Croeso i'r drydedd erthygl yn y gyfres am y consol rheoli diogelu cyfrifiaduron personol newydd sy'n seiliedig ar y cwmwl - Platfform Rheoli Asiant Check Point SandBlast. Gadewch i mi eich atgoffa bod yn daethom yn gyfarwydd â'r Infinity Portal a chreu gwasanaeth rheoli asiant yn y cwmwl, Endpoint Management Service. Yn Astudiwyd y rhyngwyneb consol rheoli gwe a gosodwyd asiant gyda pholisi safonol ar y peiriant defnyddiwr. Heddiw, byddwn yn edrych ar gynnwys y polisi diogelwch Atal Bygythiad safonol ac yn profi ei effeithiolrwydd wrth frwydro yn erbyn ymosodiadau poblogaidd.
Polisi Atal Bygythiad Safonol: Disgrifiad
Mae'r ffigwr uchod yn dangos rheol polisi Atal Bygythiad safonol, sydd yn ddiofyn yn berthnasol i'r sefydliad cyfan (pob asiant gosodedig) ac yn cynnwys tri grŵp rhesymegol o gydrannau diogelu: Diogelu Gwe a Ffeiliau, Diogelu Ymddygiad a Dadansoddi ac Adfer. Gadewch i ni edrych yn agosach ar bob un o'r grwpiau.
Gwarchod y We a Ffeiliau
Hidlo URL
Mae Hidlo URL yn eich galluogi i reoli mynediad defnyddwyr i adnoddau gwe, gan ddefnyddio 5 categori o wefannau a ddiffiniwyd ymlaen llaw. Mae pob un o'r 5 categori yn cynnwys sawl is-gategori mwy penodol, sy'n eich galluogi i ffurfweddu, er enghraifft, rhwystro mynediad i'r is-gategori Gemau a chaniatáu mynediad i'r is-gategori Negeseuon Gwib, sydd wedi'u cynnwys yn yr un categori Colli Cynhyrchiant. Pennir URLs sy'n gysylltiedig ag is-gategorïau penodol gan Check Point. Gallwch wirio'r categori y mae URL penodol yn perthyn iddo neu ofyn am ddiystyru categori ar adnodd arbennig .
Gellir gosod y weithred i Atal, Canfod neu Diffodd. Hefyd, wrth ddewis y weithred Canfod, mae gosodiad yn cael ei ychwanegu'n awtomatig sy'n caniatáu i ddefnyddwyr hepgor y rhybudd Hidlo URL a mynd i'r adnodd o ddiddordeb. Os defnyddir Prevent, gellir dileu'r gosodiad hwn ac ni fydd y defnyddiwr yn gallu cael mynediad i'r safle gwaharddedig. Ffordd gyfleus arall o reoli adnoddau gwaharddedig yw sefydlu Rhestr Bloc, lle gallwch chi nodi parthau, cyfeiriadau IP, neu uwchlwytho ffeil .csv gyda rhestr o barthau i'w blocio.
Yn y polisi safonol ar gyfer Hidlo URL, mae'r weithred wedi'i gosod i Canfod a dewisir un categori - Diogelwch, y bydd digwyddiadau'n cael eu canfod ar eu cyfer. Mae'r categori hwn yn cynnwys amrywiol anonymizers, gwefannau gyda lefel risg Critigol/Uchel/Canolig, gwefannau gwe-rwydo, sbam a llawer mwy. Fodd bynnag, bydd defnyddwyr yn dal i allu cyrchu'r adnodd diolch i'r gosodiad "Caniatáu i'r defnyddiwr ddiystyru'r rhybudd Hidlo URL a chael mynediad i'r wefan".
