Καλώς ήρθατε στο τρίτο άρθρο της σειράς σχετικά με τη νέα κονσόλα διαχείρισης προστασίας προσωπικών υπολογιστών που βασίζεται σε σύννεφο - Check Point SandBlast Agent Management Platform. Να σας υπενθυμίσω ότι σε γνωριστήκαμε με το Infinity Portal και δημιουργήσαμε μια υπηρεσία διαχείρισης πρακτόρων που βασίζεται σε σύννεφο, την Υπηρεσία Διαχείρισης Endpoint. Σε Μελετήσαμε τη διεπαφή της κονσόλας διαχείρισης ιστού και εγκαταστήσαμε έναν πράκτορα με μια τυπική πολιτική στο μηχάνημα χρήστη. Σήμερα θα δούμε τα περιεχόμενα της τυπικής πολιτικής ασφαλείας για την πρόληψη απειλών και θα δοκιμάσουμε την αποτελεσματικότητά της στην αντιμετώπιση δημοφιλών επιθέσεων.
Τυπική πολιτική πρόληψης απειλών: Περιγραφή
Το παραπάνω σχήμα δείχνει έναν τυπικό κανόνα πολιτικής αποτροπής απειλών, ο οποίος από προεπιλογή ισχύει για ολόκληρο τον οργανισμό (όλοι οι εγκατεστημένοι πράκτορες) και περιλαμβάνει τρεις λογικές ομάδες στοιχείων προστασίας: Προστασία Ιστού και αρχείων, Προστασία συμπεριφοράς και Ανάλυση και αποκατάσταση. Ας ρίξουμε μια πιο προσεκτική ματιά σε κάθε μία από τις ομάδες.
Προστασία ιστού και αρχείων
Φιλτράρισμα URL
Το Φιλτράρισμα URL σάς επιτρέπει να ελέγχετε την πρόσβαση των χρηστών σε πόρους ιστού, χρησιμοποιώντας προκαθορισμένες 5 κατηγορίες τοποθεσιών. Κάθε μία από τις 5 κατηγορίες περιέχει πολλές πιο συγκεκριμένες υποκατηγορίες, οι οποίες σας επιτρέπουν να διαμορφώσετε, για παράδειγμα, να αποκλείετε την πρόσβαση στην υποκατηγορία Παιχνιδιών και να επιτρέπετε την πρόσβαση στην υποκατηγορία Instant Messaging, οι οποίες περιλαμβάνονται στην ίδια κατηγορία Απώλεια Παραγωγικότητας. Οι διευθύνσεις URL που σχετίζονται με συγκεκριμένες υποκατηγορίες καθορίζονται από το Σημείο ελέγχου. Μπορείτε να ελέγξετε την κατηγορία στην οποία ανήκει μια συγκεκριμένη διεύθυνση URL ή να ζητήσετε παράκαμψη κατηγορίας σε έναν ειδικό πόρο .
Η ενέργεια μπορεί να ρυθμιστεί σε Αποτροπή, Ανίχνευση ή Απενεργοποίηση. Επίσης, όταν επιλέγετε την ενέργεια Ανίχνευση, προστίθεται αυτόματα μια ρύθμιση που επιτρέπει στους χρήστες να παραλείψουν την προειδοποίηση Φιλτραρίσματος διεύθυνσης URL και να μεταβούν στον πόρο που ενδιαφέρει. Εάν χρησιμοποιηθεί η Αποτροπή, αυτή η ρύθμιση μπορεί να αφαιρεθεί και ο χρήστης δεν θα έχει πρόσβαση στον απαγορευμένο ιστότοπο. Ένας άλλος βολικός τρόπος για να ελέγξετε τους απαγορευμένους πόρους είναι να δημιουργήσετε μια λίστα αποκλεισμού, στην οποία μπορείτε να καθορίσετε τομείς, διευθύνσεις IP ή να ανεβάσετε ένα αρχείο .csv με μια λίστα τομέων προς αποκλεισμό.
