Willkommen zum dritten Artikel der Serie über die neue cloudbasierte Verwaltungskonsole für den Schutz persönlicher Computer – Check Point SandBlast Agent Management Platform. Ich möchte Sie daran erinnern Wir machten uns mit dem Infinity Portal vertraut und erstellten einen cloudbasierten Agentenverwaltungsdienst, den Endpoint Management Service. In Wir haben die Benutzeroberfläche der Webverwaltungskonsole untersucht und einen Agenten mit einer Standardrichtlinie auf dem Benutzercomputer installiert. Heute werden wir uns den Inhalt der Standard-Sicherheitsrichtlinie zur Bedrohungsprävention ansehen und ihre Wirksamkeit bei der Abwehr populärer Angriffe testen.
Standardrichtlinie zur Bedrohungsprävention: Beschreibung
Die obige Abbildung zeigt eine standardmäßige Richtlinienregel zur Bedrohungsprävention, die standardmäßig für die gesamte Organisation (alle installierten Agenten) gilt und drei logische Gruppen von Schutzkomponenten umfasst: Web- und Dateischutz, Verhaltensschutz und Analyse und Behebung. Schauen wir uns die einzelnen Gruppen genauer an.
Web- und Dateischutz
URL-Filterung
Mit der URL-Filterung können Sie den Benutzerzugriff auf Webressourcen mithilfe von vordefinierten 5 Website-Kategorien steuern. Jede der 5 Kategorien enthält mehrere spezifischere Unterkategorien, mit denen Sie beispielsweise den Zugriff auf die Unterkategorie „Spiele“ blockieren und den Zugriff auf die Unterkategorie „Instant Messaging“ zulassen können, die in derselben Kategorie „Produktivitätsverlust“ enthalten sind. Mit bestimmten Unterkategorien verknüpfte URLs werden von Check Point ermittelt. Sie können die Kategorie überprüfen, zu der eine bestimmte URL gehört, oder eine Kategorieüberschreibung für eine spezielle Ressource anfordern .
Die Aktion kann auf „Verhindern“, „Erkennen“ oder „Aus“ eingestellt werden. Außerdem wird bei Auswahl der Aktion „Erkennen“ automatisch eine Einstellung hinzugefügt, die es Benutzern ermöglicht, die URL-Filterwarnung zu überspringen und zur gewünschten Ressource zu wechseln. Wenn Prevent verwendet wird, kann diese Einstellung entfernt werden und der Benutzer kann nicht auf die verbotene Site zugreifen. Eine weitere praktische Möglichkeit, verbotene Ressourcen zu kontrollieren, besteht darin, eine Sperrliste einzurichten, in der Sie Domänen und IP-Adressen angeben oder eine CSV-Datei mit einer Liste der zu blockierenden Domänen hochladen können.
In der Standardrichtlinie für die URL-Filterung ist die Aktion auf „Erkennen“ eingestellt und eine Kategorie ausgewählt – Sicherheit, für die Ereignisse erkannt werden. Zu dieser Kategorie gehören verschiedene Anonymisierer, Websites mit einem kritischen/hohen/mittleren Risikoniveau, Phishing-Websites, Spam und vieles mehr. Dank der Einstellung „Benutzer darf die URL-Filterwarnung schließen und auf die Website zugreifen“ können Benutzer jedoch weiterhin auf die Ressource zugreifen.
Laden Sie den (Web-)Schutz herunter
Mit Emulation & Extraction können Sie heruntergeladene Dateien in der Check Point Cloud-Sandbox emulieren und Dokumente im Handumdrehen bereinigen, potenziell schädliche Inhalte entfernen oder das Dokument in PDF konvertieren. Es gibt drei Betriebsarten:
- Vorbeugen – ermöglicht es Ihnen, vor dem endgültigen Emulationsurteil eine Kopie des bereinigten Dokuments zu erhalten oder auf den Abschluss der Emulation zu warten und die Originaldatei sofort herunterzuladen;
- Entdecken — führt die Emulation im Hintergrund durch, ohne den Benutzer daran zu hindern, die Originaldatei zu erhalten, unabhängig vom Urteil;
- Off — Alle Dateien dürfen heruntergeladen werden, ohne dass sie einer Emulation und Bereinigung potenziell schädlicher Komponenten unterzogen werden.
Es ist auch möglich, eine Aktion für Dateien auszuwählen, die von den Check Point-Emulations- und Reinigungstools nicht unterstützt werden – Sie können den Download aller nicht unterstützten Dateien zulassen oder verweigern.
