مرحبًا بك في المقالة الثالثة في السلسلة حول وحدة التحكم الجديدة لإدارة حماية الكمبيوتر الشخصي القائمة على السحابة - منصة إدارة وكيل Check Point SandBlast. دعني أذكرك بذلك في تعرفنا على Infinity Portal وأنشأنا خدمة إدارة الوكلاء المستندة إلى السحابة، وهي خدمة إدارة نقاط النهاية. في لقد درسنا واجهة وحدة تحكم إدارة الويب وقمنا بتثبيت وكيل بسياسة قياسية على جهاز المستخدم. سنلقي نظرة اليوم على محتويات السياسة الأمنية القياسية لمنع التهديدات ونختبر فعاليتها في مواجهة الهجمات الشائعة.
سياسة منع التهديدات القياسية: الوصف
يوضح الشكل أعلاه قاعدة سياسة منع التهديدات القياسية، والتي تنطبق افتراضيًا على المؤسسة بأكملها (جميع الوكلاء المثبتين) وتتضمن ثلاث مجموعات منطقية من مكونات الحماية: حماية الويب والملفات، والحماية السلوكية، والتحليل والمعالجة. دعونا نلقي نظرة فاحصة على كل مجموعة.
حماية الويب والملفات
URL تصفية
تسمح لك تصفية عناوين URL بالتحكم في وصول المستخدم إلى موارد الويب، باستخدام 5 فئات محددة مسبقًا من المواقع. تحتوي كل فئة من الفئات الخمس على عدة فئات فرعية أكثر تحديدًا، مما يسمح لك بتكوين، على سبيل المثال، حظر الوصول إلى الفئة الفرعية للألعاب والسماح بالوصول إلى الفئة الفرعية للمراسلة الفورية، والتي تم تضمينها في نفس فئة فقدان الإنتاجية. يتم تحديد عناوين URL المرتبطة بفئات فرعية محددة بواسطة Check Point. يمكنك التحقق من الفئة التي ينتمي إليها عنوان URL محدد أو طلب تجاوز الفئة على مورد خاص .
يمكن ضبط الإجراء على منع أو كشف أو إيقاف. وأيضًا، عند تحديد إجراء الكشف، تتم إضافة إعداد تلقائيًا يسمح للمستخدمين بتخطي تحذير تصفية URL والانتقال إلى المورد محل الاهتمام. إذا تم استخدام خاصية المنع، فيمكن إزالة هذا الإعداد ولن يتمكن المستخدم من الوصول إلى الموقع المحظور. هناك طريقة أخرى ملائمة للتحكم في الموارد المحظورة وهي إعداد قائمة الحظر، حيث يمكنك تحديد النطاقات أو عناوين IP أو تحميل ملف بتنسيق .csv مع قائمة النطاقات المراد حظرها.
في السياسة القياسية لتصفية عناوين URL، يتم تعيين الإجراء على اكتشاف ويتم تحديد فئة واحدة - الأمان، الذي سيتم اكتشاف الأحداث من أجله. تتضمن هذه الفئة العديد من أدوات إخفاء الهوية، والمواقع ذات مستوى المخاطرة الحرجة/العالية/المتوسطة، ومواقع التصيد الاحتيالي، والبريد العشوائي وغير ذلك الكثير. ومع ذلك، سيظل المستخدمون قادرين على الوصول إلى المورد بفضل الإعداد "السماح للمستخدم برفض تنبيه تصفية عناوين URL والوصول إلى موقع الويب".
تحميل (الويب) الحماية
تتيح لك المحاكاة والاستخراج محاكاة الملفات التي تم تنزيلها في صندوق الحماية السحابي Check Point وتنظيف المستندات بسرعة، أو إزالة المحتوى الضار المحتمل، أو تحويل المستند إلى PDF. هناك ثلاثة أوضاع تشغيل:
- منع - يسمح لك بالحصول على نسخة من المستند المنظف قبل صدور حكم المحاكاة النهائي، أو الانتظار حتى تكتمل المحاكاة وتنزيل الملف الأصلي على الفور؛
- كشف — يقوم بالمحاكاة في الخلفية، دون منع المستخدم من استلام الملف الأصلي، بغض النظر عن الحكم؛
- خصم - يُسمح بتنزيل أي ملفات دون الخضوع لمحاكاة وتنظيف المكونات الضارة المحتملة.
