Benvenuti à u terzu articulu di a serie nantu à a nova cunsola di gestione di prutezzione di l'informatica persunale basata in nuvola - Check Point SandBlast Agent Management Platform. Lasciami ricurdà chì in
Politica Standard di Prevenzione di Minacce: Descrizzione
A figura sopra mostra una regula standard di a pulitica di Prevenzione di Minaccia, chì per difettu si applica à l'urganizazione sana (tutti l'agenti installati) è include trè gruppi logici di cumpunenti di prutezzione: Proteczione Web & Files, Prutezzione di Cumportamentu è Analisi & Remediazione. Fighjemu un ochju più vicinu à ognunu di i gruppi.
Prutezzione Web è File
Filtru URL
A filtrazione URL permette di cuntrullà l'accessu di l'utilizatori à e risorse web, utilizendu 5 categurie predefinite di siti. Ciascuna di e categurie 5 cuntene parechje subcategories più specifiche, chì vi permette di cunfigurà, per esempiu, bluccà l'accessu à a subcategoria Games è permettenu l'accessu à a subcategoria Instant Messaging, chì sò incluse in a stessa categuria di perdita di produtividade. L'URL assuciati cù subcategories specifiche sò determinate da Check Point. Pudete verificà a categuria à quale appartene un URL specificu o dumandà una categuria override nantu à una risorsa speciale
L'azzione pò esse stabilita à Prevenzione, Detect o Off. Inoltre, quandu selezziunate l'azzione Detect, un paràmetru hè aghjuntu automaticamente chì permette à l'utilizatori di saltà l'avvisu di Filtru URL è andate à a risorsa d'interessu. Se Prevent hè utilizatu, sta paràmetra pò esse eliminata è l'utilizatore ùn puderà micca accede à u situ pruibitu. Un altru modu convenientu per cuntrullà i risorsi pruibiti hè di stallà una Lista di Bloccu, in quale pudete specificà domini, indirizzi IP, o caricate un schedariu .csv cù una lista di domini per bluccà.
In a pulitica standard per u Filtru URL, l'azzione hè impostata à Detect è una categuria hè selezziunata - Sicurezza, per quale l'avvenimenti seranu rilevati. Sta categuria include diversi anonimizati, siti cù un livellu di risicu Criticu / Altu / Mediu, siti di phishing, spam è assai di più. Tuttavia, l'utilizatori puderanu ancu accede à a risorsa grazia à u paràmetru "Permette à l'utilizatori di scaccià l'alerta di filtrazione URL è accede à u situ web".
Scaricate (web) Prutezzione
L'emulazione è l'estrazione vi permette di emulà i fugliali scaricati in u sandbox di u nuvulu di Check Point è di pulizziari i ducumenti nantu à a mosca, sguassate u cuntenutu potenzialmente maliziusu, o cunvertisce u documentu in PDF. Ci sò trè modi operativi:
- Impediscenu - permette di ottene una copia di u documentu pulitu prima di u verdict finale di emulazione, o aspittà chì l'emulazione compie è scaricate immediatamente u schedariu originale;
- Detect - realiza l'emulazione in u sfondate, senza impedisce à l'utilizatori di riceve u schedariu originale, indipendentemente da u verdict;
- Off - tutti i schedari sò permessi di esse scaricati senza esse sottumessi à l'emulazione è a pulizia di cumpunenti potenzialmente maliziusi.
Hè ancu pussibule di selezziunà una azzione per i fugliali chì ùn sò micca supportati da emulazioni Check Point è strumenti di pulizia - pudete permette o nigà a scaricazione di tutti i fugliali senza supportu.
A pulitica standard per a Proteczione di Scaricamentu hè stabilita in Prevenzione, chì vi permette di ottene una copia di u documentu originale chì hè stata sguassata di cuntenutu potenzialmente maliziusu, è ancu di permette a scaricamentu di i fugliali chì ùn sò micca supportati da emulazioni è strumenti di pulizia.
Prutezzione di credenziali
U cumpunente di Prutezzione di credenziali prutege e credenziali di l'utilizatori è include cumpunenti 2: Zero Phishing è Proteczione di password. Zero Phishing prutege l'utilizatori da accede à e risorse di phishing, è Protection Password notifica à l'utilizatore nantu à l'inadmissibilità di utilizà credenziali corporative fora di u duminiu prutettu. Zero Phishing pò esse stabilitu per Prevenzione, Detect o Off. Quandu l'azzione Prevenzione hè stabilita, hè pussibule di permette à l'utilizatori di ignurà l'avvertimentu nantu à una risorsa potenziale di phishing è acquistà l'accessu à a risorsa, o di disattivà sta opzione è bluccà l'accessu per sempre. Cù una azione Detect, l'utilizatori anu sempre l'opzione di ignurà l'avvertimentu è accede à a risorsa. A Proteczione di Password vi permette di selezziunà i duminii prutetti per i quali e password seranu verificate per a conformità, è una di e trè azzioni: Detect & Alert (avvisendu l'utilizatore), Detect o Off.
