为了确保信息安全工具的高效率,其组件的连接起着重要作用。 它不仅可以阻止外部威胁,还可以阻止内部威胁。 在设计网络基础结构时,无论是防病毒还是防火墙,每种保护手段都很重要,因此它们不仅可以在其类中运行(端点安全性或NGFW),而且还具有相互交互以共同对抗威胁的能力。
一点理论
当前的网络犯罪分子变得更具企业家精神也就不足为奇了。 他们使用多种网络技术来传播恶意软件:
网络钓鱼电子邮件将导致恶意软件使用已知的攻击或“零日攻击”,然后是特权升级或在网络中横向移动,从而“越过网络的阈值”。 拥有一台受感染的设备可能意味着您的网络可以用于攻击者的佣金用途。
在某些情况下,当有必要确保信息安全组件的交互时,在对系统当前状态进行信息安全审核时,无法使用一组互连的措施来描述它。 在大多数情况下,许多专注于应对特定类型威胁的技术解决方案都无法与其他技术解决方案集成。 例如,端点保护产品使用基于签名的行为分析来确定文件是否被感染。 防火墙使用其他技术来阻止恶意流量,包括Web筛选,IPS,沙箱等。 但是,在大多数组织中,这些信息安全组件并不相互连接,而是孤立地工作。
心跳技术趋势
确保网络安全的新方法涉及各个级别的保护,其中每个级别使用的解决方案都是相互关联的,并且具有交换信息的能力。 这导致了同步安全性(SynSec)系统的创建。 SynSec是一个作为单个系统的信息安全过程。 在这种情况下,每个信息安全组件都实时相互连接。 例如,
Sophos Central解决方案就是根据该原理实施的。
安全性心跳技术可在安全性组件之间提供通信,从而确保系统及其监视的联合功能。 以下课程已集成到
Sophos Central中 :
显而易见,Sophos Central支持相当广泛的信息安全解决方案。 在Sophos Central,SynSec的概念基于三个重要原则:检测,分析和响应。 有关它们的详细说明,让我们分别介绍它们。
SynSec概念
检测 (识别未知威胁)
Sophos Central运行的Sophos产品会自动在彼此之间共享信息以识别风险和未知威胁,其中包括:
- 具有识别高风险应用程序和恶意流量的能力的网络流量分析;
- 通过对他们在网络上的行为进行相关分析,来检测具有高风险组的用户。
分析 (快速直观)
实时事件分析提供对系统当前状况的即时了解。
- 显示导致事件的完整事件链,包括所有文件,注册表项,URL等。
响应 (事件自动响应)
设置安全策略可让您在几秒钟内自动响应感染和事件。 由以下提供:
- 即时隔离受感染的设备并实时阻止攻击(即使在同一网络/广播域内);
- 限制不符合政策的设备对公司网络资源的访问;
- 检测到外发垃圾邮件时远程启动设备扫描。
我们回顾了Sophos Central工作的基本安全原则。 现在,让我们继续描述SynSec技术如何运作。
从理论到实践
首先,让我们解释SynSec如何使用Heartbeat技术建立设备交互。 第一步是在Sophos Central中注册Sophos XG。 在此阶段,他会收到用于自我识别的证书,终端设备将使用Heartbeat技术与他进行通信的IP地址和端口,以及通过Sophos Central管理的终端设备ID列表及其客户端证书。
Sophos XG注册发生后不久,Sophos Central会将信息传输到终端设备以启动心跳通信:
- 用于颁发Sophos XG证书的证书颁发机构列表
- 在Sophos XG中注册的设备ID列表;
- 心跳的IP地址和通讯端口。
此信息通过以下方式存储在计算机上:%ProgramData%\ Sophos \ Hearbeat \ Config \ Heartbeat.xml,并定期进行更新。
心跳技术通过将端点消息发送到魔术IP地址52.5.76.173:8347进行通信,反之亦然。 分析显示,如供应商所宣布的那样,发送数据包的时间为15秒。 值得注意的是,心跳消息直接由XG防火墙处理-它会拦截数据包并监视终结点的状态。 如果您在主机上捕获数据包,则流量将类似于与外部IP地址进行通信,尽管实际上端点直接与XG防火墙进行通信。
让恶意应用程序以某种方式进入计算机。 Sophos Endpoint检测到此攻击,或者我们停止从该系统接收心跳。 受感染的设备会自动发送有关系统感染的信息,从而导致一系列自动操作。 XG防火墙可立即隔离计算机,从而防止攻击的传播以及与C&C服务器的交互。
Sophos Endpoint会自动删除恶意软件。 移除后,终端设备将与Sophos Central同步,然后XG防火墙将恢复对网络的访问。 根本原因分析(RCA或EDR-端点检测和响应)提供了详细的信息。
假设使用移动设备和平板电脑访问公司资源,在这种情况下是否可以提供SynSec?
