Tervetuloa sarjan kolmanteen artikkeliin, joka käsittelee uutta pilvipohjaista henkilökohtaisen tietokoneen suojauksen hallintakonsolia - Check Point SandBlast Agent Management Platformia. Muistutan teitä siitä tutustuimme Infinity-portaaliin ja loimme pilvipohjaisen agenttien hallintapalvelun, Endpoint Management Servicen. Sisään Tutkimme verkkohallintakonsolin käyttöliittymää ja asensimme käyttäjäkoneeseen agentin vakiokäytännöllä. Tänään tarkastelemme standardin Threat Prevention -tietoturvapolitiikan sisältöä ja testaamme sen tehokkuutta suosittujen hyökkäysten torjunnassa.
Tavallinen uhkien ehkäisykäytäntö: Kuvaus
Yllä olevassa kuvassa on tavallinen uhkien ehkäisykäytäntösääntö, joka koskee oletusarvoisesti koko organisaatiota (kaikkia asennettuja agentteja) ja sisältää kolme loogista suojakomponenttiryhmää: Web & Files Protection, Behavioral Protection ja Analysis & Remediation. Tarkastellaanpa kutakin ryhmää tarkemmin.
Verkko- ja tiedostosuojaus
URL-suodatus
URL-suodatuksen avulla voit hallita käyttäjien pääsyä verkkoresursseihin käyttämällä ennalta määritettyä 5 sivustoluokkaa. Jokainen viidestä kategoriasta sisältää useita tarkempia alakategorioita, joiden avulla voit määrittää esimerkiksi pääsyn pelit-alaluokkaan ja pääsyn sallimaan pikaviestintä-alakategorian, jotka sisältyvät samaan Tuottavuustappio-luokkaan. Tiettyihin alaluokkiin liittyvät URL-osoitteet määrittää Check Point. Voit tarkistaa luokan, johon tietty URL-osoite kuuluu, tai pyytää erityisresurssin luokan ohitusta .
Toiminto voidaan asettaa tilaan Estä, Tunnista tai Pois. Lisäksi valittaessa Tunnista-toiminto lisätään automaattisesti asetus, jonka avulla käyttäjät voivat ohittaa URL-suodatusvaroituksen ja siirtyä kiinnostavaan resurssiin. Jos Estä-toimintoa käytetään, tämä asetus voidaan poistaa, eikä käyttäjä voi käyttää kiellettyä sivustoa. Toinen kätevä tapa hallita kiellettyjä resursseja on luoda estoluettelo, jossa voit määrittää toimialueita, IP-osoitteita tai ladata .csv-tiedoston, jossa on luettelo estettävistä verkkotunnuksista.
URL-suodatuksen vakiokäytännössä toiminto on asetettu Havaitse ja valitaan yksi luokka - Suojaus, jonka tapahtumat havaitaan. Tämä luokka sisältää erilaisia anonymisoijia, sivustoja, joiden riskitaso on kriittinen/korkea/keskikokoinen, tietojenkalastelusivustoja, roskapostia ja paljon muuta. Käyttäjät voivat kuitenkin edelleen käyttää resurssia "Salli käyttäjän hylätä URL-suodatusvaroitus ja käyttää verkkosivustoa" -asetuksen ansiosta.
Lataa (web) suojaus
Emuloinnin ja purkamisen avulla voit emuloida ladattuja tiedostoja Check Point -pilvihiekkalaatikossa ja puhdistaa asiakirjoja lennossa, poistaa mahdollisesti haitallisen sisällön tai muuntaa asiakirjan PDF-muotoon. Toimintatilaa on kolme:
- Estää — voit saada kopion puhdistetusta asiakirjasta ennen lopullista emulointipäätöstä tai odottaa emuloinnin valmistumista ja ladata alkuperäisen tiedoston välittömästi;
- Havaita — suorittaa emuloinnin taustalla estämättä käyttäjää vastaanottamasta alkuperäistä tiedostoa tuomiosta riippumatta;
- pois — kaikki tiedostot voidaan ladata ilman emulointia ja mahdollisesti haitallisten komponenttien puhdistamista.
On myös mahdollista valita toiminto tiedostoille, joita Check Point -emulointi- ja puhdistustyökalut eivät tue – voit sallia tai estää kaikkien ei-tuettujen tiedostojen lataamisen.
