ProHoster > وبلاگ > اداره > 3. پلتفرم مدیریت عامل SandBlast Point را بررسی کنید. سیاست پیشگیری از تهدید

3. پلتفرم مدیریت عامل SandBlast Point را بررسی کنید. سیاست پیشگیری از تهدید

3. پلتفرم مدیریت عامل SandBlast Point را بررسی کنید. سیاست پیشگیری از تهدید

به سومین مقاله از مجموعه در مورد کنسول جدید مدیریت حفاظت از رایانه شخصی مبتنی بر ابر - Check Point SandBlast Agent Management Platform خوش آمدید. بگذارید یادآوری کنم که در مقاله اول ما با Infinity Portal آشنا شدیم و یک سرویس مدیریت عامل مبتنی بر ابر به نام Endpoint Management Service ایجاد کردیم. که در مقاله دوم ما رابط کنسول مدیریت وب را مطالعه کردیم و یک عامل با خط مشی استاندارد روی ماشین کاربر نصب کردیم. امروز به محتویات خط مشی امنیتی استاندارد پیشگیری از تهدید نگاه می کنیم و اثربخشی آن را در مقابله با حملات مردمی آزمایش می کنیم.

خط مشی استاندارد پیشگیری از تهدید: توضیحات

3. پلتفرم مدیریت عامل SandBlast Point را بررسی کنید. سیاست پیشگیری از تهدید

شکل بالا یک قانون استاندارد سیاست پیشگیری از تهدید را نشان می دهد که به طور پیش فرض برای کل سازمان (همه عوامل نصب شده) اعمال می شود و شامل سه گروه منطقی از اجزای حفاظتی است: محافظت از وب و فایل ها، حفاظت از رفتار و تجزیه و تحلیل و اصلاح. بیایید نگاهی دقیق تر به هر یک از گروه ها بیندازیم.

محافظت از وب و فایل ها

آدرس فیلتر
فیلتر URL به شما امکان می دهد با استفاده از 5 دسته از پیش تعریف شده سایت ها، دسترسی کاربر به منابع وب را کنترل کنید. هر یک از 5 دسته شامل چندین زیرمجموعه خاص است که به شما امکان می دهد پیکربندی کنید، به عنوان مثال، دسترسی به زیرمجموعه بازی ها را مسدود کنید و اجازه دسترسی به زیرمجموعه پیام های فوری را بدهید، که در همان دسته کاهش بهره وری گنجانده شده است. URL های مرتبط با زیرمجموعه های خاص توسط Check Point تعیین می شوند. می‌توانید دسته‌ای را که یک URL خاص به آن تعلق دارد بررسی کنید یا درخواست لغو دسته‌بندی در یک منبع خاص کنید دسته بندی URL.
عملکرد را می توان روی Prevent، Detect یا Off تنظیم کرد. همچنین هنگام انتخاب عمل Detect، تنظیماتی به صورت خودکار اضافه می‌شود که به کاربران اجازه می‌دهد از اخطار فیلتر URL صرفنظر کنند و به منبع مورد علاقه خود بروند. در صورت استفاده از Prevent، این تنظیم را می توان حذف کرد و کاربر نمی تواند به سایت ممنوعه دسترسی پیدا کند. یکی دیگر از راه‌های راحت برای کنترل منابع ممنوعه، راه‌اندازی یک فهرست بلاک است که در آن می‌توانید دامنه‌ها، آدرس‌های IP را مشخص کنید، یا یک فایل csv. را با فهرستی از دامنه‌ها برای مسدود کردن آپلود کنید.

3. پلتفرم مدیریت عامل SandBlast Point را بررسی کنید. سیاست پیشگیری از تهدید

در خط‌مشی استاندارد برای فیلتر کردن URL، عملکرد روی Detect تنظیم شده است و یک دسته انتخاب می‌شود - Security، که رویدادها برای آن شناسایی می‌شوند. این دسته شامل ناشناس‌کننده‌های مختلف، سایت‌هایی با سطح ریسک بحرانی/بالا/متوسط، سایت‌های فیشینگ، هرزنامه‌ها و موارد دیگر است. با این حال، کاربران همچنان می‌توانند به لطف تنظیم «به کاربر اجازه داده شود هشدار فیلتر URL را رد کند و به وب‌سایت دسترسی پیدا کند» به منبع دسترسی پیدا کند.

