Sophos endpoint agent что это
Синхронизированная безопасность в Sophos Central
Немного теории
Неудивительно, что нынешние киберпреступники стали более предприимчивыми. Для распространения вредоносных программ они применяют целый ряд сетевых технологий:
Фишинговая рассылка по электронной почте приводит к тому, что вредоносная программа «переступает порог» вашей сети, используя известные атаки, либо «атаки нулевого дня» с последующим повышением привилегий, либо горизонтальное продвижение (lateral movement) по сети. Наличие одного зараженного устройства может означать, что ваша сеть может использоваться в корыстных целях злоумышленника.
В некоторых случаях, когда необходимо обеспечить взаимодействие компонентов ИБ, при проведении аудита информационной безопасности текущего состояния системы ее не удается описать с помощью единого комплекса мер, который связан между собой. В большинстве случаев, многие технологические решения, фокусирующиеся на противодействии определенному виду угроз, не предусматривают интеграции с другими технологическими решениями. Например, продукты для защиты конечных устройств используют сигнатурный и поведенческий анализ для определения, является ли файл зараженным или нет. Для остановки вредоносного трафика межсетевые экраны используют другие технологии, к числу которых можно отнести веб-фильтрацию, IPS, песочницу и т.д. Тем не менее в большинстве организаций данные компоненты обеспечения информационной безопасности не связаны друг с другом и работают изолированно.
Тенденции в реализации технологии Heartbeat
Новый подход к обеспечению кибербезопасности подразумевает защиту на каждом уровне, при котором решения, используемые на каждом из них, связаны друг с другом и имеют возможность обмениваться информацией. Это приводит к созданию системы Synchronized Security (SynSec). SynSec представляет собой процесс обеспечения информационной безопасности как единую систему. В этом случае каждый компонент обеспечения информационной безопасности соединен друг с другом в режиме реального времени. Например, решение Sophos Central реализовано по данному принципу.
Технология Security Heartbeat обеспечивает связь между компонентами безопасности, обеспечивая совместное функционирование системы и ее мониторинг. В Sophos Central интегрированы решения следующих классов:
Нетрудно заметить, что Sophos Central поддерживает достаточно широкий спектр решений в области информационной безопасности. В Sophos Central концепция SynSec базируется на трех важных принципах: обнаружение, анализ и реагирование. Для подробного их описания остановимся на каждом из них.
Концепции SynSec
ОБНАРУЖЕНИЕ (выявление неизвестных угроз)
Продукты Sophos под управлением Sophos Central в автоматическом режиме делятся информацией между собой для выявления рисков и неизвестных угроз, что включает в себя:
От теории к практике
Для начала разъясним, как устанавливается взаимодействие устройств по принципу SynSec с помощью технологии Heartbeat. Первый этап заключается в регистрации Sophos XG в Sophos Central. На этом этапе он получает сертификат для самоидентификации, IP адрес и порт, через который конечные устройства будут взаимодействовать с ним по технологии Heartbeat, а также список ID конечных устройств, управляемых через Sophos Central и их клиентских сертификатов.
Вскоре после того, как произойдет регистрация Sophos XG, Sophos Central передаст конечным устройствам информацию для инициирования взаимодействия по технологии Heartbeat:
Коммуникация по технологии Heartbeat осуществляется посредством отправки конечной точкой сообщений на magic IP адрес 52.5.76.173:8347 и обратно. В ходе анализа было выявлено, что пакеты отправляются с периодом 15 секунд, как и заявлено вендором. Стоит отметить, что сообщения Heartbeat обрабатываются непосредственно XG Firewall — он перехватывает пакеты и отслеживает статус конечной точки. Если выполнить захват пакетов на хосте, то движение трафика будет похоже на коммуникацию с внешним IP-адресом, хотя на самом деле конечная точка взаимодействует с межсетевым экраном XG напрямую.
Пусть на компьютер неким образом попало вредоносное приложение. Sophos Endpoint выявляет эту атаку или мы перестаем получать Heartbeat от этой системы. Зараженное устройство автоматически рассылает сведения о заражении системы, вызывая автоматическую цепочку действий. XG Firewall мгновенно изолирует компьютер, предотвращая распространение атаки и взаимодействие c C&C серверами.
Sophos Endpoint автоматически удаляет вредоносное ПО. После его удаления конечное устройство синхронизируется с Sophos Central, затем XG Firewall восстанавливает доступ к сети. Анализ корневых причин (Root Cause Analysis — RCA или EDR — Endpoint Detection and Responce) позволяет получить детальное представление о том, что произошло.
Если предположить, что доступ к корпоративным ресурсам осуществляется с помощью мобильных устройств и планшетов, можно ли в этом случае обеспечить SynSec?
