Keamanan Disinkronkan di Sophos Central

Untuk memastikan efisiensi tinggi alat keamanan informasi, peran penting dimainkan oleh koneksi komponen-komponennya. Ini memungkinkan Anda untuk memblokir tidak hanya ancaman eksternal, tetapi juga internal. Saat merancang infrastruktur jaringan, setiap cara perlindungan adalah penting, baik itu antivirus atau firewall, sehingga mereka berfungsi tidak hanya di dalam kelas mereka (Keamanan Titik Akhir atau NGFW), tetapi juga memiliki kemampuan untuk berinteraksi satu sama lain untuk bersama-sama memerangi ancaman.

Sedikit teori

Tidak mengherankan bahwa penjahat cyber saat ini telah menjadi lebih berwirausaha. Mereka menggunakan sejumlah teknologi jaringan untuk menyebarkan malware:

Surel phishing akan menyebabkan malware untuk "melintasi ambang batas" jaringan Anda menggunakan serangan yang dikenal, atau "serangan zero-day" diikuti oleh eskalasi hak istimewa, atau pergerakan lateral di seluruh jaringan. Memiliki satu perangkat yang terinfeksi dapat berarti bahwa jaringan Anda dapat digunakan untuk keperluan penyerang bayaran.

Dalam beberapa kasus, ketika perlu untuk memastikan interaksi komponen keamanan informasi, ketika melakukan audit keamanan informasi dari keadaan sistem saat ini, itu tidak dapat dijelaskan dengan menggunakan satu set tindakan yang saling berhubungan. Dalam kebanyakan kasus, banyak solusi teknologi yang berfokus pada melawan jenis ancaman tertentu tidak memberikan integrasi dengan solusi teknologi lainnya. Misalnya, produk perlindungan titik akhir menggunakan analisis berbasis perilaku dan tanda tangan untuk menentukan apakah suatu file terinfeksi atau tidak. Firewall menggunakan teknologi lain untuk menghentikan lalu lintas berbahaya, termasuk pemfilteran web, IPS, kotak pasir, dll. Namun demikian, di sebagian besar organisasi, komponen keamanan informasi ini tidak terhubung satu sama lain dan bekerja secara terpisah.

Tren Teknologi Detak Jantung

Sebuah pendekatan baru untuk memastikan keamanan siber melibatkan perlindungan di setiap tingkat, di mana solusi yang digunakan di masing-masing dari mereka saling berhubungan dan memiliki kemampuan untuk bertukar informasi. Ini mengarah pada pembuatan sistem Synchronized Security (SynSec). SynSec adalah proses keamanan informasi sebagai satu sistem. Dalam hal ini, setiap komponen keamanan informasi terhubung satu sama lain secara real time. Sebagai contoh, solusi Sophos Central diimplementasikan sesuai dengan prinsip ini.


Keamanan Teknologi Heartbeat menyediakan komunikasi antara komponen-komponen keamanan, memastikan fungsi bersama sistem dan pemantauannya. Kelas-kelas berikut diintegrasikan ke dalam Sophos Central :

• Endpoint Protection - antivirus tanda tangan klasik;
• Perlindungan Server - antivirus khusus untuk server;
• Intercept-X - antivirus generasi baru (tanpa tanda tangan dan dengan teknologi kecerdasan buatan);
• Sophos XG Firewall - Firewall Generasi Selanjutnya;
• Mobility Management (EMM) - manajemen perangkat seluler dan kontrol akses ke email dan file perusahaan;
• Perlindungan Data (Enkripsi) ;
• Secure Wi-Fi - titik akses yang dikelola baik dari cloud dan secara lokal melalui Sophos UTM / Sophos XG;
• Keamanan Web - solusi klasik untuk menyaring lalu lintas web;
• Keamanan E-mail - solusi cloud / anti-spam / antivirus lokal;
• Ancaman Phish - meningkatkan kesadaran karyawan, melakukan email pengujian phishing;
• Cloud Optix - audit infrastruktur cloud.

Sangat mudah untuk melihat bahwa Sophos Central mendukung berbagai solusi keamanan informasi. Di Sophos Central, konsep SynSec didasarkan pada tiga prinsip penting: deteksi, analisis dan respons. Untuk deskripsi terperinci tentang mereka, mari kita membahas masing-masing.

