Bienvenido al tercer artículo de la serie sobre la nueva consola de administración de protección de computadoras personales basada en la nube: Check Point SandBlast Agent Management Platform. Déjame recordarte que en Nos familiarizamos con Infinity Portal y creamos un servicio de gestión de agentes basado en la nube, Endpoint Management Service. En Estudiamos la interfaz de la consola de administración web e instalamos un agente con una política estándar en la máquina del usuario. Hoy veremos el contenido de la política de seguridad estándar de Prevención de amenazas y probaremos su eficacia para contrarrestar los ataques populares.
Política estándar de prevención de amenazas: descripción
La figura anterior muestra una regla de política de Prevención de amenazas estándar, que de forma predeterminada se aplica a toda la organización (todos los agentes instalados) e incluye tres grupos lógicos de componentes de protección: Protección web y de archivos, Protección del comportamiento y Análisis y corrección. Echemos un vistazo más de cerca a cada uno de los grupos.
Protección web y de archivos
Filtrado de URL
El filtrado de URL le permite controlar el acceso de los usuarios a los recursos web, utilizando 5 categorías de sitios predefinidas. Cada una de las 5 categorías contiene varias subcategorías más específicas, lo que permite configurar, por ejemplo, bloquear el acceso a la subcategoría Juegos y permitir el acceso a la subcategoría Mensajería instantánea, que se incluyen en la misma categoría Pérdida de productividad. Check Point determina las URL asociadas con subcategorías específicas. Puede verificar la categoría a la que pertenece una URL específica o solicitar una anulación de categoría en un recurso especial. .
La acción se puede configurar en Prevenir, Detectar o Desactivar. Además, al seleccionar la acción Detectar, se agrega automáticamente una configuración que permite a los usuarios omitir la advertencia de Filtrado de URL e ir al recurso de interés. Si se utiliza Prevent, esta configuración se puede eliminar y el usuario no podrá acceder al sitio prohibido. Otra forma conveniente de controlar los recursos prohibidos es configurar una Lista de bloqueo, en la que puede especificar dominios, direcciones IP o cargar un archivo .csv con una lista de dominios para bloquear.
En la política estándar de filtrado de URL, la acción se establece en Detectar y se selecciona una categoría: Seguridad, para la cual se detectarán eventos. Esta categoría incluye varios anonimizadores, sitios con un nivel de riesgo Crítico/Alto/Medio, sitios de phishing, spam y mucho más. Sin embargo, los usuarios aún podrán acceder al recurso gracias a la configuración "Permitir al usuario descartar la alerta de filtrado de URL y acceder al sitio web".
Descargar (web) Protección
Emulación y extracción le permite emular archivos descargados en el entorno limitado de la nube de Check Point y limpiar documentos sobre la marcha, eliminando contenido potencialmente malicioso o convirtiendo el documento a PDF. Hay tres modos de funcionamiento:
- Prevenir — le permite obtener una copia del documento limpio antes del veredicto final de la emulación, o esperar a que se complete la emulación y descargar el archivo original inmediatamente;
- Detectar — realiza la emulación en segundo plano, sin impedir que el usuario reciba el archivo original, independientemente del veredicto;
- DESC — Se permite descargar cualquier archivo sin realizar emulación ni limpieza de componentes potencialmente maliciosos.
También es posible seleccionar una acción para archivos que no son compatibles con las herramientas de limpieza y emulación de Check Point; puede permitir o denegar la descarga de todos los archivos no compatibles.
La política estándar de Protección de descargas está configurada en Prevenir, lo que le permite obtener una copia del documento original que se ha limpiado de contenido potencialmente malicioso, además de permitir la descarga de archivos que no son compatibles con las herramientas de limpieza y emulación.
Protección de credenciales
El componente Protección de credenciales protege las credenciales de los usuarios e incluye 2 componentes: Zero Phishing y Protección con contraseña. Cero phishing protege a los usuarios del acceso a recursos de phishing, y Protección de contraseña notifica al usuario sobre la inadmisibilidad de utilizar credenciales corporativas fuera del dominio protegido. Zero Phishing se puede configurar en Prevenir, Detectar o Desactivar. Cuando se establece la acción Prevenir, es posible permitir a los usuarios ignorar la advertencia sobre un posible recurso de phishing y obtener acceso al recurso, o desactivar esta opción y bloquear el acceso para siempre. Con una acción Detectar, los usuarios siempre tienen la opción de ignorar la advertencia y acceder al recurso. La protección con contraseña le permite seleccionar dominios protegidos para los cuales se verificará el cumplimiento de las contraseñas y una de tres acciones: Detectar y alertar (notificar al usuario), Detectar o Desactivar.
