Welcome sa ikatulo nga artikulo sa serye bahin sa bag-ong cloud-based personal computer protection management console - Check Point SandBlast Agent Management Platform. Pahinumdum ko nimo nga sa nakaila mi sa Infinity Portal ug naghimo ug cloud-based agent management service, Endpoint Management Service. Sa Among gitun-an ang web management console interface ug nag-install ug ahente nga adunay standard policy sa user machine. Karon atong tan-awon ang mga sulod sa sumbanan nga palisiya sa seguridad sa Threat Prevention ug sulayan ang pagkaepektibo niini sa pagbatok sa mga popular nga pag-atake.
Sumbanan nga Patakaran sa Paglikay sa Panghulga: Deskripsyon
Ang numero sa ibabaw nagpakita sa usa ka sumbanan nga lagda sa palisiya sa Threat Prevention, nga sa kasagaran magamit sa tibuok organisasyon (tanan nga na-install nga mga ahente) ug naglakip sa tulo ka lohikal nga grupo sa mga sangkap sa pagpanalipod: Proteksyon sa Web & Files, Proteksyon sa Panggawi ug Pagtuki ug Pag-ayo. Atong tan-awon pag-ayo ang matag usa sa mga grupo.
Proteksyon sa Web ug Files
URL nga pagsala
Ang Pagsala sa URL nagtugot kanimo nga makontrol ang pag-access sa tiggamit sa mga kapanguhaan sa web, gamit ang gitakda nang daan nga 5 nga mga kategorya sa mga site. Ang matag usa sa 5 nga mga kategorya adunay daghang labi ka piho nga mga subcategory, nga nagtugot kanimo sa pag-configure, pananglitan, pag-block sa pag-access sa subcategory sa Dula ug pagtugot sa pag-access sa subcategory nga Instant Messaging, nga gilakip sa parehas nga kategorya nga Pagkawala sa Produktibo. Ang mga URL nga nalangkit sa piho nga mga subkategorya gitino sa Check Point. Mahimo nimong susihon ang kategorya kung diin nahisakop ang usa ka piho nga URL o paghangyo nga i-override ang kategorya sa usa ka espesyal nga kapanguhaan .
Ang aksyon mahimong itakda sa Paglikay, Pag-ila o Pag-off. Usab, kung gipili ang aksyon nga Detect, usa ka setting ang awtomatikong idugang nga nagtugot sa mga tiggamit nga laktawan ang pasidaan sa Pagsala sa URL ug moadto sa kapanguhaan sa interes. Kung gigamit ang Paglikay, kini nga setting mahimong tangtangon ug ang user dili maka-access sa gidili nga site. Ang laing sayon ββββnga paagi sa pagkontrolar sa gidili nga mga kapanguhaan mao ang pag-set up og Block List, diin mahimo nimong itakda ang mga domain, IP address, o mag-upload og .csv file nga adunay listahan sa mga domain nga babagan.
Sa sumbanan nga palisiya alang sa Pagsala sa URL, ang aksyon gitakda sa Detect ug usa ka kategorya ang gipili - Seguridad, kung diin makit-an ang mga panghitabo. Kini nga kategorya naglakip sa lain-laing mga anonymizer, mga site nga adunay Kritikal/Taas/Medium nga lebel sa risgo, mga phishing site, spam ug daghan pa. Bisan pa, ang mga tiggamit makahimo gihapon sa pag-access sa kapanguhaan salamat sa "Allow user to dismiss the URL Filtering alert and access the website" setting.