Die Standardrichtlinie für den Download-Schutz ist auf „Verhindern“ eingestellt, was Ihnen ermöglicht, eine Kopie des Originaldokuments zu erhalten, das von potenziell schädlichen Inhalten befreit wurde, und das Herunterladen von Dateien zuzulassen, die von Emulations- und Bereinigungstools nicht unterstützt werden.
Anmeldedatenschutz
Die Credential Protection-Komponente schützt Benutzeranmeldeinformationen und umfasst zwei Komponenten: Zero Phishing und Passwortschutz. Kein Phishing schützt Benutzer vor dem Zugriff auf Phishing-Ressourcen und Passwortschutz Benachrichtigt den Benutzer über die Unzulässigkeit der Verwendung von Unternehmensanmeldeinformationen außerhalb der geschützten Domäne. „Zero Phishing“ kann auf „Verhindern“, „Erkennen“ oder „Aus“ eingestellt werden. Wenn die Aktion „Verhindern“ festgelegt ist, ist es möglich, Benutzern zu erlauben, die Warnung vor einer potenziellen Phishing-Ressource zu ignorieren und Zugriff auf die Ressource zu erhalten, oder diese Option zu deaktivieren und den Zugriff dauerhaft zu blockieren. Mit einer Erkennungsaktion haben Benutzer immer die Möglichkeit, die Warnung zu ignorieren und auf die Ressource zuzugreifen. Mit dem Passwortschutz können Sie geschützte Domänen auswählen, deren Passwörter auf Konformität überprüft werden, und eine von drei Aktionen ausführen: Erkennen und benachrichtigen (Benutzer benachrichtigen), Erkennen oder Aus.
Die Standardrichtlinie für den Anmeldeinformationsschutz besteht darin, zu verhindern, dass Phishing-Ressourcen Benutzer daran hindern, auf eine potenziell schädliche Website zuzugreifen. Der Schutz vor der Verwendung von Firmenkennwörtern ist ebenfalls aktiviert, aber ohne die angegebenen Domänen funktioniert diese Funktion nicht.
Dateischutz
Der Dateischutz ist für den Schutz der auf dem Computer des Benutzers gespeicherten Dateien verantwortlich und umfasst zwei Komponenten: Anti-Malware und Emulation von Dateibedrohungen. Anti-Malware ist ein Tool, das regelmäßig alle Benutzer- und Systemdateien mithilfe der Signaturanalyse scannt. In den Einstellungen dieser Komponente können Sie die Einstellungen für regelmäßige oder zufällige Scanzeiten, den Signaturaktualisierungszeitraum und die Möglichkeit für Benutzer konfigurieren, geplante Scans abzubrechen. Bedrohungsemulation für Dateien ermöglicht es Ihnen, Dateien zu emulieren, die auf dem Computer des Benutzers in der Check Point Cloud-Sandbox gespeichert sind. Diese Sicherheitsfunktion funktioniert jedoch nur im Erkennungsmodus.
Die Standardrichtlinie für den Dateischutz umfasst den Schutz durch Anti-Malware und die Erkennung schädlicher Dateien durch Files Threat Emulation. Jeden Monat wird ein regelmäßiger Scan durchgeführt und die Signaturen auf dem Benutzercomputer werden alle 4 Stunden aktualisiert. Gleichzeitig sind Benutzer so konfiguriert, dass sie einen geplanten Scan abbrechen können, spätestens jedoch 30 Tage nach dem Datum des letzten erfolgreichen Scans.
Verhaltensschutz
Anti-Bot, Behavioral Guard & Anti-Ransomware, Anti-Exploit
Die Gruppe der Schutzkomponenten „Behavioral Protection“ umfasst drei Komponenten: Anti-Bot, Behavioral Guard & Anti-Ransomware und Anti-Exploit. Anti-Bot ermöglicht Ihnen die Überwachung und Blockierung von C&C-Verbindungen mithilfe der ständig aktualisierten Check Point ThreatCloud-Datenbank. Verhaltensschutz und Anti-Ransomware Überwacht ständig die Aktivität (Dateien, Prozesse, Netzwerkinteraktionen) auf dem Benutzercomputer und ermöglicht es Ihnen, Ransomware-Angriffe im Anfangsstadium zu verhindern. Darüber hinaus ermöglicht Ihnen dieses Schutzelement die Wiederherstellung von Dateien, die bereits von der Malware verschlüsselt wurden. Dateien werden in ihren ursprünglichen Verzeichnissen wiederhergestellt, oder Sie können einen bestimmten Pfad angeben, in dem alle wiederhergestellten Dateien gespeichert werden. Anti-Exploit ermöglicht die Erkennung von Zero-Day-Angriffen. Alle Komponenten des Verhaltensschutzes unterstützen drei Betriebsmodi: Verhindern, Erkennen und Aus.
