Vítejte u třetího článku ze série o nové cloudové konzole pro správu ochrany osobních počítačů – Check Point SandBlast Agent Management Platform. Dovolte mi, abych vám připomněl, že v seznámili jsme se s Infinity Portal a vytvořili cloudovou službu správy agentů Endpoint Management Service. v Prostudovali jsme rozhraní webové konzoly pro správu a nainstalovali jsme na počítač uživatele agenta se standardní politikou. Dnes se podíváme na obsah standardní bezpečnostní politiky Threat Prevention a otestujeme její účinnost v boji proti populárním útokům.
Standardní zásady prevence hrozeb: Popis
Výše uvedený obrázek ukazuje standardní pravidlo zásad prevence hrozeb, které se standardně vztahuje na celou organizaci (všechny nainstalované agenty) a zahrnuje tři logické skupiny součástí ochrany: Web & Files Protection, Behavioral Protection a Analysis & Remediation. Podívejme se blíže na každou ze skupin.
Ochrana webu a souborů
filtrování URL
Filtrování adres URL vám umožňuje řídit přístup uživatelů k webovým zdrojům pomocí předdefinovaných 5 kategorií stránek. Každá z 5 kategorií obsahuje několik specifičtějších podkategorií, což vám umožňuje nakonfigurovat například blokování přístupu do podkategorie Hry a povolení přístupu k podkategorii Instant Messaging, které jsou zahrnuty ve stejné kategorii Ztráta produktivity. Adresy URL spojené s konkrétními podkategoriemi určuje Check Point. Můžete zkontrolovat kategorii, do které konkrétní adresa URL patří, nebo požádat o přepsání kategorie u speciálního zdroje .
Akci lze nastavit na Prevent, Detect nebo Off. Při výběru akce Detekce se také automaticky přidá nastavení, které uživatelům umožňuje přeskočit varování o filtrování adres URL a přejít na požadovaný zdroj. Pokud je použito Zabránit, lze toto nastavení odstranit a uživatel nebude mít přístup na zakázanou stránku. Dalším pohodlným způsobem kontroly zakázaných zdrojů je nastavení Seznamu blokování, ve kterém můžete zadat domény, IP adresy nebo nahrát soubor .csv se seznamem domén k blokování.
Ve standardní politice pro filtrování URL je akce nastavena na Detekovat a je vybrána jedna kategorie - Zabezpečení, pro kterou budou zjišťovány události. Tato kategorie zahrnuje různé anonymizátory, stránky s kritickou/vysokou/střední úrovní rizika, phishingové stránky, spam a mnoho dalšího. Uživatelé však budou mít stále přístup ke zdroji díky nastavení „Povolit uživateli zrušit upozornění filtrování adres URL a přistupovat na web“.
Stáhnout (web) Ochrana
Emulation & Extraction vám umožňuje emulovat stažené soubory v cloudové karanténě Check Point a čistit dokumenty za běhu, odstraňovat potenciálně škodlivý obsah nebo převádět dokument do PDF. Existují tři provozní režimy:
- Zabránit — umožňuje získat kopii vyčištěného dokumentu před konečným verdiktem emulace nebo počkat na dokončení emulace a okamžitě stáhnout původní soubor;
- Rozpoznat — provádí emulaci na pozadí, aniž by uživateli bránila v přijetí původního souboru, bez ohledu na verdikt;
- pryč — je povoleno stahovat jakékoli soubory bez emulace a čištění potenciálně škodlivých součástí.
Je také možné vybrat akci pro soubory, které nejsou podporovány nástroji pro emulaci a čištění Check Point – můžete povolit nebo zakázat stahování všech nepodporovaných souborů.
Standardní zásada pro Ochrana stahování je nastavena na Zabránit, což vám umožňuje získat kopii původního dokumentu, který byl vyčištěn od potenciálně škodlivého obsahu, a také umožňuje stahování souborů, které nejsou podporovány nástroji pro emulaci a čištění.
Ochrana pověření
Komponenta Credential Protection chrání přihlašovací údaje uživatele a zahrnuje 2 komponenty: Zero Phishing a Password Protection. Nulové phishing chrání uživatele před přístupem k phishingovým zdrojům a Ochrana heslem upozorní uživatele na nepřípustnost použití firemních přihlašovacích údajů mimo chráněnou doménu. Zero Phishing lze nastavit na Prevent, Detect nebo Off. Když je nastavena akce Zabránit, je možné povolit uživatelům ignorovat upozornění na potenciální phishingový zdroj a získat přístup ke zdroji, nebo tuto možnost zakázat a navždy zablokovat přístup. S akcí Detekce mají uživatelé vždy možnost ignorovat varování a získat přístup ke zdroji. Ochrana heslem vám umožňuje vybrat chráněné domény, u kterých se bude kontrolovat dodržování hesel, a jednu ze tří akcí: Zjistit a upozornit (upozornit uživatele), Zjistit nebo Vypnout.
