Yeni bulud əsaslı fərdi kompüter mühafizəsi idarəetmə konsolu haqqında seriyanın üçüncü məqaləsinə xoş gəlmisiniz - Check Point SandBlast Agent İdarəetmə Platforması. Nəzərinizə çatdırım ki, daxil biz Infinity Portal ilə tanış olduq və bulud əsaslı agent idarəetmə xidməti olan Endpoint Management Service yaratdıq. In Biz veb idarəetmə konsolunun interfeysini öyrəndik və istifadəçi maşınında standart siyasətə malik agent quraşdırdıq. Bu gün biz standart Təhlükələrin qarşısının alınması təhlükəsizlik siyasətinin məzmununa baxacağıq və populyar hücumlara qarşı mübarizədə onun effektivliyini yoxlayacağıq.
Standart təhlükənin qarşısının alınması siyasəti: Təsvir
Yuxarıdakı rəqəm standart olaraq bütün təşkilata (bütün quraşdırılmış agentlər) tətbiq edilən və üç məntiqi qoruma komponenti qrupunu özündə birləşdirən standart Təhlükənin qarşısının alınması siyasəti qaydasını göstərir: Veb və Faylların Mühafizəsi, Davranışın Mühafizəsi və Təhlil və Təmir. Gəlin qrupların hər birinə daha yaxından nəzər salaq.
Veb və Faylların Qorunması
URL Filtreleme
URL Filtrləmə, əvvəlcədən təyin edilmiş 5 sayt kateqoriyasından istifadə edərək, istifadəçinin veb resurslarına girişinə nəzarət etməyə imkan verir. 5 kateqoriyanın hər birində bir neçə daha spesifik alt kateqoriyalar var ki, bu, məsələn, Oyunlar alt kateqoriyasına girişi bloklamağa və eyni Məhsuldarlıq İtki kateqoriyasına daxil olan Ani Mesajlaşma altkateqoriyasına girişə icazə verməyə imkan verir. Xüsusi alt kateqoriyalarla əlaqəli URL-lər Check Point tərəfindən müəyyən edilir. Siz konkret URL-nin aid olduğu kateqoriyanı yoxlaya və ya xüsusi resursda kateqoriyanın ləğvini tələb edə bilərsiniz .
Fəaliyyət Qarşısının alınması, Aşkarlanması və ya Söndürülməsinə təyin edilə bilər. Həmçinin, Aşkarla hərəkətini seçərkən istifadəçilərə URL Filtrləmə xəbərdarlığını atmağa və maraq mənbəyinə keçməyə imkan verən parametr avtomatik olaraq əlavə edilir. Prevent istifadə edilərsə, bu parametr silinə bilər və istifadəçi qadağan olunmuş sayta daxil ola bilməyəcək. Qadağan olunmuş resurslara nəzarət etməyin başqa bir əlverişli yolu Bloklama Siyahısını qurmaqdır, burada siz domenləri, IP ünvanları təyin edə və ya bloklanacaq domenlərin siyahısı ilə .csv faylını yükləyə bilərsiniz.
URL Filtrləmə üçün standart siyasətdə fəaliyyət Aşkarla seçilib və bir kateqoriya seçilib - Hadisələr aşkarlanacaq Təhlükəsizlik. Bu kateqoriyaya müxtəlif anonimatorlar, Kritik/Yüksək/Orta risk səviyyəsinə malik saytlar, fişinq saytları, spam və s. daxildir. Bununla belə, istifadəçilər “İstifadəçiyə URL Filtrləmə xəbərdarlığını rədd etməyə və vebsayta daxil olmağa icazə ver” parametri sayəsində yenə də resursa daxil ola biləcəklər.
Yükləmə (veb) Qoruma
Emulation & Extraction sizə Check Point bulud qutusunda endirilmiş faylları təqlid etməyə və sənədləri tez bir zamanda təmizləməyə, potensial zərərli məzmunu silməyə və ya sənədi PDF-ə çevirməyə imkan verir. Üç iş rejimi var:
- Qarşısını almaq — son emulyasiya hökmündən əvvəl təmizlənmiş sənədin surətini almağa və ya emulyasiyanın tamamlanmasını gözləməyə və dərhal orijinal faylı yükləməyə imkan verir;
- Algıla — hökmdən asılı olmayaraq istifadəçinin orijinal faylı almasına mane olmadan, fonda emulyasiya həyata keçirir;
- Off — potensial zərərli komponentləri emulyasiya etmədən və təmizləmədən istənilən faylın yüklənməsinə icazə verilir.
Check Point emulyasiyası və təmizləmə alətləri tərəfindən dəstəklənməyən fayllar üçün əməliyyat seçmək də mümkündür - bütün dəstəklənməyən faylların yüklənməsinə icazə verə və ya rədd edə bilərsiniz.