من الممكن أيضًا تحديد إجراء للملفات غير المدعومة بواسطة أدوات محاكاة Check Point والتنظيف - يمكنك السماح أو رفض تنزيل جميع الملفات غير المدعومة.
تم تعيين السياسة القياسية لحماية التنزيل على "منع"، مما يسمح لك بالحصول على نسخة من المستند الأصلي الذي تم مسحه من المحتوى الضار المحتمل، بالإضافة إلى السماح بتنزيل الملفات التي لا تدعمها أدوات المحاكاة والتنظيف.
حماية بيانات الاعتماد
يحمي مكون حماية بيانات الاعتماد بيانات اعتماد المستخدم ويتضمن مكونين: عدم التصيد الاحتيالي وحماية كلمة المرور. صفر التصيد يحمي المستخدمين من الوصول إلى موارد التصيد الاحتيالي، و كلمة السر للحماية يخطر المستخدم بعدم جواز استخدام بيانات اعتماد الشركة خارج المجال المحمي. يمكن ضبط Zero Phishing على منع أو اكتشاف أو إيقاف. عند تعيين إجراء المنع، من الممكن السماح للمستخدمين بتجاهل التحذير بشأن مورد التصيد الاحتيالي المحتمل والوصول إلى المورد، أو تعطيل هذا الخيار وحظر الوصول إلى الأبد. باستخدام إجراء الكشف، يكون لدى المستخدمين دائمًا خيار تجاهل التحذير والوصول إلى المورد. تسمح لك الحماية بكلمة المرور بتحديد المجالات المحمية التي سيتم التحقق من امتثال كلمات المرور الخاصة بها، وذلك من خلال أحد الإجراءات الثلاثة: الكشف والتنبيه (إعلام المستخدم)، أو الكشف أو إيقاف التشغيل.
تتمثل السياسة القياسية لحماية بيانات الاعتماد في منع أي موارد للتصيد الاحتيالي من منع المستخدمين من الوصول إلى موقع يحتمل أن يكون ضارًا. يتم أيضًا تمكين الحماية ضد استخدام كلمات مرور الشركة، ولكن بدون النطاقات المحددة، لن تعمل هذه الميزة.
حماية الملفات
حماية الملفات هي المسؤولة عن حماية الملفات المخزنة على جهاز المستخدم وتتضمن مكونين: مكافحة البرامج الضارة ومحاكاة تهديدات الملفات. مكافحة البرامج الضارة هي أداة تقوم بفحص جميع ملفات المستخدم والنظام بانتظام باستخدام تحليل التوقيع. في إعدادات هذا المكون، يمكنك تكوين الإعدادات لأوقات الفحص المنتظم أو الفحص العشوائي، وفترة تحديث التوقيع، وقدرة المستخدمين على إلغاء الفحص المجدول. محاكاة تهديد الملفات يسمح لك بمحاكاة الملفات المخزنة على جهاز المستخدم في صندوق الحماية السحابي Check Point، ومع ذلك، فإن ميزة الأمان هذه تعمل فقط في وضع الكشف.
تتضمن السياسة القياسية لحماية الملفات الحماية باستخدام برنامج مكافحة البرامج الضارة والكشف عن الملفات الضارة باستخدام Files Threat Emulation. يتم إجراء المسح المنتظم كل شهر، ويتم تحديث التوقيعات الموجودة على جهاز المستخدم كل 4 ساعات. وفي الوقت نفسه، تم تكوين المستخدمين ليكونوا قادرين على إلغاء الفحص المجدول، ولكن في موعد لا يتجاوز 30 يومًا من تاريخ آخر فحص ناجح.
الحماية السلوكية
مكافحة الروبوتات، والحرس السلوكي، ومكافحة برامج الفدية، ومكافحة الاستغلال
تشتمل مجموعة مكونات الحماية السلوكية على ثلاثة مكونات: Anti-Bot، وBehavioral Guard، وAnti-Ransomware، وAnti-Exploit. مكافحة البوت يسمح لك بمراقبة وحظر اتصالات القيادة والسيطرة باستخدام قاعدة بيانات Check Point ThreatCloud التي يتم تحديثها باستمرار. الحرس السلوكي ومكافحة الفدية يراقب باستمرار النشاط (الملفات والعمليات وتفاعلات الشبكة) على جهاز المستخدم ويسمح لك بمنع هجمات برامج الفدية في المراحل الأولية. بالإضافة إلى ذلك، يتيح لك عنصر الحماية هذا استعادة الملفات التي تم تشفيرها بالفعل بواسطة البرامج الضارة. تتم استعادة الملفات إلى أدلةها الأصلية، أو يمكنك تحديد مسار معين حيث سيتم تخزين جميع الملفات المستردة. مكافحة الاستغلال يسمح لك باكتشاف هجمات يوم الصفر. تدعم جميع مكونات الحماية السلوكية ثلاثة أوضاع تشغيل: المنع والكشف والإيقاف.
