Bienvenue dans le troisième article de la série sur la nouvelle console de gestion de la protection des ordinateurs personnels basée sur le cloud : Check Point SandBlast Agent Management Platform. Permettez-moi de vous rappeler que dans nous nous sommes familiarisés avec le portail Infinity et avons créé un service de gestion d'agents basé sur le cloud, Endpoint Management Service. Dans Nous avons étudié l'interface de la console de gestion web et installé un agent avec une politique standard sur la machine utilisateur. Aujourd'hui, nous examinerons le contenu de la politique de sécurité standard de prévention des menaces et testerons son efficacité dans la lutte contre les attaques populaires.
Politique standard de prévention des menaces : description
La figure ci-dessus montre une règle de stratégie standard de prévention contre les menaces, qui s'applique par défaut à l'ensemble de l'organisation (tous les agents installés) et comprend trois groupes logiques de composants de protection : Protection Web et fichiers, Protection comportementale et Analyse et correction. Examinons de plus près chacun des groupes.
Protection du Web et des fichiers
filtrage d'URL
Le filtrage d'URL vous permet de contrôler l'accès des utilisateurs aux ressources Web, à l'aide de 5 catégories de sites prédéfinies. Chacune des 5 catégories contient plusieurs sous-catégories plus spécifiques, qui permettent de configurer, par exemple, le blocage de l'accès à la sous-catégorie Jeux et l'autorisation de l'accès à la sous-catégorie Messagerie instantanée, qui sont incluses dans la même catégorie Perte de productivité. Les URL associées à des sous-catégories spécifiques sont déterminées par Check Point. Vous pouvez vérifier la catégorie à laquelle appartient une URL spécifique ou demander un remplacement de catégorie sur une ressource spéciale. .
L'action peut être définie sur Prévenir, Détecter ou Désactiver. De plus, lors de la sélection de l'action Détecter, un paramètre est automatiquement ajouté qui permet aux utilisateurs d'ignorer l'avertissement de filtrage d'URL et d'accéder à la ressource qui les intéresse. Si Prevent est utilisé, ce paramètre peut être supprimé et l'utilisateur ne pourra pas accéder au site interdit. Un autre moyen pratique de contrôler les ressources interdites consiste à créer une liste de blocage, dans laquelle vous pouvez spécifier des domaines, des adresses IP ou télécharger un fichier .csv avec une liste de domaines à bloquer.
Dans la politique standard de filtrage d'URL, l'action est définie sur Détecter et une catégorie est sélectionnée : Sécurité, pour laquelle les événements seront détectés. Cette catégorie comprend divers anonymiseurs, sites présentant un niveau de risque Critique/Élevé/Moyen, sites de phishing, spam et bien plus encore. Cependant, les utilisateurs pourront toujours accéder à la ressource grâce au paramètre « Autoriser l'utilisateur à ignorer l'alerte de filtrage d'URL et à accéder au site Web ».
Protection contre le téléchargement (Web)
L'émulation et l'extraction vous permettent d'émuler les fichiers téléchargés dans le bac à sable cloud Check Point et de nettoyer les documents à la volée, en supprimant le contenu potentiellement malveillant ou en convertissant le document au format PDF. Il existe trois modes de fonctionnement :
- Prévenir — vous permet d'obtenir une copie du document nettoyé avant le verdict final de l'émulation, ou d'attendre la fin de l'émulation et de télécharger immédiatement le fichier original ;
- Détecter — effectue l'émulation en arrière-plan, sans empêcher l'utilisateur de recevoir le fichier original, quel que soit le verdict ;
- de — tous les fichiers peuvent être téléchargés sans subir d'émulation ni de nettoyage des composants potentiellement malveillants.
Il est également possible de sélectionner une action pour les fichiers qui ne sont pas pris en charge par les outils d'émulation et de nettoyage de Check Point - vous pouvez autoriser ou refuser le téléchargement de tous les fichiers non pris en charge.
La politique standard de protection des téléchargements est définie sur Empêcher, ce qui vous permet d'obtenir une copie du document original débarrassé de tout contenu potentiellement malveillant, ainsi que d'autoriser le téléchargement de fichiers qui ne sont pas pris en charge par les outils d'émulation et de nettoyage.
Protection des informations d'identification
Le composant Credential Protection protège les informations d'identification des utilisateurs et comprend 2 composants : Zero Phishing et Mot de passe Protection. Zéro phishing protège les utilisateurs de l'accès aux ressources de phishing, et Protection Mot de passe informe l'utilisateur de l'inadmissibilité de l'utilisation des informations d'identification de l'entreprise en dehors du domaine protégé. Zero Phishing peut être défini sur Prévenir, Détecter ou Désactiver. Lorsque l'action Empêcher est définie, il est possible de permettre aux utilisateurs d'ignorer l'avertissement concernant une ressource de phishing potentielle et d'accéder à la ressource, ou de désactiver cette option et de bloquer l'accès pour toujours. Avec une action Détecter, les utilisateurs ont toujours la possibilité d'ignorer l'avertissement et d'accéder à la ressource. La protection par mot de passe vous permet de sélectionner les domaines protégés pour lesquels la conformité des mots de passe sera vérifiée, ainsi que l'une des trois actions suivantes : Détecter et alerter (notifier l'utilisateur), Détecter ou Désactiver.
