Ongi etorri hodeian oinarritutako ordenagailu pertsonalen babesa kudeatzeko kontsola berriari buruzko serieko hirugarren artikulura - Check Point SandBlast Agent Management Platform. Utzidazu gogorarazten Infinity Portal-a ezagutu eta hodeian oinarritutako agenteen kudeaketa-zerbitzu bat sortu genuen, Endpoint Management Service. In Web kudeaketa kontsolaren interfazea aztertu dugu eta erabiltzailearen makinan politika estandarra duen agente bat instalatu dugu. Gaur Mehatxuen Prebentzioko segurtasun-politika estandarraren edukia aztertuko dugu eta herri-erasoei aurre egiteko duen eraginkortasuna probatuko dugu.
Mehatxuen Prebentziorako Politika Estandarra: Deskribapena
Goiko irudiak Mehatxuen Prebentziorako politika arau estandar bat erakusten du, lehenespenez erakunde osoari aplikatzen zaiona (instalatutako agente guztiei) eta babes-osagaien hiru talde logiko biltzen dituena: Web eta Fitxategien Babesa, Portaeraren Babesa eta Analisia eta Konponketa. Ikus ditzagun talde bakoitza gertutik.
Web eta fitxategien babesa
URL Iragazkia
URL Iragazkiak web-baliabideetarako erabiltzaileen sarbidea kontrolatzeko aukera ematen du, aurrez zehaztutako 5 gune-kategoria erabiliz. 5 kategorietako bakoitzak hainbat azpikategoria zehatzago ditu, eta horri esker, adibidez, Jokoak azpikategoriarako sarbidea blokeatu eta Istanteko Mezularitzako azpikategoriarako sarbidea ahalbidetzen du, produktibitate-galera kategoria berean sartzen direnak. Azpikategoria zehatzekin lotutako URLak Check Point-ek zehazten ditu. URL zehatz bat zein kategoriari dagokion egiazta dezakezu edo baliabide berezi batean kategoria gainidazteko eska dezakezu .
Ekintza Eragotzi, Detektatu edo Desaktibatu gisa ezar daiteke. Era berean, Detektatu ekintza hautatzen denean, automatikoki ezarpen bat gehitzen da erabiltzaileei URL Iragaztearen abisua saltatu eta interesgarri den baliabidera joateko aukera ematen diena. Prebentzioa erabiltzen bada, ezarpen hau kendu egin daiteke eta erabiltzailea ezin izango da debekatuta dagoen gunera sartu. Debekatutako baliabideak kontrolatzeko beste modu eroso bat Bloke Zerrenda bat konfiguratzea da, eta bertan domeinuak, IP helbideak zehaztu ditzakezu edo .csv fitxategi bat blokeatu beharreko domeinuen zerrendarekin kargatu dezakezu.
URL Iragazterako gidalerro estandarrean, ekintza Detektatu gisa ezartzen da eta kategoria bat hautatzen da - Segurtasuna, eta horretarako gertaerak detektatuko dira. Kategoria honek hainbat anonimizatzaile, arrisku maila kritikoa/altua/ertaina duten guneak, phishing guneak, spama eta askoz gehiago biltzen ditu. Hala ere, erabiltzaileek baliabidera sartzeko aukera izango dute "Utzi erabiltzaileari URL iragazketa alerta baztertu eta webgunera sartzeko" ezarpenari esker.
Deskargatu (web) Babesa
Emulazioa eta erauzketa aukera ematen du Check Point hodeiko hareatzan deskargatutako fitxategiak emulatzeko eta dokumentuak berehala garbitzeko, eduki gaiztoak kenduz edo dokumentua PDF bihurtuz. Hiru funtzionamendu modu daude:
- Aurrea hartu β garbitutako dokumentuaren kopia bat lortzeko azken emulazio epaia baino lehen, edo emulazioa osatzeko eta jatorrizko fitxategia berehala deskargatu arte itxaron dezakezu;
- detektatu β atzeko planoan emulazioa egiten du, erabiltzaileari jatorrizko fitxategia jasotzea eragotzi gabe, epaia edozein dela ere;
- Off β edozein fitxategi deskargatu ahal izango dira potentzialki gaiztoak diren osagaiak emulatu eta garbitu gabe.
Check Pointen emulazio eta garbiketa tresnek onartzen ez duten fitxategietarako ere ekintza bat hauta daiteke; onartzen ez diren fitxategi guztiak deskargatzea baimendu edo ukatu dezakezu.
