Welkom by die derde artikel in die reeks oor die nuwe wolkgebaseerde persoonlike rekenaarbeskermingsbestuurkonsole - Check Point SandBlast Agent Management Platform. Laat ek jou daaraan herinner dat in ons het kennis gemaak met die Infinity Portal en 'n wolk-gebaseerde agentbestuurdiens, Endpoint Management Service, geskep. In Ons het die webbestuurkonsole-koppelvlak bestudeer en 'n agent met 'n standaardbeleid op die gebruikersmasjien geïnstalleer. Vandag sal ons kyk na die inhoud van die standaard Bedreigingsvoorkoming-sekuriteitsbeleid en die doeltreffendheid daarvan toets om gewilde aanvalle teë te werk.
Standaard Bedreigingsvoorkomingsbeleid: Beskrywing
Die figuur hierbo toon 'n standaard Bedreigingsvoorkoming-beleidsreël, wat by verstek op die hele organisasie (alle geïnstalleerde agente) van toepassing is en drie logiese groepe beskermingskomponente insluit: Web- en lêerbeskerming, Gedragsbeskerming en Analise en Remediëring. Kom ons kyk noukeuriger na elkeen van die groepe.
Web- en lêerbeskerming
URL-filtrering
URL-filtrering laat jou toe om gebruikerstoegang tot webbronne te beheer deur voorafbepaalde 5 kategorieë webwerwe te gebruik. Elk van die 5 kategorieë bevat verskeie meer spesifieke subkategorieë, wat jou in staat stel om byvoorbeeld toegang tot die Spele-subkategorie te blokkeer en toegang tot die Kitsboodskap-subkategorie toe te laat, wat in dieselfde kategorie Produktiwiteitsverlies ingesluit is. URL's wat met spesifieke subkategorieë geassosieer word, word deur Check Point bepaal. Jy kan die kategorie waartoe 'n spesifieke URL behoort nagaan of 'n kategorie-oorskrywing op 'n spesiale hulpbron versoek .
Die aksie kan ingestel word op Voorkom, Bespeur of Af. Ook, wanneer die Bespeur-aksie gekies word, word 'n instelling outomaties bygevoeg wat gebruikers toelaat om die URL-filterwaarskuwing oor te slaan en na die bron van belang te gaan. As Voorkom gebruik word, kan hierdie instelling verwyder word en die gebruiker sal nie toegang tot die verbode webwerf kan kry nie. Nog 'n gerieflike manier om verbode hulpbronne te beheer, is om 'n Bloklys op te stel, waarin jy domeine, IP-adresse kan spesifiseer, of 'n .csv-lêer kan oplaai met 'n lys van domeine om te blokkeer.
In die standaardbeleid vir URL-filtrering is die aksie ingestel op Bespeur en een kategorie word gekies - Sekuriteit, waarvoor gebeurtenisse opgespoor sal word. Hierdie kategorie sluit verskeie anonimiseerders, werwe met 'n kritieke/hoë/medium risikovlak, uitvissingswerwe, strooipos en nog baie meer in. Gebruikers sal egter steeds toegang tot die hulpbron kan kry danksy die "Laat gebruiker toe om die URL-filterwaarskuwing af te wys en toegang tot die webwerf te kry"-instelling.
Laai (web) Beskerming af
Emulasie en onttrekking laat jou toe om afgelaaide lêers in die Check Point-wolksandbak na te boots en dokumente dadelik skoon te maak, potensieel kwaadwillige inhoud te verwyder of die dokument na PDF om te skakel. Daar is drie bedryfsmodusse:
- Voorkom - laat jou toe om 'n afskrif van die skoongemaakte dokument te kry voor die finale emulasie-uitspraak, of wag vir die emulasie om te voltooi en die oorspronklike lêer onmiddellik af te laai;
- spoor - voer emulasie op die agtergrond uit, sonder om die gebruiker te verhoed om die oorspronklike lêer te ontvang, ongeag die uitspraak;
- Off - enige lêers word toegelaat om afgelaai te word sonder om nabootsing en skoonmaak van potensieel kwaadwillige komponente te ondergaan.