دانلود (وب) حفاظت
شبیه‌سازی و استخراج به شما امکان می‌دهد فایل‌های دانلود شده را در جعبه ماسه‌ای ابری Check Point شبیه‌سازی کنید و اسناد را در لحظه پاکسازی کنید، محتوای بالقوه مخرب را حذف کنید یا سند را به PDF تبدیل کنید. سه حالت عملیاتی وجود دارد:

  • جلوگیری از - به شما این امکان را می دهد که یک کپی از سند پاک شده را قبل از حکم تقلید نهایی دریافت کنید یا منتظر بمانید تا شبیه سازی تکمیل شود و بلافاصله فایل اصلی را دانلود کنید.

  • تشخیص - تقلید را در پس زمینه انجام می دهد، بدون اینکه کاربر را از دریافت فایل اصلی، صرف نظر از حکم، جلوگیری کند.

  • خاموش - هر فایلی مجاز است بدون شبیه سازی و پاکسازی اجزای مخرب بالقوه بارگیری شود.

همچنین می‌توانید برای فایل‌هایی که توسط ابزارهای شبیه‌سازی و تمیز کردن Check Point پشتیبانی نمی‌شوند، اقدامی را انتخاب کنید - می‌توانید دانلود همه فایل‌های پشتیبانی‌نشده را مجاز یا رد کنید.

3. پلتفرم مدیریت عامل SandBlast Point را بررسی کنید. سیاست پیشگیری از تهدید

خط‌مشی استاندارد برای محافظت از دانلود روی «پیشگیری» تنظیم شده است، که به شما امکان می‌دهد یک کپی از سند اصلی که از محتوای مخرب بالقوه پاک شده است، دریافت کنید، و همچنین اجازه دانلود فایل‌هایی را می‌دهد که توسط ابزارهای شبیه‌سازی و پاکسازی پشتیبانی نمی‌شوند.

حفاظت از اعتبار
مولفه Credential Protection از اعتبار کاربر محافظت می کند و شامل 2 جزء است: Zero Phishing و Password Protection. صفر فیشینگ از کاربران در برابر دسترسی به منابع فیشینگ محافظت می کند و حفاظت از رمز عبور کاربر را در مورد غیرقابل قبول بودن استفاده از اعتبار شرکتی خارج از دامنه محافظت شده مطلع می کند. Zero Phishing را می توان روی Prevent، Detect یا Off تنظیم کرد. هنگامی که عملکرد Prevent تنظیم شده است، می توان به کاربران اجازه داد تا هشدار مربوط به یک منبع احتمالی فیشینگ را نادیده بگیرند و به منبع دسترسی پیدا کنند یا این گزینه را غیرفعال کنند و دسترسی را برای همیشه مسدود کنند. با یک اقدام Detect، کاربران همیشه این گزینه را دارند که هشدار را نادیده بگیرند و به منبع دسترسی پیدا کنند. حفاظت از رمز عبور به شما امکان می‌دهد دامنه‌های محافظت‌شده‌ای را انتخاب کنید که گذرواژه‌ها برای مطابقت با آن‌ها بررسی می‌شوند و یکی از این سه اقدام: Detect & Alert (اطلاع دادن به کاربر)، Detect یا Off.

3. پلتفرم مدیریت عامل SandBlast Point را بررسی کنید. سیاست پیشگیری از تهدید

خط مشی استاندارد برای حفاظت از اعتبار این است که از هرگونه منبع فیشینگ از دسترسی کاربران به یک سایت بالقوه مخرب جلوگیری کند. محافظت در برابر استفاده از رمزهای عبور شرکتی نیز فعال است، اما بدون دامنه های مشخص شده این ویژگی کار نخواهد کرد.

حفاظت از فایل ها
Files Protection وظیفه حفاظت از فایل های ذخیره شده در دستگاه کاربر را بر عهده دارد و شامل دو جزء Anti-Malware و Files Threat Emulation می باشد. ضد بدافزار ابزاری است که به طور منظم تمامی فایل های کاربر و سیستم را با استفاده از تجزیه و تحلیل امضا اسکن می کند. در تنظیمات این کامپوننت، می‌توانید تنظیمات اسکن منظم یا زمان‌های اسکن تصادفی، دوره به‌روزرسانی امضا و امکان لغو اسکن برنامه‌ریزی شده را برای کاربران پیکربندی کنید. شبیه سازی تهدید فایل ها به شما امکان می دهد فایل های ذخیره شده در دستگاه کاربر را در جعبه چک پوینت ابری شبیه سازی کنید، با این حال، این ویژگی امنیتی فقط در حالت Detect کار می کند.

