Сардэчна запрашаем на трэці артыкул цыкла аб новай хмарнай кансолі кіравання абаронай персанальных кампутараў – Check Point SandBlast Agent Management Platform. Нагадаю, што ў мы пазнаёміліся з парталам Infinity Portal і стварылі хмарны сэрвіс кіравання агентамі Endpoint Management Service. Во мы вывучылі інтэрфейс вэб-кансолі кіравання і ўсталявалі агента са стандартнай палітыкай на карыстацкую машыну. Сёння мы разгледзім змесціва стандартнай палітыкі бяспекі Threat Prevention і пратэстуем яе эфектыўнасць процідзеяння папулярным нападам.
Стандартная палітыка Threat Prevention: апісанне
На малюнку вышэй прадстаўлена стандартнае правіла палітыкі Threat Prevention, якое па змаўчанні распаўсюджваецца на ўсю арганізацыю (усіх устаноўленых агентаў) і ўключае ў сябе тры лагічныя групы кампанентаў абароны: Web & Files Protection, Behavioral Protection і Analysis & Remediation. Разгледзім падрабязней кожную з груп.
Web & Files Protection
Фільтраванне URL
URL Filtering дазваляе кантраляваць доступ карыстальнікаў да вэб-рэсурсаў, для чаго выкарыстоўваюцца прадусталяваныя 5 катэгорый сайтаў. Кожная з 5 катэгорый утрымоўвае некалькі больш спецыфічных падкатэгорый, што дазваляе наладзіць, напрыклад, блакаванне доступу да падкатэгорыі Games і дазволіць доступ да падкатэгорыі Instant Messaging, якія ўваходзяць у адну катэгорыю Productivity Loss. Адрасы URL, якія адносяцца да канкрэтных падкатэгорыям, вызначаюцца кампаніяй Check Point. Праверыць катэгорыю, да якой адносіцца канкрэтны URL, або запытаць перавызначэнне катэгорыі можна на спецыяльным рэсурсе .
У якасці дзеяння можна наладзіць Prevent, Detect ці Off. Таксама пры выбары дзеяння Detect аўтаматычна дадаецца настройка, якая дазваляе карыстальнікам прапусціць папярэджанне URL Filtering і перайсці да цікавага рэсурсу. У выпадку дзеяння Prevent дадзеную наладу можна прыбраць і карыстач не зможа атрымаць доступ да забароненага сайта. Таксама зручным спосабам кантролю забароненых рэсурсаў з'яўляецца настройка Block List, у якім можна ўказваць дамены, IP-адрасы або загружаць файл фармату .csv са спісам даменаў для блакавання.
У стандартнай палітыцы для URL Filtering устаноўлена дзеянне Detect і выбрана адна катэгорыя - Security, для якой будзе ажыццяўляцца дэтэктаванне падзей. Дадзеная катэгорыя складаецца з розныя ананімайзеры, сайты з узроўнем рызыкі Critical/High/Medium, фішынгавыя сайты, спам і шматлікае іншае. Пры гэтым карыстачы ўсё роўна змогуць атрымаць доступ да рэсурсу дзякуючы наладзе "Allow user to dismiss the URL Filtering alert and access the website".
Download (web) Protection
Emulation & Extraction дазваляе праводзіць эмуляцыю загружаных файлаў у хмарнай пясочніцы Check Point і ажыццяўляць ачыстку дакументаў "на лета", выдаляючы патэнцыйна шкоднае змесціва, або канвертуючы дакумент у PDF. Існуе тры рэжыму працы:
- Прадухіляць - дазваляе атрымаць копію вычышчанага дакумента да канчатковага вердыкта эмуляцыі, альбо дачакацца завяршэння эмуляцыі і спампаваць адразу арыгінальны файл;
- дэтэктаваць - ажыццяўляе эмуляцыю ў фонавым рэжыме, не перашкаджаючы карыстачу ў атрыманні арыгінальнага файла, па-за залежнасцю ад вердыкту;
- выключана - любыя файлы дазволеныя для загрузкі без праходжання эмуляцыі і ачышчэнні патэнцыйна шкодных кампанентаў.