Konsep SynSec

DETECTION (identifikasi ancaman yang tidak diketahui)
Produk Sophos yang dijalankan oleh Sophos Central secara otomatis berbagi informasi di antara mereka sendiri untuk mengidentifikasi risiko dan ancaman yang tidak diketahui, yang meliputi:

• analisis lalu lintas jaringan dengan kemampuan untuk mengidentifikasi aplikasi berisiko tinggi dan lalu lintas jahat;
• Deteksi pengguna dengan kelompok risiko tinggi melalui analisis korelasi tindakan mereka di jaringan.

ANALISIS (instan dan intuitif)
Analisis insiden waktu-nyata memberikan pemahaman instan tentang situasi saat ini dalam sistem.

• Menampilkan rangkaian lengkap peristiwa yang menyebabkan insiden, termasuk semua file, kunci registri, URL, dll.

TANGGAPAN (respons insiden otomatis)
Menetapkan kebijakan keamanan memungkinkan Anda untuk secara otomatis merespons infeksi dan insiden dalam hitungan detik. Ini disediakan oleh:

• isolasi instan perangkat yang terinfeksi dan menghentikan serangan dalam waktu nyata (bahkan dalam jaringan / domain siaran yang sama);
• membatasi akses ke sumber daya jaringan perusahaan untuk perangkat yang tidak memenuhi kebijakan;
• mulai jarak jauh dari pemindaian perangkat ketika spam keluar terdeteksi.

Kami meninjau prinsip-prinsip keamanan dasar tempat Sophos Central bekerja. Sekarang mari kita beralih ke deskripsi tentang bagaimana teknologi SynSec bekerja dalam tindakan.

Dari teori ke praktik

Untuk memulai, mari kita jelaskan bagaimana SynSec membangun interaksi perangkat menggunakan teknologi Detak Jantung. Langkah pertama adalah mendaftarkan Sophos XG dengan Sophos Central. Pada tahap ini, ia menerima sertifikat untuk identifikasi diri, alamat IP dan port melalui mana perangkat akhir akan berkomunikasi dengannya menggunakan teknologi Heartbeat, serta daftar ID perangkat akhir yang dikelola melalui Sophos Central dan sertifikat klien mereka.

Tak lama setelah pendaftaran Sophos XG terjadi, Sophos Central akan mengirimkan informasi ke perangkat akhir untuk memulai komunikasi Detak Jantung:

• Daftar otoritas sertifikasi yang digunakan untuk menerbitkan sertifikat Sophos XG
• daftar ID perangkat yang terdaftar pada Sophos XG;
• Alamat IP detak jantung dan port untuk komunikasi.

Informasi ini disimpan di komputer dengan cara berikut:% ProgramData% \ Sophos \ Hearbeat \ Config \ Heartbeat.xml dan diperbarui secara teratur.

Teknologi detak jantung berkomunikasi dengan mengirim pesan titik akhir ke alamat IP ajaib 52.5.76.173:8347 dan sebaliknya. Analisis mengungkapkan bahwa paket dikirim dengan jangka waktu 15 detik, seperti yang diumumkan oleh vendor. Perlu dicatat bahwa pesan Detak Jantung diproses langsung oleh XG Firewall - itu memotong paket dan memantau status titik akhir. Jika Anda menangkap paket di host, arus lalu lintas akan mirip dengan berkomunikasi dengan alamat IP eksternal, meskipun pada kenyataannya titik akhir berkomunikasi langsung dengan firewall XG.



Biarkan aplikasi jahat masuk ke komputer dengan cara tertentu. Sophos Endpoint mendeteksi serangan ini, atau kami berhenti menerima Detak Jantung dari sistem ini. Perangkat yang terinfeksi secara otomatis mengirim informasi tentang infeksi sistem, yang menyebabkan serangkaian tindakan otomatis. XG Firewall langsung mengisolasi komputer, mencegah penyebaran serangan dan interaksi dengan server C&C.

Sophos Endpoint secara otomatis menghapus malware. Setelah dihapus, perangkat akhir disinkronkan dengan Sophos Central, kemudian XG Firewall mengembalikan akses ke jaringan. Root Cause Analysis (RCA atau EDR - Endpoint Detection and Responce) memberikan gagasan terperinci tentang apa yang terjadi.


Dengan asumsi sumber daya perusahaan diakses menggunakan perangkat seluler dan tablet, apakah mungkin menyediakan SynSec dalam kasus ini?