Download (gwe) Amddiffyn
Mae Emulation & Extraction yn caniatáu ichi efelychu ffeiliau sydd wedi'u lawrlwytho ym mlwch tywod cwmwl Check Point a glanhau dogfennau ar y hedfan, gan ddileu cynnwys a allai fod yn faleisus, neu drosi'r ddogfen i PDF. Mae tri dull gweithredu:
- PREVENT — yn caniatáu ichi gael copi o'r ddogfen wedi'i glanhau cyn y dyfarniad efelychu terfynol, neu aros i'r efelychiad gwblhau a lawrlwytho'r ffeil wreiddiol ar unwaith;
- Canfod — yn gwneud efelychiad yn y cefndir, heb atal y defnyddiwr rhag derbyn y ffeil wreiddiol, waeth beth fo'r dyfarniad;
- Oddi ar — caniateir i unrhyw ffeiliau gael eu llwytho i lawr heb gael eu hefelychu a glanhau cydrannau a allai fod yn faleisus.
Mae hefyd yn bosibl dewis gweithred ar gyfer ffeiliau nad ydynt yn cael eu cefnogi gan offer efelychu a glanhau Check Point - gallwch ganiatáu neu wadu lawrlwytho'r holl ffeiliau nad ydynt yn cael eu cefnogi.
Mae'r polisi safonol ar gyfer Diogelu Lawrlwythiad wedi'i osod i Atal, sy'n eich galluogi i gael copi o'r ddogfen wreiddiol sydd wedi'i chlirio o gynnwys a allai fod yn faleisus, yn ogystal â chaniatáu lawrlwytho ffeiliau nad ydynt yn cael eu cefnogi gan offer efelychu a glanhau.
Gwarchodaeth Credadwy
Mae'r gydran Gwarchod Credadwy yn amddiffyn tystlythyrau defnyddwyr ac yn cynnwys 2 gydran: Dim Gwe-rwydo a Diogelu Cyfrinair. Sero Gwe-rwydo amddiffyn defnyddwyr rhag cyrchu adnoddau gwe-rwydo, a Diogelu cyfrinair yn hysbysu'r defnyddiwr am annerbynioldeb defnyddio tystlythyrau corfforaethol y tu allan i'r parth gwarchodedig. Gellir gosod Gwe-rwydo Sero i Atal, Canfod neu Diffodd. Pan fydd y cam Atal wedi'i osod, mae'n bosibl caniatáu i ddefnyddwyr anwybyddu'r rhybudd am adnodd gwe-rwydo posibl a chael mynediad i'r adnodd, neu analluogi'r opsiwn hwn a rhwystro mynediad am byth. Gyda gweithred Canfod, mae gan ddefnyddwyr bob amser yr opsiwn i anwybyddu'r rhybudd a chael mynediad i'r adnodd. Mae Diogelu Cyfrinair yn eich galluogi i ddewis parthau gwarchodedig y bydd cyfrineiriau'n cael eu gwirio i sicrhau cydymffurfiaeth ar eu cyfer, ac un o dri cham gweithredu: Canfod a Rhybuddio (hysbysu'r defnyddiwr), Canfod neu Diffodd.
Y polisi safonol ar gyfer Gwarchod Credadwy yw atal unrhyw adnoddau gwe-rwydo rhag atal defnyddwyr rhag cael mynediad i wefan a allai fod yn faleisus. Mae amddiffyniad rhag defnyddio cyfrineiriau corfforaethol hefyd wedi'i alluogi, ond heb y parthau penodedig ni fydd y nodwedd hon yn gweithio.
Diogelu Ffeiliau
Mae Diogelu Ffeiliau yn gyfrifol am ddiogelu ffeiliau sydd wedi'u storio ar beiriant y defnyddiwr ac mae'n cynnwys dwy gydran: Gwrth-Drwgwedd ac Efelychu Bygythiad Ffeiliau. Gwrth-ddrwgwedd yn declyn sy'n sganio holl ffeiliau defnyddwyr a system yn rheolaidd gan ddefnyddio dadansoddiad llofnod. Yng ngosodiadau'r gydran hon, gallwch chi ffurfweddu'r gosodiadau ar gyfer amseroedd sganio rheolaidd neu sganio ar hap, y cyfnod diweddaru llofnod, a'r gallu i ddefnyddwyr ganslo'r sganio a drefnwyd. Efelychu Bygythiad Ffeiliau yn eich galluogi i efelychu ffeiliau sydd wedi'u storio ar beiriant y defnyddiwr ym mlwch tywod cwmwl Check Point, fodd bynnag, dim ond yn y modd Canfod y mae'r nodwedd ddiogelwch hon yn gweithio.