3. پلتفرم مدیریت عامل SandBlast Point را بررسی کنید. سیاست پیشگیری از تهدید

خط مشی استاندارد برای محافظت از فایل ها شامل محافظت با ضد بدافزار و شناسایی فایل های مخرب با شبیه سازی تهدید فایل ها است. اسکن منظم هر ماه انجام می شود و امضاهای روی دستگاه کاربر هر 4 ساعت یکبار به روز می شوند. در همان زمان، کاربران به گونه‌ای پیکربندی شده‌اند که بتوانند یک اسکن برنامه‌ریزی شده را لغو کنند، اما حداکثر 30 روز از تاریخ آخرین اسکن موفقیت‌آمیز.

حفاظت از رفتار

ضد ربات، گارد رفتاری و ضد باج افزار، آنتی اکسپلویت
گروه اجزای حفاظتی Behavioral Protection شامل سه جزء Anti-Bot، Behavioral Guard & Anti-Ransomware و Anti-Exploit می باشد. آنتی ربات به شما امکان می دهد با استفاده از پایگاه داده Check Point ThreatCloud که دائماً به روز می شود، اتصالات C&C را نظارت و مسدود کنید. گارد رفتاری و ضد باج افزار به طور مداوم بر فعالیت (فایل ها، فرآیندها، تعاملات شبکه) روی ماشین کاربر نظارت می کند و به شما امکان می دهد از حملات باج افزار در مراحل اولیه جلوگیری کنید. علاوه بر این، این عنصر حفاظتی به شما امکان می دهد فایل هایی را که قبلاً توسط بدافزار رمزگذاری شده اند بازیابی کنید. فایل‌ها به دایرکتوری‌های اصلی خود بازیابی می‌شوند، یا می‌توانید مسیر خاصی را تعیین کنید که در آن همه فایل‌های بازیابی شده ذخیره شوند. ضد اکسپلویت به شما امکان می دهد حملات روز صفر را شناسایی کنید. همه اجزای حفاظت رفتاری از سه حالت عملیاتی پشتیبانی می‌کنند: Prevent، Detect و Off.

3. پلتفرم مدیریت عامل SandBlast Point را بررسی کنید. سیاست پیشگیری از تهدید

خط مشی استاندارد برای حفاظت از رفتار، Prevent را برای اجزای Anti-Bot و Behavioral Guard & Anti-Ransomware با بازیابی فایل های رمزگذاری شده در فهرست اصلی آنها ارائه می کند. جزء Anti-Exploit غیرفعال است و استفاده نمی شود.

تجزیه و تحلیل و اصلاح

تجزیه و تحلیل خودکار حمله (پزشکی قانونی)، اصلاح و پاسخ
دو مؤلفه امنیتی برای تجزیه و تحلیل و بررسی حوادث امنیتی موجود است: تجزیه و تحلیل خودکار حمله (Forensics) و Remediation & Response. تجزیه و تحلیل حملات خودکار (پزشکی قانونی) به شما امکان می‌دهد تا گزارش‌هایی در مورد نتایج دفع حملات با توضیحات دقیق ایجاد کنید - درست تا تجزیه و تحلیل روند اجرای بدافزار در دستگاه کاربر. همچنین امکان استفاده از ویژگی Threat Hunting وجود دارد که جستجوی فعالانه برای ناهنجاری ها و رفتارهای مخرب بالقوه با استفاده از فیلترهای از پیش تعریف شده یا ایجاد شده را ممکن می سازد. اصلاح و پاسخ به شما امکان می دهد تنظیمات را برای بازیابی و قرنطینه فایل ها پس از حمله پیکربندی کنید: تعامل کاربر با فایل های قرنطینه تنظیم شده است و همچنین امکان ذخیره فایل های قرنطینه شده در فهرستی که توسط سرپرست مشخص شده است وجود دارد.