Pag-download (web) Proteksyon
Gitugotan ka sa Emulation & Extraction nga sundon ang mga na-download nga file sa Check Point cloud sandbox ug limpyohan ang mga dokumento dayon, tangtangon ang mahimoβg makadaot nga sulud, o pag-convert sa dokumento sa PDF. Adunay tulo ka mga operating mode:
- Paglikay β nagtugot kanimo nga makakuha usa ka kopya sa nalimpyohan nga dokumento sa wala pa ang katapusan nga hukom sa pagsundog, o maghulat nga makompleto ang emulasyon ug ma-download dayon ang orihinal nga file;
- Pagpangita β nagpatuman sa emulation sa background, nga wala magpugong sa tiggamit sa pagdawat sa orihinal nga file, bisan unsa pa ang hukom;
- off β Ang bisan unsang mga file gitugotan nga ma-download nga dili moagi sa pag-emulasyon ug paglimpyo sa mga potensyal nga makadaot nga mga sangkap.
Posible usab nga magpili usa ka aksyon alang sa mga file nga wala gisuportahan sa pagsundog sa Check Point ug mga himan sa paglimpyo - mahimo nimong tugutan o ipanghimakak ang pag-download sa tanan nga wala gisuportahan nga mga file.
Ang sumbanan nga palisiya alang sa Proteksyon sa Pag-download gitakda sa Paglikay, nga nagtugot kanimo nga makakuha usa ka kopya sa orihinal nga dokumento nga natangtang sa mahimoβg makadaot nga sulud, ingon usab gitugotan ang pag-download sa mga file nga wala suportado sa mga himan sa pagsunud ug paglimpyo.
Proteksyon sa Kredensyal
Ang Credential Protection component nanalipod sa mga kredensyal sa user ug naglakip sa 2 ka component: Zero Phishing ug Password Protection. Zero Phishing nanalipod sa mga tiggamit gikan sa pag-access sa mga kapanguhaan sa phishing, ug Protection password nagpahibalo sa tiggamit mahitungod sa pagkadili madawat sa paggamit sa mga kredensyal sa korporasyon gawas sa giprotektahan nga domain. Ang Zero Phishing mahimong itakda sa Paglikay, Pag-detect o Off. Sa diha nga ang Paglikay aksyon gitakda, kini mao ang posible nga sa pagtugot sa mga tiggamit sa dili pagtagad sa pasidaan mahitungod sa usa ka potensyal nga phishing kapanguhaan ug makaangkon og access sa kapanguhaan, o sa pag-disable niini nga opsyon ug block access sa walay katapusan. Uban sa usa ka Detect nga aksyon, ang mga tiggamit kanunay adunay kapilian nga dili ibalewala ang pasidaan ug ma-access ang kapanguhaan. Ang Proteksyon sa Password nagtugot kanimo sa pagpili sa giprotektahan nga mga dominyo diin ang mga password susihon alang sa pagsunod, ug usa sa tulo ka mga aksyon: Detect & Alert (pagpahibalo sa user), Detect o Off.
Ang sumbanan nga palisiya alang sa Proteksyon sa Kredensyal mao ang pagpugong sa bisan unsang mga kapanguhaan sa phishing gikan sa pagpugong sa mga tiggamit sa pag-access sa usa ka posible nga makadaot nga site. Ang pagpanalipod batok sa paggamit sa mga password sa korporasyon gipalihok usab, apan kung wala ang mga piho nga domain kini nga bahin dili molihok.
Pagpanalipod sa mga File
Ang Files Protection maoy responsable sa pagpanalipod sa mga file nga gitipigan sa makina sa user ug naglakip sa duha ka component: Anti-Malware ug Files Threat Emulation. Anti-malware usa ka himan nga kanunay nga nag-scan sa tanan nga mga file sa user ug sistema gamit ang pag-analisar sa pirma. Sa mga setting niini nga component, mahimo nimong i-configure ang mga setting alang sa regular nga pag-scan o random nga mga panahon sa pag-scan, ang panahon sa pag-update sa pirma, ug ang abilidad sa mga tiggamit sa pagkansela sa naka-iskedyul nga pag-scan. Files Threat Emulation Gitugotan ka nga sundon ang mga file nga gitipigan sa makina sa gumagamit sa Check Point cloud sandbox, bisan pa, kini nga bahin sa seguridad magamit ra sa mode nga Detect.