Yükləmə Mühafizəsi üçün standart siyasət Qarşısına qoyulmuşdur, bu, potensial zərərli məzmundan təmizlənmiş orijinal sənədin surətini əldə etməyə imkan verir, həmçinin emulyasiya və təmizləmə alətləri tərəfindən dəstəklənməyən faylların endirilməsinə imkan verir.
Etibarnamənin qorunması
Credential Protection komponenti istifadəçi etimadnaməsini qoruyur və 2 komponentdən ibarətdir: Sıfır Fişinq və Parol Mühafizəsi. Sıfır Fişinq istifadəçiləri fişinq resurslarına daxil olmaqdan qoruyur və Şifre qorunması qorunan domendən kənarda korporativ etimadnamələrdən istifadənin yolverilməzliyi barədə istifadəçiyə məlumat verir. Sıfır Fişinq qarşısını almaq, aşkar etmək və ya söndürmək üçün təyin edilə bilər. Qarşısının alınması əməliyyatı təyin edildikdə, istifadəçilərə potensial fişinq resursu ilə bağlı xəbərdarlığa məhəl qoymamaq və resursa giriş əldə etmək və ya bu seçimi söndürüb girişi həmişəlik bloklamaq imkanı vermək olar. Aşkarla hərəkəti ilə istifadəçilər həmişə xəbərdarlığa məhəl qoymamaq və resursa daxil olmaq seçiminə malikdirlər. Parolun Mühafizəsi parolların uyğunluğu yoxlanılacaq qorunan domenləri və üç hərəkətdən birini seçməyə imkan verir: Aşkarla və Alert (istifadəçiyə bildiriş), Aşkarla və ya Söndür.
Etibarnamənin qorunması üçün standart siyasət hər hansı fişinq resurslarının istifadəçilərin potensial zərərli sayta daxil olmasının qarşısını almaqdan ibarətdir. Korporativ parolların istifadəsinə qarşı qorunma da aktivləşdirilib, lakin göstərilən domenlər olmadan bu funksiya işləməyəcək.
Faylların qorunması
Faylların Mühafizəsi istifadəçinin maşınında saxlanılan faylların qorunmasına cavabdehdir və iki komponentdən ibarətdir: Zərərli proqram əleyhinə proqram və Fayl Təhlükəsinin Emulyasiyası. Zərərli proqram imza analizindən istifadə edərək bütün istifadəçi və sistem fayllarını müntəzəm olaraq skan edən bir vasitədir. Bu komponentin parametrlərində siz müntəzəm skan və ya təsadüfi skan vaxtları, imza yeniləmə müddəti və istifadəçilərin planlaşdırılan skanı ləğv etmək imkanı üçün parametrləri konfiqurasiya edə bilərsiniz. Fayl Təhlükəsinin Emulyasiyası Check Point bulud qutusunda istifadəçinin maşınında saxlanan faylları təqlid etməyə imkan verir, lakin bu təhlükəsizlik funksiyası yalnız Algılama rejimində işləyir.
Faylların Mühafizəsi üçün standart siyasətə Zərərli proqramdan qorunma və Files Threat Emulation ilə zərərli faylların aşkarlanması daxildir. Daimi skanlama hər ay həyata keçirilir və istifadəçi maşınındakı imzalar hər 4 saatdan bir yenilənir. Eyni zamanda, istifadəçilər planlaşdırılmış skanı ləğv edə biləcək şəkildə konfiqurasiya edilir, lakin sonuncu uğurlu skan tarixindən 30 gündən gec olmayaraq.
Davranış Müdafiəsi
Anti-Bot, Davranış Mühafizəsi və Anti-Ransomware, Anti-Exploit
Qoruma komponentlərinin Davranışdan Mühafizə qrupu üç komponentdən ibarətdir: Anti-Bot, Davranış Mühafizəsi və Anti-Ransomware və Anti-Exploit. Anti-Bot daim yenilənən Check Point ThreatCloud verilənlər bazasından istifadə edərək C&C əlaqələrini izləməyə və bloklamağa imkan verir. Davranış Mühafizəsi və Anti-Ransomware istifadəçi maşınında fəaliyyətə (fayllar, proseslər, şəbəkə qarşılıqlı əlaqələri) daim nəzarət edir və ilkin mərhələdə ransomware hücumlarının qarşısını almağa imkan verir. Bundan əlavə, bu qoruma elementi zərərli proqram tərəfindən artıq şifrələnmiş faylları bərpa etməyə imkan verir. Fayllar orijinal qovluqlarına bərpa olunur və ya siz bütün bərpa edilmiş faylların saxlanacağı xüsusi yolu təyin edə bilərsiniz. Anti-Exploit sıfır gün hücumlarını aşkar etməyə imkan verir. Bütün Davranış Mühafizəsi komponentləri üç iş rejimini dəstəkləyir: Qarşısının alınması, Aşkarlanması və Söndürülməsi.
