्त करना बंद कर देते हैं। संक्रमित डिवाइस स्वचालित रूप से सिस्टम के संक्रमण के बारे में जानकारी भेजता है, जिससे कार्यों की एक स्वचालित श्रृंखला बन जाती है। XG फ़ायरवॉल तुरंत कंप्यूटर को अलग करता है, C & C सर्वर के साथ हमलों और बातचीत के प्रसार को रोकता है।
सोफोस एंडपॉइंट स्वचालित रूप से मैलवेयर को हटा देता है। इसके हटाने के बाद, अंतिम डिवाइस सोफोस सेंट्रल के साथ सिंक्रनाइज़ किया जाता है, फिर एक्सजी फ़ायरवॉल नेटवर्क तक पहुंच बहाल करता है। रूट कॉज़ एनालिसिस (आरसीए या ईडीआर - एंडपॉइंट डिटेक्शन एंड रेस्पॉन्स) जो हुआ उसका विस्तृत विचार प्रदान करता है।
यह मानते हुए कि मोबाइल उपकरणों और टैबलेटों का उपयोग करके कॉर्पोरेट संसाधनों तक पहुँचा जा सकता है, क्या इस मामले में SynSec प्रदान करना संभव है?
इस परिदृश्य के लिए, सोफोस सेंट्रल
सोफोस मोबाइल और
सोफोस वायरलेस के लिए समर्थन प्रदान करता है। मान लीजिए कि एक उपयोगकर्ता सोफोस मोबाइल द्वारा संरक्षित मोबाइल डिवाइस पर सुरक्षा नीति का उल्लंघन करने का प्रयास करता है। सोफोस मोबाइल एक सुरक्षा नीति के उल्लंघन का पता लगाता है और घटना के लिए पूर्व-कॉन्फ़िगर प्रतिक्रिया को ट्रिगर करते हुए, बाकी सिस्टम को सूचनाएं भेजता है। यदि सोफोस मोबाइल में "नेटवर्क कनेक्टिविटी निषेध" नीति है, तो सोफोस वायरलेस इस डिवाइस के लिए नेटवर्क एक्सेस को प्रतिबंधित करेगा। सोफोस वायरलेस टैब पर सोफोस सेंट्रल टूलबार एक अधिसूचना प्रदर्शित करता है कि डिवाइस संक्रमित है। जिस समय उपयोगकर्ता नेटवर्क का उपयोग करने की कोशिश करता है, उस समय स्क्रीन पर एक स्प्लैश स्क्रीन दिखाई देगी, जो यह बताएगी कि इंटरनेट तक पहुंच सीमित है।
एक समापन बिंदु के पास कई दिल की धड़कन की स्थिति है: लाल, पीला और हरा।
लाल स्थिति निम्न मामलों में होती है:
- सक्रिय मैलवेयर का पता चला
- मैलवेयर लॉन्च करने का प्रयास किया गया था;
- दुर्भावनापूर्ण नेटवर्क ट्रैफ़िक का पता चला
- मैलवेयर को हटाया नहीं गया है।
एक पीले रंग की स्थिति का मतलब है कि समापन बिंदु पर निष्क्रिय मैलवेयर का पता लगाया गया था, या एक पीयूपी (संभावित अवांछित कार्यक्रम) का पता लगाया गया था। हरे रंग की स्थिति बताती है कि उपरोक्त समस्याओं में से किसी का भी पता नहीं चला है।
सोफोस सेंट्रल के साथ संरक्षित उपकरणों की बातचीत के कुछ क्लासिक परिदृश्यों की जांच करने के बाद, हम समाधान के ग्राफिकल इंटरफ़ेस का वर्णन करेंगे और बुनियादी सेटिंग्स और समर्थित कार्यक्षमता पर विचार करेंगे।
ग्राफिकल इंटरफेस