Ang sumbanan nga polisiya alang sa Files Protection naglakip sa proteksyon sa Anti-Malware ug pag-detect sa mga malisyoso nga file gamit ang Files Threat Emulation. Ang regular nga pag-scan gihimo kada bulan, ug ang mga pirma sa user machine gi-update matag 4 ka oras. Sa parehas nga oras, ang mga tiggamit gi-configure aron makakansela sa usa ka naka-iskedyul nga pag-scan, apan dili molapas sa 30 ka adlaw gikan sa petsa sa katapusan nga malampuson nga pag-scan.
Pagpanalipod sa Panggawi
Anti-Bot, Behavioral Guard & Anti-Ransomware, Anti-Exploit
Ang Behavioral Protection nga grupo sa mga sangkap sa pagpanalipod naglakip sa tulo ka sangkap: Anti-Bot, Behavioral Guard & Anti-Ransomware ug Anti-Exploit. anti bot nagtugot kanimo sa pag-monitor ug pagbabag sa mga koneksyon sa C&C gamit ang kanunay nga gi-update nga Check Point ThreatCloud database. Behavioral Guard ug Anti-Ransomware kanunay nga nag-monitor sa kalihokan (mga file, proseso, interaksyon sa network) sa makina sa gumagamit ug gitugotan ka nga mapugngan ang mga pag-atake sa ransomware sa una nga mga yugto. Dugang pa, kini nga elemento sa pagpanalipod nagtugot kanimo nga ibalik ang mga file nga na-encrypt na sa malware. Ang mga file gipahiuli sa ilang orihinal nga mga direktoryo, o mahimo nimong itakda ang usa ka piho nga agianan diin ang tanan nga nakuha nga mga file itago. Anti-Pagpahimulos nagtugot kanimo sa pag-ila sa zero-day attacks. Ang tanan nga mga sangkap sa Proteksyon sa Panggawi nagsuporta sa tulo nga mga mode sa pag-opera: Paglikay, Pag-ila ug Pag-off.
Ang sumbanan nga palisiya alang sa Proteksyon sa Panggawi naghatag sa Paglikay alang sa mga sangkap nga Anti-Bot ug Behavioral Guard & Anti-Ransomware, uban ang pagpahiuli sa mga naka-encrypt nga file sa ilang orihinal nga mga direktoryo. Ang sangkap nga Anti-Exploit gi-disable ug wala gigamit.
Pagtuki ug Remediation
Automated Attack Analysis (Forensics), Remediation & Response
Duha ka sangkap sa seguridad ang magamit alang sa pagtuki ug imbestigasyon sa mga insidente sa seguridad: Automated Attack Analysis (Forensics) ug Remediation & Response. Automated Attack Analysis (Forensics) nagtugot kanimo sa pagmugna og mga taho sa mga resulta sa pagsalikway sa mga pag-atake nga adunay detalyado nga paghulagway - hangtod sa pag-analisar sa proseso sa pagpatuman sa malware sa makina sa tiggamit. Posible usab nga gamiton ang feature sa Threat Hunting, nga nagpaposible sa aktibong pagpangita sa mga anomaliya ug posibleng malisyosong kinaiya gamit ang predefined o gimugna nga mga filter. Remediation ug Tubag Gitugotan ka sa pag-configure sa mga setting alang sa pagbawi ug pagkuwarentinas sa mga file pagkahuman sa usa ka pag-atake: ang interaksyon sa tiggamit sa mga file sa kwarentina gi-regulate, ug posible usab nga itago ang mga na-quarantine nga file sa usa ka direktoryo nga gitakda sa tagdumala.
