Benvenuti à u terzu articulu di a serie nantu à a nova cunsola di gestione di prutezzione di l'informatica persunale basata in nuvola - Check Point SandBlast Agent Management Platform. Lasciami ricurdà chì in avemu cunnisciutu u Portal Infinity è creatu un serviziu di gestione di agenti basatu in nuvola, Endpoint Management Service. In Avemu studiatu l'interfaccia di cunsola di gestione web è installatu un agentu cù una pulitica standard nantu à a macchina d'utilizatore. Oghje fighjemu u cuntenutu di a pulitica di sicurezza standard di Prevenzione di Minacce è testemu a so efficacità in contru à l'attacchi populari.
Politica Standard di Prevenzione di Minacce: Descrizzione
A figura sopra mostra una regula standard di a pulitica di Prevenzione di Minaccia, chì per difettu si applica à l'urganizazione sana (tutti l'agenti installati) è include trè gruppi logici di cumpunenti di prutezzione: Proteczione Web & Files, Prutezzione di Cumportamentu è Analisi & Remediazione. Fighjemu un ochju più vicinu à ognunu di i gruppi.
Prutezzione Web è File
Filtru URL
A filtrazione URL permette di cuntrullà l'accessu di l'utilizatori à e risorse web, utilizendu 5 categurie predefinite di siti. Ciascuna di e categurie 5 cuntene parechje subcategories più specifiche, chì vi permette di cunfigurà, per esempiu, bluccà l'accessu à a subcategoria Games è permettenu l'accessu à a subcategoria Instant Messaging, chì sò incluse in a stessa categuria di perdita di produtividade. L'URL assuciati cù subcategories specifiche sò determinate da Check Point. Pudete verificà a categuria à quale appartene un URL specificu o dumandà una categuria override nantu à una risorsa speciale .
L'azzione pò esse stabilita à Prevenzione, Detect o Off. Inoltre, quandu selezziunate l'azzione Detect, un paràmetru hè aghjuntu automaticamente chì permette à l'utilizatori di saltà l'avvisu di Filtru URL è andate à a risorsa d'interessu. Se Prevent hè utilizatu, sta paràmetra pò esse eliminata è l'utilizatore ùn puderà micca accede à u situ pruibitu. Un altru modu convenientu per cuntrullà i risorsi pruibiti hè di stallà una Lista di Bloccu, in quale pudete specificà domini, indirizzi IP, o caricate un schedariu .csv cù una lista di domini per bluccà.
In a pulitica standard per u Filtru URL, l'azzione hè impostata à Detect è una categuria hè selezziunata - Sicurezza, per quale l'avvenimenti seranu rilevati. Sta categuria include diversi anonimizati, siti cù un livellu di risicu Criticu / Altu / Mediu, siti di phishing, spam è assai di più. Tuttavia, l'utilizatori puderanu ancu accede à a risorsa grazia à u paràmetru "Permette à l'utilizatori di scaccià l'alerta di filtrazione URL è accede à u situ web".
Scaricate (web) Prutezzione
L'emulazione è l'estrazione vi permette di emulà i fugliali scaricati in u sandbox di u nuvulu di Check Point è di pulizziari i ducumenti nantu à a mosca, sguassate u cuntenutu potenzialmente maliziusu, o cunvertisce u documentu in PDF. Ci sò trè modi operativi:
- Impediscenu - permette di ottene una copia di u documentu pulitu prima di u verdict finale di emulazione, o aspittà chì l'emulazione compie è scaricate immediatamente u schedariu originale;
- Detect - realiza l'emulazione in u sfondate, senza impedisce à l'utilizatori di riceve u schedariu originale, indipendentemente da u verdict;
- Off - tutti i schedari sò permessi di esse scaricati senza esse sottumessi à l'emulazione è a pulizia di cumpunenti potenzialmente maliziusi.
Hè ancu pussibule di selezziunà una azzione per i fugliali chì ùn sò micca supportati da emulazioni Check Point è strumenti di pulizia - pudete permette o nigà a scaricazione di tutti i fugliali senza supportu.