Dit is ook moontlik om 'n aksie te kies vir lêers wat nie deur Check Point-emulasie- en skoonmaaknutsgoed ondersteun word nie - jy kan die aflaai van alle nie-ondersteunde lêers toelaat of weier.
Die standaardbeleid vir aflaaibeskerming is ingestel op Voorkom, wat jou toelaat om 'n kopie van die oorspronklike dokument te bekom wat van potensieel kwaadwillige inhoud skoongemaak is, asook die aflaai van lêers wat nie deur emulasie- en skoonmaaknutsgoed ondersteun word nie.
Geloofsbeskerming
Die Credential Protection-komponent beskerm gebruikersgeloofsbriewe en sluit 2 komponente in: Zero Phishing en Wagwoordbeskerming. Geen uitvissing nie beskerm gebruikers teen toegang tot uitvissinghulpbronne, en Wagwoordbeskerming stel die gebruiker in kennis van die ontoelaatbaarheid van die gebruik van korporatiewe geloofsbriewe buite die beskermde domein. Zero Phishing kan gestel word op Voorkom, Bespeur of Af. Wanneer die Voorkom-aksie gestel is, is dit moontlik om gebruikers toe te laat om die waarskuwing oor 'n potensiële uitvissinghulpbron te ignoreer en toegang tot die hulpbron te verkry, of om hierdie opsie te deaktiveer en toegang vir ewig te blokkeer. Met 'n Bespeur-aksie het gebruikers altyd die opsie om die waarskuwing te ignoreer en toegang tot die hulpbron te kry. Wagwoordbeskerming laat jou toe om beskermde domeine te kies waarvoor wagwoorde nagegaan sal word vir voldoening, en een van drie aksies: Bespeur en waarsku (stel die gebruiker in kennis), Bespeur of Af.
Die standaardbeleid vir Credential Protection is om te verhoed dat enige uitvissing-hulpbronne gebruikers verhoed om toegang tot 'n potensieel kwaadwillige werf te verkry. Beskerming teen die gebruik van korporatiewe wagwoorde is ook geaktiveer, maar sonder die gespesifiseerde domeine sal hierdie kenmerk nie werk nie.
Beskerming van lêers
Lêersbeskerming is verantwoordelik vir die beskerming van lêers wat op die gebruiker se masjien gestoor is en sluit twee komponente in: Anti-Malware en Files Threat Emulation. Anti-Malware is 'n instrument wat gereeld alle gebruiker- en stelsellêers skandeer deur gebruik te maak van handtekeninganalise. In die instellings van hierdie komponent kan jy die instellings vir gereelde skandering of ewekansige skanderingtye, die handtekeningopdateringstydperk en die vermoë vir gebruikers om geskeduleerde skandering te kanselleer opstel. Lêers bedreigingsemulasie laat jou toe om lêers na te boots wat op die gebruiker se masjien in die Check Point-wolksandbak gestoor is, maar hierdie sekuriteitskenmerk werk net in Bespeur-modus.
Die standaardbeleid vir lêerbeskerming sluit beskerming met Anti-Walware en opsporing van kwaadwillige lêers met Files Threat Emulation in. Gereelde skandering word elke maand uitgevoer, en handtekeninge op die gebruikersmasjien word elke 4 uur opgedateer. Terselfdertyd word gebruikers ingestel om 'n geskeduleerde skandering te kanselleer, maar nie later nie as 30 dae vanaf die datum van die laaste suksesvolle skandering.
Gedragsbeskerming
Anti-Bot, Behavioral Guard & Anti-Ransomware, Anti-Exploit
Die Behavioral Protection-groep van beskermingskomponente sluit drie komponente in: Anti-Bot, Behavioral Guard & Anti-Ransomware en Anti-Exploit. Anti-bot laat jou toe om C&C-verbindings te monitor en te blokkeer deur die voortdurend bygewerkte Check Point ThreatCloud-databasis te gebruik. Behavioral Guard en Anti-Ransomware monitor voortdurend aktiwiteit (lêers, prosesse, netwerkinteraksies) op die gebruikermasjien en laat jou toe om losprysware-aanvalle in die aanvanklike stadiums te voorkom. Boonop laat hierdie beskermingselement jou toe om lêers te herstel wat reeds deur die wanware geïnkripteer is. Lêers word na hul oorspronklike gidse herstel, of jy kan 'n spesifieke pad spesifiseer waar alle herstelde lêers gestoor sal word. Anti-uitbuiting laat jou toe om nul-dag aanvalle op te spoor. Alle gedragsbeskermingskomponente ondersteun drie bedryfsmodusse: Voorkom, Bespeur en Af.