Ang sumbanan nga polisiya sa Pag-analisa ug Pag-ayo naglakip sa proteksyon, nga naglakip sa mga awtomatikong aksyon alang sa pagbawi (pagtapos sa mga proseso, pag-uli sa mga file, ug uban pa), ug ang opsyon sa pagpadala sa mga file sa quarantine aktibo, ug ang mga tiggamit mahimo lamang nga magtangtang sa mga file gikan sa quarantine.
Sumbanan nga Patakaran sa Paglikay sa Panghulga: Pagsulay
Check Point CheckMe Endpoint
Ang pinakapaspas ug pinakasayon ββnga paagi sa pagsusi sa seguridad sa makina sa usa ka user batok sa pinakasikat nga matang sa pag-atake mao ang pagpahigayon og pagsulay gamit ang kapanguhaan. , nga nagdala sa usa ka gidaghanon sa mga tipikal nga pag-atake sa lain-laing mga kategoriya ug nagtugot kaninyo sa pagkuha sa usa ka report sa mga resulta sa pagsulay. Sa kini nga kaso, gigamit ang kapilian sa pagsulay sa Endpoint, diin ang usa ka ma-executable nga file gi-download ug gilunsad sa kompyuter, ug dayon nagsugod ang proseso sa pag-verify.
Sa proseso sa pagsusi sa seguridad sa usa ka nagtrabaho nga kompyuter, ang SandBlast Agent nagsenyas mahitungod sa giila ug nagpakita nga mga pag-atake sa kompyuter sa user, pananglitan: ang Anti-Bot blade nagtaho sa pagkakita sa usa ka impeksyon, ang Anti-Malware blade nakamatikod ug nagtangtang sa malisyoso nga file nga CP_AM.exe, ug ang Threat Emulation blade nag-instalar nga ang CP_ZD.exe nga payl kay malisyoso.
Base sa mga resulta sa pagsulay gamit ang CheckMe Endpoint, aduna kami mosunod nga resulta: gikan sa 6 ka mga kategorya sa pag-atake, ang standard Threat Prevention nga palisiya napakyas sa pagsagubang sa usa lang ka kategorya - Browser Exploit. Kini tungod kay ang standard Threat Prevention nga palisiya wala maglakip sa Anti-Exploit blade. Angay nga hinumdoman nga kung wala gi-install ang SandBlast Agent, gipasa sa kompyuter sa gumagamit ang pag-scan sa ilawom sa kategorya nga Ransomware.
KnowBe4 RanSim
Aron masulayan ang operasyon sa Anti-Ransomware blade, mahimo nimong gamiton ang usa ka libre nga solusyon , nga nagpadagan sa usa ka serye sa mga pagsulay sa makina sa tiggamit: 18 nga mga senaryo sa impeksyon sa ransomware ug 1 senaryo sa impeksyon sa cryptominer. Angay nga matikdan nga ang presensya sa daghang mga blades sa sumbanan nga palisiya (Threat Emulation, Anti-Malware, Behavioral Guard) nga adunay aksyon nga Paglikay wala magtugot niini nga pagsulay nga modagan sa husto. Bisan pa, bisan pa sa usa ka pagkunhod sa lebel sa seguridad (Threat Emulation sa Off mode), ang Anti-Ransomware blade test nagpakita sa taas nga mga resulta: 18 sa 19 nga mga pagsulay malampuson nga milabay (1 napakyas sa pagsugod).
Makadaot nga mga file ug mga dokumento
Kini mao ang timailhan sa pagsusi sa operasyon sa lain-laing mga blades sa standard Threat Prevention palisiya sa paggamit sa malisyosong mga file sa popular nga mga format nga gi-download sa user sa makina. Kini nga pagsulay naglakip sa 66 ka mga file sa PDF, DOC, DOCX, EXE, XLS, XLSX, CAB, RTF nga mga format. Ang mga resulta sa pagsulay nagpakita nga ang SandBlast Agent nakahimo sa pag-block sa 64 ka malisyoso nga mga file gikan sa 66. Ang mga nataptan nga mga file gitangtang human sa pag-download, o gitangtang sa malisyosong sulod gamit ang Threat Extraction ug nadawat sa user.
