Wolkom by it tredde artikel yn 'e searje oer de nije wolk-basearre beskermingskonsole foar persoanlike kompjûter - Check Point SandBlast Agent Management Platform. Lit my jo herinnerje dat yn wy makken kunde mei it Infinity Portal en makken in wolk-basearre agintbeheartsjinst, Endpoint Management Service. Yn Wy studearre de webbehearkonsole-ynterface en ynstalleare in agint mei in standertbelied op 'e brûkersmasine. Hjoed sille wy de ynhâld fan it standert befeiligingsbelied fan Threat Prevention besjen en de effektiviteit testje by it tsjingean fan populêre oanfallen.
Standert Threat Previnsje Policy: Beskriuwing
De figuer hjirboppe lit in standert Threat Prevention-beliedsregel sjen, dy't standert jildt foar de hiele organisaasje (alle ynstalleare aginten) en omfettet trije logyske groepen fan beskermingskomponinten: Web & Files Protection, Behavioral Protection en Analysis & Remediation. Litte wy elk fan 'e groepen in tichterby besjen.
Web- en bestannenbeskerming
URL-filtering
URL-filtering lit jo tagong fan brûkers ta webboarnen kontrolearje, mei foarôf definieare 5 kategoryen siden. Elk fan 'e 5 kategoryen befettet ferskate mear spesifike subkategoryen, wêrmei jo te konfigurearjen, bygelyks, blokkearje tagong ta de Spultsjes subkategory en tastean tagong ta de Instant Messaging subkategory, dy't binne opnaam yn deselde Productivity Loss kategory. De URL's dy't ferbûn binne mei spesifike subkategoryen wurde bepaald troch Check Point. Jo kinne kontrolearje de kategory dêr't in spesifike URL heart of oanfreegje in kategory oerskriuwe op in spesjale boarne .
De aksje kin ynsteld wurde op Prevent, Detect of Off. Ek by it selektearjen fan de Detect-aksje, wurdt automatysk in ynstelling tafoege wêrmei brûkers de URL-filtering warskôging kinne oerslaan en nei de boarne fan belang gean. As Prevent brûkt wurdt, kin dizze ynstelling fuortsmiten wurde en sil de brûker gjin tagong krije ta de ferbeane side. In oare handige manier om ferbeane boarnen te kontrolearjen is it opsetten fan in Block List, wêryn jo domeinen, IP-adressen opjaan kinne, of in .csv-bestân uploade mei in list mei domeinen om te blokkearjen.
Yn it standertbelied foar URL-filtering is de aksje ynsteld op Detect en ien kategory is selektearre - Feiligens, wêrfoar eveneminten wurde ûntdutsen. Dizze kategory befettet ferskate anonymizers, siden mei in Kritysk / Heech / Medium risikonivo, phishing-siden, spam en folle mear. Brûkers kinne lykwols noch tagong krije ta de boarne troch de ynstelling "Sta brûker de URL-filtering-alarm ôfwize en tagong ta de webside".
Download (web) beskerming
Emulaasje en ekstraksje kinne jo downloade bestannen emulearje yn 'e Check Point-wolkensandbox en dokuminten ûnderweis opromje, potinsjeel kweade ynhâld fuortsmite, of it dokumint konvertearje nei PDF. D'r binne trije operaasjemodi:
- Foarkommen - kinne jo in kopy krije fan it skjinmakke dokumint foar it definitive emulaasjebestjoer, of wachtsje oant de emulaasje foltôge is en it orizjinele bestân direkt downloade;
- Detektearje - fiert emulaasje op 'e eftergrûn út, sûnder te foarkommen dat de brûker it orizjinele bestân ûntfangt, nettsjinsteande it oardiel;
- Út - alle bestannen binne tastien om te downloaden sûnder emulaasje en skjinmeitsjen fan potensjeel kweade komponinten te ûndergean.
It is ek mooglik om in aksje te selektearjen foar bestannen dy't net wurde stipe troch Check Point-emulaasje- en skjinmakynstruminten - jo kinne de ynlaad fan alle net-stipe bestannen tastean of wegerje.
