Benvingut al tercer article de la sèrie sobre la nova consola de gestió de protecció d'ordinadors personals basada en núvol: Check Point SandBlast Agent Management Platform. Deixa'm recordar-ho a ens vam familiaritzar amb l'Infinity Portal i vam crear un servei de gestió d'agents basat en núvol, Endpoint Management Service. En Vam estudiar la interfície de la consola de gestió web i vam instal·lar un agent amb una política estàndard a la màquina de l'usuari. Avui veurem el contingut de la política de seguretat estàndard de prevenció d'amenaces i comprovarem la seva eficàcia per contrarestar atacs populars.
Política estàndard de prevenció d'amenaces: Descripció
La figura anterior mostra una regla estàndard de política de prevenció d'amenaces, que per defecte s'aplica a tota l'organització (tots els agents instal·lats) i inclou tres grups lògics de components de protecció: protecció web i fitxers, protecció del comportament i anàlisi i correcció. Fem una ullada més de prop a cadascun dels grups.
Protecció web i fitxers
Filtratge d'URL
El filtratge d'URL us permet controlar l'accés dels usuaris als recursos web, utilitzant 5 categories de llocs predefinides. Cadascuna de les 5 categories conté diverses subcategories més específiques, la qual cosa permet configurar, per exemple, bloquejar l'accés a la subcategoria Jocs i permetre l'accés a la subcategoria Missatgeria instantània, que s'inclouen a la mateixa categoria Pèrdua de productivitat. Check Point determina els URL associats a subcategories específiques. Podeu comprovar la categoria a la qual pertany un URL específic o sol·licitar una substitució de categoria en un recurs especial .
L'acció es pot configurar a Prevenir, Detectar o Desactivar. A més, en seleccionar l'acció Detectar, s'afegeix automàticament una configuració que permet als usuaris ometre l'avís de filtratge d'URL i anar al recurs d'interès. Si s'utilitza Prevent, aquesta configuració es pot eliminar i l'usuari no podrà accedir al lloc prohibit. Una altra manera convenient de controlar els recursos prohibits és configurar una llista de bloqueig, en la qual podeu especificar dominis, adreces IP o penjar un fitxer .csv amb una llista de dominis per bloquejar.
A la política estàndard per al filtratge d'URL, l'acció s'estableix en Detecta i se selecciona una categoria: Seguretat, per a la qual es detectaran esdeveniments. Aquesta categoria inclou diversos anonimitzadors, llocs amb un nivell de risc crític/alt/mitjà, llocs de pesca, correu brossa i molt més. Tanmateix, els usuaris encara podran accedir al recurs gràcies a la configuració "Permetre que l'usuari ignori l'alerta de filtratge d'URL i accedeixi al lloc web".
Protecció de descàrrega (web).
L'emulació i l'extracció us permet emular fitxers descarregats a la caixa de proves del núvol de Check Point i netejar documents sobre la marxa, eliminant contingut potencialment maliciós o convertint el document a PDF. Hi ha tres modes de funcionament:
- Evitar — us permet obtenir una còpia del document netejat abans del veredicte final de l'emulació o esperar que l'emulació s'acabi i descarregar immediatament el fitxer original;
- Detectar — realitza l'emulació en segon pla, sense impedir que l'usuari rebi l'arxiu original, independentment del veredicte;
- apagat — Es permet descarregar qualsevol fitxer sense sotmetre's a emulació i neteja de components potencialment maliciosos.
També és possible seleccionar una acció per als fitxers que no són compatibles amb les eines d'emulació i neteja de Check Point: podeu permetre o denegar la descàrrega de tots els fitxers no compatibles.
La política estàndard per a la protecció de descàrregues s'estableix en Impedir, que us permet obtenir una còpia del document original que s'ha esborrat de contingut potencialment maliciós, així com permetre la descàrrega de fitxers que no són compatibles amb eines d'emulació i neteja.
Protecció de credencials
El component Protecció de credencials protegeix les credencials dels usuaris i inclou 2 components: Zero Phishing i Protecció amb contrasenya. Zero Phishing protegeix els usuaris de l'accés als recursos de pesca i La protecció per contrasenya notifica a l'usuari la inadmisibilitat d'utilitzar credencials corporatives fora del domini protegit. Zero Phishing es pot configurar per prevenir, detectar o desactivar. Quan s'estableix l'acció Impedir, és possible permetre que els usuaris ignorin l'avís sobre un recurs potencial de pesca i tinguin accés al recurs, o bé desactivar aquesta opció i bloquejar l'accés per sempre. Amb una acció Detect, els usuaris sempre tenen l'opció d'ignorar l'avís i accedir al recurs. La protecció de contrasenya us permet seleccionar dominis protegits per als quals es comprovarà el compliment de les contrasenyes i una de les tres accions: Detectar i alertar (notificar a l'usuari), Detectar o Desactivar.
