به سومین مقاله از مجموعه در مورد کنسول جدید مدیریت حفاظت از رایانه شخصی مبتنی بر ابر - Check Point SandBlast Agent Management Platform خوش آمدید. بگذارید یادآوری کنم که در
خط مشی استاندارد پیشگیری از تهدید: توضیحات
شکل بالا یک قانون استاندارد سیاست پیشگیری از تهدید را نشان می دهد که به طور پیش فرض برای کل سازمان (همه عوامل نصب شده) اعمال می شود و شامل سه گروه منطقی از اجزای حفاظتی است: محافظت از وب و فایل ها، حفاظت از رفتار و تجزیه و تحلیل و اصلاح. بیایید نگاهی دقیق تر به هر یک از گروه ها بیندازیم.
محافظت از وب و فایل ها
آدرس فیلتر
فیلتر URL به شما امکان می دهد با استفاده از 5 دسته از پیش تعریف شده سایت ها، دسترسی کاربر به منابع وب را کنترل کنید. هر یک از 5 دسته شامل چندین زیرمجموعه خاص است که به شما امکان می دهد پیکربندی کنید، به عنوان مثال، دسترسی به زیرمجموعه بازی ها را مسدود کنید و اجازه دسترسی به زیرمجموعه پیام های فوری را بدهید، که در همان دسته کاهش بهره وری گنجانده شده است. URL های مرتبط با زیرمجموعه های خاص توسط Check Point تعیین می شوند. میتوانید دستهای را که یک URL خاص به آن تعلق دارد بررسی کنید یا درخواست لغو دستهبندی در یک منبع خاص کنید
عملکرد را می توان روی Prevent، Detect یا Off تنظیم کرد. همچنین هنگام انتخاب عمل Detect، تنظیماتی به صورت خودکار اضافه میشود که به کاربران اجازه میدهد از اخطار فیلتر URL صرفنظر کنند و به منبع مورد علاقه خود بروند. در صورت استفاده از Prevent، این تنظیم را می توان حذف کرد و کاربر نمی تواند به سایت ممنوعه دسترسی پیدا کند. یکی دیگر از راههای راحت برای کنترل منابع ممنوعه، راهاندازی یک فهرست بلاک است که در آن میتوانید دامنهها، آدرسهای IP را مشخص کنید، یا یک فایل csv. را با فهرستی از دامنهها برای مسدود کردن آپلود کنید.
در خطمشی استاندارد برای فیلتر کردن URL، عملکرد روی Detect تنظیم شده است و یک دسته انتخاب میشود - Security، که رویدادها برای آن شناسایی میشوند. این دسته شامل ناشناسکنندههای مختلف، سایتهایی با سطح ریسک بحرانی/بالا/متوسط، سایتهای فیشینگ، هرزنامهها و موارد دیگر است. با این حال، کاربران همچنان میتوانند به لطف تنظیم «به کاربر اجازه داده شود هشدار فیلتر URL را رد کند و به وبسایت دسترسی پیدا کند» به منبع دسترسی پیدا کند.
دانلود (وب) حفاظت
شبیهسازی و استخراج به شما امکان میدهد فایلهای دانلود شده را در جعبه ماسهای ابری Check Point شبیهسازی کنید و اسناد را در لحظه پاکسازی کنید، محتوای بالقوه مخرب را حذف کنید یا سند را به PDF تبدیل کنید. سه حالت عملیاتی وجود دارد:
- جلوگیری از - به شما این امکان را می دهد که یک کپی از سند پاک شده را قبل از حکم تقلید نهایی دریافت کنید یا منتظر بمانید تا شبیه سازی تکمیل شود و بلافاصله فایل اصلی را دانلود کنید.
- تشخیص - تقلید را در پس زمینه انجام می دهد، بدون اینکه کاربر را از دریافت فایل اصلی، صرف نظر از حکم، جلوگیری کند.
- خاموش - هر فایلی مجاز است بدون شبیه سازی و پاکسازی اجزای مخرب بالقوه بارگیری شود.