Для такого сценария в Sophos Central предусмотрена поддержка Sophos Mobile и Sophos Wireless. Предположим, что пользователь пытается нарушить политику безопасности на мобильном устройстве, защищенном с помощью Sophos Mobile. Sophos Mobile выявляет нарушение политики безопасности и рассылает уведомления по остальным компонентам системы, вызывая заранее настроенную реакцию на инцидент. Если в Sophos Mobile настроена политики «запретить подключение по сети», то Sophos Wireless ограничит доступ в сеть для данного устройства. На панели инструментов Sophos Central на вкладке Sophos Wireless отобразится уведомление, о том, что устройство заражено. В то время, когда пользователь попытается получить доступ к сети, на экране появится заставка, сообщающая, что доступ к интернету ограничен.
Конечная точка имеет несколько статусов состояния Heartbeat: красный, желтый и зеленый.
Красный статус возникает в следующих случаях:
Рассмотрев некоторые классические сценарии взаимодействия защищаемых устройств с Sophos Central, перейдем к описанию графического интерфейса решения и рассмотрению основных настроек и поддерживаемого функционала.
Графический интерфейс
На панели управления отображаются последние уведомления. Также в виде диаграмм отображена сводная характеристика по различным компонентам защиты. В данном случае отображаются сводные данные по защите персональных компьютеров. На данной панели также доступна сводная информация о попытках посещения опасных ресурсов и ресурсов с неприемлемым содержанием, статистика анализа электронной почты.
Sophos Central поддерживает отображение уведомлений по степени важности, что не позволит пользователю пропустить критические оповещения системы безопасности. Кроме лаконично отображаемой сводной информации о состоянии системы защиты, Sophos Central поддерживает логирование событий, интеграцию с SIEM-системами. Sophos Central для многих компаний является платформой как для внутреннего SOC, так и для оказания услуг своим заказчикам — MSSP.
Одной из важных особенностей является поддержка кэша обновлений для endpoint-клиентов. Это позволяет экономить пропускную способность внешнего трафика, поскольку в этом случае обновления загружаются один раз на один из endpoint-клиентов, а далее другие конечные устройства загружают обновления с него. В дополнение описанной возможности выбранный endpoint может ретранслировать сообщения о политиках безопасности и информационные отчеты в облако Sophos. Данная функция будет полезна, если имеются конечные устройства, которые не имеют прямого доступа в интернет, но требуют защиты. В Sophos Central предусмотрена опция (tamper protection), запрещающая изменять настройки защиты компьютера либо удалять endpoint-агент.
Одним из компонентов endpoint-защиты является антивирус нового поколения (NGAV) — Intercept X. С помощью технологий глубокого машинного обучения антивирус способен выявлять ранее неизвестные угрозы без использования сигнатур. Точность выявления сравнима с сигнатурными аналогами, но в отличии от них обеспечивает проактивную защиту, предотвращая атаки «нулевого дня». Intercept X способен работать параллельно с сигнатурными антивирусами других вендоров.
В данной статье мы коротко рассказали о концепции SynSec, которая реализована в Sophos Central, а также о некоторых возможностях данного решения. О том, как функционирует каждый из компонентов защиты, интегрированный в Sophos Central, мы расскажем в следующих статьях. Получить демо-версию решения вы можете здесь.
Sophos endpoint agent что это
Канал на YouTube: https://www.youtube.com/user/SophosProducts/ 
Класс решений: Антивирусы для конечных устройств.
Фишки: Лидер Gartner в Magic Quadrant для Endpoint Protection Platforms. Низкая нагрузка на компьютер, быстрое сканирование. Возможность фильтрации веб-трафика, блокировка приложений, управляемый доступ к съемным носителям, DLP.
E-mail для вопросов: sophos@fgts.ru
Простая защита вашего бизнеса
Простая защита вашего бизнесаРезультаты независимых исследований
Защита следующего поколения
Компания Sophos создает новый подход к безопасности. Sophos Endpoint блокирует вредоносное программное обеспечение (ПО) и вирусы путем выявления и предотвращения приемов и поведения, используемых практически в каждом эксплойте.
Антивирус Sophos Endpoint не полагается на сигнатуры, чтобы обнаружить вредоносное ПО. Это означает, что он ловит угрозы «нулевого дня» без ущерба для производительности устройства. Пользователь получает защиту еще до того, как эти эксплойты у него появятся.
Путем сопоставления показателей угроз Sophos Endpoint может блокировать зараженные web-сайты и приложения, опасные URL-адреса, потенциально нежелательные программы и вредоносный код, не давая им возможность появиться на рабочем месте.
Демаскировка вредоносного ПО
Sophos Endpoint работает на устройстве в сочетании с межсетевым экраном, что позволяет обнаруживать и изолировать скомпрометированные устройства. Собственная технология Synchronized Security предоставляет Sophos Endpoint дополнительный контекст в виде информации о происходящем на сетевом уровне.
Поведенческий анализ
Выявление подозрительного поведения позволяет обнаружить вредоносное программное обеспечение, которое специально создали для обхода традиционных решений в области безопасности.
Обнаружение трафика
Предварительная фильтрация всего потока информации по протоколам HTTP/HTTPS, отслеживание подозрительного трафика и файловых путей процессов, которые отправляют вредоносный трафик.
