Velkommen til den tredje artikel i serien om den nye cloud-baserede konsol til beskyttelse af personlige computere - Check Point SandBlast Agent Management Platform. Lad mig minde dig om, at i vi stiftede bekendtskab med Infinity Portal og skabte en cloud-baseret agent management service, Endpoint Management Service. I Vi studerede webadministrationskonsollens grænseflade og installerede en agent med en standardpolitik på brugermaskinen. I dag vil vi se på indholdet af standardsikkerhedspolitikken for trusselforebyggelse og teste dens effektivitet til at imødegå populære angreb.
Standardpolitik til forebyggelse af trusler: Beskrivelse
Figuren ovenfor viser en standardregel for trusselsforebyggelse, som som standard gælder for hele organisationen (alle installerede agenter) og inkluderer tre logiske grupper af beskyttelseskomponenter: Web- og filbeskyttelse, adfærdsbeskyttelse og Analyse og afhjælpning. Lad os se nærmere på hver af grupperne.
Web- og filbeskyttelse
URL-filtrering
URL-filtrering giver dig mulighed for at kontrollere brugeradgang til webressourcer ved hjælp af foruddefinerede 5 kategorier af websteder. Hver af de 5 kategorier indeholder flere mere specifikke underkategorier, som giver dig mulighed for for eksempel at konfigurere blokering af adgang til underkategorien Spil og tillade adgang til underkategorien Instant Messaging, som er inkluderet i den samme kategori for produktivitetstab. URL'er forbundet med specifikke underkategorier bestemmes af Check Point. Du kan kontrollere den kategori, som en specifik URL tilhører, eller anmode om en kategoritilsidesættelse på en særlig ressource .
Handlingen kan indstilles til Forhindre, Registrer eller Fra. Når du vælger handlingen Detect, tilføjes der automatisk en indstilling, der giver brugerne mulighed for at springe advarslen om URL-filtrering over og gå til ressourcen af interesse. Hvis Prevent bruges, kan denne indstilling fjernes, og brugeren vil ikke kunne få adgang til det forbudte websted. En anden bekvem måde at kontrollere forbudte ressourcer på er at oprette en blokeringsliste, hvor du kan angive domæner, IP-adresser eller uploade en .csv-fil med en liste over domæner, der skal blokeres.
I standardpolitikken for URL-filtrering er handlingen indstillet til Registrer, og én kategori vælges - Sikkerhed, for hvilken hændelser vil blive registreret. Denne kategori omfatter forskellige anonymisere, websteder med et Kritisk/Høj/Middel risikoniveau, phishing-websteder, spam og meget mere. Brugere vil dog stadig kunne få adgang til ressourcen takket være indstillingen "Tillad brugeren at afvise URL-filtreringsadvarslen og få adgang til webstedet".
Download (web) beskyttelse
Emulation & Extraction giver dig mulighed for at efterligne downloadede filer i Check Points cloud-sandbox og rydde op i dokumenter med det samme, fjerne potentielt skadeligt indhold eller konvertere dokumentet til PDF. Der er tre driftstilstande:
- Forhindre — giver dig mulighed for at få en kopi af det rensede dokument før den endelige emuleringsdom, eller vente på, at emuleringen er fuldført og downloade den originale fil med det samme;
- Detect — udfører emulering i baggrunden uden at forhindre brugeren i at modtage den originale fil, uanset dommen;
- af — alle filer er tilladt at blive downloadet uden at gennemgå emulering og rensning af potentielt ondsindede komponenter.
Det er også muligt at vælge en handling for filer, der ikke understøttes af Check Point-emulerings- og renseværktøjer - du kan tillade eller nægte download af alle ikke-understøttede filer.
Standardpolitikken for downloadbeskyttelse er indstillet til Forhindre, hvilket giver dig mulighed for at få en kopi af det originale dokument, der er blevet ryddet for potentielt skadeligt indhold, samt tillader download af filer, der ikke understøttes af emulerings- og renseværktøjer.
Beskyttelse af legitimationsoplysninger
Credential Protection-komponenten beskytter brugerlegitimationsoplysninger og inkluderer 2 komponenter: Zero Phishing og Password Protection. Nul phishing beskytter brugere mod at få adgang til phishing-ressourcer, og Beskyttelse med adgangskode underretter brugeren om, at det ikke er tilladt at bruge virksomhedslegitimationsoplysninger uden for det beskyttede domæne. Nul phishing kan indstilles til Forhindre, Registrer eller Fra. Når handlingen Forhindre er indstillet, er det muligt at tillade brugere at ignorere advarslen om en potentiel phishing-ressource og få adgang til ressourcen, eller at deaktivere denne mulighed og blokere adgang for altid. Med en Detect-handling har brugere altid mulighed for at ignorere advarslen og få adgang til ressourcen. Adgangskodebeskyttelse giver dig mulighed for at vælge beskyttede domæner, for hvilke adgangskoder vil blive kontrolleret for overholdelse, og en af tre handlinger: Find & Alert (meddeler brugeren), Find eller Fra.