Lataussuojauksen vakiokäytännöksi on asetettu Estä, jonka avulla voit hankkia kopion alkuperäisestä asiakirjasta, joka on puhdistettu mahdollisesti haitallisesta sisällöstä, sekä sallia sellaisten tiedostojen lataamisen, joita emulointi- ja puhdistustyökalut eivät tue.
Tunnistetietojen suojaus
Credential Protection -komponentti suojaa käyttäjien tunnistetietoja ja sisältää kaksi komponenttia: Zero Phishing ja Password Protection. Nolla tietojenkalastelua suojaa käyttäjiä pääsyltä tietojenkalasteluresursseihin, ja Salasanasuojaus ilmoittaa käyttäjälle, että yritystunnuksia ei saa käyttää suojatun toimialueen ulkopuolella. Zero Phishing voidaan asettaa tilaan Estä, Tunnista tai Pois. Kun Estä-toiminto on asetettu, on mahdollista antaa käyttäjille mahdollisuus ohittaa varoitus mahdollisesta tietojenkalasteluresurssista ja saada pääsy resurssiin, tai poistaa tämän vaihtoehdon käytöstä ja estää pääsyn pysyvästi. Tunnista-toiminnolla käyttäjillä on aina mahdollisuus jättää varoitus huomioimatta ja käyttää resurssia. Salasanasuojauksen avulla voit valita suojattuja toimialueita, joiden salasanojen noudattaminen tarkistetaan, ja yksi kolmesta toiminnosta: Tunnista ja hälytä (ilmoittaa käyttäjälle), Tunnista tai Pois.
Tunnistetietojen suojauksen vakiokäytäntö on estää tietojenkalasteluresursseja estämästä käyttäjiä pääsemästä mahdollisesti haitalliselle sivustolle. Suojaus yritysten salasanojen käyttöä vastaan on myös käytössä, mutta ilman määritettyjä verkkotunnuksia tämä ominaisuus ei toimi.
Tiedostojen suojaus
Tiedostojen suojaus vastaa käyttäjän koneelle tallennettujen tiedostojen suojaamisesta ja sisältää kaksi osaa: haittaohjelmien torjunta ja tiedostojen uhan emulointi. Anti-Malware on työkalu, joka tarkistaa säännöllisesti kaikki käyttäjä- ja järjestelmätiedostot allekirjoitusanalyysin avulla. Tämän komponentin asetuksissa voit määrittää säännöllisen tarkistuksen tai satunnaisen tarkistusajan asetukset, allekirjoituksen päivitysjakson ja käyttäjien mahdollisuuden peruuttaa ajoitettu tarkistus. Tiedostojen uhkaemulointi antaa sinun emuloida käyttäjän koneelle tallennettuja tiedostoja Check Point -pilvihiekkalaatikossa, mutta tämä suojausominaisuus toimii vain tunnistustilassa.
Tiedostosuojauksen vakiokäytäntö sisältää suojauksen haittaohjelmien torjuntaan ja haitallisten tiedostojen havaitsemisen Files Threat Emulation -sovelluksella. Säännöllinen skannaus suoritetaan kuukausittain, ja käyttäjän koneen allekirjoitukset päivitetään 4 tunnin välein. Samanaikaisesti käyttäjät määritetään voimaan peruuttaa ajoitetun tarkistuksen, mutta viimeistään 30 päivän kuluttua viimeisestä onnistuneesta tarkistuksesta.
Käyttäytymisen suojaus
Anti-Bot, Behavioral Guard ja Anti-Ransomware, Anti-Exploit
Behavioral Protection -suojauskomponenttien ryhmä sisältää kolme osaa: Anti-Bot, Behavioral Guard & Anti-Ransomware ja Anti-Exploit. Anti-Bot voit valvoa ja estää C&C-yhteyksiä jatkuvasti päivitettävän Check Point ThreatCloud -tietokannan avulla. Behavioral Guard & Anti-Ransomware tarkkailee jatkuvasti toimintaa (tiedostoja, prosesseja, verkkovuorovaikutuksia) käyttäjän koneella ja mahdollistaa lunnasohjelmien hyökkäyksen estämisen alkuvaiheessa. Lisäksi tämän suojauselementin avulla voit palauttaa tiedostot, jotka haittaohjelma on jo salannut. Tiedostot palautetaan alkuperäisiin hakemistoihinsa tai voit määrittää tietyn polun, johon kaikki palautetut tiedostot tallennetaan. Anti-Exploit voit havaita nollapäivän hyökkäykset. Kaikki Behavioral Protection -komponentit tukevat kolmea toimintatilaa: Estä, Tunnista ja Pois.