Mae'r polisi rhagosodedig ar gyfer Diogelu Ffeiliau yn cynnwys amddiffyniad gyda Anti-Malware a chanfod ffeiliau maleisus gydag Efelychu Bygythiad Ffeiliau. Mae sganio rheolaidd yn cael ei wneud bob mis, ac mae llofnodion ar y peiriant defnyddiwr yn cael eu diweddaru bob 4 awr. Ar yr un pryd, mae defnyddwyr wedi'u ffurfweddu i allu canslo sgan wedi'i drefnu, ond dim hwyrach na 30 diwrnod o ddyddiad y sgan llwyddiannus diwethaf.
Diogelu Ymddygiad
Gwrth-Bot, Gard Ymddygiad a Gwrth-Ransomware, Gwrth-Manteisio
Mae'r grŵp Amddiffyn Ymddygiad o gydrannau amddiffyn yn cynnwys tair cydran: Anti-Bot, Behavioral Guard & Anti-Ransomware a Anti-Exploit. Gwrth-Bot yn eich galluogi i fonitro a rhwystro cysylltiadau C&C gan ddefnyddio'r gronfa ddata Check Point ThreatCloud sy'n cael ei diweddaru'n gyson. Gard Ymddygiadol a Gwrth-Ransomware yn monitro gweithgaredd yn gyson (ffeiliau, prosesau, rhyngweithiadau rhwydwaith) ar y peiriant defnyddiwr ac yn caniatáu ichi atal ymosodiadau ransomware yn y camau cychwynnol. Yn ogystal, mae'r elfen amddiffyn hon yn caniatáu ichi adfer ffeiliau sydd eisoes wedi'u hamgryptio gan y malware. Mae ffeiliau'n cael eu hadfer i'w cyfeiriaduron gwreiddiol, neu gallwch chi nodi llwybr penodol lle bydd yr holl ffeiliau a adferwyd yn cael eu storio. Gwrth-Manteisio yn caniatáu ichi ganfod ymosodiadau dim diwrnod. Mae'r holl gydrannau Amddiffyn Ymddygiad yn cefnogi tri dull gweithredu: Atal, Canfod a Diffodd.
Mae'r polisi safonol ar gyfer Diogelu Ymddygiad yn darparu Atal ar gyfer y cydrannau Anti-Bot a Gard Ymddygiad a Gwrth-Ransomware, gydag adfer ffeiliau wedi'u hamgryptio yn eu cyfeiriaduron gwreiddiol. Mae'r gydran Gwrth-Manteisio wedi'i hanalluogi ac nid yw'n cael ei defnyddio.
Dadansoddi ac Adfer
Dadansoddiad Ymosodiad Awtomatig (Fforensig), Adfer ac Ymateb
Mae dwy gydran diogelwch ar gael ar gyfer dadansoddi ac ymchwilio i ddigwyddiadau diogelwch: Dadansoddiad Ymosodiadau Awtomataidd (Fforensig) ac Adfer ac Ymateb. Dadansoddiad Ymosodiad Awtomatig (Fforensig) yn caniatáu ichi gynhyrchu adroddiadau ar ganlyniadau ymosodiadau gwrthyrru gyda disgrifiad manwl - hyd at ddadansoddi'r broses o weithredu'r malware ar beiriant y defnyddiwr. Mae hefyd yn bosibl defnyddio'r nodwedd Hela Bygythiad, sy'n ei gwneud hi'n bosibl chwilio'n rhagweithiol am anghysondebau ac ymddygiad a allai fod yn faleisus gan ddefnyddio hidlwyr wedi'u diffinio ymlaen llaw neu wedi'u creu. Adfer ac Ymateb yn eich galluogi i ffurfweddu gosodiadau ar gyfer adfer a chwarantîn ffeiliau ar ôl ymosodiad: mae rhyngweithio defnyddwyr â ffeiliau cwarantîn yn cael ei reoleiddio, ac mae hefyd yn bosibl storio ffeiliau cwarantîn mewn cyfeiriadur a bennir gan y gweinyddwr.