Standardpolitikken for legitimationsbeskyttelse er at forhindre phishing-ressourcer i at forhindre brugere i at få adgang til et potentielt ondsindet websted. Beskyttelse mod brug af virksomhedsadgangskoder er også aktiveret, men uden de angivne domæner vil denne funktion ikke fungere.
Filbeskyttelse
Filbeskyttelse er ansvarlig for at beskytte filer, der er gemt på brugerens maskine og omfatter to komponenter: Anti-Malware og Files Threat Emulation. Anti-Malware er et værktøj, der regelmæssigt scanner alle bruger- og systemfiler ved hjælp af signaturanalyse. I indstillingerne for denne komponent kan du konfigurere indstillingerne for almindelig scanning eller tilfældige scanningstider, signaturopdateringsperioden og muligheden for, at brugere kan annullere planlagt scanning. Filer Trusselsemulering giver dig mulighed for at efterligne filer, der er gemt på brugerens maskine i Check Points cloud-sandbox, men denne sikkerhedsfunktion virker kun i registreringstilstand.
Standardpolitikken for Filbeskyttelse omfatter beskyttelse med Anti-Malware og detektering af ondsindede filer med Files Threat Emulation. Der udføres regelmæssig scanning hver måned, og signaturer på brugermaskinen opdateres hver 4. time. Samtidig er brugere konfigureret til at kunne annullere en planlagt scanning, dog senest 30 dage fra datoen for den sidste vellykkede scanning.
Beskyttelse af adfærd
Anti-Bot, Behavioral Guard & Anti-Ransomware, Anti-Exploit
Behavioral Protection-gruppen af beskyttelseskomponenter omfatter tre komponenter: Anti-Bot, Behavioral Guard & Anti-Ransomware og Anti-Exploit. Anti-Bot giver dig mulighed for at overvåge og blokere C&C-forbindelser ved hjælp af den konstant opdaterede Check Point ThreatCloud-database. Behavioral Guard & Anti-Ransomware overvåger konstant aktivitet (filer, processer, netværksinteraktioner) på brugermaskinen og giver dig mulighed for at forhindre ransomware-angreb i de indledende faser. Derudover giver dette beskyttelseselement dig mulighed for at gendanne filer, der allerede er blevet krypteret af malwaren. Filer gendannes til deres oprindelige mapper, eller du kan angive en specifik sti, hvor alle gendannede filer vil blive gemt. Anti-udnyttelse giver dig mulighed for at opdage zero-day angreb. Alle Behavioral Protection-komponenter understøtter tre driftstilstande: Forebygg, Registrer og Fra.
Standardpolitikken for adfærdsbeskyttelse giver Prevent for komponenterne Anti-Bot og Behavioural Guard & Anti-Ransomware med gendannelse af krypterede filer i deres originale mapper. Anti-Exploit-komponenten er deaktiveret og bruges ikke.
Analyse & Udbedring
Automatiseret angrebsanalyse (Forensics), afhjælpning og reaktion
To sikkerhedskomponenter er tilgængelige til analyse og undersøgelse af sikkerhedshændelser: Automatiseret angrebsanalyse (Forensics) og Remediation & Response. Automatiseret angrebsanalyse (Forensics) giver dig mulighed for at generere rapporter om resultaterne af frastødende angreb med en detaljeret beskrivelse - helt ned til at analysere processen med at udføre malwaren på brugerens maskine. Det er også muligt at bruge funktionen Threat Hunting, som gør det muligt proaktivt at søge efter anomalier og potentielt ondsindet adfærd ved hjælp af foruddefinerede eller oprettede filtre. Afhjælpning & reaktion giver dig mulighed for at konfigurere indstillinger for gendannelse og karantæne af filer efter et angreb: brugerinteraktion med karantænefiler er reguleret, og det er også muligt at gemme filer i karantæne i en mappe angivet af administratoren.
Standardpolitikken for analyse og afhjælpning inkluderer beskyttelse, som inkluderer automatiske handlinger til gendannelse (afslutning af processer, gendannelse af filer osv.), og muligheden for at sende filer til karantæne er aktiv, og brugere kan kun slette filer fra karantæne.
Standardpolitik til forebyggelse af trusler: Test
Check Point CheckMe Endpoint
Den hurtigste og nemmeste måde at kontrollere sikkerheden på en brugers maskine mod de mest populære typer angreb er at udføre en test ved hjælp af ressourcen , som udfører en række typiske angreb af forskellige kategorier og giver dig mulighed for at få en rapport om resultaterne af test. I dette tilfælde blev indstillingen Endpoint-test brugt, hvor en eksekverbar fil downloades og lanceres på computeren, og derefter begynder verifikationsprocessen.