Davranış Mühafizəsi üçün standart siyasət, orijinal qovluqlarında şifrələnmiş faylların bərpası ilə Anti-Bot və Davranış Mühafizəsi və Anti-Ransomware komponentlərinin qarşısının alınmasını təmin edir. Anti-Exploit komponenti deaktiv edilib və istifadə edilmir.
Təhlil və Təmir
Avtomatlaşdırılmış Hücum Analizi (Məhkəmə Ekspertiza), Təmir və Cavab
Təhlükəsizlik insidentlərinin təhlili və tədqiqi üçün iki təhlükəsizlik komponenti mövcuddur: Avtomatlaşdırılmış Hücum Analizi (Məhkəmə Mütəxəssisləri) və Təmir və Müdaxilə. Avtomatlaşdırılmış Hücum Analizi (Məhkəmə) hücumların dəf edilməsinin nəticələri haqqında ətraflı təsviri olan hesabatlar yaratmağa imkan verir - istifadəçinin maşınında zərərli proqramın icrası prosesinin təhlilinə qədər. Əvvəlcədən təyin edilmiş və ya yaradılmış filtrlərdən istifadə edərək anomaliyaları və potensial zərərli davranışları aktiv şəkildə axtarmağa imkan verən Təhdid Ovçuluğu funksiyasından istifadə etmək də mümkündür. Təmir və Cavab hücumdan sonra faylların bərpası və karantin üçün parametrləri konfiqurasiya etməyə imkan verir: karantin faylları ilə istifadəçinin qarşılıqlı əlaqəsi tənzimlənir, həmçinin karantinə alınmış faylları administrator tərəfindən müəyyən edilmiş kataloqda saxlamaq mümkündür.
Standart Təhlil və Təmir siyasətinə bərpa üçün avtomatik hərəkətləri (prosesləri bitirmək, faylları bərpa etmək və s.) daxil edən qoruma daxildir və faylları karantinə göndərmək seçimi aktivdir və istifadəçilər yalnız karantindən faylları silə bilər.
Standart təhlükənin qarşısının alınması siyasəti: Test
Check Point CheckMe Endpoint
İstifadəçinin maşınının təhlükəsizliyini ən populyar hücum növlərinə qarşı yoxlamağın ən sürətli və asan yolu resursdan istifadə edərək test keçirməkdir. , müxtəlif kateqoriyalı bir sıra tipik hücumları həyata keçirir və testlərin nəticələri haqqında hesabat almağa imkan verir. Bu halda, icra edilə bilən bir faylın yükləndiyi və kompüterə işə salındığı Endpoint test seçimi istifadə edildi və sonra yoxlama prosesi başlayır.
İşləyən kompüterin təhlükəsizliyinin yoxlanılması prosesində SandBlast Agent istifadəçinin kompüterinə müəyyən edilmiş və əks olunmuş hücumlar barədə siqnal verir, məsələn: Anti-Bot bıçağı infeksiyanın aşkarlandığını bildirir, Zərərli proqram əleyhinə proqram bıçağı aşkar edib silib. CP_AM.exe zərərli faylı və Təhlükə Emulyasiyası bıçağı CP_ZD.exe faylının zərərli olduğunu quraşdırdı.
CheckMe Endpoint-dən istifadə edərək sınaq nəticələrinə əsasən, biz belə nəticə əldə etdik: 6 hücum kateqoriyasından standart Təhlükənin qarşısının alınması siyasəti yalnız bir kateqoriyanın öhdəsindən gələ bilmədi - Browser Exploit. Bunun səbəbi, standart Təhlükənin Qarşısının alınması siyasətinə İstismar Əleyhinə Bıçağın daxil olmamasıdır. Qeyd etmək lazımdır ki, SandBlast Agent quraşdırılmadan istifadəçinin kompüteri yalnız Ransomware kateqoriyası altında skandan keçdi.
KnowBe4 RanSim
Anti-Ransomware bıçağının işini yoxlamaq üçün pulsuz bir həlldən istifadə edə bilərsiniz , istifadəçinin maşınında bir sıra testlər həyata keçirir: 18 ransomware infeksiyası ssenarisi və 1 kriptominer infeksiyası ssenarisi. Qeyd etmək lazımdır ki, Standart siyasətdə (Təhlükə Emulyasiyası, Zərərli proqramlara qarşı, Davranış Mühafizəsi) Qarşısının alınması hərəkəti ilə bir çox bıçağın olması bu testin düzgün işləməsinə imkan vermir. Bununla belə, hətta aşağı təhlükəsizlik səviyyəsi ilə (Off rejimində təhlükə emulyasiyası) Anti-Ransomware blade testi yüksək nəticələr göstərir: 18 testdən 19-i uğurla keçdi (1 başlaya bilmədi).