नियंत्रण कक्ष नवीनतम सूचनाएँ प्रदर्शित करता है। इसके अलावा, आरेख के रूप में, विभिन्न सुरक्षा घटकों के लिए एक सारांश विशेषता प्रदर्शित की जाती है। इस मामले में, व्यक्तिगत कंप्यूटर की सुरक्षा के लिए सारांश डेटा प्रदर्शित किया जाता है। इस पैनल में अनुपयुक्त सामग्री, और ईमेल विश्लेषण आँकड़ों के साथ खतरनाक संसाधनों का दौरा करने के प्रयासों के बारे में सारांश जानकारी शामिल है।
सोफोस सेंट्रल गंभीरता द्वारा अलर्ट के प्रदर्शन का समर्थन करता है, जो उपयोगकर्ता को महत्वपूर्ण सुरक्षा अलर्ट को रोकने से रोकता है। सुरक्षा प्रणाली की स्थिति के बारे में संक्षिप्त रूप से प्रदर्शित सारांश जानकारी के अलावा, सोफोस सेंट्रल इवेंट लॉगिंग, सीएमजी सिस्टम के साथ एकीकरण का समर्थन करता है। कई कंपनियों के लिए, सोफोस सेंट्रल आंतरिक एसओसी दोनों के लिए और अपने ग्राहकों को सेवाएं प्रदान करने के लिए एक मंच है - एमएसएसपी।
एक महत्वपूर्ण विशेषता समापन बिंदु क्लाइंट के लिए अद्यतन कैश के लिए समर्थन है। यह बाहरी ट्रैफ़िक की बैंडविड्थ को बचाता है, क्योंकि इस मामले में अपडेट एक बार समापन बिंदु क्लाइंट में से एक में डाउनलोड किया जाता है, और फिर अन्य अंत डिवाइस इसके बारे में अपडेट डाउनलोड करते हैं। वर्णित विशेषता के अलावा, चयनित समापन बिंदु सुरक्षा नीति संदेशों और सूचना रिपोर्टों को सोफोस क्लाउड पर रिले कर सकता है। यह फ़ंक्शन उपयोगी होगा यदि अंत डिवाइस हैं जो इंटरनेट तक सीधी पहुंच नहीं रखते हैं, लेकिन सुरक्षा की आवश्यकता है। सोफोस सेंट्रल में एक विकल्प (छेड़छाड़ सुरक्षा) है जो कंप्यूटर सुरक्षा सेटिंग्स को बदलने या एक समापन बिंदु एजेंट को हटाने पर प्रतिबंध लगाता है।
समापन बिंदु सुरक्षा के घटकों में से एक अगली पीढ़ी का एंटीवायरस (NGAV) -
अवरोधन X है। गहरी मशीन सीखने की तकनीकों का उपयोग करते हुए, एंटीवायरस हस्ताक्षर के उपयोग के बिना पहले से अज्ञात खतरों का पता लगा सकते हैं। डिटेक्शन सटीकता हस्ताक्षर समकक्षों के लिए तुलनीय है, लेकिन उनके विपरीत यह जीरो-डे के हमलों को रोकने के लिए सक्रिय सुरक्षा प्रदान करता है। इंटरसेप्ट एक्स अन्य विक्रेताओं के हस्ताक्षर एंटीवायरस के साथ समानांतर में काम करने में सक्षम है।
इस लेख में, हमने संक्षेप में SynSec की अवधारणा के बारे में बात की, जो कि सोफोस सेंट्रल में लागू की गई है, साथ ही इस समाधान की कुछ विशेषताएं भी हैं। हम निम्नलिखित लेखों में सोफोस केंद्रीय कार्यों में एकीकृत किए गए सुरक्षा घटकों में से प्रत्येक के बारे में बात करेंगे। आप
यहां समाधान का डेमो संस्करण प्राप्त कर सकते
हैं ।
यदि आप समाधान में रुचि रखते हैं, तो आप हमसे संपर्क कर सकते हैं -
फैक्टर ग्रुप कंपनी, सोफोस वितरक। यह
sophos@fgts.ru पर मुफ्त रूप में लिखने के लिए पर्याप्त है।