Deskarga babesteko gidalerro estandarra Eragotzi gisa ezarrita dago, eta horri esker, asmo txarreko edukitik garbitu den jatorrizko dokumentuaren kopia bat eskura dezakezu, baita emulazio eta garbiketa tresnek onartzen ez dituzten fitxategiak deskargatzeko aukera ere.
Kredentzialak babestea
Kredentzialak babesteko osagaiak erabiltzailearen kredentzialak babesten ditu eta 2 osagai ditu: Zero Phishing eta Pasahitz babesa. Zero Phishing erabiltzaileak phishing baliabideak sartzetik babesten ditu, eta Pasahitza Babesteko babestutako domeinutik kanpo korporazio-kredentzialak erabiltzearen onartezina dela jakinarazten dio erabiltzaileari. Zero Phishing saihestu, detektatu edo desaktibatu daiteke. Saihestu ekintza ezartzen denean, erabiltzaileek balizko phishing-baliabide bati buruzko abisua alde batera uztea eta baliabiderako sarbidea izatea baimendu daiteke, edo aukera hau desgaitu eta sarbidea betiko blokeatzea. Detektatu ekintza batekin, erabiltzaileek beti dute aukera abisua alde batera uzteko eta baliabidera sartzeko. Pasahitzaren babesak aukera ematen dizu pasahitzak betetzen diren egiaztatuko diren babestutako domeinuak hautatzeko eta hiru ekintza hauetako bat: Detektatu eta alerta (erabiltzaileari jakinaraztea), Detektatu edo Desaktibatu.
Kredentzialak babesteko politika estandarrak phishing-baliabideek erabiltzaileei kaltegarri izan daitezkeen gune batera sartzea eragoztea da. Pasahitz korporatiboen erabileraren aurkako babesa ere gaituta dago, baina zehaztutako domeinurik gabe eginbide honek ez du funtzionatuko.
Fitxategien babesa
Fitxategien babesa erabiltzailearen makinan gordetako fitxategiak babesteaz arduratzen da eta bi osagai ditu: Malwarearen aurkakoa eta Fitxategien mehatxuen emulazioa. Anti-malware erabiltzaile eta sistemaren fitxategi guztiak sinadura azterketa erabiliz aldizka eskaneatzen dituen tresna da. Osagai honen ezarpenetan, ohiko eskaneatzeko edo ausazko eskaneatzeko orduetarako ezarpenak konfigura ditzakezu, sinadura eguneratzeko epea eta erabiltzaileek programatutako eskaneatzea bertan behera uzteko gaitasuna. Fitxategien mehatxuen emulazioa Check Point hodeiko sandbox-en erabiltzailearen makinan gordetako fitxategiak emulatzeko aukera ematen du; hala ere, segurtasun-eginbide honek Detektatzeko moduan bakarrik funtzionatzen du.
Fitxategien Babeserako politika estandarrak Malwarearen aurkako babesa eta fitxategi maltzurren detekzioa Fitxategien Mehatxuaren Emulazioarekin barne hartzen ditu. Hilero eskaneatze erregularra egiten da, eta erabiltzailearen makinaren sinadurak 4 orduz behin eguneratzen dira. Aldi berean, erabiltzaileak programatutako eskaneatzea bertan behera utzi ahal izateko konfiguratuta daude, baina azken eskaneatu arrakastatsuaren datatik 30 egun igaro baino lehen.
Jokabidearen babesa
Anti-Bot, Behavioral Guard eta Anti-Ransomware, Anti-Exploit
Behavioral Protection babesteko osagaien taldeak hiru osagai ditu: Anti-Bot, Behavioral Guard & Anti-Ransomware eta Anti-Exploit. Anti-Bot C&C konexioak kontrolatzeko eta blokeatzeko aukera ematen du etengabe eguneratutako Check Point ThreatCloud datu-basea erabiliz. Behavioral Guard eta Anti-Ransomware etengabe kontrolatzen du erabiltzailearen makinaren jarduera (fitxategiak, prozesuak, sareko elkarrekintzak) eta hasierako faseetan ransomware erasoak saihesteko aukera ematen du. Gainera, babes-elementu honek malwareak dagoeneko enkriptatutako fitxategiak leheneratzeko aukera ematen du. Fitxategiak jatorrizko direktorioetara berrezartzen dira, edo berreskuratutako fitxategi guztiak gordeko diren bide zehatz bat zehaztu dezakezu. Esplotazioaren aurkakoa zero eguneko erasoak detektatzeko aukera ematen du. Portaera babesteko osagai guztiek hiru funtzionamendu modu onartzen dituzte: Prebenitu, Detektatu eta Desaktibatu.