Στην τυπική πολιτική για το Φιλτράρισμα URL, η ενέργεια ορίζεται σε Ανίχνευση και επιλέγεται μία κατηγορία - Ασφάλεια, για την οποία θα εντοπιστούν συμβάντα. Αυτή η κατηγορία περιλαμβάνει διάφορους ανωνυμοποιητές, ιστότοπους με κρίσιμο/υψηλό/μεσαίο επίπεδο κινδύνου, ιστότοπους phishing, ανεπιθύμητα μηνύματα και πολλά άλλα. Ωστόσο, οι χρήστες θα εξακολουθούν να έχουν πρόσβαση στον πόρο χάρη στη ρύθμιση "Να επιτρέπεται στον χρήστη να απορρίψει την ειδοποίηση Φιλτραρίσματος διεύθυνσης URL και να έχει πρόσβαση στον ιστότοπο".
Λήψη (web) Προστασία
Το Emulation & Extraction σάς επιτρέπει να κάνετε εξομοίωση ληφθέντων αρχείων στο Check Point cloud sandbox και να καθαρίζετε έγγραφα εν κινήσει, αφαιρώντας δυνητικά κακόβουλο περιεχόμενο ή μετατρέποντας το έγγραφο σε PDF. Υπάρχουν τρεις τρόποι λειτουργίας:
- Αποτροπή — σας επιτρέπει να λάβετε ένα αντίγραφο του καθαρισμένου εγγράφου πριν από την τελική ετυμηγορία εξομοίωσης ή να περιμένετε να ολοκληρωθεί η εξομοίωση και να κάνετε λήψη του αρχικού αρχείου αμέσως.
- Ανιχνεύουν — πραγματοποιεί εξομοίωση στο παρασκήνιο, χωρίς να εμποδίζει τον χρήστη να λάβει το αρχικό αρχείο, ανεξάρτητα από την ετυμηγορία·
- Εκτός — επιτρέπεται η λήψη οποιωνδήποτε αρχείων χωρίς εξομοίωση και καθαρισμό δυνητικά κακόβουλων στοιχείων.
Είναι επίσης δυνατό να επιλέξετε μια ενέργεια για αρχεία που δεν υποστηρίζονται από εργαλεία εξομοίωσης και καθαρισμού Check Point - μπορείτε να επιτρέψετε ή να απορρίψετε τη λήψη όλων των μη υποστηριζόμενων αρχείων.
Η τυπική πολιτική για την Προστασία λήψης έχει οριστεί σε Αποτροπή, η οποία σας επιτρέπει να αποκτήσετε ένα αντίγραφο του αρχικού εγγράφου που έχει διαγραφεί από δυνητικά κακόβουλο περιεχόμενο, καθώς και να επιτρέπεται η λήψη αρχείων που δεν υποστηρίζονται από εργαλεία εξομοίωσης και καθαρισμού.
Προστασία διαπιστευτηρίων
Το στοιχείο Προστασία διαπιστευτηρίων προστατεύει τα διαπιστευτήρια χρήστη και περιλαμβάνει 2 στοιχεία: Μηδενικό ηλεκτρονικό ψάρεμα και Προστασία με κωδικό πρόσβασης. Μηδενικό Phishing προστατεύει τους χρήστες από την πρόσβαση σε πόρους phishing και Προστασία με κωδικό πρόσβασης ειδοποιεί τον χρήστη για το απαράδεκτο της χρήσης εταιρικών διαπιστευτηρίων εκτός του προστατευόμενου τομέα. Το Zero Phishing μπορεί να ρυθμιστεί σε Prevent, Detect ή Off. Όταν έχει οριστεί η ενέργεια Αποτροπή, είναι δυνατό να επιτραπεί στους χρήστες να αγνοήσουν την προειδοποίηση σχετικά με έναν πιθανό πόρο ηλεκτρονικού ψαρέματος και να αποκτήσουν πρόσβαση στον πόρο ή να απενεργοποιήσουν αυτήν την επιλογή και να αποκλείσουν την πρόσβαση για πάντα. Με μια ενέργεια εντοπισμού, οι χρήστες έχουν πάντα την επιλογή να αγνοήσουν την προειδοποίηση και να αποκτήσουν πρόσβαση στον πόρο. Η Προστασία με κωδικό πρόσβασης σάς επιτρέπει να επιλέξετε προστατευμένους τομείς για τους οποίους οι κωδικοί πρόσβασης θα ελέγχονται για συμμόρφωση και μία από τις τρεις ενέργειες: Ανίχνευση και ειδοποίηση (ειδοποίηση του χρήστη), Εντοπισμός ή Απενεργοποίηση.