Zərərli fayllar və sənədlər
İstifadəçinin maşınına yüklənmiş məşhur formatların zərərli fayllarından istifadə edərək standart Təhlükənin qarşısının alınması siyasətinin müxtəlif bıçaqlarının işini yoxlamaq üçün göstəricidir. Bu testdə PDF, DOC, DOCX, EXE, XLS, XLSX, CAB, RTF formatlarında 66 fayl iştirak etmişdir. Test nəticələri göstərdi ki, SandBlast Agent 64 zərərli fayldan 66-nü bloklaya bilib. Yoluxmuş fayllar endirildikdən sonra silinib və ya Threat Extraction vasitəsilə zərərli məzmundan təmizlənib və istifadəçi tərəfindən qəbul edilib.
Təhlükənin qarşısının alınması siyasətinin təkmilləşdirilməsi üçün tövsiyələr
1. URL Filtrləmə
Müştəri maşınının təhlükəsizlik səviyyəsini artırmaq üçün standart siyasətdə düzəldilməli olan ilk şey URL Filtrləmə bıçağının qarşısını almaq və bloklamaq üçün müvafiq kateqoriyaları təyin etməkdir. Bizim vəziyyətimizdə Ümumi İstifadədən başqa bütün kateqoriyalar seçilmişdir, çünki onlar iş yerində istifadəçilərin girişini məhdudlaşdırmaq lazım olan resursların əksəriyyətini ehtiva edir. Həmçinin, bu cür saytlar üçün “İstifadəçiyə URL Filtrləmə xəbərdarlığını rədd etməyə və vebsayta daxil olmağa icazə verin” parametrinin işarəsini silməklə istifadəçilərin xəbərdarlıq pəncərəsini keçmək imkanını silmək məsləhətdir.
2.Yükləmə Mühafizəsi
Diqqət yetirməyə dəyər ikinci seçim, istifadəçilərin Check Point emulyasiyası tərəfindən dəstəklənməyən faylları yükləmək imkanıdır. Bu bölmədə təhlükəsizlik baxımından standart Təhlükənin qarşısının alınması siyasətində təkmilləşdirmələrə baxdığımız üçün ən yaxşı seçim dəstəklənməyən faylların endirilməsini bloklamaq olardı.
3. Faylların qorunması
Faylları qorumaq üçün parametrlərə - xüsusən də dövri tarama parametrlərinə və istifadəçinin məcburi taramanı təxirə salma qabiliyyətinə də diqqət yetirməlisiniz. Bu halda, istifadəçinin vaxt çərçivəsi nəzərə alınmalıdır və təhlükəsizlik və performans baxımından yaxşı seçim, təsadüfi seçilmiş vaxtla (saat 00:00-dan 8-ə qədər) hər gün işləmək üçün məcburi taramanın konfiqurasiyasıdır. 00) və istifadəçi taramanı maksimum bir həftə gecikdirə bilər.
4. Anti-Exploit
Standart Təhlükənin qarşısının alınması siyasətinin əhəmiyyətli çatışmazlığı, İstismarla Mübarizə Bıçağının qeyri-aktiv olmasıdır. İş stansiyasını istismarlardan istifadə edərək hücumlardan qorumaq üçün bu bıçağı Qarşısının alınması hərəkəti ilə aktivləşdirmək tövsiyə olunur. Bu düzəlişlə, CheckMe təkrar testi istifadəçinin istehsal maşınında boşluqları aşkar etmədən uğurla başa çatır.
Nəticə
Xülasə edək: bu məqalədə biz standart Təhlükənin qarşısının alınması siyasətinin komponentləri ilə tanış olduq, müxtəlif üsul və vasitələrdən istifadə edərək bu siyasəti sınaqdan keçirdik, həmçinin istifadəçi maşınının təhlükəsizlik səviyyəsini artırmaq üçün standart siyasətin parametrlərini yaxşılaşdırmaq üçün tövsiyələri təsvir etdik. . Seriyanın növbəti məqaləsində biz Məlumatların Qorunması siyasətini öyrənməyə davam edəcəyik və Qlobal Siyasət Parametrlərinə baxacağıq.
. SandBlast Agent İdarəetmə Platforması mövzusunda növbəti nəşrləri qaçırmamaq üçün sosial şəbəkələrimizdəki yeniləmələri izləyin (, , , , ).
Mənbə: www.habr.com