SOPHOS EndPoint NextGEN – co to jest i z czego się składa

Sophos_Next-Gen_Endpoint_ProtectionW sierpniu pisaliśmy o nowej ofercie SOPHOS NextGEN w ramach rozszerzonego bezpieczeństwa dedykowanego dla użytkownika końcowego.

Next GEN Endpoint Protection, co kryje się pod tym hasłem?

Do tej pory wszyscy producenci rozwiązań z zakresu bezpieczeństwa, w tym także SOPHOS, oferowali rozwiązania ochrony stacji roboczych i serwerów pod kątem podejmowania określonych zadań jak wykrywanie i reagowanie na zdiagnozowane zagrożenia. Next Generation Endpoint Security ma stanowić kolejny etap w zapobieganiu i wcześniejszym reagowaniu na potencjalne zagrożenia.

Co wchodzi w skład nowej jakości SOPHOS Next Generation Endpoint Security?

Zapobieganie

W ramach mechanizmów prewencyjnych, SOPHOS udostępnia trzy ważne dla bezpieczeństwa mechanizmy.

– web protection

Agent stacji roboczej, Sophos Endpoint Protection wykorzystuje informacje z Sophos Labs na temat złośliwego oprogramowania znajdującego się na stronach www, codziennie aktualizowana baza danych o kolejne tysiące zainfekowanych stron pomaga zabezpieczać użytkowników końcowych przed przypadkowym ściągnięciem niechcianego kodu z odwiedzanych stron, dodatkowe mechanizmy kategoryzacji stron pozwalają nie tylko klasyfikować niebezpieczne serwisy, ale także w ramach web control, administratorzy mają możliwość klasyfikowania dostępu do stron (około 14 kategorii). Dodatkowo w trakcie nawigacji do podejrzanej witryny Sophos skanuje jej zawartość w poszukiwaniu złośliwego kodu przekierowań lub zainfekowanych elementów/obiektów, takich jak malware czy zainfekowane skrypty Java.

– device control

Kontrola urządzeń obejmuje zarządzanie i kontrolę podłączonych nośników takich jak dyski, USB pendrive. W ramach konsoli Sophos Endpoint Protection, administrator ma możliwość tworzyć i utrzymywać reguły, które pozwolą na konkretne działanie w przypadku wykrycia nowego podłączenia w ramach kontrolowanego urządzenia w komputerze.

– patch assessment

Jest to mechanizm polegający na odpowiednio szybkim i sprawdzonym łataniu dziur systemowych oraz oprogramowania znajdującego się na komputerach klienckich. Działanie prewencyjne polega na odpowiednio szybkiej reakcji i rekomendacji aktualizacji na ujawnione zagrożenia, które wynikają z niedoskonałości kodu oprogramowania firm trzecich znajdujących się na stacjach klienckich.

Execution prevention/Zapobieganie wykonywaniu

Zapobieganie wykonywaniu: obejmuje szereg ciekawych technologii, w tym siedem najważniejszych opisanych poniżej.

– Heuristic evaluation

Ocena heurystyczna może przechwytywać zarówno znane złośliwe oprogramowania oraz
nowe nigdy wcześniej niezdefiniowane malware. Analiza heurystyczna została dostosowana do optymalnej detekcji przy minimalnych ilościach fałszywych alarmów.
Heurystyki silnika Sophos analizują każdą próbkę wykorzystując poznane wcześniej fragmenty kodu,
który może wskazywać na potencjalnie nowy rodzaj istniejącego już zagrożenia. Wykrywanie heurystyczne oparte jest częściowo na wykrywaniu złośliwego oprogramowania oraz budowaniu wiedzy na temat kodu, który zdarza się mieć cechy podobne do złośliwego oprogramowania, ale nie stanowi zagrożenia.

– Pre-execution emulation

Emulacja wstępnego wykonania. Agent Sophos Endpoint Protection zawiera mechanizm emulatora, który detonuje wykonywalne pliki w kontrolowanym środowisku. Emulator jest wykorzystywany przede wszystkim w celu uniemożliwienia infekcji i demaskowania działań ukrytych elementów i mechanizmów znajdujących się w kodzie.

– Sandboxing

Sophos Labs posiada własny Sandbox (specjalna usługa w ramach technologi SOPHOS UTM seria XG), który służy także do oceny próbek pobieranych ze zgłoszeń puli szerokiej sieci swoich klientów. Wyniki analizy z Sandbox bardzo często kształtują wiedzę na temat nowych zagrożeń, dzięki temu inżynierowie z SOPHOS Labs mogą tworzyć nowe reguły dla nowych modeli zapobiegania i bardziej zaawansowanych modeli wykrywania niewłaściwego zachowania analizowanego kodu. Dzięki tej technologi urządzenia klienckie na bieżąco raportują producenta o nowych zagrożeniach, w ten sposób skracają także proces wykrycia i analizy nowych zagrożeń.

– Download reputation

Reputacja pobierania SOPHOS Endpoint ma możliwość interakcji z użytkownikiem końcowym, gdy podejrzany plik wykonywalny jest pobierany na urządzenie. Jeżeli Endpoint oceni że pobierany plik jest podejrzany i może stanowić zagrożenie może wymuszać na użytkowniku potwierdzenie kontynuacji pobierania.