همچنین میتوانید برای فایلهایی که توسط ابزارهای شبیهسازی و تمیز کردن Check Point پشتیبانی نمیشوند، اقدامی را انتخاب کنید - میتوانید دانلود همه فایلهای پشتیبانینشده را مجاز یا رد کنید.
خطمشی استاندارد برای محافظت از دانلود روی «پیشگیری» تنظیم شده است، که به شما امکان میدهد یک کپی از سند اصلی که از محتوای مخرب بالقوه پاک شده است، دریافت کنید، و همچنین اجازه دانلود فایلهایی را میدهد که توسط ابزارهای شبیهسازی و پاکسازی پشتیبانی نمیشوند.
حفاظت از اعتبار
مولفه Credential Protection از اعتبار کاربر محافظت می کند و شامل 2 جزء است: Zero Phishing و Password Protection. صفر فیشینگ از کاربران در برابر دسترسی به منابع فیشینگ محافظت می کند و حفاظت از رمز عبور کاربر را در مورد غیرقابل قبول بودن استفاده از اعتبار شرکتی خارج از دامنه محافظت شده مطلع می کند. Zero Phishing را می توان روی Prevent، Detect یا Off تنظیم کرد. هنگامی که عملکرد Prevent تنظیم شده است، می توان به کاربران اجازه داد تا هشدار مربوط به یک منبع احتمالی فیشینگ را نادیده بگیرند و به منبع دسترسی پیدا کنند یا این گزینه را غیرفعال کنند و دسترسی را برای همیشه مسدود کنند. با یک اقدام Detect، کاربران همیشه این گزینه را دارند که هشدار را نادیده بگیرند و به منبع دسترسی پیدا کنند. حفاظت از رمز عبور به شما امکان میدهد دامنههای محافظتشدهای را انتخاب کنید که گذرواژهها برای مطابقت با آنها بررسی میشوند و یکی از این سه اقدام: Detect & Alert (اطلاع دادن به کاربر)، Detect یا Off.
خط مشی استاندارد برای حفاظت از اعتبار این است که از هرگونه منبع فیشینگ از دسترسی کاربران به یک سایت بالقوه مخرب جلوگیری کند. محافظت در برابر استفاده از رمزهای عبور شرکتی نیز فعال است، اما بدون دامنه های مشخص شده این ویژگی کار نخواهد کرد.
حفاظت از فایل ها
Files Protection وظیفه حفاظت از فایل های ذخیره شده در دستگاه کاربر را بر عهده دارد و شامل دو جزء Anti-Malware و Files Threat Emulation می باشد. ضد بدافزار ابزاری است که به طور منظم تمامی فایل های کاربر و سیستم را با استفاده از تجزیه و تحلیل امضا اسکن می کند. در تنظیمات این کامپوننت، میتوانید تنظیمات اسکن منظم یا زمانهای اسکن تصادفی، دوره بهروزرسانی امضا و امکان لغو اسکن برنامهریزی شده را برای کاربران پیکربندی کنید. شبیه سازی تهدید فایل ها به شما امکان می دهد فایل های ذخیره شده در دستگاه کاربر را در جعبه چک پوینت ابری شبیه سازی کنید، با این حال، این ویژگی امنیتی فقط در حالت Detect کار می کند.
خط مشی استاندارد برای محافظت از فایل ها شامل محافظت با ضد بدافزار و شناسایی فایل های مخرب با شبیه سازی تهدید فایل ها است. اسکن منظم هر ماه انجام می شود و امضاهای روی دستگاه کاربر هر 4 ساعت یکبار به روز می شوند. در همان زمان، کاربران به گونهای پیکربندی شدهاند که بتوانند یک اسکن برنامهریزی شده را لغو کنند، اما حداکثر 30 روز از تاریخ آخرین اسکن موفقیتآمیز.