3. پلتفرم مدیریت عامل SandBlast Point را بررسی کنید. سیاست پیشگیری از تهدید

خط مشی استاندارد تجزیه و تحلیل و اصلاح شامل محافظت است که شامل اقدامات خودکار برای بازیابی (پایان دادن به فرآیندها، بازیابی فایل ها و غیره) است و گزینه ارسال فایل ها به قرنطینه فعال است و کاربران فقط می توانند فایل ها را از قرنطینه حذف کنند.

سیاست استاندارد پیشگیری از تهدید: آزمایش

Check Point CheckMe Endpoint

3. پلتفرم مدیریت عامل SandBlast Point را بررسی کنید. سیاست پیشگیری از تهدید

سریع ترین و ساده ترین راه برای بررسی امنیت ماشین کاربر در برابر رایج ترین انواع حملات، انجام آزمایش با استفاده از منبع است. نقطه چک منو چک کن، که تعدادی از حملات معمولی از دسته های مختلف را انجام می دهد و به شما امکان می دهد گزارشی از نتایج آزمایش دریافت کنید. در این مورد از گزینه Endpoint testing استفاده شده است که در آن یک فایل اجرایی دانلود شده و بر روی کامپیوتر راه اندازی می شود و سپس فرآیند تایید آغاز می شود.

3. پلتفرم مدیریت عامل SandBlast Point را بررسی کنید. سیاست پیشگیری از تهدید

در فرآیند بررسی امنیت یک رایانه در حال کار، SandBlast Agent در مورد حملات شناسایی شده و منعکس شده به رایانه کاربر سیگنال می دهد، به عنوان مثال: تیغه Anti-Bot تشخیص یک عفونت را گزارش می دهد، تیغه Anti-Malware شناسایی و حذف کرده است. فایل مخرب CP_AM.exe، و Threat Emulation blade نصب کرده است که فایل CP_ZD.exe مخرب است.

3. پلتفرم مدیریت عامل SandBlast Point را بررسی کنید. سیاست پیشگیری از تهدید

بر اساس نتایج آزمایش با استفاده از CheckMe Endpoint، نتیجه زیر را داریم: از 6 دسته حمله، خط مشی استاندارد پیشگیری از تهدید تنها با یک دسته - سوء استفاده از مرورگر مقابله نکرد. این به این دلیل است که خط مشی استاندارد پیشگیری از تهدید شامل تیغه Anti-Exploit نمی شود. شایان ذکر است که بدون نصب SandBlast Agent، رایانه کاربر فقط در دسته باج افزار اسکن را پشت سر گذاشت.

3. پلتفرم مدیریت عامل SandBlast Point را بررسی کنید. سیاست پیشگیری از تهدید

KnowBe4 RanSim

برای تست عملکرد تیغه Anti-Ransomware می توانید از یک راه حل رایگان استفاده کنید KnowBe4 RanSim، که مجموعه ای از آزمایش ها را بر روی دستگاه کاربر اجرا می کند: 18 سناریو عفونت باج افزار و 1 سناریو عفونت cryptominer. شایان ذکر است که وجود تیغه های زیاد در خط مشی استاندارد (Threat Emulation، Anti-Malware، Behavioral Guard) با عمل Prevent اجازه اجرای صحیح این تست را نمی دهد. با این حال، حتی با کاهش سطح امنیتی (شکل سازی تهدید در حالت خاموش)، تست تیغه ضد باج افزار نتایج بالایی نشان می دهد: 18 آزمایش از 19 آزمایش با موفقیت گذرانده شد (1 آزمایش شروع نشد).

3. پلتفرم مدیریت عامل SandBlast Point را بررسی کنید. سیاست پیشگیری از تهدید

فایل ها و اسناد مخرب

بررسی عملکرد تیغه‌های مختلف خط‌مشی استاندارد پیشگیری از تهدید با استفاده از فایل‌های مخرب فرمت‌های محبوب دانلود شده در دستگاه کاربر، نشان‌دهنده است. این تست شامل 66 فایل با فرمت های PDF، DOC، DOCX، EXE، XLS، XLSX، CAB، RTF بود. نتایج آزمایش نشان داد که SandBlast Agent توانست 64 فایل مخرب از 66 فایل را مسدود کند. فایل‌های آلوده پس از دانلود حذف شدند یا با استفاده از Threat Extraction از محتوای مخرب پاک شدند و توسط کاربر دریافت شدند.