A pulitica standard per a Proteczione di Scaricamentu hè stabilita in Prevenzione, chì vi permette di ottene una copia di u documentu originale chì hè stata sguassata di cuntenutu potenzialmente maliziusu, è ancu di permette a scaricamentu di i fugliali chì ùn sò micca supportati da emulazioni è strumenti di pulizia.
Prutezzione di credenziali
U cumpunente di Prutezzione di credenziali prutege e credenziali di l'utilizatori è include cumpunenti 2: Zero Phishing è Proteczione di password. Zero Phishing prutege l'utilizatori da accede à e risorse di phishing, è Protection Password notifica à l'utilizatore nantu à l'inadmissibilità di utilizà credenziali corporative fora di u duminiu prutettu. Zero Phishing pò esse stabilitu per Prevenzione, Detect o Off. Quandu l'azzione Prevenzione hè stabilita, hè pussibule di permette à l'utilizatori di ignurà l'avvertimentu nantu à una risorsa potenziale di phishing è acquistà l'accessu à a risorsa, o di disattivà sta opzione è bluccà l'accessu per sempre. Cù una azione Detect, l'utilizatori anu sempre l'opzione di ignurà l'avvertimentu è accede à a risorsa. A Proteczione di Password vi permette di selezziunà i duminii prutetti per i quali e password seranu verificate per a conformità, è una di e trè azzioni: Detect & Alert (avvisendu l'utilizatore), Detect o Off.
A pulitica standard per a Proteczione di Credenziali hè di prevene qualsiasi risorse di phishing impediscenu à l'utilizatori di accede à un situ potenzialmente maliziusu. A prutezzione contru l'usu di password corporativa hè ancu attivata, ma senza i duminii specificati sta funzione ùn funziona micca.
Prutezzione di i schedari
A Proteczione di Files hè rispunsevule per a prutezzione di i fugliali almacenati in a macchina di l'utilizatore è include dui cumpunenti: Anti-Malware è Files Threat Emulation. Anti-malware hè un strumentu chì scansa regularmente tutti i schedarii di l'utilizatori è di u sistema utilizendu l'analisi di firma. In i paràmetri di stu cumpunente, pudete cunfigurà i paràmetri per i tempi di scansione regulare o di scansione aleatoriu, u periodu di aghjurnamentu di a firma, è a capacità per l'utilizatori di annullà a scansione pianificata. Emulazione di Minaccia di File permette di emulà i fugliali cullucati in a macchina di l'utilizatori in u sandbox di nuvola di Check Point, però, sta funzione di sicurezza funziona solu in u modu Detect.
A pulitica standard per a Proteczione di File include a prutezzione cù Anti-Malware è a rilevazione di fugliali maliziusi cù Files Threat Emulation. U scanning regularmente hè realizatu ogni mese, è e firme in a macchina di l'utilizatori sò aghjurnati ogni 4 ore. À u listessu tempu, l'utilizatori sò cunfigurati per pudè annullà una scansione programata, ma micca più tardi à 30 ghjorni da a data di l'ultima scansione successu.
Prutezzione cumportamentale
Anti-Bot, Guardia di Cumportamentu è Anti-Ransomware, Anti-Exploit
U gruppu di cumpunenti di prutezzione cumportamentale include trè cumpunenti: Anti-Bot, Behavioral Guard & Anti-Ransomware è Anti-Exploit. Anti-Bot permette di monitorà è bluccà e cunnessione C&C usendu a basa di dati Check Point ThreatCloud constantemente aghjurnata. Guardia di Cumportamentu è Anti-Ransomware monitoreghja constantemente l'attività (fichi, prucessi, interazzione di rete) nantu à a macchina di l'utilizatori è permette di prevene l'attacchi di ransomware in e fasi iniziali. Inoltre, questu elementu di prutezzione permette di restaurà i schedari chì sò digià stati criptati da u malware. I schedari sò restaurati in i so cartulari originali, o pudete specificà un percorsu specificu induve tutti i schedarii recuperati seranu guardati. Anti-Exploit permette di detectà attacchi zero-day. Tutti i cumpunenti di Prutezzione di Cumportamentu supportanu trè modi operativi: Prevenzione, Detect è Off.