Die Standardrichtlinie für den Verhaltensschutz sieht Prevent für die Komponenten Anti-Bot und Behavioral Guard & Anti-Ransomware vor, mit der Wiederherstellung verschlüsselter Dateien in ihren ursprünglichen Verzeichnissen. Die Anti-Exploit-Komponente ist deaktiviert und wird nicht verwendet.
Analyse und Behebung
Automatisierte Angriffsanalyse (Forensik), Behebung und Reaktion
Zur Analyse und Untersuchung von Sicherheitsvorfällen stehen zwei Sicherheitskomponenten zur Verfügung: Automatisierte Angriffsanalyse (Forensik) und Remediation & Response. Automatisierte Angriffsanalyse (Forensik) ermöglicht es Ihnen, Berichte über die Ergebnisse der Abwehr von Angriffen mit einer detaillierten Beschreibung zu erstellen – bis hin zur Analyse des Prozesses der Ausführung der Malware auf dem Computer des Benutzers. Es besteht auch die Möglichkeit, die Threat-Hunting-Funktion zu nutzen, die es ermöglicht, mithilfe vordefinierter oder erstellter Filter proaktiv nach Anomalien und potenziell schädlichem Verhalten zu suchen. Abhilfe und Reaktion ermöglicht Ihnen, Einstellungen für die Wiederherstellung und Quarantäne von Dateien nach einem Angriff zu konfigurieren: Die Benutzerinteraktion mit Quarantänedateien ist geregelt, und es ist auch möglich, unter Quarantäne gestellte Dateien in einem vom Administrator angegebenen Verzeichnis zu speichern.
Die standardmäßige Analyse- und Korrekturrichtlinie umfasst einen Schutz, der automatische Aktionen zur Wiederherstellung (Beenden von Prozessen, Wiederherstellen von Dateien usw.) umfasst. Die Option zum Versenden von Dateien in die Quarantäne ist aktiv und Benutzer können Dateien nur aus der Quarantäne löschen.
Standardrichtlinie zur Bedrohungsprävention: Tests
Check Point CheckMe-Endpunkt
Der schnellste und einfachste Weg, die Sicherheit des Computers eines Benutzers vor den gängigsten Angriffsarten zu überprüfen, besteht darin, einen Test mit der Ressource durchzuführen , das eine Reihe typischer Angriffe verschiedener Kategorien ausführt und Ihnen ermöglicht, einen Bericht über die Testergebnisse zu erhalten. In diesem Fall wurde die Endpoint-Testoption verwendet, bei der eine ausführbare Datei heruntergeladen und auf dem Computer gestartet wird und dann der Überprüfungsprozess beginnt.
Bei der Überprüfung der Sicherheit eines funktionierenden Computers meldet der SandBlast Agent beispielsweise erkannte und reflektierte Angriffe auf den Computer des Benutzers: Das Anti-Bot-Blade meldet die Erkennung einer Infektion, das Anti-Malware-Blade hat die erkannt und gelöscht Die schädliche Datei CP_AM.exe und das Threat Emulation Blade haben festgestellt, dass die Datei CP_ZD.exe schädlich ist.
Basierend auf den Testergebnissen mit CheckMe Endpoint haben wir das folgende Ergebnis: Von sechs Angriffskategorien konnte die Standard-Bedrohungspräventionsrichtlinie nur eine Kategorie nicht bewältigen – Browser-Exploit. Dies liegt daran, dass die standardmäßige Bedrohungsschutzrichtlinie das Anti-Exploit-Blade nicht enthält. Es ist erwähnenswert, dass der Computer des Benutzers ohne installierten SandBlast Agent den Scan nur in der Kategorie Ransomware bestanden hat.
KnowBe4 RanSim
Um die Funktion des Anti-Ransomware-Blades zu testen, können Sie eine kostenlose Lösung verwenden , das eine Reihe von Tests auf dem Computer des Benutzers durchführt: 18 Ransomware-Infektionsszenarien und 1 Kryptominer-Infektionsszenario. Es ist zu beachten, dass das Vorhandensein vieler Blades in der Standardrichtlinie (Bedrohungsemulation, Anti-Malware, Verhaltensschutz) mit der Aktion „Verhindern“ die korrekte Ausführung dieses Tests nicht ermöglicht. Doch selbst bei reduzierter Sicherheitsstufe (Bedrohungsemulation im Aus-Modus) zeigt der Anti-Ransomware-Blade-Test gute Ergebnisse: 18 von 19 Tests wurden erfolgreich bestanden (1 konnte nicht gestartet werden).