Mae'r polisi Dadansoddi ac Adfer safonol yn cynnwys amddiffyniad, sy'n cynnwys camau gweithredu awtomatig ar gyfer adferiad (broses dod i ben, adfer ffeiliau, ac ati), ac mae'r opsiwn i anfon ffeiliau i gwarantîn yn weithredol, a dim ond ffeiliau o gwarantîn y gall defnyddwyr eu dileu.
Polisi Atal Bygythiad Safonol: Profi
Pwynt Gwirio CheckMe Endpoint
Y ffordd gyflymaf a hawsaf i wirio diogelwch peiriant defnyddiwr yn erbyn y mathau mwyaf poblogaidd o ymosodiadau yw cynnal prawf gan ddefnyddio'r adnodd , sy'n cynnal nifer o ymosodiadau nodweddiadol o wahanol gategorïau ac yn caniatáu ichi gael adroddiad ar ganlyniadau profion. Yn yr achos hwn, defnyddiwyd yr opsiwn profi Endpoint, lle mae ffeil weithredadwy yn cael ei lawrlwytho a'i lansio i'r cyfrifiadur, ac yna mae'r broses ddilysu yn dechrau.
Yn y broses o wirio diogelwch cyfrifiadur sy'n gweithio, mae Asiant SandBlast yn nodi ymosodiadau a adlewyrchir ac a adlewyrchir ar gyfrifiadur y defnyddiwr, er enghraifft: mae'r llafn Anti-Bot yn adrodd am ganfod haint, mae'r llafn Anti-Malware wedi canfod a dileu'r ffeil maleisus CP_AM.exe, ac mae'r llafn Emulation Threat wedi gosod bod y ffeil CP_ZD.exe yn faleisus.
Yn seiliedig ar ganlyniadau profion gan ddefnyddio CheckMe Endpoint, mae gennym y canlyniad canlynol: allan o 6 chategori ymosodiad, methodd y polisi Atal Bygythiad safonol ag ymdopi ag un categori yn unig - Browser Exploit. Mae hyn oherwydd nad yw'r polisi Atal Bygythiad safonol yn cynnwys y llafn Gwrth-Manteisio. Mae'n werth nodi, heb SandBlast Asiant wedi'i osod, bod cyfrifiadur y defnyddiwr wedi pasio'r sgan yn unig o dan y categori Ransomware.
KnowBe4 RanSim
I brofi gweithrediad y llafn Anti-Ransomware, gallwch ddefnyddio datrysiad rhad ac am ddim , sy'n rhedeg cyfres o brofion ar beiriant y defnyddiwr: 18 senario haint ransomware ac 1 senario haint cryptominer. Mae'n werth nodi nad yw presenoldeb llawer o lafnau yn y polisi safonol (Efelychu Bygythiad, Anti-Malware, Guard Ymddygiadol) gyda'r cam Atal yn caniatáu i'r prawf hwn redeg yn gywir. Fodd bynnag, hyd yn oed gyda lefel diogelwch is (Treat Emulation in Off mode), mae'r prawf llafn Anti-Ransomware yn dangos canlyniadau uchel: pasiodd 18 allan o 19 prawf yn llwyddiannus (methodd 1 ddechrau).
Ffeiliau a dogfennau maleisus
Mae'n arwyddol i wirio gweithrediad llafnau gwahanol y polisi Atal Bygythiad safonol gan ddefnyddio ffeiliau maleisus o fformatau poblogaidd wedi'u llwytho i lawr i beiriant y defnyddiwr. Roedd y prawf hwn yn cynnwys 66 o ffeiliau mewn fformatau PDF, DOC, DOCX, EXE, XLS, XLSX, CAB, RTF. Dangosodd canlyniadau'r profion fod Asiant SandBlast yn gallu rhwystro 64 o ffeiliau maleisus allan o 66. Cafodd ffeiliau heintiedig eu dileu ar ôl eu llwytho i lawr, neu eu clirio o gynnwys maleisus gan ddefnyddio Threat Extraction a'u derbyn gan y defnyddiwr.
