Segurança sincronizada na Sophos Central

Para garantir a alta eficiência das ferramentas de segurança da informação, um papel importante é desempenhado pela conexão de seus componentes. Ele permite bloquear não apenas ameaças externas, mas também internas. Ao projetar uma infraestrutura de rede, todos os meios de proteção são importantes, seja um antivírus ou firewall, para que funcionem não apenas dentro de sua classe (Endpoint security ou NGFW), mas também tenham a capacidade de interagir entre si para combater ameaças em conjunto.

Pouco de teoria

Não é de surpreender que os cibercriminosos atuais tenham se tornado mais empreendedores. Eles usam várias tecnologias de rede para espalhar malware:

Os e-mails de phishing farão com que o malware "ultrapasse o limite" da sua rede usando ataques conhecidos ou "ataques de dia zero" seguidos por escalonamento de privilégios ou movimento lateral pela rede. Ter um dispositivo infectado pode significar que sua rede pode ser usada para fins mercenários de um invasor.

Em alguns casos, quando é necessário garantir a interação dos componentes de segurança da informação, ao realizar uma auditoria de segurança da informação do estado atual do sistema, ele não pode ser descrito usando um único conjunto de medidas interconectadas. Na maioria dos casos, muitas soluções tecnológicas que se concentram em combater um tipo específico de ameaça não fornecem integração com outras soluções tecnológicas. Por exemplo, os produtos de proteção de terminal usam análises comportamentais e baseadas em assinaturas para determinar se um arquivo está infectado ou não. Os firewalls usam outras tecnologias para interromper o tráfego malicioso, incluindo filtragem da Web, IPS, sandboxing etc. No entanto, na maioria das organizações, esses componentes de segurança da informação não estão conectados entre si e funcionam isoladamente.

Tendências da tecnologia de pulsação

Uma nova abordagem para garantir a segurança cibernética envolve proteção em todos os níveis, em que as soluções usadas em cada um deles estão interconectadas e têm a capacidade de trocar informações. Isso leva à criação do sistema Synchronized Security (SynSec). SynSec é um processo de segurança da informação como um sistema único. Nesse caso, cada componente de segurança da informação é conectado um ao outro em tempo real. Por exemplo, a solução Sophos Central é implementada de acordo com este princípio.


A tecnologia Security Heartbeat fornece comunicação entre os componentes de segurança, garantindo o funcionamento conjunto do sistema e seu monitoramento. As seguintes classes são integradas ao Sophos Central :

• Endpoint Protection - um antivírus de assinatura clássico;
• Proteção de servidor - um antivírus especializado para servidores;
• Intercept-X - um antivírus de nova geração (sem assinaturas e com tecnologias de inteligência artificial);
• Sophos XG Firewall - firewall de última geração;
• Gerenciamento de Mobilidade (EMM) - gerenciamento de dispositivos móveis e controle de acesso a mensagens e arquivos corporativos;
• Proteção de dados (criptografia) ;
• Wi-Fi seguro - pontos de acesso gerenciados na nuvem e localmente através do Sophos UTM / Sophos XG;
• Web Security - uma solução clássica para filtrar o tráfego da Web;
• Segurança de E-mail - solução em nuvem / local de anti-spam / antivírus;
• Ameaça de Phish - conscientizando os funcionários, conduzindo e-mails de phishing de teste;
• Cloud Optix - auditoria de infraestruturas em nuvem.

É fácil ver que o Sophos Central suporta uma gama bastante ampla de soluções de segurança da informação. Na Sophos Central, o conceito SynSec é baseado em três princípios importantes: detecção, análise e resposta. Para uma descrição detalhada deles, vamos nos debruçar sobre cada um deles.

Conceitos SynSec

DETECÇÃO (identificação de ameaças desconhecidas)
Os produtos Sophos executados pelo Sophos Central compartilham informações automaticamente para identificar riscos e ameaças desconhecidas, incluindo:

• análise de tráfego de rede com a capacidade de identificar aplicativos de alto risco e tráfego malicioso;
• Detecção de usuários com um grupo de alto risco por meio de uma análise de correlação de suas ações na rede.

ANÁLISE (instantânea e intuitiva)
A análise de incidentes em tempo real fornece uma compreensão instantânea da situação atual no sistema.

• Exibe a cadeia completa de eventos que levaram ao incidente, incluindo todos os arquivos, chaves do Registro, URLs, etc.

RESPOSTA (resposta automática a incidentes)
A definição de políticas de segurança permite que você responda automaticamente a infecções e incidentes em questão de segundos. Isso é fornecido por:

• isolamento instantâneo de dispositivos infectados e interrupção do ataque em tempo real (mesmo dentro do mesmo domínio de rede / transmissão);
• restringir o acesso aos recursos de rede da empresa para dispositivos que não atendem a políticas;
• início remoto da verificação do dispositivo quando o spam enviado é detectado.

Revisamos os princípios básicos de segurança nos quais o Sophos Central trabalha. Agora vamos passar a uma descrição de como a tecnologia SynSec funciona em ação.

Da teoria à prática

Para começar, vamos explicar como o SynSec estabelece a interação do dispositivo usando a tecnologia Heartbeat. O primeiro passo é registrar o Sophos XG no Sophos Central. Nesse estágio, ele recebe um certificado de auto-identificação, o endereço IP e a porta através da qual os dispositivos finais se comunicam com ele usando a tecnologia Heartbeat, bem como uma lista de IDs de dispositivos finais gerenciados pelo Sophos Central e seus certificados de cliente.

