Tere tulemast sarja kolmandasse artiklisse, mis käsitleb uut pilvepõhist personaalarvuti kaitse halduskonsooli – Check Point SandBlast Agent Management Platform. Lubage mul teile seda meelde tuletada tutvusime Infinity portaaliga ja lõime pilvepõhise agendihaldusteenuse Endpoint Management Service. sisse Uurisime veebihalduskonsooli liidest ja installisime kasutaja masinasse standardpoliitikaga agendi. Täna vaatleme standardse ohuennetuse turvapoliitika sisu ja testime selle tõhusust populaarsete rünnakute vastu võitlemisel.
Standardne ohuennetuspoliitika: kirjeldus
Ülaltoodud joonisel on kujutatud standardne ohuennetuse poliitika reegel, mis vaikimisi kehtib kogu organisatsioonile (kõik installitud agendid) ja sisaldab kolme loogilist kaitsekomponentide rühma: veebi- ja failikaitse, käitumise kaitse ning analüüs ja parandamine. Vaatame iga rühma lähemalt.
Veebi ja failide kaitse
URL-i filtreerimine
URL-i filtreerimine võimaldab teil juhtida kasutajate juurdepääsu veebiressurssidele, kasutades eelmääratletud 5 saitide kategooriat. Kõik 5 kategooriat sisaldavad mitut spetsiifilisemat alamkategooriat, mis võimaldab konfigureerida näiteks juurdepääsu blokeerimise alamkategooriale Mängud ja juurdepääsu kiirsõnumite alamkategooriale, mis kuuluvad samasse produktiivsuse kaotuse kategooriasse. Konkreetsete alamkategooriatega seotud URL-id määrab Check Point. Saate kontrollida kategooriat, kuhu konkreetne URL kuulub, või taotleda eriressursside kategooria alistamist .
Toimingu saab määrata olekuks Enneta, Tuvasta või Väljas. Samuti lisatakse toimingu Tuvastamise valimisel automaatselt säte, mis võimaldab kasutajatel URL-i filtreerimise hoiatuse vahele jätta ja minna huvipakkuvasse ressurssi. Kui kasutatakse funktsiooni Prevent, saab selle sätte eemaldada ja kasutaja ei pääse keelatud saidile juurde. Teine mugav viis keelatud ressursside kontrollimiseks on luua blokeeringute loend, milles saate määrata domeene, IP-aadresse või laadida üles .csv-faili koos blokeeritavate domeenide loendiga.
URL-i filtreerimise standardpoliitikas on toiminguks määratud Tuvasta ja valitud on üks kategooria – Turvalisus, mille puhul sündmused tuvastatakse. Sellesse kategooriasse kuuluvad erinevad anonüümisaatorid, kriitilise/kõrge/keskmise riskitasemega saidid, andmepüügisaidid, rämpspost ja palju muud. Kasutajad pääsevad siiski ressursile juurde tänu sättele „Luba kasutajal URL-i filtreerimise hoiatusest loobuda ja veebisaidile juurde pääseda”.
Allalaadimise (veebi) kaitse
Emuleerimine ja ekstraheerimine võimaldab teil jäljendada allalaaditud faile Check Pointi pilve liivakastis ja puhastada dokumente käigult, eemaldades potentsiaalselt pahatahtliku sisu või teisendades dokumendi PDF-vormingusse. Töörežiimi on kolm:
- Takistama — võimaldab teil saada puhastatud dokumendi koopia enne lõplikku emuleerimisotsust või oodata emulatsiooni lõpuleviimist ja kohe algfaili alla laadida;
- Tuvastada — teostab taustal emulatsiooni, takistamata kasutajal algfaili vastu võtmast, olenemata otsusest;
- maha — kõiki faile on lubatud alla laadida ilma emuleerimiseta ja potentsiaalselt pahatahtlikest komponentidest puhastamiseta.