A pulitica standard per a Proteczione Comportamentale furnisce Prevenzione per i cumpunenti Anti-Bot è Behavioral Guard & Anti-Ransomware, cù a risturazione di i fugliali criptati in i so cartulari originali. U cumpunente Anti-Exploit hè disattivatu è micca usatu.
Analisi è Remediazione
Analisi di l'attaccu automatizatu (Forensics), Remediazione è Risposta
Dui cumpunenti di sicurità sò dispunibuli per l'analisi è l'investigazione di incidenti di sicurezza: Analisi d'Attack Automated (Forensics) è Remediation & Response. Analisi di l'attaccu automatizatu (Forensics) permette di generà rapporti nantu à i risultati di l'attacchi repellenti cù una descrizzione dettagliata - finu à l'analisi di u prucessu di eseguisce u malware in a macchina di l'utilizatori. Hè ancu possibbili d'utilizà a funzione Threat Hunting, chì permette di circà proattivamente anomalie è cumportamenti potenzialmente maliziusi cù filtri predefiniti o creati. Remediazione è Risposta permette di cunfigurà i paràmetri per a ricuperazione è a quarantena di i fugliali dopu un attaccu: l'interazzione di l'utilizatori cù i schedarii di quarantena hè regulata, è hè ancu pussibule di guardà i fugliali in quarantena in un repertoriu specificatu da l'amministratore.
A pulitica standard di Analisi è Remediazione include a prutezzione, chì include l'azzioni automatiche per a ricuperazione (finisce i prucessi, risturà i fugliali, etc.), è l'opzione di mandà i fugliali à a quarantena hè attiva, è l'utilizatori ponu solu sguassà i schedari da a quarantena.
Politica Standard di Prevenzione di Minacce: Testing
Check Point CheckMe Endpoint
U modu più veloce è faciule per verificà a sicurità di a macchina di l'utilizatore contr'à i tipi di attacchi più populari hè di fà una prova utilizendu a risorsa. , chì porta una quantità di attacchi tipici di diverse categurie è permette di ottene un rapportu nantu à i risultati di e teste. In questu casu, l'opzione di teste Endpoint hè stata aduprata, in quale un schedariu eseguibile hè scaricatu è lanciatu nantu à l'urdinatore, è dopu principia u prucessu di verificazione.
In u prucessu di cuntrollà a sicurità di un urdinatore chì travaglia, l'Agente SandBlast signala l'attacchi identificati è riflessi à l'urdinatore di l'utilizatori, per esempiu: a lama Anti-Bot informa a deteczione di una infezzjoni, a lama Anti-Malware hà rilevatu è sguassatu. file malicioso CP_AM.exe, è a lama di Emulazione di Minaccia hà stallatu chì u schedariu CP_ZD.exe hè maliziusu.
Basatu nantu à i risultati di a prova cù CheckMe Endpoint, avemu u risultatu seguente: fora di 6 categurie di attaccu, a pulitica standard di Prevenzione di Minaccia ùn hà micca riesciutu à affruntà una sola categuria - Exploit Browser. Questu hè chì a pulitica standard di Prevenzione di Minaccia ùn include micca a lama Anti-Exploit. Hè da nutà chì senza l'Agente SandBlast installatu, l'urdinatore di l'utilizatore hà passatu a scansione solu sottu a categuria Ransomware.
KnowBe4 RanSim
Per pruvà l'operazione di a lama Anti-Ransomware, pudete aduprà una suluzione libera , chì eseguisce una seria di teste nantu à a macchina di l'utilizatori: 18 scenarii d'infezzione di ransomware è 1 scenariu di infezzione di criptominer. Hè da nutà chì a prisenza di parechje lame in a pulitica standard (Emulazione di Minaccia, Anti-Malware, Guardia di Comportamentu) cù l'azzione di Prevenzione ùn permettenu micca sta prova per eseguisce currettamente. In ogni casu, ancu cù un livellu di sicurezza ridutta (Emulazione di Minaccia in modalità Off), a prova di lama Anti-Ransomware mostra risultati elevati: 18 di 19 teste passanu cù successu (1 ùn hà micca successu à inizià).