Таксама ёсць магчымасць абраць дзеянне для файлаў, якія не падтрымліваюцца сродкамі эмуляцыі і ачысткі Check Point - можна дазволіць ці забараніць запампоўка ўсіх непадтрымоўваных файлаў.
У стандартнай палітыцы для Download Protection усталявана дзеянне Prevent з магчымасцю атрымаць вычышчаную ад патэнцыйна шкоднаснага змесціва копію арыгінальнага дакумента, а таксама адрознівальная загрузку файлаў, якія не падтрымліваюцца сродкамі эмуляцыі і ачысткі.
Credential Protection
Кампанент Credential Protection абараняе ўліковыя дадзеныя карыстальнікаў і ўключае ў сябе 2 складнікі: Zero Phishing і Password Protection. Zero Phishing абараняе карыстальнікаў ад доступу да фішынгавых рэсурсаў, а абарона паролем паведамляе карыстальніка аб недапушчальнасці выкарыстання карпаратыўных уліковых дадзеных за межамі абараняемага дамена. Zero Phishing можа быць наладжаны на Prevent, Detect або Off. Пры ўсталяваным дзеянні Prevent ёсць магчымасць дазволіць карыстачам прапусціць папярэджанне аб патэнцыйным фішынгавым рэсурсе і атрымаць доступ да рэсурсу, альбо забараніць дадзеную магчымасць і блакаваць доступ заўсёды. Пры дзеянні Detect у карыстачоў заўсёды ёсць магчымасць прапусціць папярэджанне і атрымаць доступ да рэсурса. Password Protection дазваляе абраць якія абараняюцца дамены, для якіх будзе ажыццяўляцца праверка пароляў на адпаведнасць, і адно з трох дзеянняў: Detect & Alert (апавяшчальнае карыстача), Detect або Off.
Стандартная палітыка для Credential Protection прадугледжвае Prevent для любых фішынгавых рэсурсаў з немагчымасцю карыстальнікам атрымаць доступ да патэнцыйна шкоднага сайта. Таксама ўключаная абарона ад выкарыстання карпаратыўных пароляў, аднак без пазначаных даменаў дадзеная функцыя не будзе працаваць.
Files Protection
Files Protection адказвае за абарону файлаў, якія захоўваюцца на карыстацкай машыне, і ўключае ў сябе два кампаненты: Anti-Malware і Files Threat Emulation. Anti-Malware з'яўляецца сродкам, рэгулярна якія праводзяць сканаванне ўсіх карыстацкіх і сістэмных файлаў з дапамогай сігнатурнага аналізу. У наладах дадзенага кампанента можна наладзіць параметры рэгулярнага сканавання ці выпадковага часу правядзення сканавання, перыяд абнаўлення сігнатур, а таксама магчымасць карыстачам адмяняць запланаванае сканаванне. Files Threat Emulation дазваляе ажыццяўляць эмуляцыю захоўваемых на карыстацкай машыне файлаў у хмарнай пясочніцы Check Point, аднак дадзеная функцыя бяспекі працуе толькі ў рэжыме Detect.
У стандартнай палітыцы для Files Protection уключаная абарона з дапамогай Anti-Malware і выяўленне шкодных файлаў з дапамогай Files Threat Emulation. Рэгулярнае сканіраванне ажыццяўляецца кожны месяц, а сігнатуры на карыстацкай машыне абнаўляюцца кожныя 4 гадзіны. Пры гэтым настроена магчымасць карыстальнікам адмяніць запланаванае сканіраванне, але не пазней чым праз 30 дзён з моманту апошняга паспяховага сканіравання.
Behavioral Protection
Anti-Bot, Behavioral Guard & Anti-Ransomware, Anti-Exploit
Група кампанентаў абароны Behavioral Protection уключае ў сябе тры складнікі: Anti-Bot, Behavioral Guard & Anti-Ransomware і Anti-Exploit. Анты-бот дазваляе адсочваць і блакаваць злучэнні C&C з дапамогай стала абнаўляльнай базы Check Point ThreatCloud. Behavioral Guard & Anti-Ransomware стала адсочвае актыўнасць (файлы, працэсы, сеткавыя ўзаемадзеянні) на карыстацкай машыне і дазваляе прадухіліць напад шыфравальшчыкаў на пачатковых этапах. Акрамя гэтага, дадзены элемент абароны дазваляе аднаўляць файлы, якія паспелі зашыфравацца зловредом. Файлы аднаўляюцца ў іх зыходных дырэкторыях, альбо можна пазначыць спецыфічны шлях, дзе будуць захоўвацца ўсе адноўленыя файлы. Анты-Эксплойт дазваляе выяўляць напады нулявога дня. Для ўсіх кампанентаў Behavioral Protection падтрымліваюцца тры рэжыму працы: Prevent, Detect і Off.
Стандартная палітыка для Behavioral Protection прадугледжвае Prevent для кампанентаў Anti-Bot і Behavioral Guard & Anti-Ransomware, з аднаўленнем зашыфраваных файлаў у іх зыходных дырэкторыях. Кампанент Anti-Exploit адключаны і не выкарыстоўваецца.
Analysis & Remediation
Automated Attack Analysis (Forensics), Remediation & Response
Для аналізу і расследаванняў інцыдэнтаў бяспекі даступныя два кампаненты бяспекі: Automated Attack Analysis (Forensics) і Remediation \uXNUMX Response. Automated Attack Analysis (Forensics) дазваляе генераваць справаздачы па выніках адбіцця нападаў з падрабязным апісаннем - аж да разбору працэсу выканання шкоднасу на карыстацкай машыне. Таксама ёсць магчымасць выкарыстоўваць функцыю Threat Hunting, якая дае магчымасць ажыццяўляць праактыўны пошук анамалій і патэнцыйна шкоднасных паводзін з дапамогай прадусталяваных ці ствараных фільтраў. Remediation & Response дазваляе наладжваць параметры аднаўлення і каранціну файлаў пасля правядзення нападу: рэгулюецца ўзаемадзеянне карыстачоў з каранціннымі файламі, а таксама ёсць магчымасць захоўваць файлы на каранціне ў паказанай адміністратарам дырэкторыі.
У стандартнай палітыцы Analysis & Remediation уключана абарона, у якую ўваходзяць аўтаматычныя дзеянні для аднаўлення (завяршэнне працэсаў, аднаўленне файлаў і інш.), а таксама актыўная опцыя адпраўкі файлаў у каранцін, прычым карыстачы могуць толькі выдаляць файлы з каранціну.
Стандартная палітыка Threat Prevention: тэсціраванне
Check Point CheckMe Endpoint
Самы хуткі і просты спосаб праверыць абароненасць карыстацкай машыны ад найболей папулярных тыпаў нападаў - правесці тэст з дапамогай рэсурсу , які ажыццяўляе шэраг тыпавых нападаў розных катэгорый і дазваляе атрымаць справаздачу па выніках тэсціравання. У дадзеным выпадку выкарыстоўваўся варыянт тэставання Endpoint, пры якім на кампутар спампоўваецца і запускаецца выкананы файл, і затым пачынаецца працэс праверкі.
У працэсе праверкі абароненасці працоўнага кампутара SandBlast Agent сігналізуе аб ідэнтыфікаваных і адлюстраваных нападах на кампутары карыстача, напрыклад: блейд Anti-Bot паведамляе аб выяўленні заражэння, блейд Anti-Malware выявіў і выдаліў шкодны файл CP_AM.exe, а блейд Threat Emulation па выніках , што файл CP_ZD.exe з'яўляецца шкоднасным.
Па выніках правядзення тэставання з дапамогай CheckMe Endpoint маем наступны вынік: з 6 катэгорый нападаў стандартная палітыка Threat Prevention не зладзілася толькі з адной катэгорыяй - Browser Exploit. Гэта тлумачыцца тым, што стандартная палітыка Threat Prevention не ўключае ў сябе блейд Anti-Exploit. Варта адзначыць, што без усталяванага SandBlast Agent карыстацкі кампутар мінуў праверку толькі па катэгорыі Ransomware.