Η τυπική πολιτική για την προστασία διαπιστευτηρίων είναι να αποτρέπει τυχόν πόρους ηλεκτρονικού "ψαρέματος" (phishing) να εμποδίζουν τους χρήστες να έχουν πρόσβαση σε έναν δυνητικά κακόβουλο ιστότοπο. Η προστασία από τη χρήση εταιρικών κωδικών πρόσβασης είναι επίσης ενεργοποιημένη, αλλά χωρίς τους καθορισμένους τομείς αυτή η δυνατότητα δεν θα λειτουργήσει.
Προστασία αρχείων
Η Προστασία αρχείων είναι υπεύθυνη για την προστασία των αρχείων που είναι αποθηκευμένα στο μηχάνημα του χρήστη και περιλαμβάνει δύο στοιχεία: Anti-Malware και Files Threat Emulation. Anti-Malware είναι ένα εργαλείο που σαρώνει τακτικά όλα τα αρχεία χρήστη και συστήματος χρησιμοποιώντας ανάλυση υπογραφών. Στις ρυθμίσεις αυτού του στοιχείου, μπορείτε να διαμορφώσετε τις ρυθμίσεις για κανονικούς χρόνους σάρωσης ή τυχαίους χρόνους σάρωσης, την περίοδο ενημέρωσης της υπογραφής και τη δυνατότητα για τους χρήστες να ακυρώνουν την προγραμματισμένη σάρωση. Εξομοίωση απειλών αρχείων σας επιτρέπει να προσομοιώνετε αρχεία που είναι αποθηκευμένα στο μηχάνημα του χρήστη στο πλαίσιο δοκιμών στο σύννεφο Check Point, ωστόσο, αυτή η δυνατότητα ασφαλείας λειτουργεί μόνο σε λειτουργία ανίχνευσης.
Η τυπική πολιτική για την προστασία αρχείων περιλαμβάνει προστασία με Anti-Malware και εντοπισμό κακόβουλων αρχείων με Files Threat Emulation. Η τακτική σάρωση πραγματοποιείται κάθε μήνα και οι υπογραφές στο μηχάνημα χρήστη ενημερώνονται κάθε 4 ώρες. Ταυτόχρονα, οι χρήστες διαμορφώνονται ώστε να μπορούν να ακυρώνουν μια προγραμματισμένη σάρωση, αλλά όχι αργότερα από 30 ημέρες από την ημερομηνία της τελευταίας επιτυχημένης σάρωσης.
Προστασία συμπεριφοράς
Anti-Bot, Behavioral Guard & Anti-Ransomware, Anti-Exploit
Η ομάδα εξαρτημάτων προστασίας συμπεριφοράς περιλαμβάνει τρία στοιχεία: Anti-Bot, Behavioral Guard & Anti-Ransomware και Anti-Exploit. Anti-Bot σας επιτρέπει να παρακολουθείτε και να αποκλείετε τις συνδέσεις C&C χρησιμοποιώντας τη συνεχώς ενημερωμένη βάση δεδομένων Check Point ThreatCloud. Behavioral Guard & Anti-Ransomware παρακολουθεί συνεχώς τη δραστηριότητα (αρχεία, διεργασίες, αλληλεπιδράσεις δικτύου) στο μηχάνημα χρήστη και σας επιτρέπει να αποτρέψετε επιθέσεις ransomware στα αρχικά στάδια. Επιπλέον, αυτό το στοιχείο προστασίας σάς επιτρέπει να επαναφέρετε αρχεία που έχουν ήδη κρυπτογραφηθεί από το κακόβουλο λογισμικό. Τα αρχεία αποκαθίστανται στους αρχικούς τους καταλόγους ή μπορείτε να καθορίσετε μια συγκεκριμένη διαδρομή όπου θα αποθηκεύονται όλα τα ανακτημένα αρχεία. Anti-Exploit σας επιτρέπει να εντοπίζετε επιθέσεις μηδενικής ημέρας. Όλα τα στοιχεία Προστασίας Συμπεριφοράς υποστηρίζουν τρεις τρόπους λειτουργίας: Αποτροπή, Ανίχνευση και Απενεργοποίηση.