La política estándar de Protección de credenciales es evitar que cualquier recurso de phishing impida a los usuarios acceder a un sitio potencialmente malicioso. También está habilitada la protección contra el uso de contraseñas corporativas, pero sin los dominios especificados esta función no funcionará.
Protección de archivos
Files Protection es responsable de proteger los archivos almacenados en la máquina del usuario e incluye dos componentes: Anti-Malware y Files Threat Emulation. Anti-Malware es una herramienta que escanea periódicamente todos los archivos del usuario y del sistema mediante el análisis de firmas. En la configuración de este componente, puede configurar los ajustes para el escaneo regular o los tiempos de escaneo aleatorio, el período de actualización de la firma y la capacidad de los usuarios de cancelar el escaneo programado. Emulación de amenazas de archivos le permite emular archivos almacenados en la máquina del usuario en el entorno limitado de la nube de Check Point; sin embargo, esta característica de seguridad solo funciona en el modo Detectar.
La política estándar de Protección de archivos incluye protección con Anti-Malware y detección de archivos maliciosos con Files Threat Emulation. Se realiza un escaneo periódico todos los meses y las firmas en la máquina del usuario se actualizan cada 4 horas. Al mismo tiempo, los usuarios están configurados para poder cancelar un análisis programado, pero a más tardar 30 días a partir de la fecha del último análisis exitoso.
Protección del comportamiento
Anti-Bot, Behavioral Guard y Anti-Ransomware, Anti-Exploit
El grupo de componentes de protección Behavioral Protection incluye tres componentes: Anti-Bot, Behavioral Guard & Anti-Ransomware y Anti-Exploit. anti-robot le permite monitorear y bloquear conexiones C&C utilizando la base de datos ThreatCloud de Check Point que se actualiza constantemente. Guardia de comportamiento y anti-ransomware monitorea constantemente la actividad (archivos, procesos, interacciones de red) en la máquina del usuario y le permite prevenir ataques de ransomware en las etapas iniciales. Además, este elemento de protección permite restaurar archivos que ya han sido cifrados por el malware. Los archivos se restauran a sus directorios originales o puede especificar una ruta específica donde se almacenarán todos los archivos recuperados. Anti-explotación le permite detectar ataques de día cero. Todos los componentes de Behavioral Protection admiten tres modos de funcionamiento: Prevenir, Detectar y Desactivar.
La política estándar de Protección del Comportamiento proporciona Prevent para los componentes Anti-Bot y Behavioral Guard & Anti-Ransomware, con la restauración de archivos cifrados en sus directorios originales. El componente Anti-Exploit está deshabilitado y no se utiliza.
Análisis y remediación
Análisis automatizado de ataques (forense), remediación y respuesta
Hay dos componentes de seguridad disponibles para el análisis y la investigación de incidentes de seguridad: Análisis de ataques automatizado (forense) y Remediación y respuesta. Análisis de ataques automatizado (forense) le permite generar informes sobre los resultados de repeler ataques con una descripción detallada, hasta analizar el proceso de ejecución del malware en la máquina del usuario. También es posible utilizar la función Threat Hunting, que permite buscar de forma proactiva anomalías y comportamientos potencialmente maliciosos mediante filtros predefinidos o creados. Remediación y respuesta le permite configurar los ajustes para la recuperación y cuarentena de archivos después de un ataque: la interacción del usuario con los archivos en cuarentena está regulada y también es posible almacenar archivos en cuarentena en un directorio especificado por el administrador.
La política estándar de Análisis y Remediación incluye protección, que incluye acciones automáticas de recuperación (finalizar procesos, restaurar archivos, etc.), y la opción de enviar archivos a cuarentena está activa y los usuarios solo pueden eliminar archivos de la cuarentena.
Política estándar de prevención de amenazas: pruebas
Punto de control Punto final CheckMe
La forma más rápida y sencilla de comprobar la seguridad de la máquina de un usuario frente a los tipos de ataques más populares es realizar una prueba utilizando el recurso , que lleva a cabo una serie de ataques típicos de varias categorías y le permite obtener un informe sobre los resultados de las pruebas. En este caso se utilizó la opción Endpoint testing, en la que se descarga un archivo ejecutable y se inicia en la computadora, y luego comienza el proceso de verificación.
En el proceso de verificar la seguridad de una computadora en funcionamiento, SandBlast Agent señala ataques identificados y reflejados en la computadora del usuario, por ejemplo: la hoja Anti-Bot informa la detección de una infección, la hoja Anti-Malware ha detectado y eliminado el archivo malicioso CP_AM.exe y la hoja Threat Emulation ha instalado que el archivo CP_ZD.exe es malicioso.