Argymhellion ar gyfer gwella'r polisi Atal Bygythiad
1. Hidlo URL
Y peth cyntaf y mae angen ei gywiro yn y polisi safonol i gynyddu lefel diogelwch y peiriant cleient yw newid y llafn Hidlo URL i Atal a nodi'r categorïau priodol ar gyfer blocio. Yn ein hachos ni, dewiswyd pob categori ac eithrio Defnydd Cyffredinol, gan eu bod yn cynnwys y rhan fwyaf o'r adnoddau y mae'n angenrheidiol i gyfyngu mynediad i ddefnyddwyr yn y gweithle. Hefyd, ar gyfer gwefannau o'r fath, fe'ch cynghorir i ddileu'r gallu i ddefnyddwyr hepgor y ffenestr rhybuddio trwy ddad-diciwch y paramedr “Caniatáu i'r defnyddiwr ddiystyru'r rhybudd Hidlo URL a chael mynediad i'r wefan”.
Diogelu 2.Download
Yr ail opsiwn sy'n werth rhoi sylw iddo yw'r gallu i ddefnyddwyr lawrlwytho ffeiliau nad ydynt yn cael eu cefnogi gan yr efelychiad Check Point. Gan ein bod yn yr adran hon yn edrych ar welliannau i'r polisi Atal Bygythiad safonol o safbwynt diogelwch, yr opsiwn gorau fyddai rhwystro lawrlwytho ffeiliau nad ydynt yn cael eu cefnogi.
3. Diogelu Ffeiliau
Mae angen i chi hefyd roi sylw i'r gosodiadau ar gyfer diogelu ffeiliau - yn benodol, y gosodiadau ar gyfer sganio cyfnodol a'r gallu i'r defnyddiwr ohirio sganio dan orfod. Yn yr achos hwn, rhaid ystyried ffrâm amser y defnyddiwr, ac opsiwn da o safbwynt diogelwch a pherfformiad yw ffurfweddu sgan gorfodol i redeg bob dydd, gyda'r amser yn cael ei ddewis ar hap (o 00:00 i 8: 00), a gall y defnyddiwr ohirio'r sgan am uchafswm o wythnos.
4. Gwrth-Manteisio
Anfantais sylweddol y polisi Atal Bygythiad safonol yw bod y llafn Gwrth-Manteisio yn anabl. Argymhellir galluogi'r llafn hwn gyda'r camau Atal i amddiffyn y gweithfan rhag ymosodiadau gan ddefnyddio campau. Gyda'r atgyweiriad hwn, mae ailbrawf CheckMe yn cwblhau'n llwyddiannus heb ganfod gwendidau ar beiriant cynhyrchu'r defnyddiwr.
Casgliad
Gadewch i ni grynhoi: yn yr erthygl hon rydym wedi dod yn gyfarwydd â chydrannau'r polisi Atal Bygythiad safonol, wedi profi'r polisi hwn gan ddefnyddio gwahanol ddulliau ac offer, a hefyd yn disgrifio argymhellion ar gyfer gwella gosodiadau'r polisi safonol i gynyddu lefel diogelwch y peiriant defnyddiwr . Yn yr erthygl nesaf yn y gyfres, byddwn yn symud ymlaen i astudio’r polisi Diogelu Data ac edrych ar y Gosodiadau Polisi Byd-eang.
. Er mwyn peidio â cholli'r cyhoeddiadau nesaf ar y pwnc Platfform Rheoli Asiant SandBlast, dilynwch y diweddariadau ar ein rhwydweithiau cymdeithasol (, , , , ).
Ffynhonnell: hab.com