Rekomendasyon para sa pagpaayo sa palisiya sa Paglikay sa Threat
1. Pagsala sa URL
Ang una nga butang nga kinahanglan nga matul-id sa sumbanan nga palisiya aron madugangan ang lebel sa seguridad sa makina sa kliyente mao ang pagbalhin sa blade sa URL Filtering sa Paglikay ug pagtino sa angay nga mga kategorya alang sa pag-block. Sa among kaso, ang tanan nga mga kategorya gipili gawas sa Kinatibuk-ang Paggamit, tungod kay kini naglakip sa kadaghanan sa mga kahinguhaan diin kinahanglan nga higpitan ang pag-access sa mga tiggamit sa trabahoan. Usab, alang sa ingon nga mga site, gitambagan nga tangtangon ang abilidad sa mga tiggamit sa paglaktaw sa bintana sa pasidaan pinaagi sa pag-uncheck sa parameter nga "Tugoti ang tiggamit sa pagtangtang sa alerto sa URL Filtering ug pag-access sa website".
2. Pag-download sa Proteksyon
Ang ikaduha nga kapilian nga angay hatagan pagtagad mao ang abilidad sa mga tiggamit sa pag-download sa mga file nga wala gisuportahan sa Check Point emulation. Tungod kay sa kini nga seksyon kami nagtan-aw sa mga pag-uswag sa sumbanan nga palisiya sa Paglikay sa Threat gikan sa usa ka panan-aw sa seguridad, ang labing kaayo nga kapilian mao ang pag-block sa pag-download sa mga wala gisuportahan nga mga file.
3. Pagpanalipod sa mga File
Kinahanglan nimo usab nga hatagan pagtagad ang mga setting alang sa pagpanalipod sa mga file - labi na, ang mga setting alang sa matag karon nga pag-scan ug ang abilidad sa tiggamit nga i-postpone ang pinugos nga pag-scan. Sa kini nga kaso, ang time frame sa user kinahanglan nga tagdon, ug ang usa ka maayo nga kapilian gikan sa usa ka seguridad ug performance nga punto sa panglantaw mao ang pag-configure sa usa ka pinugos nga pag-scan nga modagan matag adlaw, nga ang oras gipili nga random (gikan sa 00:00 hangtod 8: 00), ug ang user mahimong malangan ang pag-scan sulod sa labing taas nga usa ka semana.
4. Anti-Pagpahimulos
Ang usa ka hinungdanon nga disbentaha sa sukaranan nga palisiya sa Paglikay sa Paghulga mao nga ang blade nga Anti-Exploit na-disable. Girekomenda nga palihokon kini nga blade gamit ang aksyon nga Paglikay aron mapanalipdan ang workstation gikan sa mga pag-atake gamit ang mga pagpahimulos. Uban niini nga pag-ayo, ang CheckMe retest makompleto nga malampuson nga wala makamatikod sa mga kahuyangan sa makina sa produksiyon sa user.
konklusyon
Atong i-summarize: sa kini nga artikulo nahibal-an namon ang mga sangkap sa sukaranan nga palisiya sa Paglikay sa Threat, gisulayan kini nga palisiya gamit ang lainlaing mga pamaagi ug mga himan, ug gihubit usab ang mga rekomendasyon alang sa pagpaayo sa mga setting sa sumbanan nga palisiya aron madugangan ang lebel sa seguridad sa makina sa gumagamit . Sa sunod nga artikulo sa serye, magpadayon kita sa pagtuon sa polisiya sa Proteksyon sa Data ug tan-awon ang Global Policy Settings.
. Aron dili makalimtan ang sunod nga mga publikasyon sa hilisgutan nga SandBlast Agent Management Platform, sunda ang mga update sa among mga social network (, , , , ).
Source: www.habr.com