Die standaardbeleid vir Gedragsbeskerming bied Prevent vir die Anti-Bot- en Behavioral Guard & Anti-Ransomware-komponente, met die herstel van geënkripteerde lêers in hul oorspronklike gidse. Die Anti-Exploit-komponent is gedeaktiveer en word nie gebruik nie.
Analise & Remediëring
Outomatiese aanvalanalise (forensiese), remediëring en reaksie
Twee sekuriteitskomponente is beskikbaar vir ontleding en ondersoek van sekuriteitsinsidente: Outomatiese aanvalanalise (Forensics) en Remediëring en reaksie. Outomatiese aanvalanalise (forensiese) laat jou toe om verslae te genereer oor die resultate van afweer aanvalle met 'n gedetailleerde beskrywing - tot by die ontleding van die proses om die malware op die gebruiker se masjien uit te voer. Dit is ook moontlik om die Threat Hunting-funksie te gebruik, wat dit moontlik maak om proaktief te soek na anomalieë en potensieel kwaadwillige gedrag deur vooraf gedefinieerde of geskepte filters te gebruik. Remediëring & Reaksie laat jou toe om instellings vir herstel en kwarantyn van lêers na 'n aanval op te stel: gebruikersinteraksie met kwarantynlêers word gereguleer, en dit is ook moontlik om lêers in kwarantyn te stoor in 'n gids wat deur die administrateur gespesifiseer word.
Die standaard Ontleding & Remediëring-beleid sluit beskerming in, wat outomatiese aksies vir herstel insluit (beëindig prosesse, herstel van lêers, ens.), en die opsie om lêers na kwarantyn te stuur is aktief, en gebruikers kan slegs lêers uit kwarantyn verwyder.
Standaard Bedreiging Voorkoming Beleid: Toetsing
Check Point CheckMe Eindpunt
Die vinnigste en maklikste manier om die sekuriteit van 'n gebruiker se masjien teen die gewildste soorte aanvalle te kontroleer, is om 'n toets uit te voer deur die hulpbron te gebruik , wat 'n aantal tipiese aanvalle van verskillende kategorieë uitvoer en u toelaat om 'n verslag te kry oor die resultate van die toets. In hierdie geval is die Eindpunt-toetsopsie gebruik, waarin 'n uitvoerbare lêer afgelaai en op die rekenaar geloods word, en dan begin die verifikasieproses.
In die proses om die sekuriteit van 'n werkende rekenaar na te gaan, gee SandBlast Agent seine oor geïdentifiseerde en weerspieël aanvalle op die gebruiker se rekenaar, byvoorbeeld: die Anti-Bot-lem rapporteer die opsporing van 'n infeksie, die Anti-Malware-lem het die bespeur en uitgevee kwaadwillige lêer CP_AM.exe, en die Threat Emulation-lem het geïnstalleer dat die CP_ZD.exe-lêer kwaadwillig is.
Gebaseer op die resultate van toetse met behulp van CheckMe Endpoint, het ons die volgende resultaat: uit 6 aanvalkategorieë kon die standaard Bedreigingsvoorkomingsbeleid nie net een kategorie hanteer nie - blaaieruitbuiting. Dit is omdat die standaard Bedreigingsvoorkomingsbeleid nie die Anti-Exploit-lem insluit nie. Dit is opmerklik dat sonder dat SandBlast Agent geïnstalleer is, die gebruiker se rekenaar die skandering slegs onder die Ransomware-kategorie geslaag het.
KnowBe4 RanSim
Om die werking van die Anti-Ransomware-lem te toets, kan jy 'n gratis oplossing gebruik , wat 'n reeks toetse op die gebruiker se masjien uitvoer: 18 ransomware-infeksiescenario's en 1 kriptominer-infeksiescenario. Dit is opmerklik dat die teenwoordigheid van baie lemme in die standaardbeleid (Threat Emulation, Anti-Malware, Behavioral Guard) met die Voorkom-aksie nie toelaat dat hierdie toets korrek loop nie. Selfs met 'n verlaagde sekuriteitsvlak (Bedreigingsemulasie in Af-modus), toon die Anti-Ransomware-lemtoets hoë resultate: 18 uit 19 toetse het suksesvol geslaag (1 kon nie begin nie).