حفاظت از رفتار
ضد ربات، گارد رفتاری و ضد باج افزار، آنتی اکسپلویت
گروه اجزای حفاظتی Behavioral Protection شامل سه جزء Anti-Bot، Behavioral Guard & Anti-Ransomware و Anti-Exploit می باشد. آنتی ربات به شما امکان می دهد با استفاده از پایگاه داده Check Point ThreatCloud که دائماً به روز می شود، اتصالات C&C را نظارت و مسدود کنید. گارد رفتاری و ضد باج افزار به طور مداوم بر فعالیت (فایل ها، فرآیندها، تعاملات شبکه) روی ماشین کاربر نظارت می کند و به شما امکان می دهد از حملات باج افزار در مراحل اولیه جلوگیری کنید. علاوه بر این، این عنصر حفاظتی به شما امکان می دهد فایل هایی را که قبلاً توسط بدافزار رمزگذاری شده اند بازیابی کنید. فایلها به دایرکتوریهای اصلی خود بازیابی میشوند، یا میتوانید مسیر خاصی را تعیین کنید که در آن همه فایلهای بازیابی شده ذخیره شوند. ضد اکسپلویت به شما امکان می دهد حملات روز صفر را شناسایی کنید. همه اجزای حفاظت رفتاری از سه حالت عملیاتی پشتیبانی میکنند: Prevent، Detect و Off.
خط مشی استاندارد برای حفاظت از رفتار، Prevent را برای اجزای Anti-Bot و Behavioral Guard & Anti-Ransomware با بازیابی فایل های رمزگذاری شده در فهرست اصلی آنها ارائه می کند. جزء Anti-Exploit غیرفعال است و استفاده نمی شود.
تجزیه و تحلیل و اصلاح
تجزیه و تحلیل خودکار حمله (پزشکی قانونی)، اصلاح و پاسخ
دو مؤلفه امنیتی برای تجزیه و تحلیل و بررسی حوادث امنیتی موجود است: تجزیه و تحلیل خودکار حمله (Forensics) و Remediation & Response. تجزیه و تحلیل حملات خودکار (پزشکی قانونی) به شما امکان میدهد تا گزارشهایی در مورد نتایج دفع حملات با توضیحات دقیق ایجاد کنید - درست تا تجزیه و تحلیل روند اجرای بدافزار در دستگاه کاربر. همچنین امکان استفاده از ویژگی Threat Hunting وجود دارد که جستجوی فعالانه برای ناهنجاری ها و رفتارهای مخرب بالقوه با استفاده از فیلترهای از پیش تعریف شده یا ایجاد شده را ممکن می سازد. اصلاح و پاسخ به شما امکان می دهد تنظیمات را برای بازیابی و قرنطینه فایل ها پس از حمله پیکربندی کنید: تعامل کاربر با فایل های قرنطینه تنظیم شده است و همچنین امکان ذخیره فایل های قرنطینه شده در فهرستی که توسط سرپرست مشخص شده است وجود دارد.
خط مشی استاندارد تجزیه و تحلیل و اصلاح شامل محافظت است که شامل اقدامات خودکار برای بازیابی (پایان دادن به فرآیندها، بازیابی فایل ها و غیره) است و گزینه ارسال فایل ها به قرنطینه فعال است و کاربران فقط می توانند فایل ها را از قرنطینه حذف کنند.
سیاست استاندارد پیشگیری از تهدید: آزمایش
Check Point CheckMe Endpoint
سریع ترین و ساده ترین راه برای بررسی امنیت ماشین کاربر در برابر رایج ترین انواع حملات، انجام آزمایش با استفاده از منبع است.
در فرآیند بررسی امنیت یک رایانه در حال کار، SandBlast Agent در مورد حملات شناسایی شده و منعکس شده به رایانه کاربر سیگنال می دهد، به عنوان مثال: تیغه Anti-Bot تشخیص یک عفونت را گزارش می دهد، تیغه Anti-Malware شناسایی و حذف کرده است. فایل مخرب CP_AM.exe، و Threat Emulation blade نصب کرده است که فایل CP_ZD.exe مخرب است.
بر اساس نتایج آزمایش با استفاده از CheckMe Endpoint، نتیجه زیر را داریم: از 6 دسته حمله، خط مشی استاندارد پیشگیری از تهدید تنها با یک دسته - سوء استفاده از مرورگر مقابله نکرد. این به این دلیل است که خط مشی استاندارد پیشگیری از تهدید شامل تیغه Anti-Exploit نمی شود. شایان ذکر است که بدون نصب SandBlast Agent، رایانه کاربر فقط در دسته باج افزار اسکن را پشت سر گذاشت.