It standertbelied foar Downloadbeskerming is ynsteld op Prevent, wêrtroch jo in kopy kinne krije fan it orizjinele dokumint dat is wiske fan potensjeel kweade ynhâld, en ek it ynladen fan bestannen tastean dy't net wurde stipe troch emulaasje- en skjinmakynstruminten.
Credential Protection
De komponint Credential Protection beskermet brûkersgegevens en omfettet 2 komponinten: Zero Phishing en Wachtwurdbeskerming. Zero Phishing beskermet brûkers fan tagong ta phishing-boarnen, en Wachtwurd Protection stelt de brûker op 'e hichte oer de ûnakseptabiliteit fan it brûken fan bedriuwsgegevens bûten it beskerme domein. Zero Phishing kin ynsteld wurde op Prevent, Detect of Off. As de aksje Prevent ynsteld is, is it mooglik om brûkers de warskôging oer in potinsjele phishing-boarne te negearjen en tagong te krijen ta de boarne, of dizze opsje út te skeakeljen en tagong foar altyd te blokkearjen. Mei in Detect-aksje hawwe brûkers altyd de opsje om de warskôging te negearjen en tagong te krijen ta de boarne. Wachtwurdbeskerming lit jo beskerme domeinen selektearje wêrfoar wachtwurden sille wurde kontrolearre op neilibjen, en ien fan trije aksjes: Detect & Alert (notifikaasje fan 'e brûker), Detect of Off.
It standertbelied foar Credential Protection is om foar te kommen dat alle phishing-boarnen foarkomme dat brûkers tagong krije ta in potinsjeel kweade side. Beskerming tsjin it brûken fan bedriuwswachtwurden is ek ynskeakele, mar sûnder de opjûne domeinen sil dizze funksje net wurkje.
Files beskerming
Bestânsbeskerming is ferantwurdlik foar it beskermjen fan bestannen opslein op 'e masine fan' e brûker en omfettet twa komponinten: Anti-Malware en Files Threat Emulation. Anti-malware is in ark dat regelmjittich alle brûkers- en systeembestannen scant mei hantekeninganalyse. Yn 'e ynstellings fan dizze komponint kinne jo de ynstellings konfigurearje foar reguliere skennen of willekeurige skennentiden, de perioade fan hantekening bywurking, en de mooglikheid foar brûkers om plande skennen te annulearjen. Triemen Threat Emulation kinne jo bestannen emulearje opslein op 'e masine fan' e brûker yn 'e Check Point-wolkensandbox, lykwols, dizze befeiligingsfunksje wurket allinich yn Detect-modus.
It standertbelied foar Bestânsbeskerming omfettet beskerming mei Anti-Malware en deteksje fan kweade triemmen mei Files Threat Emulation. Regelmjittich skennen wurdt elke moanne útfierd, en hantekeningen op 'e brûkersmasine wurde elke 4 oeren bywurke. Tagelyk wurde brûkers ynsteld om in plande scan te annulearjen, mar net letter as 30 dagen fan 'e datum fan' e lêste suksesfolle scan.
Behavioral beskerming
Anti-Bot, Behavioral Guard & Anti-Ransomware, Anti-Exploit
De Behavioral Protection-groep fan beskermingskomponinten omfettet trije komponinten: Anti-Bot, Behavioral Guard & Anti-Ransomware en Anti-Exploit. Anti-Bot lit jo C&C-ferbiningen kontrolearje en blokkearje mei de konstant bywurke Check Point ThreatCloud-database. Behavioral Guard & Anti-Ransomware kontrolearret konstant aktiviteit (bestannen, prosessen, netwurkynteraksjes) op 'e brûkersmasine en kinne jo ransomware-oanfallen yn' e earste fazen foarkomme. Derneist lit dit beskermingelemint jo bestannen weromsette dy't al fersifere binne troch de malware. Triemmen wurde weromset nei har orizjinele mappen, of jo kinne in spesifyk paad opjaan wêr't alle herstelde bestannen sille wurde opslein. Anti-eksploitaasje kinne jo detect nul-day oanfallen. Alle komponinten foar gedrachsbeskerming stypje trije bestjoeringsmodi: Prevent, Detect en Off.