Samuti on võimalik valida toiming failidele, mida Check Pointi emulatsiooni- ja puhastustööriistad ei toeta – saate lubada või keelata kõigi toetamata failide allalaadimise.
Allalaadimiskaitse standardpoliitikaks on määratud Vältida, mis võimaldab hankida koopia originaaldokumendist, mis on potentsiaalselt pahatahtlikust sisust puhastatud, ning lubada alla laadida faile, mida emulatsiooni- ja puhastustööriistad ei toeta.
Mandaadi kaitse
Mandaadikaitse komponent kaitseb kasutaja mandaate ja sisaldab kahte komponenti: andmepüügi null ja paroolikaitse. Null andmepüügi kaitseb kasutajaid andmepüügiressurssidele juurdepääsu eest ja Parool kaitse teavitab kasutajat ettevõtte mandaatide kasutamise lubamatusest väljaspool kaitstud domeeni. Zero Phishing saab seada valikule Vältida, Tuvastada või Väljas. Kui toiming Vältida on määratud, on võimalik lubada kasutajatel võimaliku andmepüügiressursi hoiatust eirata ja ressursile juurde pääseda või see valik keelata ja juurdepääs igaveseks blokeerida. Tuvastamistoiminguga on kasutajatel alati võimalus hoiatust ignoreerida ja ressursile juurde pääseda. Paroolikaitse võimaldab valida kaitstud domeenid, mille paroolide vastavust kontrollitakse, ja ühte kolmest toimingust: Tuvasta ja hoiata (kasutajale teatamine), Tuvasta või Väljas.
Mandaadikaitse standardpoliitika seisneb selles, et andmepüügiressursid takistavad kasutajatel juurdepääsu potentsiaalselt pahatahtlikule saidile. Kaitse ettevõtte paroolide kasutamise vastu on samuti lubatud, kuid ilma määratud domeenideta see funktsioon ei tööta.
Failide kaitse
Failide kaitse vastutab kasutaja masinasse salvestatud failide kaitsmise eest ja sisaldab kahte komponenti: pahavaratõrje ja failiohu emulatsioon. Anti-Malware on tööriist, mis kontrollib regulaarselt kõiki kasutaja- ja süsteemifaile, kasutades allkirjaanalüüsi. Selle komponendi sätetes saate konfigureerida regulaarsete või juhuslike skannimisaegade sätted, allkirja värskendamise perioodi ja kasutajate võimaluse plaanitud skannimist tühistada. Failide ohu emuleerimine võimaldab emuleerida kasutaja masinasse salvestatud faile Check Pointi pilve liivakastis, kuid see turvafunktsioon töötab ainult tuvastamisrežiimis.
Failide kaitse standardpoliitika hõlmab kaitset pahavaratõrjega ja pahatahtlike failide tuvastamist Files Threat Emulation abil. Regulaarset skannimist tehakse iga kuu ja kasutaja masina allkirju uuendatakse iga 4 tunni järel. Samal ajal on kasutajad konfigureeritud nii, et nad saavad plaanitud kontrolli tühistada, kuid mitte hiljem kui 30 päeva jooksul alates viimase eduka skannimise kuupäevast.
Käitumise kaitse
Anti-Bot, käitumisvalvur ja lunavaravastane, ärakasutamise vastane
Kaitsekomponentide rühm käitumiskaitse sisaldab kolme komponenti: Anti-Bot, Behavioral Guard & Anti-Ransomware ja Anti-Exploit. Anti-Bot võimaldab jälgida ja blokeerida C&C ühendusi kasutades pidevalt uuendatavat Check Point ThreatCloud andmebaasi. Käitumiskaitse ja lunavaratõrje jälgib pidevalt tegevust (failid, protsessid, võrgusuhtlused) kasutaja masinas ja võimaldab ennetada lunavararünnakuid algstaadiumis. Lisaks võimaldab see kaitseelement taastada faile, mis on pahavara poolt juba krüpteeritud. Failid taastatakse nende algsetesse kataloogidesse või saate määrata kindla tee, kuhu kõik taastatud failid salvestatakse. Ärakasutamise vastane võimaldab tuvastada nullpäeva rünnakuid. Kõik käitumiskaitse komponendid toetavad kolme töörežiimi: enneta, tuvasta ja väljas.