Standardní zásadou ochrany pověření je zabránit jakýmkoli phishingovým zdrojům bránit uživatelům v přístupu na potenciálně škodlivý web. Je také povolena ochrana proti používání podnikových hesel, ale bez zadaných domén tato funkce nebude fungovat.
Ochrana souborů
Files Protection je zodpovědná za ochranu souborů uložených na počítači uživatele a zahrnuje dvě součásti: Anti-Malware a Files Threat Emulation. Anti-Malware je nástroj, který pravidelně kontroluje všechny uživatelské a systémové soubory pomocí analýzy signatur. V nastavení této součásti můžete konfigurovat nastavení pro pravidelnou kontrolu nebo časy náhodné kontroly, dobu aktualizace signatur a možnost uživatelů zrušit naplánovanou kontrolu. Files Threat Emulation umožňuje emulovat soubory uložené na počítači uživatele v cloudové karanténě Check Point, tato funkce zabezpečení však funguje pouze v režimu Detekce.
Standardní politika pro ochranu souborů zahrnuje ochranu pomocí Anti-Malware a detekci škodlivých souborů pomocí emulace hrozeb souborů. Pravidelné skenování se provádí každý měsíc a podpisy na počítači uživatele se aktualizují každé 4 hodiny. Uživatelé jsou zároveň nakonfigurováni tak, aby mohli naplánovanou kontrolu zrušit, nejpozději však do 30 dnů od data poslední úspěšné kontroly.
Ochrana chování
Anti-Bot, Behavioral Guard & Anti-Ransomware, Anti-Exploit
Skupina součástí ochrany Behavioral Protection zahrnuje tři součásti: Anti-Bot, Behavioral Guard & Anti-Ransomware a Anti-Exploit. Anti-Bot umožňuje monitorovat a blokovat připojení C&C pomocí neustále aktualizované databáze Check Point ThreatCloud. Behavioral Guard & Anti-Ransomware neustále monitoruje aktivitu (soubory, procesy, síťové interakce) na počítači uživatele a umožňuje vám zabránit útokům ransomwaru v počátečních fázích. Tento ochranný prvek navíc umožňuje obnovit soubory, které již byly zašifrovány malwarem. Soubory se obnoví do původních adresářů nebo můžete zadat konkrétní cestu, kam budou všechny obnovené soubory uloženy. Anti-Exploit umožňuje detekovat zero-day útoky. Všechny součásti Behavioral Protection podporují tři provozní režimy: Prevent, Detect a Off.
Standardní politika pro Behavioral Protection poskytuje Prevent pro komponenty Anti-Bot a Behavioral Guard & Anti-Ransomware s obnovením zašifrovaných souborů v jejich původních adresářích. Součást Anti-Exploit je zakázána a nepoužívá se.
Analýza a náprava
Automatická analýza útoků (forenzní), náprava a reakce
Pro analýzu a vyšetřování bezpečnostních incidentů jsou k dispozici dvě bezpečnostní komponenty: Automated Attack Analysis (Forensics) a Remediation & Response. Automatická analýza útoků (forenzní) umožňuje generovat zprávy o výsledcích odrážení útoků s podrobným popisem - až po analýzu procesu spouštění malwaru na počítači uživatele. Dále je možné využít funkci Threat Hunting, která umožňuje proaktivně vyhledávat anomálie a potenciálně škodlivé chování pomocí předdefinovaných nebo vytvořených filtrů. Náprava a odezva umožňuje konfigurovat nastavení pro obnovu a karanténu souborů po útoku: interakce uživatele se soubory v karanténě je regulována a je také možné ukládat soubory v karanténě do adresáře určeného správcem.
Standardní politika analýzy a nápravy zahrnuje ochranu, která zahrnuje automatické akce pro obnovu (ukončení procesů, obnovení souborů atd.), aktivní je možnost posílat soubory do karantény a uživatelé mohou pouze mazat soubory z karantény.
Standardní politika prevence hrozeb: Testování
Check Point CheckMe Endpoint
Nejrychlejším a nejsnadnějším způsobem, jak zkontrolovat zabezpečení počítače uživatele proti nejoblíbenějším typům útoků, je provést test pomocí zdroje , která provádí řadu typických útoků různých kategorií a umožňuje získat zprávu o výsledcích testování. V tomto případě byla použita možnost Endpoint testing, ve které se stáhne spustitelný soubor a spustí se do počítače a poté začne proces ověření.