Behavioral Protectionin vakiokäytäntö tarjoaa Prevent for the Anti-Bot- ja Behavioral Guard & Anti-Ransomware -komponenteille ja palauttaa salatut tiedostot niiden alkuperäisiin hakemistoihin. Anti-Exploit-komponentti on poistettu käytöstä, eikä sitä käytetä.
Analyysi ja korjaus
Automaattinen hyökkäysanalyysi (rikostekninen tutkimus), korjaaminen ja reagointi
Kaksi tietoturvakomponenttia on saatavilla tietoturvahäiriöiden analysointiin ja tutkimiseen: Automated Attack Analysis (Forensics) ja Remediation & Response. Automaattinen hyökkäysanalyysi (rikostekninen tutkimus) avulla voit luoda raportteja hyökkäysten torjunnan tuloksista yksityiskohtaisella kuvauksella - aina haittaohjelman suorittamisprosessin analysointiin käyttäjän koneella. On myös mahdollista käyttää Uhkien metsästysominaisuutta, joka mahdollistaa poikkeamien ja mahdollisesti haitallisen toiminnan ennakoivan etsimisen ennalta määritettyjen tai luotujen suodattimien avulla. Korjaus ja vastaus voit määrittää asetukset tiedostojen palautusta ja karanteenia varten hyökkäyksen jälkeen: käyttäjän vuorovaikutusta karanteenitiedostojen kanssa säännellään, ja on myös mahdollista tallentaa karanteeniin asetettuja tiedostoja järjestelmänvalvojan määrittämään hakemistoon.
Vakioanalyysi- ja korjauskäytäntö sisältää suojauksen, joka sisältää automaattiset palautustoimenpiteet (prosessien lopettaminen, tiedostojen palauttaminen jne.), ja mahdollisuus lähettää tiedostot karanteeniin on aktiivinen, ja käyttäjät voivat poistaa vain tiedostoja karanteenista.
Tavallinen uhkien ehkäisykäytäntö: Testaus
Check Point CheckMe Endpoint
Nopein ja helpoin tapa tarkistaa käyttäjän koneen suojaus suosituimpia hyökkäyksiä vastaan on suorittaa testi resurssin avulla. , joka suorittaa useita tyypillisiä eri luokkien hyökkäyksiä ja mahdollistaa raportin testauksen tuloksista. Tässä tapauksessa käytettiin Endpoint Testing -vaihtoehtoa, jossa suoritettava tiedosto ladataan ja käynnistetään tietokoneelle, minkä jälkeen varmistusprosessi alkaa.
Tarkistaessaan toimivan tietokoneen turvallisuutta SandBlast Agent ilmoittaa tunnistetuista ja heijastuneista hyökkäyksistä käyttäjän tietokoneeseen, esimerkiksi: Anti-Bot blade raportoi havaitseneensa infektion, Anti-Malware blade on havainnut ja poistanut haitallinen tiedosto CP_AM.exe, ja Threat Emulation Blade on asentanut, että CP_ZD.exe-tiedosto on haitallinen.
CheckMe Endpoint -testauksen tulosten perusteella meillä on seuraava tulos: kuudesta hyökkäyskategoriasta tavallinen uhkien ehkäisykäytäntö ei selvinnyt vain yhdessä kategoriassa - Browser Exploit. Tämä johtuu siitä, että tavallinen uhkien ehkäisykäytäntö ei sisällä Anti-Exploit-korttia. On syytä huomata, että ilman SandBlast Agent -agenttia käyttäjän tietokone läpäisi tarkistuksen vain Ransomware-kategoriassa.
KnowBe4 RanSim
Voit testata Anti-Ransomware-bladen toimintaa käyttämällä ilmaista ratkaisua , joka suorittaa sarjan testejä käyttäjän koneella: 18 ransomware-tartunta-skenaariota ja 1 kryptomeeritartunta. On syytä huomata, että useiden terien läsnäolo vakiokäytännössä (Threat Emulation, Anti-Malware, Behavioral Guard) Esto-toiminnolla ei salli tämän testin suorittamista oikein. Kuitenkin jopa alentuneella suojaustasolla (Uhkaemulointi pois päältä -tilassa) Anti-Ransomware blade -testi näyttää hyviä tuloksia: 18 testistä 19:stä läpäisi onnistuneesti (1 ei käynnistynyt).