Käitumiskaitse standardpoliitika pakub Anti-Bot ja Behavioral Guard & Anti-Ransomware komponentide ennetamist koos krüptitud failide taastamisega nende algsetes kataloogides. Anti-Exploit komponent on keelatud ja seda ei kasutata.
Analüüs ja heastamine
Automatiseeritud rünnakute analüüs (kohtuekspertiisi), heastamine ja reageerimine
Turvaintsidentide analüüsimiseks ja uurimiseks on saadaval kaks turbekomponenti: automatiseeritud rünnakuanalüüs (kohtuekspertiisi) ning parandus ja reageerimine. Automatiseeritud rünnakute analüüs (kohtuekspertiisi) võimaldab koostada aruandeid rünnakute tõrjumise tulemuste kohta koos üksikasjaliku kirjeldusega – kuni kasutaja masinas pahavara käivitamise protsessi analüüsini. Samuti on võimalik kasutada Threat Hunting funktsiooni, mis võimaldab ennetavalt otsida kõrvalekaldeid ja potentsiaalselt pahatahtlikku käitumist kasutades etteantud või loodud filtreid. Heastamine ja reageerimine võimaldab konfigureerida failide taastamise ja karantiini seadistusi pärast rünnakut: reguleeritud on kasutaja suhtlus karantiinifailidega, samuti on võimalik karantiini pandud faile salvestada administraatori määratud kataloogi.
Standardne Analysis & Remediation poliitika sisaldab kaitset, mis sisaldab automaatseid toiminguid taastamiseks (protsesside lõpetamine, failide taastamine jne) ning failide karantiini saatmise võimalus on aktiivne ning kasutajad saavad faile ainult karantiinist kustutada.
Tavaline ohtude ennetamise poliitika: testimine
Check Point CheckMe lõpp-punkt
Kiireim ja lihtsaim viis kasutaja masina turvalisuse kontrollimiseks kõige populaarsemate rünnakutüüpide vastu on testida ressurssi kasutades , mis viib läbi mitmeid tüüpilisi eri kategooria rünnakuid ja võimaldab teil saada aruannet testimise tulemuste kohta. Sel juhul kasutati Endpoint testimise valikut, mille käigus laaditakse alla ja käivitatakse arvutisse käivitatav fail ning seejärel algab kontrolliprotsess.
Töötava arvuti turvalisuse kontrollimise käigus annab SandBlast Agent märku tuvastatud ja peegeldunud rünnetest kasutaja arvuti vastu, näiteks: Anti-Bot blade teatab nakkuse tuvastamisest, pahavaratõrje tera on tuvastanud ja kustutanud pahatahtliku faili CP_AM.exe ja Threat Emulation tera on installinud, et fail CP_ZD.exe on pahatahtlik.
CheckMe Endpointi testimise tulemuste põhjal saame järgmise tulemuse: 6-st ründekategooriast ei suutnud standardne Threat Prevention poliitika toime tulla ainult ühe kategooriaga - Browser Exploit. Selle põhjuseks on asjaolu, et standardne ohuennetuspoliitika ei hõlma ärakasutamisvastast tera. Väärib märkimist, et ilma SandBlast Agenti installimata läbis kasutaja arvuti skannimise ainult kategooria Ransomware all.