3. پلتفرم مدیریت عامل SandBlast Point را بررسی کنید. سیاست پیشگیری از تهدید

توصیه هایی برای بهبود سیاست پیشگیری از تهدید

1. فیلتر URL

3. پلتفرم مدیریت عامل SandBlast Point را بررسی کنید. سیاست پیشگیری از تهدید

اولین چیزی که در خط مشی استاندارد برای افزایش سطح امنیت ماشین کلاینت باید اصلاح شود، تغییر تیغه فیلترینگ URL روی Prevent و تعیین دسته های مناسب برای مسدودسازی است. در مورد ما، همه دسته ها به جز استفاده عمومی انتخاب شدند، زیرا آنها شامل بیشتر منابعی هستند که لازم است دسترسی به کاربران در محل کار را محدود کنیم. همچنین، برای چنین سایت‌هایی، توصیه می‌شود با برداشتن تیک پارامتر «اجازه به کاربر برای رد کردن هشدار فیلترینگ URL و دسترسی به وب‌سایت»، امکان رد شدن از پنجره هشدار را برای کاربران حذف کنید.

2. حفاظت از دانلود

3. پلتفرم مدیریت عامل SandBlast Point را بررسی کنید. سیاست پیشگیری از تهدید

دومین گزینه ای که ارزش توجه دارد، امکان دانلود فایل هایی است که توسط شبیه سازی Check Point پشتیبانی نمی شوند. از آنجایی که در این بخش به دنبال بهبود خط مشی استاندارد پیشگیری از تهدید از منظر امنیتی هستیم، بهترین گزینه مسدود کردن دانلود فایل های پشتیبانی نشده است.

3. حفاظت از فایل ها

3. پلتفرم مدیریت عامل SandBlast Point را بررسی کنید. سیاست پیشگیری از تهدید

همچنین باید به تنظیمات محافظت از فایل ها توجه کنید - به ویژه تنظیمات اسکن دوره ای و توانایی کاربر برای به تعویق انداختن اسکن اجباری. در این مورد، بازه زمانی کاربر باید در نظر گرفته شود و یک گزینه خوب از نظر امنیتی و عملکرد، پیکربندی یک اسکن اجباری برای اجرا هر روز با انتخاب زمان به صورت تصادفی (از ساعت 00:00 تا 8: 00)، و کاربر می تواند اسکن را حداکثر یک هفته به تاخیر بیندازد.

4. ضد اکسپلویت

3. پلتفرم مدیریت عامل SandBlast Point را بررسی کنید. سیاست پیشگیری از تهدید

یک ایراد مهم خط مشی استاندارد پیشگیری از تهدید این است که تیغه Anti-Exploit غیرفعال است. برای محافظت از ایستگاه کاری در برابر حملات با استفاده از اکسپلویت، توصیه می شود این تیغه را با عمل Prevent فعال کنید. با این اصلاح، تست مجدد CheckMe بدون شناسایی آسیب‌پذیری در دستگاه تولید کاربر با موفقیت کامل می‌شود.

3. پلتفرم مدیریت عامل SandBlast Point را بررسی کنید. سیاست پیشگیری از تهدید

نتیجه

خلاصه می کنیم: در این مقاله با اجزای خط مشی استاندارد پیشگیری از تهدید آشنا شدیم، این خط مشی را با استفاده از روش ها و ابزارهای مختلف آزمایش کردیم و همچنین توصیه هایی را برای بهبود تنظیمات خط مشی استاندارد برای افزایش سطح امنیت ماشین کاربر شرح دادیم. . در مقاله بعدی این مجموعه، به بررسی خط مشی حفاظت از داده ها و نگاهی به تنظیمات سیاست جهانی خواهیم پرداخت.

انتخاب بزرگی از مواد در Check Point از TS Solution. برای اینکه انتشارات بعدی در مورد پلتفرم مدیریت عامل SandBlast را از دست ندهید، به روز رسانی ها را در شبکه های اجتماعی ما دنبال کنید (تلگرام, فیس بوک, VK, وبلاگ راه حل TS, Yandex Zen).

منبع: www.habr.com

اضافه کردن نظر