– Application Whitelisting

Sophos w ramach Endpoint dostarcza technologię białej listy aplikacji (lockdown). Technologia ta służy do weryfikacji dozwolonych aplikacji, w ramach ustalonej przez administratora polityki bezpieczeństwa. Technologia ta ma na celu zapobiegać nieautoryzowanemu dodawaniu innych aplikacji, które nie zostały autoryzowane i które mogą stanowić potencjalne zagrożenie dla sieci klienckiej.

– Machine Learning

Technika ta wykorzystuje regresję liniową, „analizy Bayesa”, metodę klasyfikacji „Random forests” i inne dobrze znane algorytmy uczenia maszynowego w celu określenia prawdopodobieństwa czy dany kod jest szkodliwy, czy nie. Modele pracy algorytmów przechodzą okresy prób, w których sprawdzane są pod kątem skuteczności analizy. Gdy model jest tworzony jego waga dostosowywana jest do atrybutów wykrywania, celem ustawienia odpowiedniej oceny, po której algorytm będzie stanowić decyzję w sprawie, czy analizowany kod jest złośliwy, łagodny lub pomiędzy. Technika ta już ponad dziesięć lat temu była najpierw szeroko stosowana do ochrony antyspamowej i trafiła w końcu także do bardziej ogólnego wykrywania szkodliwego oprogramowania.

– Signature matching

Powszechnie uznaje się, że dopasowanie sygnatury samo w sobie nie jest już wystarczające. Mechanizm może wykrywać tylko to, co już zna. Dla wielu zagrożeń jest z pewnością mało skuteczny, ale czasami stare sposoby są nadal najlepsze. Technologia „Signature matching” może być tanim i skutecznym sposobem ochrony przed tym, co już wiemy, zapewniając pierwszą linię bezpieczeństwa. W połączeniu z innymi technikami opisanymi w niniejszym dokumencie technologia dopasowania sygnatury stanowi skuteczny element bezpieczeństwa dla stacji roboczych.

Detection/Wykrywanie

Wykrywanie zagrożeń w środowisku produkcyjnym stanowi ciągle bardzo ważny proces ochrony urządzeń klienckich. Malware może zostać uruchomiony przypadkowo lub celowo przez użytkownika, może być wykorzystana luka procesu i w konsekwencji przejęcie kontroli procesu biznesowego lub systemu operacyjnego. Równie niepokojące może być wykorzystanie istniejących autoryzowanych aplikacji bezpośrednio za pomocą skryptu, socjotechniki, przez przypadek, lub z premedytacją. Jest to szeroki obszar wykrywania aktywności złośliwego oprogramowania, który zawiera wszystko, począwszy od wykrywania zagrożeń wewnątrz systemu, kompromitacji tożsamości i oczywiście malware.

– Network behavior

Jest to technika bazująca na zachowaniach i ruchu generowanym poprzez zagrożenia w sieci. Dzięki monitorowaniu zachowania zagrożenia przemieszczającego się po sieci, SOPHOS jest w stanie budować modele zachowań, które pozwalają w przyszłości kontrolować i blokować złośliwe oprogramowanie bazujące na propagowaniu się za pomocą komunikacji LAN. Jest to szczególnie ważna funkcja dla sieci korporacyjnych, w których znajdująca się pojedyncza zainfekowana maszyna mogłaby sprawnie przenieść zagrożenie na inne komputery wewnątrz firmy.

– Application behavior

SOPHOS potrafi analizować niepożądane działania i umożliwia kontrolę dla aplikacji wykorzystywanych w procesach biznesowych w przedsiębiorstwach. W dzisiejszych czasach, w których firmy mogą wykorzystywać niezliczone procesy i programy wspierające biznes ważne jest żeby móc kontrolować zachowania aplikacji pod kątem bezpieczeństwa systemów informatycznych. Obecnie przyjęta interakcja aplikacji, aktywne makra, komunikacja ze światem za pośrednictwem rozmaitych portów, bardzo częste aktualizacje, stwarzają wiele sposobności na potencjalne wpuszczenie zagrożeń teoretycznie zabezpieczonych furtką. W odróżnieniu od wielu innych firm oferujących monitorowanie zachowań aplikacji, Sophos Labs jest prekursorem modeli i zasad niezbędnych do dokładnego wykrywania złośliwego oprogramowania, dzięki czemu nasi klienci nie są proszeni o wykonanie skomplikowanego szkolenia, a jedynie świadome wykorzystanie opracowanych wcześniej analiz i dostosowanie ich do swoich potrzeb biznesowych.

