Synchronized Security同步安全整合 – 開創性的防護新格局

2016-6-30

 

 

隨著資訊安全產業的日趨成熟,我們開始思考在防護措施上,還有沒有辦法創造更完美苛求的可能性。在過往資安防護的經驗告訴我們,集結最優質、同一架構的網路和端點元件來建構多層次的縱深防禦機制,是一個絕佳的理想概念。雖然這個想法本身並沒有錯誤,但是相對的配套措施卻十分匱乏。

一直到現在,如果沒有一個中繼媒介,想要填補實體、虛擬網路防護和端點之間的空洞是再再不可能的事。IT和資安人員每天都要從許多未知、不相關的繁雜警報事件中,查找疑似可能遭受攻擊的線索,以減輕威脅帶來的危害,只是往往經過費時的調查之後,到頭只能換得一場空。原因就在於缺乏同步安全整合的配套措施 – 無法讓端點和網路之間進行有意義的防護資料交換,彼此溝通威脅情報。

同步安全整合的好處可區分為兩個區塊,第一,透過自動化和情報連結來提高威脅的偵測回應;第二,藉由詳細的威脅資訊(發生事件、發生原因、位置、時間、使用者),簡化了原本繁雜線索的查找工作以提升執行效率。

如果沒有同步安全整合,資訊控管系統之間便無法相互溝通,也就不能針對共同威脅做出回應。舉例來說,如果防火牆查覺到對外連線異常或是DNS發現可疑的C&C主機IP、或網域名稱時,當下可執行的最佳做法就是封鎖連線並通知管理員。警報事件可能包含一個IP位置或是已登入的使用者資料,但其中不會包含跟問題程序有關的資料。在這同時,端點仍處於感染狀態,安全風險也一樣存在,直到人工介入排除。

因為防火牆通常無法第一手掌握端點裝置的狀況之下,在端點上執行的行為分析雖然能識別並封鎖惡意程式,提醒使用者需要進行檢測和清除工作。只不過可能一直到清除完成之前,防火牆都還是無法得知相關的威脅資訊,造成放任受感染系統連線到外部網路或是其他機密系統。

為了解決這項安全問題,我們推出了端點和網路控制之間的溝通橋梁 - Sophos Security Heartbeat。

 

現在只要防火牆偵測到惡意流量就會通知端點,端點代理便會進行動態回應,識別檢測可疑的惡意程序。以大多數的案例來說,都能透過自動化完成程序終止和清除感染檔案。端點也會向防火牆回報目前的安全狀態,一旦經由檢測發現安全狀態危急,防火牆就能依據收到的資訊,對端點下達適當的隔離或是限制政策。這樣的相互溝通帶來更優質的運作效率,尤其是在執行調查稽核的時候。

IT部門一般要從警報事件中找出罪魁禍首是一項十分大的挑戰。防火牆在偵測到端點的惡意流量時,通常都是會回報目前使用中的IP位置。但要做完整的查緝,還必須找出與這個IP有關的特定使用者和電腦。不過,這很可能就必須翻遍DHCP或動態DNS記錄、清單或IP管理資料庫。從這一刻起真正的挑戰才正要開始,要從防火牆端下手查找和端點相關的網路流量分析,是一項十分耗費時間精神的苦差事。如果您夠幸運,可能可以簡單透過netstat或lsof指令找出您需要的資料。只是絕大多數的狀況是,程序已經終止或已中斷網路連線,使您更難以追查威脅之所在。

Synchronized Security同步安全整合的自動連線機制,讓端點能和防火牆互動分享即時偵測出的可疑流量程序。這些資料內容包含的電腦名稱和使用者帳號將會一同傳送給IT和防火牆。以往可能要耗費整天或數小時的分析工作,現在只要透過自動化機制,就能快速縮短時間,迅速協助事件回報人員處理威脅,而不是還在埋頭尋找威脅源頭。

Sophos啟動的環狀交互傳遞,能實現跨越端點和網路的使用者異常行為分析,讓原本缺乏端點資訊的防火牆,能更確實掌握端點上發生的事件狀況,以採取相對應的行動。目前非常嚴謹的Synchronized Security同步安全整合概念將會慢慢拓展到其他管控層面。不久之後,就可以為含有機密資料的特定程序或安全設備提供結合加密功能的端點安全防護。行動裝置、雲端閘道和沙箱也會一同加入到端點,並且能和防火牆相互聯繫。Synchronized Security同步安全整合系統是遠比各自為政的零散架構來得更加穩固牢靠。

ESG 首席分析師 Jon Oltsik 表示:「實用的同步安全整合是目前絕佳的理想做法。」

絕大多數的企業都受限於預算費用、專業人員不足和時間限制等因素,而讓企業安全無法跟上最前線的腳步。每個人可能都希望享有SIEM帶來的好處,但不是人人都有能力採購或有效運作。此時Synchronized Security同步安全整合就會是一個很好的解決方案,因為跟一般單點產品的大雜燴成本和複雜性相比,能在低成本下創造更好的保護成效。

讓產品之間互相溝通,並自動做出回應,感覺上像是一個很簡單的核心概念。所以您可能想不明白,為什麼端點和網路安全之間不能達成這個想法。因為,在實際應用面上,要把這些概念和實務整合在一起,是存在很高的困難度,這也就是為何我們會將Synchronized Security同步安全整合視為是一項資訊安全新革命的原因。

Sophos CTO - Joe Levy表示:「雖然花了很長時間,但我們終於成功發表了更好的安全方案。」

瞭解更多SOPHOS產品資訊與技術優勢,請洽台灣專業代理商 - 湛揚科技,我們將有專人為您服務。

資安知識不可少,小心謹慎保荷包!掌握個人資訊安全,湛揚科技將與您同步關心。


文章出處:Bringing endpoint and firewall together is an idea so simple it’s revolutionary