KnowBe4 RanSim
برای تست عملکرد تیغه Anti-Ransomware می توانید از یک راه حل رایگان استفاده کنید
فایل ها و اسناد مخرب
بررسی عملکرد تیغههای مختلف خطمشی استاندارد پیشگیری از تهدید با استفاده از فایلهای مخرب فرمتهای محبوب دانلود شده در دستگاه کاربر، نشاندهنده است. این تست شامل 66 فایل با فرمت های PDF، DOC، DOCX، EXE، XLS، XLSX، CAB، RTF بود. نتایج آزمایش نشان داد که SandBlast Agent توانست 64 فایل مخرب از 66 فایل را مسدود کند. فایلهای آلوده پس از دانلود حذف شدند یا با استفاده از Threat Extraction از محتوای مخرب پاک شدند و توسط کاربر دریافت شدند.
توصیه هایی برای بهبود سیاست پیشگیری از تهدید
1. فیلتر URL
اولین چیزی که در خط مشی استاندارد برای افزایش سطح امنیت ماشین کلاینت باید اصلاح شود، تغییر تیغه فیلترینگ URL روی Prevent و تعیین دسته های مناسب برای مسدودسازی است. در مورد ما، همه دسته ها به جز استفاده عمومی انتخاب شدند، زیرا آنها شامل بیشتر منابعی هستند که لازم است دسترسی به کاربران در محل کار را محدود کنیم. همچنین، برای چنین سایتهایی، توصیه میشود با برداشتن تیک پارامتر «اجازه به کاربر برای رد کردن هشدار فیلترینگ URL و دسترسی به وبسایت»، امکان رد شدن از پنجره هشدار را برای کاربران حذف کنید.
2. حفاظت از دانلود
دومین گزینه ای که ارزش توجه دارد، امکان دانلود فایل هایی است که توسط شبیه سازی Check Point پشتیبانی نمی شوند. از آنجایی که در این بخش به دنبال بهبود خط مشی استاندارد پیشگیری از تهدید از منظر امنیتی هستیم، بهترین گزینه مسدود کردن دانلود فایل های پشتیبانی نشده است.
3. حفاظت از فایل ها
همچنین باید به تنظیمات محافظت از فایل ها توجه کنید - به ویژه تنظیمات اسکن دوره ای و توانایی کاربر برای به تعویق انداختن اسکن اجباری. در این مورد، بازه زمانی کاربر باید در نظر گرفته شود و یک گزینه خوب از نظر امنیتی و عملکرد، پیکربندی یک اسکن اجباری برای اجرا هر روز با انتخاب زمان به صورت تصادفی (از ساعت 00:00 تا 8: 00)، و کاربر می تواند اسکن را حداکثر یک هفته به تاخیر بیندازد.
4. ضد اکسپلویت
یک ایراد مهم خط مشی استاندارد پیشگیری از تهدید این است که تیغه Anti-Exploit غیرفعال است. برای محافظت از ایستگاه کاری در برابر حملات با استفاده از اکسپلویت، توصیه می شود این تیغه را با عمل Prevent فعال کنید. با این اصلاح، تست مجدد CheckMe بدون شناسایی آسیبپذیری در دستگاه تولید کاربر با موفقیت کامل میشود.
نتیجه
خلاصه می کنیم: در این مقاله با اجزای خط مشی استاندارد پیشگیری از تهدید آشنا شدیم، این خط مشی را با استفاده از روش ها و ابزارهای مختلف آزمایش کردیم و همچنین توصیه هایی را برای بهبود تنظیمات خط مشی استاندارد برای افزایش سطح امنیت ماشین کاربر شرح دادیم. . در مقاله بعدی این مجموعه، به بررسی خط مشی حفاظت از داده ها و نگاهی به تنظیمات سیاست جهانی خواهیم پرداخت.
منبع: www.habr.com