Η τυπική πολιτική για την Προστασία συμπεριφοράς παρέχει Αποτροπή για τα στοιχεία Anti-Bot και Behavioral Guard & Anti-Ransomware, με την επαναφορά κρυπτογραφημένων αρχείων στους αρχικούς καταλόγους τους. Το στοιχείο Anti-Exploit είναι απενεργοποιημένο και δεν χρησιμοποιείται.
Ανάλυση & Αποκατάσταση
Αυτοματοποιημένη Ανάλυση Επιθέσεων (Ιατροδικαστική), Αποκατάσταση & Απόκριση
Δύο στοιχεία ασφαλείας είναι διαθέσιμα για ανάλυση και διερεύνηση περιστατικών ασφαλείας: Αυτοματοποιημένη Ανάλυση Επιθέσεων (Εδικαιολόγων) και Αποκατάσταση & Απόκριση. Αυτοματοποιημένη Ανάλυση επιθέσεων (Εδικατροδικαστική) σας επιτρέπει να δημιουργείτε αναφορές για τα αποτελέσματα της απόκρουσης επιθέσεων με λεπτομερή περιγραφή - μέχρι την ανάλυση της διαδικασίας εκτέλεσης του κακόβουλου λογισμικού στον υπολογιστή του χρήστη. Είναι επίσης δυνατή η χρήση της δυνατότητας Threat Hunting, η οποία καθιστά δυνατή την προληπτική αναζήτηση για ανωμαλίες και δυνητικά κακόβουλες συμπεριφορές χρησιμοποιώντας προκαθορισμένα ή δημιουργημένα φίλτρα. Αποκατάσταση & Αντίδραση σας επιτρέπει να διαμορφώσετε ρυθμίσεις για ανάκτηση και καραντίνα αρχείων μετά από επίθεση: η αλληλεπίδραση χρήστη με αρχεία καραντίνας ρυθμίζεται και είναι επίσης δυνατή η αποθήκευση αρχείων σε καραντίνα σε έναν κατάλογο που καθορίζεται από τον διαχειριστή.
Η τυπική πολιτική ανάλυσης και αποκατάστασης περιλαμβάνει προστασία, η οποία περιλαμβάνει αυτόματες ενέργειες για ανάκτηση (τερματισμός διεργασιών, επαναφορά αρχείων κ.λπ.) και η επιλογή αποστολής αρχείων σε καραντίνα είναι ενεργή και οι χρήστες μπορούν να διαγράψουν μόνο αρχεία από την καραντίνα.
Τυπική πολιτική πρόληψης απειλών: Δοκιμές
Check Point CheckMe Endpoint
Ο ταχύτερος και ευκολότερος τρόπος για να ελέγξετε την ασφάλεια του μηχανήματος ενός χρήστη έναντι των πιο δημοφιλών τύπων επιθέσεων είναι να πραγματοποιήσετε μια δοκιμή χρησιμοποιώντας τον πόρο , το οποίο εκτελεί μια σειρά από τυπικές επιθέσεις διαφόρων κατηγοριών και σας επιτρέπει να λαμβάνετε μια αναφορά για τα αποτελέσματα των δοκιμών. Σε αυτήν την περίπτωση, χρησιμοποιήθηκε η επιλογή δοκιμής τελικού σημείου, στην οποία γίνεται λήψη και εκκίνηση ενός εκτελέσιμου αρχείου στον υπολογιστή και, στη συνέχεια, ξεκινά η διαδικασία επαλήθευσης.