File è documenti maliziusi
Hè indicativu per verificà u funziunamentu di e diverse lame di a pulitica standard di Prevenzione di Minacce utilizendu schedarii maliziusi di formati populari scaricati à a macchina di l'utilizatori. Questa prova implicava 66 schedari in PDF, DOC, DOCX, EXE, XLS, XLSX, CAB, formati RTF. I risultati di a prova hà dimustratu chì l'Agente SandBlast hà sappiutu bluccà i schedarii maliziusi 64 fora di 66. I schedarii infettati sò stati sguassati dopu à scaricamentu, o sguassati di cuntenutu maliziusi cù l'estrazione di Minaccia è ricevutu da l'utilizatore.
Raccomandazioni per migliurà a pulitica di Prevenzione di Minacce
1. Filtru URL
A prima cosa chì deve esse curretta in a pulitica standard per aumentà u livellu di sicurità di a macchina cliente hè di cambià l'URL Filtering blade à Prevenzione è specificà e categurie adattate per u bluccatu. In u nostru casu, tutte e categurie sò stati selezziunati eccettu l'Usu Generale, postu chì includenu a maiò parte di e risorse à quale hè necessariu di restringe l'accessu à l'utilizatori in u locu di travagliu. Inoltre, per tali siti, hè cunsigliatu di sguassà l'abilità per l'utilizatori di saltà a finestra di avvisu deschechendu u paràmetru "Permette à l'utilizatori di scaccià l'alerta di filtrazione URL è accede à u situ web".
2.Download Prutezzione
A seconda opzione chì vale a pena attente hè a capacità per l'utilizatori di scaricà i fugliali chì ùn sò micca supportati da l'emulazione di Check Point. Siccomu in questa sezione guardemu megliurà à a pulitica standard di Prevenzione di Minacce da una perspettiva di sicurità, a megliu opzione seria di bluccà a scaricazione di i fugliali micca supportati.
3. Prutezzione di i schedari
Hè ancu bisognu di attentu à i paràmetri per a prutezzione di i schedari - in particulare, i paràmetri di scanning periodicu è a capacità per l'utilizatori di posponà a scanning forzata. In questu casu, u quadru di u tempu di l'utilizatore deve esse cunsideratu, è una bona opzione da un puntu di vista di sicurezza è di prestazione hè di cunfigurà una scansione furzata per eseguisce ogni ghjornu, cù u tempu sceltu aleatoriamente (da 00: 00 à 8: 00), è l'utilizatore pò ritardà a scansione per un massimu di una settimana.
4. Anti-Exploit
Un inconveniente significativu di a pulitica standard di Prevenzione di Minaccia hè chì a lama Anti-Exploit hè disattivata. Hè ricumandemu per attivà sta lama cù l'azzione Prevenzione per prutege a stazione di travagliu da attacchi cù sfruttamenti. Cù sta correzione, u retest CheckMe finisce cun successu senza detectà vulnerabilità in a macchina di produzzione di l'utilizatori.
cunchiusioni
Riassumemu: in questu articulu avemu cunnisciutu i cumpunenti di a pulitica standard di Prevenzione di Minaccia, hà pruvatu sta pulitica cù diversi metudi è arnesi, è ancu descritti cunsiglii per migliurà i paràmetri di a pulitica standard per aumentà u livellu di sicurità di a macchina d'utilizatore. . In u prossimu articulu in a serie, andemu à studià a pulitica di Proteczione di Dati è fighjate à i Paràmetri di a Politica Globale.
. Per ùn mancà e prossime publicazioni nantu à u tema SandBlast Agent Management Platform, seguite l'aghjurnamenti nantu à e nostre rete suciale (, , , , ).
Source: www.habr.com