La política estàndard per a la protecció de credencials és evitar que els recursos de pesca impedeixin que els usuaris accedeixin a un lloc potencialment maliciós. La protecció contra l'ús de contrasenyes corporatives també està activada, però sense els dominis especificats aquesta funció no funcionarà.
Protecció de fitxers
Files Protection s'encarrega de protegir els fitxers emmagatzemats a la màquina de l'usuari i inclou dos components: Anti-Malware i Files Threat Emulation. Anti-malware és una eina que escaneja regularment tots els fitxers d'usuari i del sistema mitjançant l'anàlisi de signatures. A la configuració d'aquest component, podeu configurar els paràmetres per als temps d'escaneig regular o aleatori, el període d'actualització de la signatura i la possibilitat que els usuaris cancel·lin l'escaneig programat. Emulació d'amenaces de fitxers us permet emular fitxers emmagatzemats a la màquina de l'usuari a la caixa de proves del núvol de Check Point, però, aquesta funció de seguretat només funciona en mode Detect.
La política estàndard de Protecció de fitxers inclou protecció amb Anti-Malware i detecció de fitxers maliciosos amb Files Threat Emulation. L'escaneig regular es realitza cada mes i les signatures a la màquina de l'usuari s'actualitzen cada 4 hores. Al mateix temps, els usuaris estan configurats per poder cancel·lar una exploració programada, però no més tard de 30 dies a partir de la data de l'última exploració correcta.
Protecció de la conducta
Anti-bot, guàrdia conductual i anti-ransomware, anti-explotació
El grup de components de protecció Behavioral Protection inclou tres components: Anti-Bot, Behavioral Guard i Anti-Ransomware i Anti-Exploit. Anti-Bot us permet supervisar i bloquejar les connexions C&C mitjançant la base de dades de Check Point ThreatCloud actualitzada constantment. Behavioral Guard i Anti-Ransomware supervisa constantment l'activitat (fitxers, processos, interaccions de xarxa) a la màquina de l'usuari i us permet prevenir atacs de ransomware en les etapes inicials. A més, aquest element de protecció permet restaurar fitxers que ja han estat xifrats pel programari maliciós. Els fitxers es restauren als seus directoris originals o podeu especificar un camí específic on s'emmagatzemaran tots els fitxers recuperats. Anti-explotació permet detectar atacs de dia zero. Tots els components de Behavioral Protection admeten tres modes de funcionament: prevenir, detectar i apagar.
La política estàndard de protecció del comportament proporciona Prevent per als components Anti-Bot i Behavioral Guard & Anti-Ransomware, amb la restauració dels fitxers xifrats als seus directoris originals. El component Anti-Exploit està desactivat i no s'utilitza.
Anàlisi i reparació
Anàlisi automatitzada d'atacs (forense), correcció i resposta
Hi ha dos components de seguretat disponibles per a l'anàlisi i la investigació d'incidents de seguretat: anàlisi d'atacs automatitzats (forense) i correcció i resposta. Anàlisi automatitzada d'atacs (forense) permet generar informes sobre els resultats de repel·lir atacs amb una descripció detallada, fins a analitzar el procés d'execució del programari maliciós a la màquina de l'usuari. També és possible utilitzar la funció Threat Hunting, que permet cercar de manera proactiva anomalies i comportaments potencialment maliciosos mitjançant filtres predefinits o creats. Reparació i resposta permet configurar els paràmetres per a la recuperació i la quarantena dels fitxers després d'un atac: la interacció de l'usuari amb els fitxers de quarantena està regulada i també és possible emmagatzemar els fitxers en quarantena en un directori especificat per l'administrador.
La política estàndard d'anàlisi i correcció inclou protecció, que inclou accions automàtiques per a la recuperació (acabar processos, restaurar fitxers, etc.) i l'opció d'enviar fitxers a la quarantena està activa, i els usuaris només poden suprimir fitxers de la quarantena.
Política estàndard de prevenció d'amenaces: proves
Check Point CheckMe Endpoint
La manera més ràpida i senzilla de comprovar la seguretat de la màquina d'un usuari contra els tipus d'atac més populars és realitzar una prova utilitzant el recurs. , que realitza una sèrie d'atacs típics de diverses categories i permet obtenir un informe sobre els resultats de les proves. En aquest cas, s'ha utilitzat l'opció de prova del punt final, en la qual es baixa un fitxer executable i s'inicia a l'ordinador, i després comença el procés de verificació.