A pulitica standard per a Proteczione di Credenziali hè di prevene qualsiasi risorse di phishing impediscenu à l'utilizatori di accede à un situ potenzialmente maliziusu. A prutezzione contru l'usu di password corporativa hè ancu attivata, ma senza i duminii specificati sta funzione ùn funziona micca.
Prutezzione di i schedari
A Proteczione di Files hè rispunsevule per a prutezzione di i fugliali almacenati in a macchina di l'utilizatore è include dui cumpunenti: Anti-Malware è Files Threat Emulation. Anti-malware hè un strumentu chì scansa regularmente tutti i schedarii di l'utilizatori è di u sistema utilizendu l'analisi di firma. In i paràmetri di stu cumpunente, pudete cunfigurà i paràmetri per i tempi di scansione regulare o di scansione aleatoriu, u periodu di aghjurnamentu di a firma, è a capacità per l'utilizatori di annullà a scansione pianificata. Emulazione di Minaccia di File permette di emulà i fugliali cullucati in a macchina di l'utilizatori in u sandbox di nuvola di Check Point, però, sta funzione di sicurezza funziona solu in u modu Detect.
A pulitica standard per a Proteczione di File include a prutezzione cù Anti-Malware è a rilevazione di fugliali maliziusi cù Files Threat Emulation. U scanning regularmente hè realizatu ogni mese, è e firme in a macchina di l'utilizatori sò aghjurnati ogni 4 ore. À u listessu tempu, l'utilizatori sò cunfigurati per pudè annullà una scansione programata, ma micca più tardi à 30 ghjorni da a data di l'ultima scansione successu.
Prutezzione cumportamentale
Anti-Bot, Guardia di Cumportamentu è Anti-Ransomware, Anti-Exploit
U gruppu di cumpunenti di prutezzione cumportamentale include trè cumpunenti: Anti-Bot, Behavioral Guard & Anti-Ransomware è Anti-Exploit. Anti-Bot permette di monitorà è bluccà e cunnessione C&C usendu a basa di dati Check Point ThreatCloud constantemente aghjurnata. Guardia di Cumportamentu è Anti-Ransomware monitoreghja constantemente l'attività (fichi, prucessi, interazzione di rete) nantu à a macchina di l'utilizatori è permette di prevene l'attacchi di ransomware in e fasi iniziali. Inoltre, questu elementu di prutezzione permette di restaurà i schedari chì sò digià stati criptati da u malware. I schedari sò restaurati in i so cartulari originali, o pudete specificà un percorsu specificu induve tutti i schedarii recuperati seranu guardati. Anti-Exploit permette di detectà attacchi zero-day. Tutti i cumpunenti di Prutezzione di Cumportamentu supportanu trè modi operativi: Prevenzione, Detect è Off.
A pulitica standard per a Proteczione Comportamentale furnisce Prevenzione per i cumpunenti Anti-Bot è Behavioral Guard & Anti-Ransomware, cù a risturazione di i fugliali criptati in i so cartulari originali. U cumpunente Anti-Exploit hè disattivatu è micca usatu.
Analisi è Remediazione
Analisi di l'attaccu automatizatu (Forensics), Remediazione è Risposta
Dui cumpunenti di sicurità sò dispunibuli per l'analisi è l'investigazione di incidenti di sicurezza: Analisi d'Attack Automated (Forensics) è Remediation & Response. Analisi di l'attaccu automatizatu (Forensics) permette di generà rapporti nantu à i risultati di l'attacchi repellenti cù una descrizzione dettagliata - finu à l'analisi di u prucessu di eseguisce u malware in a macchina di l'utilizatori. Hè ancu possibbili d'utilizà a funzione Threat Hunting, chì permette di circà proattivamente anomalie è cumportamenti potenzialmente maliziusi cù filtri predefiniti o creati. Remediazione è Risposta permette di cunfigurà i paràmetri per a ricuperazione è a quarantena di i fugliali dopu un attaccu: l'interazzione di l'utilizatori cù i schedarii di quarantena hè regulata, è hè ancu pussibule di guardà i fugliali in quarantena in un repertoriu specificatu da l'amministratore.
A pulitica standard di Analisi è Remediazione include a prutezzione, chì include l'azzioni automatiche per a ricuperazione (finisce i prucessi, risturà i fugliali, etc.), è l'opzione di mandà i fugliali à a quarantena hè attiva, è l'utilizatori ponu solu sguassà i schedari da a quarantena.