La politique standard de protection des informations d'identification consiste à empêcher toute ressource de phishing d'empêcher les utilisateurs d'accéder à un site potentiellement malveillant. La protection contre l'utilisation de mots de passe d'entreprise est également activée, mais sans les domaines spécifiés, cette fonctionnalité ne fonctionnera pas.
Protection des fichiers
La protection des fichiers est chargée de protéger les fichiers stockés sur la machine de l'utilisateur et comprend deux composants : Anti-Malware et File Threat Emulation. Anti-Malware est un outil qui analyse régulièrement tous les fichiers utilisateur et système à l'aide de l'analyse des signatures. Dans les paramètres de ce composant, vous pouvez configurer les paramètres des heures d'analyse régulière ou aléatoire, la période de mise à jour des signatures et la possibilité pour les utilisateurs d'annuler l'analyse planifiée. Émulation des menaces liées aux fichiers vous permet d'émuler des fichiers stockés sur la machine de l'utilisateur dans le sandbox cloud Check Point. Cependant, cette fonctionnalité de sécurité ne fonctionne qu'en mode Détection.
La politique standard de protection des fichiers inclut la protection avec Anti-Malware et la détection des fichiers malveillants avec Files Threat Emulation. Une analyse régulière est effectuée chaque mois et les signatures sur la machine de l'utilisateur sont mises à jour toutes les 4 heures. Dans le même temps, les utilisateurs sont configurés pour pouvoir annuler une analyse planifiée, mais au plus tard 30 jours à compter de la date de la dernière analyse réussie.
Protection comportementale
Anti-Bot, Protection Comportementale & Anti-Ransomware, Anti-Exploit
Le groupe de composants de protection Behavioral Protection comprend trois composants : Anti-Bot, Behavioral Guard & Anti-Ransomware et Anti-Exploit. anti-bot vous permet de surveiller et de bloquer les connexions C&C à l'aide de la base de données Check Point ThreatCloud constamment mise à jour. Garde comportementale et anti-ransomware surveille en permanence l'activité (fichiers, processus, interactions réseau) sur la machine de l'utilisateur et vous permet de prévenir les attaques de ransomware dès les premières étapes. De plus, cet élément de protection vous permet de restaurer des fichiers déjà cryptés par le malware. Les fichiers sont restaurés dans leurs répertoires d'origine ou vous pouvez spécifier un chemin spécifique où tous les fichiers récupérés seront stockés. Anti-Exploit vous permet de détecter les attaques zero-day. Tous les composants de protection comportementale prennent en charge trois modes de fonctionnement : Prévenir, Détecter et Désactiver.
La politique standard de protection comportementale prévoit Prevent pour les composants Anti-Bot et Behavioral Guard & Anti-Ransomware, avec la restauration des fichiers cryptés dans leurs répertoires d'origine. Le composant Anti-Exploit est désactivé et n'est pas utilisé.
Analyse et remédiation
Analyse automatisée des attaques (criminalistique), correction et réponse
Deux composants de sécurité sont disponibles pour l'analyse et l'investigation des incidents de sécurité : analyse automatisée des attaques (investigation légale) et correction et réponse. Analyse automatisée des attaques (criminalistique) vous permet de générer des rapports sur les résultats de la répression des attaques avec une description détaillée - jusqu'à l'analyse du processus d'exécution du malware sur la machine de l'utilisateur. Il est également possible d'utiliser la fonctionnalité Threat Hunting, qui permet de rechercher de manière proactive des anomalies et des comportements potentiellement malveillants à l'aide de filtres prédéfinis ou créés. Correction et réponse vous permet de configurer les paramètres de récupération et de quarantaine des fichiers après une attaque : l'interaction de l'utilisateur avec les fichiers de quarantaine est réglementée, et il est également possible de stocker les fichiers en quarantaine dans un répertoire spécifié par l'administrateur.
La politique standard d'analyse et de correction inclut une protection, qui inclut des actions automatiques de récupération (fin des processus, restauration de fichiers, etc.), et l'option d'envoi de fichiers en quarantaine est active, et les utilisateurs peuvent uniquement supprimer les fichiers de la quarantaine.
Politique standard de prévention des menaces : tests
Check Point Point de terminaison CheckMe
Le moyen le plus rapide et le plus simple de vérifier la sécurité de la machine d'un utilisateur contre les types d'attaques les plus courants consiste à effectuer un test en utilisant la ressource , qui effectue un certain nombre d'attaques typiques de différentes catégories et vous permet d'obtenir un rapport sur les résultats des tests. Dans ce cas, l'option de test Endpoint a été utilisée, dans laquelle un fichier exécutable est téléchargé et lancé sur l'ordinateur, puis le processus de vérification commence.