En el procés de comprovació de la seguretat d'un ordinador en funcionament, SandBlast Agent indica els atacs identificats i reflectits a l'ordinador de l'usuari, per exemple: el blade Anti-Bot informa de la detecció d'una infecció, el blade Anti-Malware ha detectat i suprimit el fitxer maliciós CP_AM.exe i la fulla d'emulació d'amenaces ha instal·lat que el fitxer CP_ZD.exe és maliciós.
Segons els resultats de les proves amb CheckMe Endpoint, tenim el resultat següent: de les 6 categories d'atac, la política estàndard de prevenció d'amenaces no va poder fer front només a una categoria: Exploitació del navegador. Això es deu al fet que la política estàndard de prevenció d'amenaces no inclou la fulla Anti-Exploit. Val la pena assenyalar que sense instal·lar l'Agent SandBlast, l'ordinador de l'usuari només va passar l'exploració sota la categoria Ransomware.
KnowBe4 RanSim
Per provar el funcionament de la fulla Anti-Ransomware, podeu utilitzar una solució gratuïta , que realitza una sèrie de proves a la màquina de l'usuari: 18 escenaris d'infecció de ransomware i 1 escenari d'infecció de cryptominer. Val la pena assenyalar que la presència de molts blades a la política estàndard (Threat Emulation, Anti-Malware, Behavioral Guard) amb l'acció Prevent no permet que aquesta prova s'executi correctament. No obstant això, fins i tot amb un nivell de seguretat reduït (emulació d'amenaces en mode Off), la prova del blade Anti-Ransomware mostra resultats alts: 18 de les 19 proves van passar amb èxit (una no va començar).
Fitxers i documents maliciosos
És indicatiu comprovar el funcionament de diferents blades de la política estàndard de prevenció d'amenaces mitjançant fitxers maliciosos de formats populars descarregats a la màquina de l'usuari. Aquesta prova va implicar 66 fitxers en formats PDF, DOC, DOCX, EXE, XLS, XLSX, CAB, RTF. Els resultats de la prova van mostrar que SandBlast Agent va poder bloquejar 64 fitxers maliciosos dels 66. Els fitxers infectats es van eliminar després de baixar-los o es van eliminar contingut maliciós mitjançant Threat Extraction i els va rebre l'usuari.
Recomanacions per a la millora de la política de prevenció d'amenaces
1. Filtret d'URL
El primer que cal corregir a la política estàndard per augmentar el nivell de seguretat de la màquina client és canviar la fulla de filtratge d'URL a Prevent i especificar les categories adequades per al bloqueig. En el nostre cas, s'han seleccionat totes les categories excepte Ús General, ja que inclouen la majoria dels recursos als quals cal restringir l'accés als usuaris en el lloc de treball. A més, per a aquests llocs, és recomanable eliminar la possibilitat que els usuaris ometin la finestra d'advertència desmarcant el paràmetre "Permetre que l'usuari ignori l'alerta de filtratge d'URL i accedeixi al lloc web".
2.Descàrrega de protecció
La segona opció a la qual cal prestar atenció és la possibilitat que els usuaris baixin fitxers que no són compatibles amb l'emulació de Check Point. Com que en aquesta secció estem analitzant millores a la política estàndard de prevenció d'amenaces des d'una perspectiva de seguretat, la millor opció seria bloquejar la descàrrega de fitxers no compatibles.
3. Protecció d'arxius
També heu de parar atenció a la configuració per protegir els fitxers, en particular, la configuració per a l'exploració periòdica i la possibilitat que l'usuari posposa l'exploració forçada. En aquest cas, s'ha de tenir en compte l'horari de l'usuari, i una bona opció des del punt de vista de seguretat i rendiment és configurar una exploració forçada perquè s'executi cada dia, amb l'hora seleccionada aleatòriament (de 00:00 a 8:00: XNUMX), i l'usuari pot retardar l'exploració durant un màxim d'una setmana.
4. Anti-Exploit
Un inconvenient important de la política estàndard de prevenció d'amenaces és que la fulla Anti-Exploit està desactivada. Es recomana habilitar aquest blade amb l'acció Prevent per protegir l'estació de treball d'atacs amb exploits. Amb aquesta correcció, la nova prova CheckMe es completa amb èxit sense detectar vulnerabilitats a la màquina de producció de l'usuari.
Conclusió
Resumim: en aquest article ens vam familiaritzar amb els components de la política estàndard de prevenció d'amenaces, vam provar aquesta política amb diversos mètodes i eines i també vam descriure recomanacions per millorar la configuració de la política estàndard per augmentar el nivell de seguretat de la màquina de l'usuari. . En el següent article de la sèrie, passarem a estudiar la política de protecció de dades i veurem la configuració de la política global.
. Per no perdre's les properes publicacions sobre el tema SandBlast Agent Management Platform, seguiu les actualitzacions a les nostres xarxes socials (, , , , ).
Font: www.habr.com