对于这种情况,Sophos Central提供了对
Sophos Mobile和
Sophos Wireless的支持 。 假设用户尝试在Sophos Mobile保护的移动设备上违反安全策略。 Sophos Mobile检测到违反安全策略的行为,并将通知发送到系统的其余部分,从而触发对该事件的预配置响应。 如果Sophos Mobile具有“禁止网络连接”策略,则Sophos Wireless将限制该设备的网络访问。 Sophos Wireless选项卡上的Sophos Central工具栏显示设备已感染的通知。 当用户尝试访问网络时,屏幕上会出现一个初始屏幕,通知您对Internet的访问受到限制。
端点具有几种心跳状态状态:红色,黄色和绿色。
在以下情况下会出现红色状态:
- 检测到活动的恶意软件
- 试图启动恶意软件;
- 检测到恶意网络流量
- 恶意软件尚未删除。
黄色状态表示在端点检测到不活动的恶意软件,或者检测到PUP(潜在有害程序)。 绿色状态表示未检测到上述任何问题。
在研究了受保护设备与Sophos Central交互的一些经典场景之后,我们将继续描述该解决方案的图形界面,并考虑基本设置和支持的功能。
图形用户界面
控制面板显示最新的通知。 另外,以图表的形式显示了各种保护组件的概要特性。 在这种情况下,将显示用于保护个人计算机的摘要数据。 该面板还包含有关尝试访问内容不适当的危险资源的摘要信息,以及电子邮件分析统计信息。
Sophos Central支持按严重性显示警报,从而防止用户跳过重要的安全警报。 除了简洁显示有关安全系统状态的摘要信息外,Sophos Central还支持事件日志记录以及与SIEM系统的集成。 对于许多公司而言,Sophos Central是一个用于内部SOC并为客户提供服务的平台-MSSP。
其中一项重要功能是支持端点客户端的更新缓存。 这节省了外部流量的带宽,因为在这种情况下,更新一次下载到一个端点客户端,然后其他终端设备从中下载更新。 除了所描述的功能之外,选定的端点还可以将安全策略消息和信息报告中继到Sophos云。 如果存在无法直接访问Internet但需要保护的终端设备,此功能将非常有用。 Sophos Central有一个选项(防篡改),禁止更改计算机保护设置或删除终结点代理。
端点保护的组件之一是下一代防病毒(NGAV)-InterceptX
。 使用深度机器学习技术,该防病毒软件无需使用签名即可检测以前未知的威胁。 检测精度可与签名对手媲美,但与它们不同的是,它提供了主动保护,可以防止零日攻击。 Intercept X可以与其他供应商的签名防病毒并行工作。
在本文中,我们简要讨论了在Sophos Central中实现的SynSec概念以及该解决方案的某些功能。 在以下文章中,我们将讨论如何将每个安全组件集成到Sophos Central中。 您可以在
此处获得该解决方案的演示版本。
如果您对该解决方案感兴趣,可以联系我们
-Factor Group公司,Sophos分销商。 以自由格式写信到
sophos@fgts.ru就足够了。