توفر السياسة القياسية للحماية السلوكية برنامج الوقاية لمكونات Anti-Bot وBehavioral Guard وAnti-Ransomware، مع استعادة الملفات المشفرة في أدلةها الأصلية. تم تعطيل مكون مكافحة الاستغلال وعدم استخدامه.
التحليل والمعالجة
التحليل الآلي للهجوم (الطب الشرعي)، والمعالجة والاستجابة
يتوفر مكونان أمنيان للتحليل والتحقيق في الحوادث الأمنية: تحليل الهجوم الآلي (الطب الشرعي) والمعالجة والاستجابة. التحليل الآلي للهجوم (الطب الشرعي) يسمح لك بإنشاء تقارير عن نتائج صد الهجمات مع وصف تفصيلي - وصولاً إلى تحليل عملية تنفيذ البرامج الضارة على جهاز المستخدم. من الممكن أيضًا استخدام ميزة "صيد التهديدات"، التي تتيح إمكانية البحث بشكل استباقي عن الحالات الشاذة والسلوكيات الضارة المحتملة باستخدام عوامل تصفية محددة مسبقًا أو تم إنشاؤها. العلاج والاستجابة يسمح لك بتكوين إعدادات استرداد الملفات وعزلها بعد الهجوم: يتم تنظيم تفاعل المستخدم مع ملفات العزل، ومن الممكن أيضًا تخزين الملفات المعزولة في دليل يحدده المسؤول.
تتضمن سياسة التحليل والمعالجة القياسية الحماية، والتي تتضمن إجراءات تلقائية للاسترداد (إنهاء العمليات، واستعادة الملفات، وما إلى ذلك)، ويكون خيار إرسال الملفات إلى الحجر الصحي نشطًا، ولا يمكن للمستخدمين حذف الملفات إلا من الحجر الصحي.
سياسة منع التهديدات القياسية: الاختبار
نقطة التحقق نقطة النهاية CheckMe
الطريقة الأسرع والأسهل للتحقق من أمان جهاز المستخدم ضد أكثر أنواع الهجمات شيوعًا هي إجراء اختبار باستخدام المورد ، والذي ينفذ عددًا من الهجمات النموذجية من فئات مختلفة ويسمح لك بالحصول على تقرير عن نتائج الاختبار. في هذه الحالة، تم استخدام خيار اختبار نقطة النهاية، حيث يتم تنزيل ملف قابل للتنفيذ وتشغيله على الكمبيوتر، ومن ثم تبدأ عملية التحقق.
في عملية التحقق من أمان جهاز الكمبيوتر العامل، يرسل SandBlast Agent إشارات حول الهجمات المحددة والمنعكسة على كمبيوتر المستخدم، على سبيل المثال: تقوم شفرة Anti-Bot بالإبلاغ عن اكتشاف إصابة، وقد قامت شفرة مكافحة البرامج الضارة باكتشاف وحذف الملف الضار CP_AM.exe، وقد قامت شفرة محاكاة التهديدات بتثبيت أن الملف CP_ZD.exe ضار.
بناءً على نتائج الاختبار باستخدام CheckMe Endpoint، لدينا النتيجة التالية: من بين 6 فئات للهجوم، فشلت سياسة منع التهديدات القياسية في التعامل مع فئة واحدة فقط - استغلال المتصفح. وذلك لأن سياسة منع التهديدات القياسية لا تتضمن شفرة مكافحة الاستغلال. ومن الجدير بالذكر أنه بدون تثبيت SandBlast Agent، فإن جهاز الكمبيوتر الخاص بالمستخدم قد اجتاز الفحص فقط ضمن فئة Ransomware.