Politica Standard di Prevenzione di Minacce: Testing
Check Point CheckMe Endpoint
U modu più veloce è faciule per verificà a sicurità di a macchina di l'utilizatore contr'à i tipi di attacchi più populari hè di fà una prova utilizendu a risorsa.
In u prucessu di cuntrollà a sicurità di un urdinatore chì travaglia, l'Agente SandBlast signala l'attacchi identificati è riflessi à l'urdinatore di l'utilizatori, per esempiu: a lama Anti-Bot informa a deteczione di una infezzjoni, a lama Anti-Malware hà rilevatu è sguassatu. file malicioso CP_AM.exe, è a lama di Emulazione di Minaccia hà stallatu chì u schedariu CP_ZD.exe hè maliziusu.
Basatu nantu à i risultati di a prova cù CheckMe Endpoint, avemu u risultatu seguente: fora di 6 categurie di attaccu, a pulitica standard di Prevenzione di Minaccia ùn hà micca riesciutu à affruntà una sola categuria - Exploit Browser. Questu hè chì a pulitica standard di Prevenzione di Minaccia ùn include micca a lama Anti-Exploit. Hè da nutà chì senza l'Agente SandBlast installatu, l'urdinatore di l'utilizatore hà passatu a scansione solu sottu a categuria Ransomware.
KnowBe4 RanSim
Per pruvà l'operazione di a lama Anti-Ransomware, pudete aduprà una suluzione libera
File è documenti maliziusi
Hè indicativu per verificà u funziunamentu di e diverse lame di a pulitica standard di Prevenzione di Minacce utilizendu schedarii maliziusi di formati populari scaricati à a macchina di l'utilizatori. Questa prova implicava 66 schedari in PDF, DOC, DOCX, EXE, XLS, XLSX, CAB, formati RTF. I risultati di a prova hà dimustratu chì l'Agente SandBlast hà sappiutu bluccà i schedarii maliziusi 64 fora di 66. I schedarii infettati sò stati sguassati dopu à scaricamentu, o sguassati di cuntenutu maliziusi cù l'estrazione di Minaccia è ricevutu da l'utilizatore.
Raccomandazioni per migliurà a pulitica di Prevenzione di Minacce
1. Filtru URL
A prima cosa chì deve esse curretta in a pulitica standard per aumentà u livellu di sicurità di a macchina cliente hè di cambià l'URL Filtering blade à Prevenzione è specificà e categurie adattate per u bluccatu. In u nostru casu, tutte e categurie sò stati selezziunati eccettu l'Usu Generale, postu chì includenu a maiò parte di e risorse à quale hè necessariu di restringe l'accessu à l'utilizatori in u locu di travagliu. Inoltre, per tali siti, hè cunsigliatu di sguassà l'abilità per l'utilizatori di saltà a finestra di avvisu deschechendu u paràmetru "Permette à l'utilizatori di scaccià l'alerta di filtrazione URL è accede à u situ web".
2.Download Prutezzione
A seconda opzione chì vale a pena attente hè a capacità per l'utilizatori di scaricà i fugliali chì ùn sò micca supportati da l'emulazione di Check Point. Siccomu in questa sezione guardemu megliurà à a pulitica standard di Prevenzione di Minacce da una perspettiva di sicurità, a megliu opzione seria di bluccà a scaricazione di i fugliali micca supportati.
3. Prutezzione di i schedari
Hè ancu bisognu di attentu à i paràmetri per a prutezzione di i schedari - in particulare, i paràmetri di scanning periodicu è a capacità per l'utilizatori di posponà a scanning forzata. In questu casu, u quadru di u tempu di l'utilizatore deve esse cunsideratu, è una bona opzione da un puntu di vista di sicurezza è di prestazione hè di cunfigurà una scansione furzata per eseguisce ogni ghjornu, cù u tempu sceltu aleatoriamente (da 00: 00 à 8: 00), è l'utilizatore pò ritardà a scansione per un massimu di una settimana.
4. Anti-Exploit
Un inconveniente significativu di a pulitica standard di Prevenzione di Minaccia hè chì a lama Anti-Exploit hè disattivata. Hè ricumandemu per attivà sta lama cù l'azzione Prevenzione per prutege a stazione di travagliu da attacchi cù sfruttamenti. Cù sta correzione, u retest CheckMe finisce cun successu senza detectà vulnerabilità in a macchina di produzzione di l'utilizatori.
cunchiusioni
Riassumemu: in questu articulu avemu cunnisciutu i cumpunenti di a pulitica standard di Prevenzione di Minaccia, hà pruvatu sta pulitica cù diversi metudi è arnesi, è ancu descritti cunsiglii per migliurà i paràmetri di a pulitica standard per aumentà u livellu di sicurità di a macchina d'utilizatore. . In u prossimu articulu in a serie, andemu à studià a pulitica di Proteczione di Dati è fighjate à i Paràmetri di a Politica Globale.
Source: www.habr.com