Según los resultados de las pruebas con CheckMe Endpoint, tenemos el siguiente resultado: de 6 categorías de ataques, la política estándar de Prevención de amenazas no pudo hacer frente a solo una categoría: Browser Exploit. Esto se debe a que la política estándar de Prevención de amenazas no incluye la hoja Anti-Exploit. Vale la pena señalar que sin SandBlast Agent instalado, la computadora del usuario pasó el análisis solo en la categoría Ransomware.
KnowBe4 RanSim
Para probar el funcionamiento de la hoja Anti-Ransomware, puede utilizar una solución gratuita , que ejecuta una serie de pruebas en la máquina del usuario: 18 escenarios de infección de ransomware y 1 escenario de infección de criptominero. Vale la pena señalar que la presencia de muchos blades en la política estándar (Threat Emulation, Anti-Malware, Behavioral Guard) con la acción Prevent no permite que esta prueba se ejecute correctamente. Sin embargo, incluso con un nivel de seguridad reducido (Emulación de amenazas en modo desactivado), la prueba de la hoja Anti-Ransomware muestra resultados altos: 18 de 19 pruebas pasaron con éxito (1 no pudo iniciarse).
Archivos y documentos maliciosos
Es indicativo comprobar el funcionamiento de diferentes hojas de la política estándar de Prevención de amenazas utilizando archivos maliciosos de formatos populares descargados en la máquina del usuario. Esta prueba involucró 66 archivos en formatos PDF, DOC, DOCX, EXE, XLS, XLSX, CAB, RTF. Los resultados de la prueba mostraron que SandBlast Agent pudo bloquear 64 archivos maliciosos de 66. Los archivos infectados se eliminaron después de la descarga o se eliminaron el contenido malicioso mediante Threat Extraction y los recibió el usuario.
Recomendaciones para mejorar la política de Prevención de Amenazas
1. Filtrado de URL
Lo primero que debe corregirse en la política estándar para aumentar el nivel de seguridad de la máquina cliente es cambiar la hoja Filtrado de URL a Prevenir y especificar las categorías apropiadas para el bloqueo. En nuestro caso se seleccionaron todas las categorías excepto Uso General, ya que incluyen la mayoría de recursos a los que es necesario restringir el acceso a los usuarios en el lugar de trabajo. Además, para dichos sitios, es recomendable eliminar la posibilidad de que los usuarios omitan la ventana de advertencia desmarcando el parámetro "Permitir al usuario descartar la alerta de filtrado de URL y acceder al sitio web".
2.Protección de descarga
La segunda opción a la que vale la pena prestar atención es la posibilidad de que los usuarios descarguen archivos que no son compatibles con la emulación de Check Point. Dado que en esta sección analizamos mejoras a la política estándar de Prevención de amenazas desde una perspectiva de seguridad, la mejor opción sería bloquear la descarga de archivos no compatibles.
3. Protección de archivos
También debe prestar atención a la configuración para proteger archivos, en particular, la configuración para el análisis periódico y la capacidad del usuario de posponer el análisis forzado. En este caso hay que tener en cuenta la franja horaria del usuario, y una buena opción desde el punto de vista de seguridad y rendimiento es configurar un análisis forzado para que se ejecute todos los días, con el horario seleccionado de forma aleatoria (de 00:00 a 8:00). XNUMX), y el usuario puede retrasar el escaneo por un máximo de una semana.
4. Antiexplotación
Un inconveniente importante de la política estándar de Prevención de amenazas es que la hoja Anti-Exploit está deshabilitada. Se recomienda habilitar este blade con la acción Prevent para proteger la estación de trabajo de ataques mediante exploits. Con esta solución, la nueva prueba de CheckMe se completa exitosamente sin detectar vulnerabilidades en la máquina de producción del usuario.
Conclusión
Resumamos: en este artículo nos familiarizamos con los componentes de la política estándar de Prevención de amenazas, probamos esta política utilizando varios métodos y herramientas y también describimos recomendaciones para mejorar la configuración de la política estándar para aumentar el nivel de seguridad de la máquina del usuario. . En el próximo artículo de la serie, pasaremos a estudiar la política de protección de datos y analizaremos la configuración de la política global.
. Para no perderse las próximas publicaciones sobre el tema SandBlast Agent Management Platform, siga las actualizaciones en nuestras redes sociales (, , , , ).
Fuente: habr.com