mises a jour de contenu
Ricerche sulle CyberMinacce

Aggiornamenti dei contenuti e architettura dei prodotti: Sophos Endpoint

Sophos X-Ops analizza gli aggiornamenti dei contenuti di Intercept X e il modo in cui li convalidiamo e li rilasciamo

Dopo il nostro recente articolo sui driver del kernel in Sophos Intercept X, in cui abbiamo discusso di come vengono testati e di cosa fanno, forniamo ulteriore trasparenza sul funzionamento interno di Intercept X, questa volta con uno sguardo agli aggiornamenti dei contenuti (modifiche alla configurazione che comportano cambiamenti ai percorsi di esecuzione del codice) o al codice stesso.

Intercept X utilizza una combinazione di ricerche nel Cloud in tempo reale e aggiornamenti dei contenuti sul dispositivo. Poiché il panorama delle minacce è in continua evoluzione e mutamento, è fondamentale che gli aggiornamenti dei contenuti sul dispositivo vengano forniti frequentemente (alcuni dati sul dispositivo cambiano meno frequentemente, ma possono richiedere aggiornamenti con breve preavviso). Tuttavia, questo comporta dei rischi: se gli update dei contenuti sono corrotti o non validi, possono verificarsi delle interruzioni.

Sophos utilizza un meccanismo comune per distribuire gli aggiornamenti dei contenuti sul dispositivo, che vengono caricati nei processi dello spazio utente di Sophos a basso livello di privilegio (anziché essere caricati o interpretati dai driver del kernel di Sophos) dalla Content Distribution Network (CDN) di Sophos. Gli update dei contenuti costituiscono uno dei tre componenti principali di Intercept X, insieme al software della CDN, alle policy e alla configurazione di Sophos Central.

In questo articolo esploreremo i vari tipi di upgrade dei contenuti che utilizziamo, come li verifichiamo e li convalidiamo e come l’ecosistema è architettato per evitare problemi causati da contenuti corrotti o difettosi. (Come abbiamo notato nel nostro precedente articolo, Intercept X (e tutti i suoi componenti) fa anche parte di un programma di bug bounty esterno dal 14 dicembre 2017).

Vale la pena notare che i dettagli contenuti in questo articolo sono corretti al momento della stesura del presente documento (agosto 2024), ma potrebbero cambiare in futuro, dato che continuiamo ad aggiornare e sviluppare soluzioni.

Continua a leggere.