KnowBe4 رانسيم
لاختبار عمل برنامج Anti-Ransomware، يمكنك استخدام حل مجاني ، والذي يجري سلسلة من الاختبارات على جهاز المستخدم: 18 سيناريوهات للإصابة ببرامج الفدية وسيناريو واحد للإصابة ببرنامج التشفير. تجدر الإشارة إلى أن وجود العديد من الشفرات في السياسة القياسية (محاكاة التهديدات، ومكافحة البرامج الضارة، وحارس السلوك) مع إجراء المنع لا يسمح بإجراء هذا الاختبار بشكل صحيح. ومع ذلك، حتى مع انخفاض مستوى الأمان (محاكاة التهديد في وضع إيقاف التشغيل)، يُظهر اختبار مكافحة برامج الفدية نتائج عالية: تم اجتياز 1 اختبارًا من أصل 18 بنجاح (فشل اختبار واحد في البدء).
الملفات والمستندات الضارة
من المفيد التحقق من تشغيل الشفرات المختلفة لسياسة منع التهديدات القياسية باستخدام الملفات الضارة ذات التنسيقات الشائعة التي تم تنزيلها على جهاز المستخدم. يتضمن هذا الاختبار 66 ملفًا بتنسيقات PDF وDOC وDOCX وEXE وXLS وXLSX وCAB وRTF. وأظهرت نتائج الاختبار أن SandBlast Agent كان قادرًا على حظر 64 ملفًا ضارًا من أصل 66. وتم حذف الملفات المصابة بعد تنزيلها، أو مسح المحتوى الضار باستخدام Threat Extraction واستلامها من قبل المستخدم.
توصيات لتحسين سياسة منع التهديدات
1. تصفية URL
أول شيء يجب تصحيحه في السياسة القياسية لزيادة مستوى الأمان لجهاز العميل هو تبديل شفرة تصفية عناوين URL إلى منع وتحديد الفئات المناسبة للحظر. في حالتنا، تم اختيار جميع الفئات باستثناء الاستخدام العام، لأنها تتضمن معظم الموارد التي من الضروري تقييد الوصول إليها للمستخدمين في مكان العمل. أيضًا، بالنسبة لمثل هذه المواقع، يُنصح بإزالة قدرة المستخدمين على تخطي نافذة التحذير عن طريق إلغاء تحديد المعلمة "السماح للمستخدم برفض تنبيه تصفية عناوين URL والوصول إلى موقع الويب".
2. تنزيل الحماية
الخيار الثاني الذي يستحق الاهتمام به هو قدرة المستخدمين على تنزيل الملفات التي لا تدعمها محاكاة Check Point. نظرًا لأننا نبحث في هذا القسم عن تحسينات على سياسة منع التهديدات القياسية من منظور أمني، فإن الخيار الأفضل هو حظر تنزيل الملفات غير المدعومة.
3. حماية الملفات
تحتاج أيضًا إلى الانتباه إلى إعدادات حماية الملفات - على وجه الخصوص، إعدادات الفحص الدوري وقدرة المستخدم على تأجيل الفحص القسري. في هذه الحالة، يجب أن يؤخذ الإطار الزمني للمستخدم في الاعتبار، والخيار الجيد من وجهة نظر الأمان والأداء هو تكوين فحص قسري ليتم تشغيله كل يوم، مع تحديد الوقت عشوائيًا (من 00:00 إلى 8: 00)، ويمكن للمستخدم تأخير الفحص لمدة أقصاها أسبوع واحد.
4. مكافحة الاستغلال
من العوائق الكبيرة لسياسة منع التهديدات القياسية أن شفرة مكافحة الاستغلال معطلة. يوصى بتمكين هذا البرنامج النصلي من خلال إجراء المنع لحماية محطة العمل من الهجمات باستخدام عمليات الاستغلال. مع هذا الإصلاح، تكتمل إعادة اختبار CheckMe بنجاح دون الكشف عن الثغرات الأمنية في جهاز الإنتاج الخاص بالمستخدم.
اختتام
دعونا نلخص ما يلي: في هذه المقالة، تعرفنا على مكونات سياسة منع التهديدات القياسية، واختبرنا هذه السياسة باستخدام أساليب وأدوات مختلفة، كما قمنا أيضًا بوصف توصيات لتحسين إعدادات السياسة القياسية لزيادة مستوى أمان جهاز المستخدم . وفي المقالة التالية من السلسلة، سننتقل إلى دراسة سياسة حماية البيانات وإلقاء نظرة على إعدادات السياسة العالمية.
. لكي لا تفوت المنشورات القادمة حول موضوع منصة إدارة وكيل SandBlast، تابع التحديثات على شبكاتنا الاجتماعية (, , , , ).
المصدر: www.habr.com