Behavioral Protection-ren politika estandarrak Prevent for the Anti-Bot and Behavioral Guard & Anti-Ransomware osagaiak eskaintzen ditu, jatorrizko direktorioetan enkriptatutako fitxategiak leheneratuz. Anti-Exploit osagaia desgaituta dago eta ez da erabiltzen.
Analisia eta Konponketa
Erasoen Azterketa Automatizatua (Forentsea), Konponketa eta Erantzuna
Segurtasun-osagai bi daude eskuragarri segurtasun-intzidenteak aztertzeko eta ikertzeko: Erasoen Analisia Automatizatua (Forentsea) eta Konponketa eta Erantzuna. Erasoen Azterketa Automatizatua (Forentsea) Erasoak uxatzeko emaitzei buruzko txostenak sortzeko aukera ematen du deskribapen zehatz batekin, malwarea erabiltzailearen makinan exekutatzeko prozesua aztertzeraino. Era berean, Mehatxuen Ehiza funtzioa erabil daiteke, eta horri esker, aurrez zehaztutako edo sortutako iragazkiak erabiliz anomaliak eta jokabide gaiztoak modu proaktiboan bilatzea posible da. Erremediazioa eta Erantzuna Eraso baten ondoren fitxategiak berreskuratzeko eta berrogeiagotzeko ezarpenak konfiguratzeko aukera ematen du: erabiltzaileen interakzioa araututa dago koarentena fitxategiekin, eta administratzaileak zehaztutako direktorio batean berrogeialdian dauden fitxategiak ere gorde daitezke.
Analisi eta Konponketa politika estandarrak babesa barne hartzen du, berreskuratzeko ekintza automatikoak barne hartzen dituena (prozesuak amaitzea, fitxategiak leheneratzea, etab.), eta fitxategiak berrogeialdira bidaltzeko aukera aktibatuta dago, eta erabiltzaileek berrogeialdiko fitxategiak soilik ezabatu ditzakete.
Mehatxuen Prebentziorako Politika Estandarra: Probak
Check Point CheckMe Endpoint
Erabiltzaile baten makinaren segurtasuna eraso mota ezagunenen aurrean egiaztatzeko modurik azkarrena eta errazena proba bat egitea da baliabidea erabiliz. , hainbat kategoriatako eraso tipiko batzuk egiten dituena eta proben emaitzei buruzko txostena lortzeko aukera ematen duena. Kasu honetan, Endpoint testing aukera erabili zen, zeinetan fitxategi exekutagarri bat deskargatu eta ordenagailura abiarazten den, eta ondoren egiaztapen-prozesua hasten da.
Lan egiten duen ordenagailu baten segurtasuna egiaztatzeko prozesuan, SandBlast Agentek erabiltzailearen ordenagailuan identifikatu eta islatutako erasoei buruzko seinaleak adierazten ditu, adibidez: Anti-Bot bladeak infekzio bat antzeman duela jakinarazi du, Anti-Malware bladeak detektatu eta ezabatu du. CP_AM.exe fitxategi gaiztoa, eta Mehatxuen Emulazioa larriak instalatu du CP_ZD.exe fitxategia gaiztoa dela.
CheckMe Endpoint erabiliz egindako proben emaitzetan oinarrituta, emaitza hau dugu: 6 eraso-kategorietatik, Mehatxuen Prebentzio-politika estandarrak ezin izan dio kategoria bakarrari aurre egin: arakatzailearen ustiapena. Hau da, Mehatxuen Prebentziorako gidalerro estandarrak ez duelako Ustiapenaren aurkako laba sartzen. Azpimarratzekoa da SandBlast Agent instalatu gabe, erabiltzailearen ordenagailuak eskaneatzea Ransomware kategorian bakarrik gainditu zuela.
