Administratorzy IT codziennie zmagają się z problemami dotyczącymi bezpieczeństwa. Informacje spływające do nich z systemów IT są skomplikowane i mało przejrzyste, co powoduje, że często nie zauważają poszlak, które wskazują na trwający atak lub próbę jego podjęcia. Na efektywność ich pracy negatywnie wpływa także konieczność podejmowania trudnych, czasochłonnych śledztw, dotyczących zaistniałych incydentów, które często nie przynoszą żadnych rezultatów.

Jednym z największych wyzwań, na które trafiają zarządzający infrastrukturą IT, jest skorelowanie pozornie odizolowanych wydarzeń. Kiedy firewall wykrywa podejrzany ruch w urządzeniu końcowym, zwykle podaje jego adres IP. Administrator musi połączyć ten adres z konkretnym użytkownikiem i komputerem, co może wiązać się np. z długotrwałym przeglądaniem archiwalnych zapisów dziennika DHCP lub dynamicznego DNS-u. Czasem udaje się wykryć wciąż aktywny proces, dzięki wykorzystaniu komend netstat (listy wykorzystywanych portów sieciowych) i lsof (listy otwartych plików), co ułatwia określenie poziomu zagrożenia. Ale jeśli proces się zakończył lub został zablokowany przez inny mechanizm ochronny, identyfikacja rodzaju ewentualnego ataku bardzo się komplikuje.

Dlatego Sophos stworzył rozwiązanie, które zwiększa bezpieczeństwo infrastruktury IT dzięki zsynchronizowanej wymianie szczegółowych informacji między osprzętem sieciowym i urządzeniami końcowymi, takimi jak komputery, tablety czy smartfony. Płynące z tego korzyści można podzielić na dwie grupy. Po pierwsze, dzięki automatyzacji i koordynacji sposobu reagowania na wykryte zagrożenia następuje poprawa ogólnej ochrony całego środowiska. Po drugie, zwiększa się efektywność prowadzonych przez administratorów śledztw, gdyż ułatwia wykrycie, co, gdzie, kiedy się stało i jakie było źrodło problemu.

Promocja Sophos All-in-One Security

Dla małych i średnich firm (maks. 100 użytkowników sieci) Sophos ogłosił promocję All-in-One Security, w ramach której za 50 proc. pierwotnej ceny oferuje następujące rozwiązania ochronne zawierające mechanizm Sophos Security Heartbeat:

– XG Appliance + EnterpriseGuard – firewall wysokiej wydajności,

– Central Endpoint Advanced – zabezpieczenie urządzeń końcowych,

– Central Endpoint Intercept X – ochrona przed exploitami, ransomware’em i analiza przyczyn występowania problemów,

– Central Device Encryption – centralne administrowanie modułem szyfrowania twardych dysków Windows BitLocker,

– Central Email Standard – filtr spamu, phishingu i złośliwego kodu,

– Central Server Protection – zaawansowana ochrona wirtualnych i fizycznych serwerów, bez negatywnego wpływu na ich wydajność.

 

Bezpieczne bicie serca

Sophos Security Heartbeat to kanał bezpiecznej komunikacji między urządzeniami końcowymi i systemami sieciowymi. Gdy wyposażony w ten mechanizm firewall wykryje podejrzany ruch, powiadamia urządzenie końcowe. Zainstalowany w nim agent natychmiast reaguje, identyfikuje podejrzany proces i kontroluje go, a w wielu przypadkach automatycznie blokuje jego wykonywanie. Informacje o zidentyfikowanym procesie i podjętych działaniach wraz z nazwą komputera oraz zalogowanego użytkownika są przekazywane do firewalla oraz do działu IT.

Z kolei oprogramowanie klienckie w urządzeniach końcowych bez przerwy wysyła informacje o zachodzących zdarzeniach firewallowi. Gdy wykryty zostanie problem, np. próba uruchomienia podejrzanego kodu, firewall stosuje odpowiednie reguły polityki bezpieczeństwa, aby odizolować zaatakowane urządzenie lub ograniczyć jego wpływ na pracę sieci. Taka komunikacja wewnątrz sieci zapewnia efektywność pracy administratorów, szczególnie gdy konieczne jest przeprowadzenie skrupulatnego dochodzenia. Analizy zajmujące do tej pory godziny a nawet dni, zostały w pełni zautomatyzowane, a dzięki temu ich trwanie skróciło się do sekund.

Autoryzowanymi dystrybutorami rozwiązań Sophos w Polsce są AB i Konsorcjum FEN.

Dodatkowe informacje: Sebastian Zamora,

Channel Account Executive, Sophos,

sebastian.zamora@sophos.com

Artykuł powstał we współpracy z firmą Sophos.