V procesu kontroly zabezpečení fungujícího počítače signalizuje SandBlast Agent identifikované a odražené útoky na počítač uživatele, například: čepel Anti-Bot hlásí detekci infekce, čepel Anti-Malware detekovala a smazala škodlivý soubor CP_AM.exe a blade emulace hrozeb nainstaloval, že soubor CP_ZD.exe je škodlivý.
Na základě výsledků testování pomocí CheckMe Endpoint máme následující výsledek: ze 6 kategorií útoků si standardní politika prevence hrozeb neporadila pouze s jednou kategorií – Browser Exploit. Je to proto, že standardní politika prevence hrozeb nezahrnuje čepel Anti-Exploit. Stojí za zmínku, že bez nainstalovaného agenta SandBlast prošel počítač uživatele kontrolou pouze v kategorii Ransomware.
KnowBe4 RanSim
Chcete-li otestovat fungování čepele Anti-Ransomware, můžete použít bezplatné řešení , která na počítači uživatele spouští řadu testů: 18 scénářů infekce ransomware a 1 scénář infekce kryptomineru. Stojí za zmínku, že přítomnost mnoha blade serverů ve standardní politice (Emulace hrozeb, Anti-Malware, Behavioral Guard) s akcí Zabránit neumožňuje správné provedení tohoto testu. Avšak i při snížené úrovni zabezpečení (Emulace hrozeb v režimu Vypnuto) vykazuje test blade Anti-Ransomware vysoké výsledky: 18 z 19 testů prošlo úspěšně (1 se nepodařilo spustit).
Škodlivé soubory a dokumenty
Je orientační, abyste zkontrolovali fungování různých blade standardních zásad prevence hrozeb pomocí škodlivých souborů oblíbených formátů stažených do počítače uživatele. Tento test zahrnoval 66 souborů ve formátech PDF, DOC, DOCX, EXE, XLS, XLSX, CAB, RTF. Výsledky testů ukázaly, že SandBlast Agent dokázal zablokovat 64 škodlivých souborů z 66. Infikované soubory byly po stažení smazány nebo odstraněny od škodlivého obsahu pomocí Threat Extraction a přijaty uživatelem.
Doporučení pro zlepšení politiky prevence hrozeb
1. Filtrování URL
První věc, kterou je třeba ve standardní politice opravit, aby se zvýšila úroveň zabezpečení klientského počítače, je přepnout blade filtrování URL na Prevent a specifikovat vhodné kategorie pro blokování. V našem případě byly vybrány všechny kategorie kromě General Use, protože zahrnují většinu zdrojů, ke kterým je nutné omezit přístup uživatelům na pracovišti. U takových stránek je také vhodné odebrat uživatelům možnost přeskočit varovné okno zrušením zaškrtnutí parametru „Povolit uživateli zrušit výstrahu filtrování adres URL a získat přístup k webu“.
2. Ochrana proti stahování
Druhou možností, která stojí za pozornost, je možnost pro uživatele stahovat soubory, které emulace Check Point nepodporuje. Protože se v této části zabýváme vylepšeními standardní politiky prevence hrozeb z hlediska zabezpečení, nejlepší možností by bylo zablokovat stahování nepodporovaných souborů.
3. Ochrana souborů
Pozornost je třeba věnovat také nastavení ochrany souborů – zejména nastavení pravidelné kontroly a možnosti uživatele odložit nucenou kontrolu. V tomto případě je třeba vzít v úvahu časový rámec uživatele a dobrou možností z hlediska bezpečnosti a výkonu je nakonfigurovat vynucené skenování tak, aby se spouštělo každý den, s časem vybraným náhodně (od 00:00 do 8:00: XNUMX) a uživatel může skenování odložit maximálně o jeden týden.
4. Anti-Exploit
Významnou nevýhodou standardních zásad prevence hrozeb je to, že je zakázán čepel Anti-Exploit. Pro ochranu pracovní stanice před útoky využívajícími exploity se doporučuje povolit tento blade pomocí akce Zabránit. Díky této opravě se opětovný test CheckMe úspěšně dokončí bez zjištění zranitelnosti na produkčním stroji uživatele.
Závěr
Shrňme si to: v tomto článku jsme se seznámili s komponentami standardní politiky Threat Prevention, otestovali tuto politiku pomocí různých metod a nástrojů a také popsali doporučení pro zlepšení nastavení standardní politiky pro zvýšení úrovně zabezpečení uživatelského počítače . V dalším článku ze série přejdeme ke studiu zásad ochrany dat a podíváme se na nastavení globálních zásad.
. Abyste si nenechali ujít další publikace na téma SandBlast Agent Management Platform, sledujte aktualizace na našich sociálních sítích (, , , , ).
Zdroj: www.habr.com