Koordiniertes Vorgehen gegen Cyber-Attacken
19. November 2015Ab sofort gehen Firewalls und Virenschutz zusammen auf die Jagd. Die aktuellen Lösungen von Sophos im Bereich der Firewall-Modellreihe „Sophos XG Series“ und die Sophos Endpoint-Virenschutz-Produkte kommunizieren nun im Netzwerk miteinander. Dies wird über den sogenannten „Security Heartbeat“ realisiert, dabei verwenden die Endpoint-Virenscanner auf Port 8347 (UDP) in regelmäßigen Abständen verschlüsselte Datenpakete, die von den XG-Firewall entsprechend ausgewertet werden können.
Die Intervalle dieser Heartbeat-Pakete wird dynamisch angepasst, beispielsweise könnte es sein, dass im normalen Betrieb die einzelnen Virenscanner ihre Heartbeat-Pakete alle 10 Minuten an die Firewall senden, falls es allerdings zu Problemen kommt (Vireninfektion auf dem System) kann die Zeitspanne zwischen den Paketen auch deutlich verringert werden (etwa alle 10 Sekunden), um eine permanente Überwachung der Vorgänge sicherzustellen.
Funktionsweise von Heartbeat:
- Wenn ein neues, von Sophos geschütztes Endgerät dem Netzwerk zugefügt wird, verbindet sich sein Security Heartbeat automatisch mit der lokalen Sophos XG Firewall und kommuniziert den Sicherheitsstatus dieses Geräts.
- Sobald die Firewall verdächtigen Datenverkehr registriert oder ein Malwarebefall auf dem Endpoint festgestellt wird, übermittelt der Security Heartbeat diese Information in Echtzeit über eine gesicherte Verbindung.
- In den Report fließen alle wichtigen Details wie Computername, Username und Prozessinformationen in Zusammenhang mit der Bedrohung ein.
- Die Firewall ist in der Lage, das befallene Endgerät automatisch von jeglichen gerouteten oder Remote-Netzwerken zu isolieren, sowie zusätzliche Maßnahmen auf dem Endgerät einzuleiten, um das Risiko zu minimieren und Datenverlust vorzubeugen.
- Nachdem die Gefahr gebannt ist, kommuniziert das Endgerät via Security Heartbeat seinen aktualisierten, positiven Sicherheitsstatus an das Netzwerk, das in Folge den „normalen“ Service für diesen Endpoint wieder aktiviert
Auf der Benutzeroberfläche der Firewall werden die einzelnen Endpoints dargestellt. Hier setzt Sophos auf das klassische „Ampelsystem“, wobei Clients, die mit „grün“ markiert werden, einwandfrei funktionieren, während „gelb“ bereits vor bestimmten Bedrohungen warnt. Bei „rot“ dagegen wurden bereits gefährliche Eingriffe in das System festgestellt. Die Firewall agiert bei Bedrohungen aktiv, dazu muss im Vorfeld vom Systembetreuer die Konfiguration entsprechend angepasst werden.
Beispielsweise ist es möglich, bei erkannten Bedrohungen das betroffene System vom restlichen Netzwerk automatisch zu isolieren, oder die berechtigungsstufe der angemeldeten Benutzer zu veringern. So „erkaufen“ sich die Administratoren laut Sascha Pfeiffer ( Principal Security Engineer bei Sophos) Zeit, und können nach der Isolation des Clients das System in Ruhe analysieren, bereinigen, gegeben falls ein Backup einspielen oder das Betriebssystem neu aufsetzen.