Dans le processus de vérification de la sécurité d'un ordinateur en état de marche, SandBlast Agent signale les attaques identifiées et réfléchies sur l'ordinateur de l'utilisateur, par exemple : la lame Anti-Bot signale la détection d'une infection, la lame Anti-Malware a détecté et supprimé le fichier malveillant CP_AM.exe et le panneau Threat Emulation a installé que le fichier CP_ZD.exe est malveillant.
Sur la base des résultats des tests effectués avec CheckMe Endpoint, nous obtenons le résultat suivant : sur 6 catégories d'attaques, la politique standard de prévention des menaces n'a pas réussi à gérer une seule catégorie : les exploits du navigateur. En effet, la stratégie standard de prévention des menaces n’inclut pas le panneau Anti-Exploit. Il convient de noter que sans SandBlast Agent installé, l’ordinateur de l’utilisateur a réussi l’analyse uniquement dans la catégorie Ransomware.
KnowBe4 RanSim
Pour tester le fonctionnement de la lame Anti-Ransomware, vous pouvez utiliser une solution gratuite , qui exécute une série de tests sur la machine de l’utilisateur : 18 scénarios d’infection par ransomware et 1 scénario d’infection par cryptominer. Il est à noter que la présence de nombreux blades dans la politique standard (Threat Emulation, Anti-Malware, Behavioral Guard) avec l'action Prevent ne permet pas de réaliser correctement ce test. Cependant, même avec un niveau de sécurité réduit (Émulation des menaces en mode Désactivé), le test de la lame Anti-Ransomware affiche des résultats élevés : 18 tests sur 19 ont réussi (1 n'a pas démarré).
Fichiers et documents malveillants
Il est indicatif de vérifier le fonctionnement des différentes lames de la politique standard de prévention des menaces à l’aide de fichiers malveillants de formats courants téléchargés sur la machine de l’utilisateur. Ce test a porté sur 66 fichiers aux formats PDF, DOC, DOCX, EXE, XLS, XLSX, CAB, RTF. Les résultats des tests ont montré que SandBlast Agent était capable de bloquer 64 fichiers malveillants sur 66. Les fichiers infectés ont été supprimés après le téléchargement ou débarrassés de tout contenu malveillant à l'aide de Threat Extraction et reçus par l'utilisateur.
Recommandations pour améliorer la politique de prévention des menaces
1. Filtrage d'URL
La première chose qui doit être corrigée dans la politique standard pour augmenter le niveau de sécurité de la machine client est de basculer le panneau de filtrage d'URL sur Empêcher et de spécifier les catégories appropriées de blocage. Dans notre cas, toutes les catégories ont été sélectionnées sauf Usage général, puisqu'elles regroupent la plupart des ressources dont il est nécessaire de restreindre l'accès aux utilisateurs sur le lieu de travail. De plus, pour de tels sites, il est conseillé de supprimer la possibilité pour les utilisateurs d'ignorer la fenêtre d'avertissement en décochant le paramètre « Autoriser l'utilisateur à ignorer l'alerte de filtrage d'URL et à accéder au site Web ».
2.Protection des téléchargements
La deuxième option à laquelle il convient de prêter attention est la possibilité pour les utilisateurs de télécharger des fichiers qui ne sont pas pris en charge par l'émulation Check Point. Puisque dans cette section nous examinons les améliorations apportées à la politique standard de prévention des menaces du point de vue de la sécurité, la meilleure option serait de bloquer le téléchargement de fichiers non pris en charge.
3. Protection des fichiers
Vous devez également faire attention aux paramètres de protection des fichiers, en particulier aux paramètres d'analyse périodique et à la possibilité pour l'utilisateur de reporter l'analyse forcée. Dans ce cas, l'horaire de l'utilisateur doit être pris en compte, et une bonne option du point de vue de la sécurité et des performances est de configurer une analyse forcée à exécuter tous les jours, avec l'heure sélectionnée de manière aléatoire (de 00h00 à 8h00). XNUMX), et l’utilisateur peut retarder l’analyse d’une semaine maximum.
4. Anti-exploit
Un inconvénient majeur de la stratégie standard de prévention des menaces est que la lame Anti-Exploit est désactivée. Il est recommandé d'activer cette lame avec l'action Prévenir pour protéger le poste de travail des attaques utilisant des exploits. Avec ce correctif, le nouveau test CheckMe se termine avec succès sans détecter de vulnérabilités sur la machine de production de l'utilisateur.
Conclusion
Résumons : dans cet article, nous nous sommes familiarisés avec les composants de la politique standard de prévention des menaces, avons testé cette politique à l'aide de diverses méthodes et outils, et avons également décrit des recommandations pour améliorer les paramètres de la politique standard afin d'augmenter le niveau de sécurité de la machine utilisateur. . Dans le prochain article de la série, nous passerons à l'étude de la politique de protection des données et examinerons les paramètres de politique globale.
. Afin de ne pas manquer les prochaines publications sur le thème SandBlast Agent Management Platform, suivez les mises à jour sur nos réseaux sociaux (, , , , ).
Source: habr.com