Интеграция рабочих мест и сетевых устройств
Мгновенное и автоматическое взаимодействие между рабочим местом и сетевым устройством позволяет предупредить подозреваемую систему о том, что именно обнаружил межсетевой экран, позволяя агенту на рабочем месте немедленно использовать эту информацию для обнаружения представляющего угрозу процесса.
Попрощайтесь с вредоносным ПО
Автоматическое удаление обнаруженного вредоносного ПО или изоляция скомпрометированных устройств для предотвращения большего ущерба.
Полный контроль
Применение политик фильтрации веб-трафика, приложений, устройств и данных, благодаря бесшовной интеграции агента на рабочем месте и облачной консолью управления.
Тщательно продуманная простота
Аналогично вашим любимым смартфонам или веб-приложениям решение Sophos Endpoint Protection предоставляет расширенные функциональные возможности в простом и интуитивно понятном пользовательском интерфейсе.
Гибкое лицензирование и развертывание
Оба предлагаемых варианта развертывания (в облаке или локально) обеспечивают непревзойденную производительность и защиту, а лицензирование выполняется исходя из количества пользователей, а не устройств.
Описание подписок Sophos Endpoint protection / Enduser Protection:
| ENDPOINT PROTECTION STANDARD | ENDPOINT PROTECTION ADVANCED | ENDPOINT EXPLOIT PREVENTION | CENTRAL ENDPOINT PROTECTION | CENTRAL INTERCEPT X | CENTRAL INTERCEPT X ADVANCED | CENTRAL INTERCEPT X ADVANCED WITH EDR |
| ENDPOINT PROTECTION | INTERCEPT X | |||||
| Локальное управление (свой сервер) | Управление из облака Sophos Central | |||||
| Web Security / Веб-фильтрация от вредоносов | ✓ | ✓ | ✓ | ✓ | ✓ | |
| Download Reputation / Проверка репутация файлов и ссылок | ✓ | ✓ | ✓ | ✓ | ✓ | |
| Web Control / Category-based URL Blocking / Веб-фильтрация по категориям | ✓ | ✓ | ✓ | ✓ | ✓ | |
| Peripheral Control (e.g. USB) / Контроль подключаемых устройств | ✓ | ✓ | ✓ | ✓ | ✓ | |
| Application Control / Контроль приложения | ✓ | ✓ | ✓ | ✓ | ✓ | |
| Deep Learning Malware Detection / Обнаружение вредоносного ПО на основе глубокого обучения (безсигнатурный антивирус) | ✓ | ✓ | ✓ | |||
| Anti-Malware File Scanning / Сканирование файлов на наличие вирусов | ✓ | ✓ | ✓ | ✓ | ✓ | |
| Live Protection / Проверка в режиме реального времени в SophosLabs | ✓ | ✓ | ✓ | ✓ | ✓ | |
| Pre-execution Behavior Analysis (HIPS) / Локальная система предотвращения вторжений (анализ перед выполненем) | ✓ | ✓ | ✓ | ✓ | ✓ | |
| Potentially Unwanted Application (PUA) blocking / Блокировка потенциально нежелательных приложений | ✓ | ✓ | ✓ | ✓ | ✓ | |
| Data Loss Prevention (DLP) / Система предотвращения утечек данных | ✓ | ✓ | ✓ | ✓ | ||
| Exploit Prevention / Защита от эксплоитов | ✓ | ✓ | ✓ | ✓ | ||
| Runtime Behavior Analysis (HIPS) / Локальная система предотвращения вторжений (анализ во время выполнения) | ✓ | ✓ | ✓ | ✓ | ✓ | |
| Malicious Traffic Detection (MTD) / Обнаружение вредоносного трафика | ✓ | ✓ | ✓ | ✓ | ✓ | |
| Active Adversary Mitigations / Активное противодействия атакам | ✓ | ✓ | ✓ | |||
| Ransomware File Protection (CryptoGuard) / Защита файлов от программ-вымогателей / шифровальщиков | ✓ | ✓ | ✓ | ✓ | ||
| Disk and Boot Record Protection (WipeGuard) / Защита диска и загрузочной области | ✓ | ✓ | ✓ | |||
| Man-in-the-Browser Protection (Safe Browsing) / Защита браузера от «атаки по середине» | ✓ | ✓ | ✓ | ✓ | ||
| Automated Malware Removal / Автоматическое удаление вредоносных программ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
| Synchronized Security Heartbeat / Синхронизация состояния защиты | ✓ | ✓ | ✓ | ✓ | ||
| Root Cause Analysis / Анализ причин возникновения инцидента | ✓ | ✓ | ✓ | |||
| Sophos Clean / Служба очистки от последствий работы вредоносных программ | ✓ | ✓ | ✓ | ✓ | ||
| Endpoint Detection and Response / Модуль оперативного расследования инцидентов | ✓ | |||||
Ознакомиться с дополнительными возможностями можете в документе Sophos Endpoint license guide.
Нажмите, чтобы скачать русскоязычную брошюру: