Добре дошли в третата статия от поредицата за новата облачно базирана конзола за управление на защитата на персонални компютри - Check Point SandBlast Agent Management Platform. Да напомня, че в се запознахме с Infinity Portal и създадохме облачно базирана услуга за управление на агенти, Endpoint Management Service. в Проучихме интерфейса на конзолата за уеб управление и инсталирахме агент със стандартна политика на потребителската машина. Днес ще разгледаме съдържанието на стандартната политика за сигурност за предотвратяване на заплахи и ще тестваме нейната ефективност при противодействие на популярни атаки.
Стандартна политика за предотвратяване на заплахи: Описание
Фигурата по-горе показва стандартно правило за политика за предотвратяване на заплахи, което по подразбиране се прилага за цялата организация (всички инсталирани агенти) и включва три логически групи компоненти за защита: защита на уеб и файлове, защита на поведението и анализ и коригиране. Нека разгледаме по-отблизо всяка от групите.
Защита на уеб и файлове
URL филтриране
URL филтрирането ви позволява да контролирате потребителския достъп до уеб ресурси, като използвате предварително дефинирани 5 категории сайтове. Всяка от 5-те категории съдържа няколко по-специфични подкатегории, които ви позволяват да конфигурирате, например, блокиране на достъпа до подкатегорията Игри и разрешаване на достъпа до подкатегорията Незабавни съобщения, които са включени в същата категория Загуба на продуктивност. URL адресите, свързани с конкретни подкатегории, се определят от Check Point. Можете да проверите категорията, към която принадлежи конкретен URL адрес, или да поискате отмяна на категория на специален ресурс .
Действието може да бъде настроено на Предотвратяване, Откриване или Изключване. Също така, когато изберете действието Откриване, автоматично се добавя настройка, която позволява на потребителите да пропуснат предупреждението за филтриране на URL адреси и да отидат до интересуващия ги ресурс. Ако се използва Предотвратяване, тази настройка може да бъде премахната и потребителят няма да има достъп до забранения сайт. Друг удобен начин за контролиране на забранени ресурси е да създадете списък с блокирани, в който можете да посочите домейни, IP адреси или да качите .csv файл със списък с домейни за блокиране.
В стандартната политика за URL филтриране действието е зададено на Detect и е избрана една категория - Security, за която ще се засичат събития. Тази категория включва различни анонимизатори, сайтове с критично/високо/средно ниво на риск, фишинг сайтове, спам и много други. Потребителите обаче все още ще имат достъп до ресурса благодарение на настройката „Разрешаване на потребителя да отхвърли предупреждението за филтриране на URL адреси и да получи достъп до уебсайта“.
Защита за изтегляне (уеб).
Emulation & Extraction ви позволява да емулирате изтеглени файлове в облачната пясъчна среда на Check Point и да почиствате документи в движение, като премахвате потенциално злонамерено съдържание или конвертирате документа в PDF. Има три режима на работа:
- Предотвратяване на — позволява ви да получите копие на изчистения документ преди окончателната присъда за емулация или да изчакате емулацията да завърши и незабавно да изтеглите оригиналния файл;
- Откривам — извършва емулация във фонов режим, без да пречи на потребителя да получи оригиналния файл, независимо от присъдата;
- от — всички файлове могат да бъдат изтеглени, без да се подлагат на емулация и почистване на потенциално злонамерени компоненти.
Също така е възможно да изберете действие за файлове, които не се поддържат от инструментите за емулация и почистване на Check Point - можете да разрешите или забраните изтеглянето на всички неподдържани файлове.
Стандартната политика за защита при изтегляне е настроена на Предотвратяване, което ви позволява да получите копие на оригиналния документ, който е изчистен от потенциално злонамерено съдържание, както и позволява изтеглянето на файлове, които не се поддържат от инструменти за емулация и почистване.
Защита на удостоверенията
Компонентът Credential Protection защитава потребителските идентификационни данни и включва 2 компонента: Нулев фишинг и Защита с парола. Нулев фишинг защитава потребителите от достъп до фишинг ресурси и Защита с парола уведомява потребителя за недопустимостта на използване на корпоративни идентификационни данни извън защитения домейн. Zero Phishing може да бъде настроен на Prevent, Detect или Off. Когато е зададено действието за предотвратяване, е възможно да се позволи на потребителите да игнорират предупреждението за потенциален фишинг ресурс и да получат достъп до ресурса или да деактивират тази опция и да блокират достъпа завинаги. С действие Откриване потребителите винаги имат опцията да игнорират предупреждението и да получат достъп до ресурса. Защитата с парола ви позволява да изберете защитени домейни, за които паролите ще бъдат проверявани за съответствие, и едно от трите действия: Откриване и предупреждение (уведомяване на потребителя), Откриване или Изключване.
Стандартната политика за защита на идентификационните данни е да се попречи на всякакви фишинг ресурси да попречат на потребителите да получат достъп до потенциално злонамерен сайт. Защитата срещу използването на корпоративни пароли също е активирана, но без посочените домейни тази функция няма да работи.
Защита на файлове
Files Protection отговаря за защитата на файловете, съхранени на машината на потребителя, и включва два компонента: Anti-Malware и Files Threat Emulation. Anti-Malware е инструмент, който редовно сканира всички потребителски и системни файлове, използвайки сигнатурен анализ. В настройките на този компонент можете да конфигурирате настройките за редовно или произволно време на сканиране, периода за актуализиране на подписа и възможността потребителите да отменят планираното сканиране. Емулация на файлови заплахи ви позволява да емулирате файлове, съхранени на машината на потребителя в облачната пясъчна среда на Check Point, но тази защитна функция работи само в режим на откриване.
Стандартната политика за защита на файлове включва защита с Anti-Malware и откриване на злонамерени файлове с Files Threat Emulation. Редовното сканиране се извършва всеки месец, а подписите на потребителската машина се актуализират на всеки 4 часа. В същото време потребителите са конфигурирани да могат да отменят планирано сканиране, но не по-късно от 30 дни от датата на последното успешно сканиране.
Защита на поведението
Анти-бот, защита на поведението и анти-рансъмуер, анти-експлойт
Групата компоненти за защита на поведението включва три компонента: Anti-Bot, Behavioral Guard & Anti-Ransomware и Anti-Exploit. Анти-Bot ви позволява да наблюдавате и блокирате C&C връзки, като използвате постоянно актуализираната база данни на Check Point ThreatCloud. Защита на поведението и анти-рансъмуер постоянно наблюдава дейността (файлове, процеси, мрежови взаимодействия) на потребителската машина и ви позволява да предотвратите атаки на ransomware в началните етапи. В допълнение, този защитен елемент ви позволява да възстановите файлове, които вече са били криптирани от зловреден софтуер. Файловете се възстановяват в оригиналните им директории или можете да посочите конкретен път, където ще се съхраняват всички възстановени файлове. Анти-експлойт ви позволява да откривате атаки от нулевия ден. Всички компоненти за защита на поведението поддържат три режима на работа: Предотвратяване, Откриване и Изключване.
Стандартната политика за поведенческа защита предоставя Prevent за компонентите Anti-Bot и Behavioral Guard & Anti-Ransomware, с възстановяване на криптирани файлове в оригиналните им директории. Компонентът Anti-Exploit е деактивиран и не се използва.
Анализ и възстановяване
Автоматизиран анализ на атаки (криминалистика), отстраняване и реакция
Налични са два компонента за сигурност за анализ и разследване на инциденти със сигурността: Автоматизиран анализ на атаки (криминалистика) и Поправяне и отговор. Автоматизиран анализ на атаки (криминалистика) ви позволява да генерирате отчети за резултатите от отблъскване на атаки с подробно описание - чак до анализ на процеса на изпълнение на зловреден софтуер на машината на потребителя. Възможно е също така да се използва функцията Threat Hunting, която прави възможно проактивно търсене на аномалии и потенциално злонамерено поведение, като се използват предварително дефинирани или създадени филтри. Възстановяване и реакция ви позволява да конфигурирате настройки за възстановяване и карантина на файлове след атака: взаимодействието на потребителя с карантинните файлове е регулирано и също така е възможно да съхранявате карантинирани файлове в директория, посочена от администратора.
Стандартната политика за анализ и коригиране включва защита, която включва автоматични действия за възстановяване (прекратяване на процеси, възстановяване на файлове и т.н.), а опцията за изпращане на файлове в карантина е активна и потребителите могат да изтриват само файлове от карантина.
Стандартна политика за предотвратяване на заплахи: Тестване
Check Point CheckMe Endpoint
Най-бързият и лесен начин да проверите сигурността на машината на потребителя срещу най-популярните видове атаки е да проведете тест с помощта на ресурса , който извършва редица типични атаки от различни категории и ви позволява да получите отчет за резултатите от тестването. В този случай е използвана опцията Endpoint testing, при която изпълним файл се изтегля и стартира на компютъра, след което започва процесът на проверка.
В процеса на проверка на сигурността на работещ компютър, SandBlast Agent сигнализира за идентифицирани и отразени атаки на компютъра на потребителя, например: Anti-Bot блейдът съобщава за откриване на инфекция, Anti-Malware блейдът е открил и изтрил злонамерен файл CP_AM.exe и блейдът за емулация на заплахи е инсталирал, че файлът CP_ZD.exe е злонамерен.
Въз основа на резултатите от тестването с помощта на CheckMe Endpoint имаме следния резултат: от 6 категории атаки, стандартната политика за предотвратяване на заплахи не успя да се справи само с една категория - Browser Exploit. Това е така, защото стандартната политика за предотвратяване на заплахи не включва острието Anti-Exploit. Заслужава да се отбележи, че без инсталиран SandBlast Agent, компютърът на потребителя премина сканирането само в категорията Ransomware.
KnowBe4 RanSim
За да тествате работата на острието Anti-Ransomware, можете да използвате безплатно решение , който провежда серия от тестове на машината на потребителя: 18 сценария за заразяване с рансъмуер и 1 сценарий за заразяване с криптоминьор. Струва си да се отбележи, че наличието на много блейдове в стандартната политика (Емулация на заплахи, Анти-злонамерен софтуер, Защита на поведението) с действието Предотвратяване не позволява на този тест да се изпълнява правилно. Въпреки това, дори при намалено ниво на сигурност (Емулация на заплахи в изключен режим), блейд тестът за анти-рансъмуер показва високи резултати: 18 от 19 теста преминаха успешно (1 не успя да стартира).
Злонамерени файлове и документи
Показателно е да проверите работата на различни блейдове от стандартната политика за предотвратяване на заплахи, като използвате злонамерени файлове от популярни формати, изтеглени на машината на потребителя. Този тест включваше 66 файла във формати PDF, DOC, DOCX, EXE, XLS, XLSX, CAB, RTF. Резултатите от теста показаха, че SandBlast Agent успя да блокира 64 злонамерени файла от 66. Заразените файлове бяха изтрити след изтегляне или изчистени от злонамерено съдържание с помощта на Threat Extraction и получени от потребителя.
Препоръки за подобряване на политиката за предотвратяване на заплахи
1. URL филтриране
Първото нещо, което трябва да бъде коригирано в стандартната политика, за да се повиши нивото на сигурност на клиентската машина, е да превключите острието URL филтриране на Предотвратяване и да посочите подходящите категории за блокиране. В нашия случай бяха избрани всички категории с изключение на Обща употреба, тъй като те включват повечето от ресурсите, до които е необходимо да се ограничи достъпът на потребителите на работното място. Освен това за такива сайтове е препоръчително да премахнете възможността потребителите да пропускат предупредителния прозорец, като премахнете отметката от параметъра „Разрешаване на потребителя да отхвърли предупреждението за филтриране на URL адреси и да получи достъп до уебсайта“.
2. Защита при изтегляне
Втората опция, на която си струва да обърнете внимание, е възможността потребителите да изтеглят файлове, които не се поддържат от емулацията на Check Point. Тъй като в този раздел разглеждаме подобрения на стандартната политика за предотвратяване на заплахи от гледна точка на сигурността, най-добрият вариант би бил да блокирате изтеглянето на неподдържани файлове.
3. Защита на файловете
Трябва също да обърнете внимание на настройките за защита на файлове - по-специално настройките за периодично сканиране и възможността потребителят да отложи принудителното сканиране. В този случай времевата рамка на потребителя трябва да бъде взета под внимание и добър вариант от гледна точка на сигурността и производителността е да се конфигурира принудително сканиране да се изпълнява всеки ден, като времето е избрано на случаен принцип (от 00:00 до 8: 00) и потребителят може да отложи сканирането за максимум една седмица.
4. Анти-експлойт
Съществен недостатък на стандартната политика за предотвратяване на заплахи е, че блейдът Anti-Exploit е деактивиран. Препоръчително е да активирате това острие с действието Предотвратяване, за да защитите работната станция от атаки, използващи експлойти. С тази корекция повторният тест на CheckMe завършва успешно, без да открива уязвимости в производствената машина на потребителя.
Заключение
Нека обобщим: в тази статия се запознахме с компонентите на стандартната политика за предотвратяване на заплахи, тествахме тази политика с помощта на различни методи и инструменти, а също така описахме препоръки за подобряване на настройките на стандартната политика за повишаване на нивото на сигурност на потребителската машина . В следващата статия от поредицата ще преминем към изучаване на политиката за защита на данните и ще разгледаме глобалните настройки на политиката.
. За да не пропуснете следващите публикации по темата SandBlast Agent Management Platform, следете актуализациите в нашите социални мрежи (, , , , ).
Източник: www.habr.com