KnowBe4 RanSim
Для тэставання працы блэйда Anti-Ransomware можна выкарыстоўваць бясплатнае рашэнне , якое запускае шэраг тэстаў на карыстацкай машыне: 18 сцэнарыяў заражэння шыфравальшчыкамі і 1 сцэнар заражэння криптомайнером. Варта адзначыць, што наяўнасць у стандартнай палітыцы шматлікіх блейды (Threat Emulation, Anti-Malware, Behavioral Guard) з дзеяннем Prevent не дазваляе карэктна запусціць дадзены тэст. Аднак, нават са зніжаным узроўнем бяспекі (Threat Emulation у рэжыме Off), тэст блэйда Anti-Ransomware паказвае высокія вынікі: 18 з 19 тэстаў паспяхова пройдзены (1 не запусціўся).
Шкоднасныя файлы і дакументы
Паказальнай з'яўляецца праверка працы розных блейдаў стандартнай палітыкі Threat Prevention з дапамогай шкодных файлаў папулярных фарматаў, загружаных на карыстацкую машыну. У дадзеным тэсце ўдзельнічалі 66 файлаў фарматаў PDF, DOC, DOCX, EXE, XLS, XLSX, CAB, RTF. Вынікі тэсту паказалі, што SandBlast Agent змог заблакаваць 64 шкодных файла з 66. Заражаныя файлы былі выдаленыя пасля запампоўкі, або вычышчаны ад шкоднаснага змесціва з дапамогай Threat Extraction і атрыманы карыстачом.
Рэкамендацыі па паляпшэнні палітыкі Threat Prevention
1. URL Filtering
Першае, што неабходна выправіць у стандартнай палітыцы для павышэння ўзроўню абароненасці кліенцкай машыны - перавесці блейд URL Filtering у Prevent і пазначыць адпаведныя катэгорыі для блакіроўкі. У нашым выпадку былі абраныя ўсе катэгорыі, акрамя General Use, бо яны складаюцца з большасць рэсурсаў, да якіх неабходна абмежаваць доступ карыстачам на працоўным месцы. Таксама для падобных сайтаў пажадана прыбраць магчымасць карыстальнікам прапускаць папераджальнае акно, зняўшы галачку з параметру "Allow user to dismiss the URL Filtering alert and access the website".
2. Download Protection
Другім параметрам, на які варта звярнуць увагу, з'яўляецца магчымасць карыстачам спампоўваць файлы, якія не падтрымліваюцца эмуляцыяй Check Point. Бо ў дадзеным падзеле мы разглядаем паляпшэнні стандартнай палітыкі Threat Prevention з пункта гледжання бяспекі, то лепшым варыянтам будзе забарона загрузкі непадтрымоўваных файлаў.
3. Files Protection
Таксама неабходна звярнуць увагу на налады для абароны файлаў - у прыватнасці на параметры перыядычнага сканавання і магчымасці карыстачу адкласці прымусовае сканаванне. У дадзеным выпадку неабходна ўлічваць часавыя рамкі працы карыстача, і добрым варыянтам з пункта гледжання бяспекі і прадукцыйнасці з'яўляецца налада выканання прымусовага сканавання кожны дзень, прычым час выбіраецца выпадковым чынам (з 00:00 да 8:00), і карыстач можа адкласці сканаванне максімум на адзін тыдзень.
4. Anti-Exploit
Значны недахоп стандартнай палітыкі Threat Prevention – выключаны блейд Anti-Exploit. Рэкамендуецца ўключыць дадзены блейд з дзеяннем Prevent, каб абараніць працоўную станцыю ад нападаў з выкарыстаннем эксплойтаў. З дадзеным выпраўленнем паўторны тэст CheckMe паспяхова завяршаецца без выяўлення ўразлівых месцаў на працоўнай машыне карыстача.
Заключэнне
Падвядзем вынікі: у дадзеным артыкуле мы пазнаёміліся з кампанентамі стандартнай палітыкі Threat Prevention, пратэставалі дадзеную палітыку з дапамогай розных метадаў і сродкаў, а таксама апісалі рэкамендацыі па паляпшэнні налад стандартнай палітыкі для павышэння ўзроўню абароненасці карыстацкай машыны. У наступным артыкуле цыклу мы пяройдзем да вывучэння палітыкі Data Protection і разгледзім наладкі Global Policy Settings.
. Каб не прапусціць наступныя публікацыі па тэме SandBlast Agent Management Platform – сачыце за абнаўленнямі ў нашых сацыяльных сетках (, , , , ).
Крыніца: habr.com