I processen med at kontrollere sikkerheden af en fungerende computer, signalerer SandBlast Agent om identificerede og reflekterede angreb på brugerens computer, for eksempel: Anti-Bot-bladet rapporterer påvisning af en infektion, Anti-Malware-bladet har opdaget og slettet ondsindet fil CP_AM.exe, og Threat Emulation-bladet har installeret, at CP_ZD.exe-filen er skadelig.
Baseret på resultaterne af test med CheckMe Endpoint har vi følgende resultat: ud af 6 angrebskategorier klarede standardpolitikken for forebyggelse af trusler ikke kun én kategori - Browserudnyttelse. Dette skyldes, at standardpolitikken til forebyggelse af trusler ikke inkluderer Anti-Exploit-bladet. Det er værd at bemærke, at uden SandBlast Agent installeret, bestod brugerens computer kun scanningen under Ransomware-kategorien.
KnowBe4 RanSim
For at teste driften af Anti-Ransomware-bladet kan du bruge en gratis løsning , som kører en række tests på brugerens maskine: 18 ransomware-infektionsscenarier og 1 cryptominer-infektionsscenarie. Det er værd at bemærke, at tilstedeværelsen af mange blade i standardpolitikken (Threat Emulation, Anti-Malware, Behavioural Guard) med handlingen Forebygg ikke tillader denne test at køre korrekt. Men selv med et reduceret sikkerhedsniveau (trusselsemulering i slukket tilstand) viser Anti-Ransomware blade-testen høje resultater: 18 ud af 19 tests bestået med succes (1 kunne ikke starte).
Ondsindede filer og dokumenter
Det er vejledende at kontrollere driften af forskellige blade i standardpolitikken for trusselforebyggelse ved hjælp af ondsindede filer af populære formater, der er downloadet til brugerens maskine. Denne test involverede 66 filer i PDF-, DOC-, DOCX-, EXE-, XLS-, XLSX-, CAB-, RTF-formater. Testresultaterne viste, at SandBlast Agent var i stand til at blokere 64 ondsindede filer ud af 66. Inficerede filer blev slettet efter download eller ryddet for ondsindet indhold ved hjælp af Threat Extraction og modtaget af brugeren.
Anbefalinger til forbedring af trusselsforebyggelsespolitikken
1. URL-filtrering
Den første ting, der skal rettes i standardpolitikken for at øge sikkerhedsniveauet for klientmaskinen, er at skifte URL-filtreringsbladet til Forhindre og angive de passende kategorier til blokering. I vores tilfælde blev alle kategorier valgt undtagen generel brug, da de omfatter de fleste af de ressourcer, som det er nødvendigt at begrænse adgangen til brugere på arbejdspladsen til. For sådanne websteder er det også tilrådeligt at fjerne muligheden for, at brugere kan springe advarselsvinduet over ved at fjerne markeringen i parameteren "Tillad brugeren at afvise URL-filtreringsadvarslen og få adgang til webstedet".
2.Download beskyttelse
Den anden mulighed, der er værd at være opmærksom på, er brugerens mulighed for at downloade filer, der ikke understøttes af Check Point-emuleringen. Da vi i dette afsnit ser på forbedringer af standardpolitikken til forebyggelse af trusler fra et sikkerhedsperspektiv, ville den bedste mulighed være at blokere download af ikke-understøttede filer.
3. Filbeskyttelse
Du skal også være opmærksom på indstillingerne for beskyttelse af filer - især indstillingerne for periodisk scanning og muligheden for, at brugeren kan udskyde tvungen scanning. I dette tilfælde skal brugerens tidsramme tages i betragtning, og en god mulighed ud fra et sikkerheds- og ydeevnesynspunkt er at konfigurere en tvungen scanning til at køre hver dag, med tidspunktet valgt tilfældigt (fra 00:00 til 8: 00), og brugeren kan udsætte scanningen i højst en uge.
4. Anti-udnyttelse
En væsentlig ulempe ved standardpolitikken til forebyggelse af trusler er, at Anti-Exploit-bladet er deaktiveret. Det anbefales at aktivere dette blad med handlingen Forhindre for at beskytte arbejdsstationen mod angreb ved hjælp af udnyttelser. Med denne rettelse afsluttes CheckMe-gentesten uden at opdage sårbarheder på brugerens produktionsmaskine.
Konklusion
Lad os opsummere: i denne artikel stiftede vi bekendtskab med komponenterne i standardpolitikken til forebyggelse af trusler, testede denne politik ved hjælp af forskellige metoder og værktøjer og beskrev også anbefalinger til forbedring af standardpolitikkens indstillinger for at øge sikkerhedsniveauet på brugermaskinen . I den næste artikel i serien vil vi gå videre til at studere databeskyttelsespolitikken og se på de globale politikindstillinger.
. For ikke at gå glip af de næste publikationer om emnet SandBlast Agent Management Platform, følg opdateringerne på vores sociale netværk (, , , , ).
Kilde: www.habr.com