Κατά τη διαδικασία ελέγχου της ασφάλειας ενός υπολογιστή που λειτουργεί, το SandBlast Agent σηματοδοτεί για εντοπισμένες και ανακλώμενες επιθέσεις στον υπολογιστή του χρήστη, για παράδειγμα: η λεπίδα Anti-Bot αναφέρει την ανίχνευση μιας μόλυνσης, η λεπίδα Anti-Malware έχει εντοπίσει και διαγράψει κακόβουλο αρχείο CP_AM.exe και το Threat Emulation blade έχει εγκαταστήσει ότι το αρχείο CP_ZD.exe είναι κακόβουλο.
Με βάση τα αποτελέσματα των δοκιμών χρησιμοποιώντας το CheckMe Endpoint, έχουμε το εξής αποτέλεσμα: από τις 6 κατηγορίες επιθέσεων, η τυπική πολιτική πρόληψης απειλών απέτυχε να αντιμετωπίσει μόνο μία κατηγορία - το Browser Exploit. Αυτό συμβαίνει επειδή η τυπική πολιτική αποτροπής απειλών δεν περιλαμβάνει το blade Anti-Exploit. Αξίζει να σημειωθεί ότι χωρίς την εγκατάσταση του SandBlast Agent, ο υπολογιστής του χρήστη πέρασε τη σάρωση μόνο στην κατηγορία Ransomware.
KnowBe4 RanSim
Για να ελέγξετε τη λειτουργία του Anti-Ransomware blade, μπορείτε να χρησιμοποιήσετε μια δωρεάν λύση , το οποίο εκτελεί μια σειρά δοκιμών στο μηχάνημα του χρήστη: 18 σενάρια μόλυνσης από ransomware και 1 σενάριο μόλυνσης από cryptominer. Αξίζει να σημειωθεί ότι η παρουσία πολλών blade στην τυπική πολιτική (Threat Emulation, Anti-Malware, Behavioral Guard) με την ενέργεια Prevent δεν επιτρέπει τη σωστή εκτέλεση αυτής της δοκιμής. Ωστόσο, ακόμη και με μειωμένο επίπεδο ασφάλειας (Εξομοίωση απειλής σε κατάσταση Off), η δοκιμή Anti-Ransomware blade δείχνει υψηλά αποτελέσματα: 18 από τις 19 δοκιμές πέρασαν επιτυχώς (1 απέτυχε να ξεκινήσει).
Κακόβουλα αρχεία και έγγραφα
Είναι ενδεικτικό να ελέγχετε τη λειτουργία διαφορετικών blades της τυπικής πολιτικής αποτροπής απειλών χρησιμοποιώντας κακόβουλα αρχεία δημοφιλών μορφών που έχουν ληφθεί στο μηχάνημα του χρήστη. Αυτή η δοκιμή περιελάμβανε 66 αρχεία σε μορφές PDF, DOC, DOCX, EXE, XLS, XLSX, CAB, RTF. Τα αποτελέσματα των δοκιμών έδειξαν ότι το SandBlast Agent μπόρεσε να αποκλείσει 64 κακόβουλα αρχεία από τα 66. Τα μολυσμένα αρχεία διαγράφηκαν μετά τη λήψη ή εκκαθαρίστηκαν από κακόβουλο περιεχόμενο χρησιμοποιώντας το Threat Extraction και ελήφθησαν από τον χρήστη.