KnowBe4 RanSim
Anti-Ransomware bladearen funtzionamendua probatzeko, doako irtenbide bat erabil dezakezu , erabiltzailearen makinan proba batzuk egiten dituena: 18 ransomware infekzio eszenatoki eta 1 cryptominer infekzio eszenatoki. Azpimarratzekoa da saihestu ekintzarekin gidalerro estandarrean (Threat Emulation, Anti-Malware, Behavioral Guard) blade asko egoteak ez duela proba hau behar bezala exekutatzen uzten. Hala ere, segurtasun-maila murriztua izan arren (mehatxuen emulazioa desaktibatuta dagoen moduan), Anti-Ransomware blade probak emaitza altuak erakusten ditu: 18 probatik 19 arrakastaz gainditu dira (1 huts egin du hasi).
Fitxategi eta dokumentu kaltegarriak
Adierazgarria da Mehatxuen Prebentziorako politika estandarraren blade desberdinen funtzionamendua egiaztatzea erabiltzailearen makina deskargatutako formatu ezagunetako fitxategi maltzurren bidez. Proba honek PDF, DOC, DOCX, EXE, XLS, XLSX, CAB, RTF formatuetan 66 fitxategi hartu zituen parte. Proba emaitzek erakutsi zuten SandBlast Agent-ek 64tik 66 fitxategi maltzur blokeatu zituela. Kutsatutako fitxategiak deskargatu ondoren ezabatu egin ziren, edo eduki gaiztotik garbitu Mehatxuak erauztea erabiliz eta erabiltzaileak jaso zituen.
Mehatxuak Prebenitzeko politika hobetzeko gomendioak
1. URL Iragazkia
Bezeroaren makinaren segurtasun-maila handitzeko politika estandarrean zuzendu behar den lehen gauza da URL iragazteko laba Prebent-era aldatzea eta blokeatzeko kategoria egokiak zehaztea. Gure kasuan, kategoria guztiak hautatu ziren Erabilera Orokorra izan ezik, lantokian erabiltzaileei sarbidea mugatzeko beharrezkoak diren baliabide gehienak biltzen baitituzte. Era berean, horrelako guneetarako, erabiltzaileek abisu-leihoa saltatzeko gaitasuna kentzea komeni da, "Utzi erabiltzaileari URL-iragaztearen alerta baztertu eta webgunera sartzeko" parametroa desmarkatuz.
2.Deskarga babesa
Erreparatzea merezi duen bigarren aukera erabiltzaileek Check Point-en emulazioa onartzen ez duten fitxategiak deskargatzeko gaitasuna da. Atal honetan Mehatxuen Prebentziorako politika estandarraren hobekuntzak aztertzen ari garenez segurtasunaren ikuspegitik, aukerarik onena onartzen ez diren fitxategien deskarga blokeatzea litzateke.
3. Fitxategien babesa
Fitxategiak babesteko ezarpenei ere erreparatu behar diezu, batez ere, aldizkako eskaneatzeko ezarpenak eta erabiltzaileak behartutako eskaneatzea atzeratzeko duen gaitasuna. Kasu honetan, erabiltzailearen denbora-tartea kontuan hartu behar da, eta segurtasunaren eta errendimenduaren ikuspuntutik aukera ona da behartutako eskaneatzea egunero exekutatzeko, ordua ausaz hautatuta (00:00etatik 8etara: 00), eta erabiltzaileak eskaneamendua astebetez atzeratu dezake gehienez.
4. Esplotazioaren aurkakoa
Mehatxuen Prebentziorako gidalerro estandarraren eragozpen esanguratsu bat Ustiapenaren aurkako bladea desgaituta dagoela da. Gomendatzen da blade hau Prevent ekintzarekin gaitzea lan-estazioa ustiatzen duten erasoetatik babesteko. Konponketa honekin, CheckMe berriro proba arrakastaz amaitzen da erabiltzailearen ekoizpen-makinan ahuleziak hauteman gabe.
Ondorioa
Labur dezagun: artikulu honetan Mehatxuen Prebentziorako politika estandarraren osagaiak ezagutu ditugu, politika hau hainbat metodo eta tresna erabiliz probatu dugu eta politika estandarraren ezarpenak hobetzeko gomendioak ere deskribatu ditugu erabiltzailearen makinaren segurtasun maila areagotzeko. . Serieko hurrengo artikuluan, Datuak Babesteko politika aztertzera eta Politika Globalen Ezarpenak aztertuko ditugu.
. SandBlast Agent Management Platform gaiari buruzko hurrengo argitalpenak ez galtzeko, jarraitu gure sare sozialetako eguneraketak (, , , , ).
Iturria: www.habr.com