Haitalliset tiedostot ja asiakirjat
On ohjeellista tarkistaa standardin uhkien ehkäisykäytännön eri terien toiminta käyttämällä käyttäjän koneelle ladattuja suosittuja tiedostoja. Tämä testi sisälsi 66 tiedostoa PDF-, DOC-, DOCX-, EXE-, XLS-, XLSX-, CAB- ja RTF-muodoissa. Testitulokset osoittivat, että SandBlast Agent pystyi estämään 64 haitallista tiedostoa 66:sta. Tartunnan saaneet tiedostot poistettiin lataamisen jälkeen tai haitallisesta sisällöstä poistettiin Threat Extraction -toiminnolla ja käyttäjä vastaanotti ne.
Suosituksia uhkien ehkäisypolitiikan parantamiseksi
1. URL-suodatus
Ensimmäinen asia, joka on korjattava vakiokäytännössä asiakaskoneen turvallisuustason nostamiseksi, on vaihtaa URL-suodatusteräksi Estä ja määrittää asianmukaiset luokat estoa varten. Meidän tapauksessamme valittiin kaikki kategoriat paitsi Yleiskäyttö, koska ne sisältävät suurimman osan resursseista, joihin on tarpeen rajoittaa pääsyä käyttäjille työpaikalla. Tällaisten sivustojen kohdalla on myös suositeltavaa poistaa käyttäjien mahdollisuus ohittaa varoitusikkuna poistamalla valinta kohdasta "Salli käyttäjän hylätä URL-suodatusvaroitus ja käyttää verkkosivustoa".
2. Lataussuojaus
Toinen vaihtoehto, johon kannattaa kiinnittää huomiota, on käyttäjien mahdollisuus ladata tiedostoja, joita Check Point -emulointi ei tue. Koska tässä osiossa tarkastelemme standardin uhkien ehkäisykäytäntöön tehtyjä parannuksia turvallisuusnäkökulmasta, paras vaihtoehto olisi estää tiedostojen lataaminen, joita ei tueta.
3. Tiedostojen suojaus
Sinun on myös kiinnitettävä huomiota tiedostojen suojausasetuksiin - erityisesti säännöllisen tarkistuksen asetuksiin ja käyttäjän mahdollisuuteen lykätä pakotettua tarkistusta. Tässä tapauksessa käyttäjän aikakehys on otettava huomioon, ja hyvä vaihtoehto turvallisuuden ja suorituskyvyn näkökulmasta on määrittää pakotettu tarkistus suoritettavaksi joka päivä, jolloin aika valitaan satunnaisesti (00:00-8: 00), ja käyttäjä voi viivyttää skannausta enintään viikon.
4. Anti-Exploit
Tavallisen uhkien ehkäisykäytännön merkittävä haittapuoli on, että Anti-Exploit blade on poistettu käytöstä. On suositeltavaa ottaa tämä kortti käyttöön Estä-toiminnolla suojataksesi työasemaa hyökkäyksiltä, jotka käyttävät hyväksikäyttöä. Tämän korjauksen avulla CheckMe-uudelleentesti päättyy onnistuneesti ilman, että käyttäjän tuotantokoneessa havaitaan haavoittuvuuksia.
Johtopäätös
Tehdään yhteenveto: tässä artikkelissa tutustuimme tavallisen uhkien ehkäisypolitiikan komponentteihin, testasimme tätä käytäntöä eri menetelmillä ja työkaluilla sekä kuvailimme myös suosituksia vakiokäytännön asetusten parantamiseksi käyttäjän koneen turvallisuustason nostamiseksi. . Sarjan seuraavassa artikkelissa siirrymme tietosuojakäytännön tutkimiseen ja tarkastelemme yleisiä käytäntöasetuksia.
. Seuraa päivityksiä sosiaalisissa verkostoissamme, jotta et missaa seuraavia julkaisuja aiheesta SandBlast Agent Management Platform (, , , , ).
Lähde: will.com