Untuk skenario ini, Sophos Central menyediakan dukungan untuk Sophos Mobile dan Sophos Wireless . Misalkan seorang pengguna mencoba untuk melanggar kebijakan keamanan pada perangkat seluler yang dilindungi oleh Sophos Mobile. Sophos Mobile mendeteksi pelanggaran kebijakan keamanan dan mengirimkan pemberitahuan ke seluruh sistem, memicu respons pra-konfigurasi terhadap insiden tersebut. Jika Sophos Mobile memiliki kebijakan "larangan konektivitas jaringan", maka Sophos Wireless akan membatasi akses jaringan untuk perangkat ini. Toolbar Sophos Central pada tab Sophos Wireless menampilkan pemberitahuan bahwa perangkat terinfeksi. Pada saat pengguna mencoba mengakses jaringan, layar splash akan muncul di layar, memberi tahu bahwa akses ke Internet terbatas.



Titik akhir memiliki beberapa status status Detak Jantung: merah, kuning, dan hijau.
Status merah terjadi dalam kasus berikut:

• Malware aktif terdeteksi
• Upaya telah dilakukan untuk meluncurkan malware;
• Lalu lintas jaringan jahat terdeteksi
• malware belum dihapus.

Status kuning berarti bahwa malware tidak aktif terdeteksi di titik akhir, atau PUP (program yang mungkin tidak diinginkan) terdeteksi. Status hijau menunjukkan bahwa tidak ada masalah di atas yang terdeteksi.

Setelah memeriksa beberapa skenario klasik dari interaksi perangkat yang dilindungi dengan Sophos Central, kami akan menjelaskan antarmuka grafis solusi dan mempertimbangkan pengaturan dasar dan fungsi yang didukung.

GUI

Panel kontrol menampilkan pemberitahuan terbaru. Juga, dalam bentuk diagram, karakteristik ringkasan untuk berbagai komponen perlindungan ditampilkan. Dalam hal ini, data ringkasan untuk melindungi komputer pribadi ditampilkan. Panel ini juga berisi informasi ringkasan tentang upaya untuk mengunjungi sumber daya berbahaya dengan konten yang tidak pantas, dan statistik analisis email.


Sophos Central mendukung tampilan peringatan berdasarkan keparahan, yang mencegah pengguna melewatkan peringatan keamanan kritis. Selain informasi ringkasan yang ditampilkan secara ringkas tentang status sistem keamanan, Sophos Central mendukung pencatatan peristiwa, integrasi dengan sistem SIEM. Bagi banyak perusahaan, Sophos Central adalah platform untuk SOC internal dan untuk menyediakan layanan kepada pelanggannya - MSSP.

Salah satu fitur penting adalah dukungan untuk cache pembaruan untuk klien endpoint. Ini menghemat bandwidth lalu lintas eksternal, karena dalam hal ini pembaruan diunduh satu kali ke salah satu klien titik akhir, dan kemudian perangkat akhir lainnya mengunduh pembaruan dari sana. Selain fitur yang dijelaskan, titik akhir yang dipilih dapat menyampaikan pesan kebijakan keamanan dan laporan informasi ke cloud Sophos. Fungsi ini akan berguna jika ada perangkat akhir yang tidak memiliki akses langsung ke Internet, tetapi membutuhkan perlindungan. Sophos Central memiliki opsi (perlindungan tamper) yang melarang mengubah pengaturan perlindungan komputer atau menghapus agen titik akhir.

Salah satu komponen perlindungan endpoint adalah antivirus generasi berikutnya (NGAV) - Intercept X. Menggunakan teknologi pembelajaran mesin dalam, antivirus dapat mendeteksi ancaman yang sebelumnya tidak diketahui tanpa menggunakan tanda tangan. Akurasi deteksi dapat dibandingkan dengan rekan-rekan tanda tangan, tetapi tidak seperti mereka itu memberikan perlindungan proaktif, mencegah serangan zero-day. Intercept X dapat bekerja secara paralel dengan antivirus tanda tangan dari vendor lain.

Pada artikel ini, kita secara singkat berbicara tentang konsep SynSec, yang diimplementasikan di Sophos Central, serta beberapa fitur dari solusi ini. Kita akan berbicara tentang bagaimana masing-masing komponen keamanan diintegrasikan ke dalam fungsi Sophos Central dalam artikel berikut. Anda bisa mendapatkan versi demo solusinya di sini .

Jika Anda tertarik dengan solusinya, Anda dapat menghubungi kami - Perusahaan Factor Group , distributor Sophos. Cukup menulis dalam bentuk bebas ke sophos@fgts.ru .