KnowBe4 RanSim
Anti-Ransomware tera töö testimiseks saate kasutada tasuta lahendust , mis käivitab kasutaja masinas mitmeid teste: 18 lunavaraga nakatumise stsenaariumi ja 1 krüptomeeri nakatumise stsenaarium. Väärib märkimist, et paljude labade olemasolu standardpoliitikas (ohu emuleerimine, pahavaratõrje, käitumisvalve) koos toiminguga Ennetamine ei võimalda sellel testil õigesti käitada. Kuid isegi vähendatud turbetasemega (Ohu emuleerimine väljalülitatud režiimis) näitab Anti-Ransomware tera test kõrgeid tulemusi: 18 testist 19 läbisid edukalt (1 käivitamine ebaõnnestus).
Pahatahtlikud failid ja dokumendid
Soovitav on kontrollida standardse ohuennetuse poliitika erinevate labade tööd, kasutades kasutaja arvutisse alla laaditud populaarsetes vormingutes pahatahtlikke faile. See test hõlmas 66 faili PDF-, DOC-, DOCX-, EXE-, XLS-, XLSX-, CAB-, RTF-vormingus. Testi tulemused näitasid, et SandBlast Agent suutis blokeerida 64 pahatahtlikku faili 66-st. Nakatunud failid kustutati pärast allalaadimist või eemaldati pahatahtlikust sisust Threat Extraction abil ja kasutaja võttis need vastu.
Soovitused ohuennetuspoliitika täiustamiseks
1. URL-i filtreerimine
Esimene asi, mida tuleb standardpoliitikas klientmasina turbetaseme tõstmiseks parandada, on URL-i filtreerimise tera lülitamine olekusse Vältimine ja blokeerimiseks sobivad kategooriad. Meie puhul valiti kõik kategooriad, välja arvatud Üldkasutus, kuna need sisaldavad enamikku ressurssidest, millele on vaja piirata juurdepääsu kasutajate töökohal. Samuti on selliste saitide puhul soovitatav eemaldada võimalus, et kasutajad jätaksid hoiatusakna vahele, tühjendades parameetri „Luba kasutajal URL-i filtreerimise hoiatusest loobuda ja veebisaidile juurde pääseda” märkeruudu.
2. Allalaadimise kaitse
Teine võimalus, millele tasub tähelepanu pöörata, on kasutajate võimalus laadida alla faile, mida Check Pointi emulatsioon ei toeta. Kuna selles jaotises vaatleme standardse ohtude ennetamise poliitika täiustusi turvalisuse seisukohast, oleks parim valik toetamata failide allalaadimise blokeerimine.
3. Failide kaitse
Samuti peate tähelepanu pöörama failide kaitsmise sätetele - eriti perioodilise skannimise sätetele ja kasutaja võimalusele sunnitud skannimist edasi lükata. Sellisel juhul tuleb arvestada kasutaja ajaraamiga ning turvalisuse ja jõudluse seisukohalt on hea võimalus konfigureerida sundkontroll käitama iga päev, kusjuures aeg valitakse juhuslikult (00:00-8: 00) ja kasutaja saab skannimist edasi lükata maksimaalselt ühe nädala võrra.
4. Anti-Exploit
Standardse ohtude ennetamise poliitika oluline puudus on see, et ärakasutamisvastane tera on keelatud. Soovitatav on lubada see tera toiminguga Enneta, et kaitsta tööjaama ärakasutamist kasutavate rünnakute eest. Selle paranduse abil lõpeb CheckMe kordustest edukalt ilma kasutaja tootmismasina haavatavusi tuvastamata.
Järeldus
Teeme kokkuvõtte: selles artiklis tutvusime standardse ohtude ennetamise poliitika komponentidega, testisime seda poliitikat erinevate meetodite ja tööriistade abil ning kirjeldasime ka soovitusi standardpoliitika sätete parandamiseks kasutaja masina turvalisuse taseme tõstmiseks. . Sarja järgmises artiklis läheme edasi andmekaitsepoliitika uurimise juurde ja vaatame globaalsete poliitikate sätteid.
. Et mitte jääda ilma järgmistest väljaannetest teemal SandBlast Agent Management Platform, järgige meie sotsiaalvõrgustike värskendusi (, , , , ).
Allikas: www.habr.com