Logo após a inscrição no Sophos XG, o Sophos Central transmitirá informações aos dispositivos finais para iniciar as comunicações de pulsação:

• Lista de autoridades de certificação usadas para emitir certificados Sophos XG
• uma lista de IDs de dispositivos registrados no Sophos XG;
• Endereço IP de pulsação e porta para comunicação.

Essas informações são armazenadas no computador da seguinte maneira:% ProgramData% \ Sophos \ Hearbeat \ Config \ Heartbeat.xml e são atualizadas regularmente.

A tecnologia de pulsação se comunica enviando mensagens de terminal para o endereço IP mágico 52.5.76.173:8347 e vice-versa. A análise revelou que os pacotes são enviados com um período de 15 segundos, conforme anunciado pelo fornecedor. Vale notar que as mensagens de pulsação são processadas diretamente pelo XG Firewall - ele intercepta pacotes e monitora o status do terminal. Se você capturar pacotes no host, o fluxo de tráfego será semelhante à comunicação com um endereço IP externo, embora, na verdade, o terminal se comunique diretamente com o firewall XG.



Deixe um aplicativo mal-intencionado entrar no computador de alguma forma. O Sophos Endpoint detecta esse ataque ou paramos de receber pulsação deste sistema. O dispositivo infectado envia automaticamente informações sobre a infecção do sistema, causando uma cadeia automática de ações. O XG Firewall isola instantaneamente o computador, impedindo a propagação de ataques e a interação com os servidores C&C.

O Sophos Endpoint remove automaticamente o malware. Após a remoção, o dispositivo final é sincronizado com o Sophos Central e, em seguida, o XG Firewall restaura o acesso à rede. A Análise de Causa Raiz (RCA ou EDR - Endpoint Detection and Responce) fornece uma ideia detalhada do que aconteceu.


Supondo que os recursos corporativos sejam acessados ​​usando dispositivos móveis e tablets, é possível fornecer o SynSec nesse caso?

Nesse cenário, o Sophos Central fornece suporte para o Sophos Mobile e o Sophos Wireless . Suponha que um usuário tente violar uma política de segurança em um dispositivo móvel protegido pelo Sophos Mobile. O Sophos Mobile detecta uma violação da política de segurança e envia notificações para o resto do sistema, desencadeando uma resposta pré-configurada ao incidente. Se o Sophos Mobile tiver uma política de "proibir conectividade de rede", o Sophos Wireless restringirá o acesso à rede para este dispositivo. A barra de ferramentas Sophos Central na guia Sophos Wireless exibe uma notificação de que o dispositivo está infectado. No momento em que o usuário tenta acessar a rede, uma tela inicial aparecerá na tela, informando que o acesso à Internet é limitado.



Um terminal tem vários status de status de pulsação: vermelho, amarelo e verde.
O status vermelho ocorre nos seguintes casos:

• Malware ativo detectado
• Foi feita uma tentativa de iniciar malware;
• Tráfego de rede malicioso detectado
• malware não foi removido.

Um status amarelo significa que um malware inativo foi detectado no terminal ou um PUP (programa potencialmente indesejado) foi detectado. Um status verde indica que nenhum dos problemas acima foi detectado.

Depois de examinar alguns dos cenários clássicos da interação de dispositivos protegidos com o Sophos Central, descreveremos a interface gráfica da solução e consideraremos as configurações básicas e a funcionalidade suportada.

GUI

O painel de controle exibe as últimas notificações. Além disso, na forma de diagramas, uma característica resumida para vários componentes de proteção é exibida. Nesse caso, os dados resumidos para proteger computadores pessoais são exibidos. Este painel também contém informações resumidas sobre tentativas de visitar recursos perigosos com conteúdo inadequado e estatísticas de análise de email.


O Sophos Central suporta a exibição de alertas por gravidade, o que impede o usuário de ignorar alertas críticos de segurança. Além de informações resumidas exibidas de maneira concisa sobre o status do sistema de segurança, o Sophos Central oferece suporte ao log de eventos e à integração com sistemas SIEM. Para muitas empresas, o Sophos Central é uma plataforma para o SOC interno e para fornecer serviços aos seus clientes - MSSP.

Um recurso importante é o suporte ao cache de atualização para clientes de terminal. Isso economiza a largura de banda do tráfego externo, pois, nesse caso, as atualizações são baixadas uma vez para um dos clientes de terminal e, em seguida, outros dispositivos finais fazem o download das atualizações. Além do recurso descrito, o terminal selecionado pode retransmitir mensagens de política de segurança e relatórios de informações para a nuvem Sophos. Essa função será útil se houver dispositivos finais que não tenham acesso direto à Internet, mas exijam proteção. O Sophos Central possui uma opção (proteção contra adulteração) que proíbe alterar as configurações de proteção do computador ou excluir um agente de terminal.

Um dos componentes da proteção de endpoint é o antivírus de próxima geração (NGAV) - Intercept X. Usando tecnologias profundas de aprendizado de máquina, o antivírus pode detectar ameaças anteriormente desconhecidas sem o uso de assinaturas. A precisão da detecção é comparável às contrapartes de assinatura, mas, ao contrário delas, fornece proteção proativa, evitando ataques de dia zero. O Intercept X pode funcionar em paralelo com antivírus de assinatura de outros fornecedores.

Neste artigo, falamos brevemente sobre o conceito de SynSec, que é implementado no Sophos Central, bem como sobre alguns dos recursos desta solução. Falaremos sobre como cada um dos componentes de segurança integrados ao Sophos Central funciona nos seguintes artigos. Você pode obter uma versão demo da solução aqui .

Se você estiver interessado na solução, entre em contato conosco - empresa do Grupo Factor , distribuidor Sophos. Basta escrever de forma livre para sophos@fgts.ru .