– Data protection

Ochrona danych: W ramach nowej wersji Sophos SafeGuard 8.0 (SGN), SOPHOS wprowadza technologię szyfrowania danych, która oprócz szyfrowania dysków i plików, umożliwia definiowanie zaufanych aplikacji w ramach których użytkownicy mogą mieć dostęp oraz możliwość tworzenia plików szyfrowanych bez konieczności zmian i konfiguracji w ramach obsługiwanych i zdefiniowanych aplikacji. Konfigurując SGN 8.0 administrator ma możliwość wskazania w białej liście aplikacji, które mają dostęp do szyfrowanych plików. Jeżeli dana aplikacja nie będzie znajdowała się na liście to jedynie zaszyfrowane dane będą dla niej dostępne.

Dodatkowym ciekawym zabezpieczeniem w ramach SGN 8.0 zarządzanego poprzez SOPHOS Center i agenta Endpoint Protection lub SOPHOS XG jest możliwość dynamicznego cofnięcia klucza w chwili wykrycia szkodliwej aktywności. Dynamiczny klucz odwołania na podstawie stanu bezpieczeństwa jest rozwiązaniem unikalnym, stosowanym tylko w ramach produktów Sophos.

– Exploit Detection

Dzięki możliwości monitorowania zachowania aplikacji SOPHOS ma możliwość obserwować zaufane procesy w celu wykrycia nieprawidłowości, gdy zostają one wykorzystywane przez złośliwe oprogramowanie. Liczba technik wykorzystujących proces jest skończona i większość agentów typu Endpoint potrafi wykryć jeden lub więcej na podstawie ich aktywności.

W ramach zapobiegania zagrożeniom typu Exploit, Sophos stosuje szereg autoryzowanych i wypracowanych przez lata technik: Enforce Data Execution Prevention (DEP), Mandatory Assres Space Layout Randomization (ASLR), Null Page, Stack-based Anti-ROP, Hardware-assisted Control-Flow Integrity (CFI), Import Addres Table Filtering (IAF),  Stack Pivot, Stack Exec, Load Library, Shellcode, Application Lockdown, Process Protection, Ma-in-theBrowser Detection.

Bardzo ciekawym i modnym zabezpieczeniem jest Ransomware Protection, które potrafi zatrzymać ataki wykorzystujące metodę szyfrowania dokumentów z możliwością odszyfrowania po uiszczeniu odpowiedniej płatności.

Privacy Protection – chroni nasz komputer przed oprogramowaniem, które śledzi i przesyła dane wpisywane za pomocą klawiatury oraz zabezpiecza kamerki w laptopach.

Nowy poziom zabezpieczeń – współpraca


Poprzez automatyzację, wykrywanie zagrożeń, badania i odpowiedzi, Zsynchronizowane Bezpieczeństwo rewolucjonizuje wykrywanie zagrożeń. Czasy reakcji na incydent zmniejszają się wykładniczo. Zsynchronizowane Bezpieczeństwo w ramach połączonych sił mechanizmów Endpoint oraz UTM przynosi nową jakość w analizie i współpracy całej rozszerzonej struktury ekosystemu IT w organizacji. Wykorzystując komunikację nazwaną przez SOPHOS – Heartbeat Sophos Endpoint Protection. Sieć firmowa może działać jako jeden zintegrowany system, umożliwiając organizacjom zapobieganie, wykrywanie, prowadzenie dochodzeń i działań naprawczych reagując na zagrożenia w czasie zbliżonym do rzeczywistego, bez angażowania dodatkowych pracowników. Na przykład, gdy firewall Sophos Next-Gen wykrywa zaawansowane zagrożenie lub próbę wycieku poufnych danych, to może automatycznie korzystać z Sophos bezpieczeństwa Heartbeat, podjąć szereg działań w obu sieciach i klientach końcowych w celu zmniejszenia ryzyka i zatrzymania danych. Podobnie, jeśli jest komputer chroniony za pomocą Endpoint odkryje zagrożenia w postaci potencjalnego wycieku danych, synchronizacja bezpieczeństwa umożliwia prewencyjne, zautomatyzowane analizy danych tego punktu końcowego w ramach reguł stanowionych dla sieci klienckiej. Tego typu odkrycie i uzyskanie odpowiedzi w klasycznych procedurach może trwać tygodnie, a nawet miesiące, w przypadku wdrożenia zintegrowanego bezpieczeństwa trwa to kilka sekund.


Coraz większa płaszczyzna ryzyka i coraz bardziej skomplikowana złożoność i ilość ataków, w połączeniu z małymi zespołami odpowiedzialnymi za bezpieczeństwo IT w firmach, tworzy bardzo trudne pole walki dla współczesnych administratorów bezpieczeństwa.
Wiele nowych wyzwań takich jak ochrona urządzeń mobilnych, szyfrowanie, ochrona przed wyciekiem danych stanowią dodatkowe problemy obok starych, wciąż ewoluujących wyzwań, które próbują rozwiązać. SOPHOS w swojej ofercie proponuje nowe rozwiązania, które są proste, ale skuteczne, zautomatyzowane i koordynowane, w skrócie synchronizowane za pomocą innowacyjnych technologii, takich jak Sophos Bezpieczeństwo Heartbeat. Dobrą wiadomością jest to, że wszystkie współczesne bolączki w ramach kompletnej polityki bezpieczeństwa można rozwiązać praktycznie z jednej konsoli, czyli SOPHOS Central.