It standertbelied foar Gedrachsbeskerming biedt Prevent foar de komponinten Anti-Bot en Behavioral Guard & Anti-Ransomware, mei de restauraasje fan fersifere bestannen yn har orizjinele mappen. De komponint Anti-Exploit is útskeakele en net brûkt.
Analyse & Remediation
Automatisearre oanfalanalyse (Forensics), sanearjen en antwurd
Twa befeiligingskomponinten binne beskikber foar analyse en ûndersyk fan feiligensynsidinten: Automatisearre oanfalanalyse (Forensics) en Remediation & Response. Automatisearre oanfalanalyse (Forensics) kinne jo rapporten generearje oer de resultaten fan ôfwikende oanfallen mei in detaillearre beskriuwing - direkt nei it analysearjen fan it proses fan it útfieren fan 'e malware op' e masine fan 'e brûker. It is ek mooglik om de Threat Hunting-funksje te brûken, dy't it mooglik makket om proaktyf te sykjen nei anomalies en potinsjeel kwea-aardich gedrach mei foarôf definieare of oanmakke filters. Remediation & Response kinne jo ynstelle ynstellings foar herstel en karantine fan triemmen nei in oanfal: brûkersynteraksje mei karantine triemmen wurdt regele, en it is ek mooglik om te bewarjen yn karantine triemmen yn in map oantsjutte troch de behearder.
It standert belied foar Analysis & Remediation omfettet beskerming, dy't automatyske aksjes foar herstel omfettet (beëinigjen fan prosessen, bestannen weromsette, ensfh.), En de opsje om bestannen nei quarantaine te stjoeren is aktyf, en brûkers kinne allinich bestannen wiskje út quarantaine.
Standert Threat Previnsje Policy: Testen
Check Point CheckMe Einpunt
De rapste en maklikste manier om de feiligens fan 'e masine fan in brûker te kontrolearjen tsjin de populêrste soarten oanfallen is in test út te fieren mei de boarne , dy't in oantal typyske oanfallen fan ferskate kategoryen útfiert en kinne jo in rapport krije oer de resultaten fan testen. Yn dit gefal waard de opsje Endpoint-testen brûkt, wêryn in útfierber bestân wurdt ynladen en lansearre op 'e kompjûter, en dan begjint it ferifikaasjeproses.
Yn it proses fan it kontrolearjen fan de feiligens fan in wurkjende kompjûter, SandBlast Agent sinjalearret oer identifisearre en wjerspegele oanfallen op 'e kompjûter fan de brûker, bygelyks: it Anti-Bot-blêd rapportearret de detectie fan in ynfeksje, it Anti-Malware-blêd hat de ûntdutsen en wiske de kweade triem CP_AM.exe, en de Threat Emulation blade hat ynstallearre dat de CP_ZD.exe triem is kwea-aardich.
Op grûn fan 'e resultaten fan testen mei CheckMe Endpoint hawwe wy it folgjende resultaat: fan 6 oanfalskategoryen slagge it standert Threat Prevention-belied net mei mar ien kategory - Browser Exploit. Dit komt omdat de standert Threat Prevention belied net omfiemet de Anti-Exploit blade. It is de muoite wurdich op te merken dat sûnder SandBlast Agent ynstalleare, de kompjûter fan 'e brûker de scan allinich trochjûn ûnder de kategory Ransomware.
KnowBe4 RanSim
Om de wurking fan it Anti-Ransomware-blêd te testen, kinne jo in fergese oplossing brûke , dy't in searje tests op 'e masine fan' e brûker rint: 18 ransomware-ynfeksjescenario's en 1 cryptominer-ynfeksjescenario. It is de muoite wurdich opskriuwen dat de oanwêzigens fan in protte blêden yn de standert belied (Threat Emulation, Anti-Malware, Behavioral Guard) mei de Prevent aksje net tastean dizze test te rinnen goed. Lykwols, sels mei in fermindere feiligensnivo (Threat Emulation yn Off-modus), toant de Anti-Ransomware blade-test hege resultaten: 18 fan 19 tests slagge mei sukses (1 koe net begjinne).