Kwaadwillige lêers en dokumente
Dit is aanduidend om die werking van verskillende lemme van die standaard Bedreigingsvoorkomingsbeleid na te gaan deur gebruik te maak van kwaadwillige lêers van gewilde formate wat na die gebruiker se masjien afgelaai is. Hierdie toets het 66 lêers in PDF-, DOC-, DOCX-, EXE-, XLS-, XLSX-, CAB-, RTF-formate behels. Die toetsresultate het getoon dat SandBlast Agent in staat was om 64 kwaadwillige lêers uit 66 te blokkeer. Besmette lêers is uitgevee nadat dit afgelaai is, of van kwaadwillige inhoud skoongemaak met behulp van Threat Extraction en deur die gebruiker ontvang.
Aanbevelings vir die verbetering van die Bedreigingsvoorkomingsbeleid
1. URL-filtrering
Die eerste ding wat in die standaardbeleid reggestel moet word om die vlak van sekuriteit van die kliëntmasjien te verhoog, is om die URL-filtreerlem na Voorkom oor te skakel en die toepaslike kategorieë vir blokkering te spesifiseer. In ons geval is alle kategorieë gekies behalwe Algemene gebruik, aangesien dit die meeste van die hulpbronne insluit waartoe dit nodig is om toegang tot gebruikers in die werkplek te beperk. Vir sulke werwe is dit ook raadsaam om die vermoë te verwyder vir gebruikers om die waarskuwingsvenster oor te slaan deur die parameter "Laat gebruiker toe om die URL-filterwaarskuwing af te wys en toegang tot die webwerf te kry" te ontmerk.
2.Download beskerming
Die tweede opsie wat die moeite werd is om aandag aan te gee, is die vermoë vir gebruikers om lêers af te laai wat nie deur die Check Point-emulasie ondersteun word nie. Aangesien ons in hierdie afdeling kyk na verbeterings aan die standaard Bedreigingsvoorkomingbeleid vanuit 'n sekuriteitsperspektief, sal die beste opsie wees om die aflaai van nie-ondersteunde lêers te blokkeer.
3. Beskerming van lêers
U moet ook aandag gee aan die instellings vir die beskerming van lêers - veral die instellings vir periodieke skandering en die vermoë vir die gebruiker om gedwonge skandering uit te stel. In hierdie geval moet die gebruiker se tydraamwerk in ag geneem word, en 'n goeie opsie uit 'n sekuriteits- en prestasieoogpunt is om 'n gedwonge skandering op te stel om elke dag te loop, met die tyd ewekansig gekies (van 00:00 tot 8: 00), en die gebruiker kan die skandering vir 'n maksimum van een week uitstel.
4. Anti-uitbuiting
'n Beduidende nadeel van die standaard Bedreigingsvoorkomingsbeleid is dat die Anti-Exploit-lem gedeaktiveer is. Dit word aanbeveel om hierdie lem te aktiveer met die Voorkom-aksie om die werkstasie te beskerm teen aanvalle met misbruik. Met hierdie oplossing word die CheckMe-hertoets suksesvol voltooi sonder om kwesbaarhede op die gebruiker se produksiemasjien op te spoor.
Gevolgtrekking
Kom ons vat op: in hierdie artikel het ons kennis gemaak met die komponente van die standaard Bedreigingsvoorkomingsbeleid, hierdie beleid getoets met verskillende metodes en gereedskap, en ook aanbevelings beskryf vir die verbetering van die instellings van die standaardbeleid om die vlak van sekuriteit van die gebruikermasjien te verhoog . In die volgende artikel in die reeks gaan ons voort om die databeskermingsbeleid te bestudeer en na die globale beleidinstellings te kyk.
. Om nie die volgende publikasies oor die onderwerp SandBlast Agent Management Platform mis te loop nie, volg die opdaterings op ons sosiale netwerke (, , , , ).
Bron: will.com