Schädliche Dateien und Dokumente
Es empfiehlt sich, die Funktionsfähigkeit verschiedener Blades der standardmäßigen Threat Prevention-Richtlinie mithilfe schädlicher Dateien in gängigen Formaten zu überprüfen, die auf den Computer des Benutzers heruntergeladen wurden. Dieser Test umfasste 66 Dateien in den Formaten PDF, DOC, DOCX, EXE, XLS, XLSX, CAB und RTF. Die Testergebnisse zeigten, dass SandBlast Agent 64 von 66 schädlichen Dateien blockieren konnte. Infizierte Dateien wurden nach dem Herunterladen gelöscht oder mithilfe von Threat Extraction von schädlichen Inhalten befreit und vom Benutzer empfangen.
Empfehlungen zur Verbesserung der Bedrohungspräventionsrichtlinie
1. URL-Filterung
Das erste, was in der Standardrichtlinie korrigiert werden muss, um das Sicherheitsniveau des Client-Computers zu erhöhen, besteht darin, das Blatt „URL-Filterung“ auf „Verhindern“ umzustellen und die entsprechenden Kategorien für die Blockierung anzugeben. In unserem Fall wurden alle Kategorien außer „Allgemeine Nutzung“ ausgewählt, da sie die meisten Ressourcen umfassen, auf die der Zugriff auf Benutzer am Arbeitsplatz beschränkt werden muss. Außerdem ist es für solche Websites ratsam, den Benutzern die Möglichkeit zu entziehen, das Warnfenster zu überspringen, indem sie den Parameter „Benutzer dürfen die URL-Filterwarnung schließen und auf die Website zugreifen“ deaktivieren.
2.Download-Schutz
Die zweite Option, die es zu beachten gilt, ist die Möglichkeit für Benutzer, Dateien herunterzuladen, die von der Check Point-Emulation nicht unterstützt werden. Da wir uns in diesem Abschnitt mit Verbesserungen der standardmäßigen Bedrohungsschutzrichtlinie aus Sicherheitsgründen befassen, besteht die beste Option darin, den Download nicht unterstützter Dateien zu blockieren.
3. Dateischutz
Sie müssen auch auf die Einstellungen zum Schutz von Dateien achten – insbesondere auf die Einstellungen für regelmäßige Scans und die Möglichkeit für den Benutzer, erzwungene Scans aufzuschieben. In diesem Fall muss der Zeitrahmen des Benutzers berücksichtigt werden, und aus Sicherheits- und Leistungssicht ist es eine gute Option, einen erzwungenen Scan so zu konfigurieren, dass er jeden Tag ausgeführt wird und die Zeit zufällig ausgewählt wird (von 00:00 bis 8:00 Uhr). XNUMX) und der Benutzer kann den Scan um maximal eine Woche verzögern.
4. Anti-Exploit
Ein wesentlicher Nachteil der standardmäßigen Bedrohungsschutzrichtlinie besteht darin, dass das Anti-Exploit-Blade deaktiviert ist. Es wird empfohlen, dieses Blade mit der Aktion „Verhindern“ zu aktivieren, um die Workstation vor Angriffen mithilfe von Exploits zu schützen. Mit diesem Fix wird der CheckMe-Retest erfolgreich abgeschlossen, ohne dass Schwachstellen auf dem Produktionscomputer des Benutzers erkannt werden.
Abschluss
Fassen wir zusammen: In diesem Artikel haben wir uns mit den Komponenten der Standardrichtlinie zur Bedrohungsprävention vertraut gemacht, diese Richtlinie mit verschiedenen Methoden und Tools getestet und außerdem Empfehlungen zur Verbesserung der Einstellungen der Standardrichtlinie beschrieben, um das Sicherheitsniveau des Benutzercomputers zu erhöhen . Im nächsten Artikel der Serie werden wir uns mit der Untersuchung der Datenschutzrichtlinie befassen und einen Blick auf die globalen Richtlinieneinstellungen werfen.
. Um die nächsten Veröffentlichungen zum Thema SandBlast Agent Management Platform nicht zu verpassen, verfolgen Sie die Updates in unseren sozialen Netzwerken (, , , , ).
Source: habr.com