Συστάσεις για τη βελτίωση της πολιτικής πρόληψης απειλών
1. Φιλτράρισμα URL
Το πρώτο πράγμα που πρέπει να διορθωθεί στην τυπική πολιτική για να αυξηθεί το επίπεδο ασφάλειας του υπολογιστή-πελάτη είναι να αλλάξετε τη λεπίδα φίλτρου URL σε Αποτροπή και να καθορίσετε τις κατάλληλες κατηγορίες για αποκλεισμό. Στην περίπτωσή μας, επιλέχθηκαν όλες οι κατηγορίες εκτός από τη Γενική Χρήση, καθώς περιλαμβάνουν τους περισσότερους πόρους στους οποίους είναι απαραίτητο να περιοριστεί η πρόσβαση στους χρήστες στο χώρο εργασίας. Επίσης, για τέτοιους ιστότοπους, συνιστάται να καταργήσετε τη δυνατότητα παράβλεψης του παραθύρου προειδοποίησης από τους χρήστες καταργώντας την επιλογή της παραμέτρου «Να επιτρέπεται στον χρήστη να απορρίψει την ειδοποίηση Φιλτραρίσματος διεύθυνσης URL και να έχει πρόσβαση στον ιστότοπο».
2.Προστασία λήψης
Η δεύτερη επιλογή που αξίζει να προσέξετε είναι η δυνατότητα των χρηστών να κατεβάζουν αρχεία που δεν υποστηρίζονται από την εξομοίωση Check Point. Εφόσον σε αυτήν την ενότητα εξετάζουμε βελτιώσεις στην τυπική πολιτική πρόληψης απειλών από την άποψη της ασφάλειας, η καλύτερη επιλογή θα ήταν να αποκλείσετε τη λήψη μη υποστηριζόμενων αρχείων.
3. Προστασία αρχείων
Πρέπει επίσης να δώσετε προσοχή στις ρυθμίσεις για την προστασία των αρχείων - ειδικότερα, τις ρυθμίσεις για περιοδική σάρωση και τη δυνατότητα του χρήστη να αναβάλει την αναγκαστική σάρωση. Σε αυτήν την περίπτωση, πρέπει να ληφθεί υπόψη το χρονικό πλαίσιο του χρήστη και μια καλή επιλογή από την άποψη της ασφάλειας και της απόδοσης είναι να διαμορφώσετε μια αναγκαστική σάρωση ώστε να εκτελείται κάθε μέρα, με την ώρα να επιλέγεται τυχαία (από τις 00:00 έως τις 8: 00), και ο χρήστης μπορεί να καθυστερήσει τη σάρωση για το πολύ μία εβδομάδα.
4. Anti-Exploit
Ένα σημαντικό μειονέκτημα της τυπικής πολιτικής αποτροπής απειλών είναι ότι η λεπίδα Anti-Exploit είναι απενεργοποιημένη. Συνιστάται να ενεργοποιήσετε αυτό το blade με την ενέργεια Αποτροπή για την προστασία του σταθμού εργασίας από επιθέσεις που χρησιμοποιούν εκμεταλλεύσεις. Με αυτήν την επιδιόρθωση, ο επανέλεγχος του CheckMe ολοκληρώνεται με επιτυχία χωρίς να εντοπιστούν ευπάθειες στη μηχανή παραγωγής του χρήστη.
Συμπέρασμα
Ας συνοψίσουμε: σε αυτό το άρθρο εξοικειωθήκαμε με τα στοιχεία της τυπικής πολιτικής πρόληψης απειλών, δοκιμάσαμε αυτήν την πολιτική χρησιμοποιώντας διάφορες μεθόδους και εργαλεία και περιγράψαμε επίσης συστάσεις για τη βελτίωση των ρυθμίσεων της τυπικής πολιτικής για την αύξηση του επιπέδου ασφάλειας του μηχανήματος χρήστη . Στο επόμενο άρθρο της σειράς, θα προχωρήσουμε στη μελέτη της Πολιτικής Προστασίας Δεδομένων και θα δούμε τις Ρυθμίσεις Παγκόσμιας Πολιτικής.
. Για να μην χάσετε τις ακόλουθες δημοσιεύσεις σχετικά με το θέμα SandBlast Agent Management Platform - ακολουθήστε τις ενημερώσεις στα κοινωνικά μας δίκτυα (, , , , ).
Πηγή: www.habr.com