Malicious triemmen en dokuminten
It is yndikatyf om de wurking fan ferskate blêden fan it standert Threat Prevention-belied te kontrolearjen mei kweade triemmen fan populêre formaten dy't ynladen binne nei de masine fan 'e brûker. Dizze test befette 66 bestannen yn PDF, DOC, DOCX, EXE, XLS, XLSX, CAB, RTF formaten. De testresultaten lieten sjen dat SandBlast Agent koe blokkearje 64 kweade triemmen út 66. Infected triemmen waarden wiske nei it ynladen, of wiske fan kweade ynhâld mei help fan Threat Extraction en ûntfongen troch de brûker.
Oanbefellings foar it ferbetterjen fan it belied foar bedrigingsprevinsje
1. URL Filtering
It earste ding dat yn it standertbelied korrizjearre wurde moat om it nivo fan feiligens fan 'e kliïntmasine te ferheegjen is om it URL-filterblêd te wikseljen nei Prevent en de passende kategoryen foar blokkearjen op te jaan. Yn ús gefal waarden alle kategoryen selektearre útsein Algemien Gebrûk, om't se de measte boarnen omfetsje dêr't it nedich is om tagong ta brûkers op 'e wurkflier te beheinen. Ek foar sokke siden is it oan te rieden om de mooglikheid te ferwiderjen foar brûkers om it warskôgingsfinster oer te slaan troch de parameter "Tastean brûker de warskôging foar URL-filtering te ferwiderjen en tagong te krijen ta de webside".
2.Download beskerming
De twadde opsje om omtinken te jaan is de mooglikheid foar brûkers om bestannen te downloaden dy't net wurde stipe troch de Check Point-emulaasje. Om't wy yn dizze seksje ferbetteringen sjogge oan it standert Threat Prevention-belied út in feiligensperspektyf, soe de bêste opsje wêze om de download fan net-stipe bestannen te blokkearjen.
3. Triembeskerming
Jo moatte ek omtinken jaan oan de ynstellingen foar it beskermjen fan bestannen - benammen de ynstellingen foar periodike skennen en de mooglikheid foar de brûker om twongen skennen út te stellen. Yn dit gefal moat it tiidframe fan 'e brûker rekken holden wurde, en in goede opsje út in feiligens- en prestaasjespunt is om in twongen scan te konfigurearjen om elke dei te rinnen, mei de tiid willekeurich selektearre (fan 00:00 oant 8: 00), en de brûker kin de scan maksimaal ien wike fertrage.
4. Anti-Exploit
In wichtich nadeel fan it standert Threat Prevention-belied is dat it Anti-Exploit-blêd is útskeakele. It is oan te rieden om dit blêd yn te skeakeljen mei de aksje Prevent om it wurkstasjon te beskermjen tsjin oanfallen mei eksploaten. Mei dizze fix foltôget de CheckMe-hertest mei súkses sûnder kwetsberens te detektearjen op 'e produksjemasine fan 'e brûker.
konklúzje
Litte wy gearfetsje: yn dit artikel hawwe wy kunde makke mei de komponinten fan it standert Threat Prevention-belied, dit belied testen mei ferskate metoaden en ark, en ek oanbefellings beskreaun foar it ferbetterjen fan de ynstellings fan it standertbelied om it nivo fan feiligens fan 'e brûkersmasine te ferheegjen . Yn it folgjende artikel yn 'e searje sille wy trochgean mei it bestudearjen fan it belied foar gegevensbeskerming en sjogge nei de Global Policy Settings.
. Om de folgjende publikaasjes oer it ûnderwerp SandBlast Agent Management Platform net te missen, folgje de updates op ús sosjale netwurken (, , , , ).
Boarne: www.habr.com