Benvido a unha nova serie de artigos dedicados a protexer os lugares de traballo persoais mediante unha solución e un novo sistema de xestión na nube - . SandBlast Agent foi revisado por nós en artigos sobre и , e hai tempo que prometemos publicar un curso completo de artigos sobre a implantación e administración de axentes. E a plataforma de xestión do sistema de xestión de axentes baseado na nube presentada por Check Point no portal Infinity é a máis adecuada para iso: desde o momento do rexistro no portal ata o inicio da exploración da estación de traballo polo axente e a detección de actividade maliciosa, levará só uns minutos.
Por que SandBlast Agent?
Segundo a última proba Check Point SandBlast Agent está clasificado como AA e recomendado cos seguintes resultados de proba:
- A taxa de bloqueo do tráfico WEB é do 100 %;
- A taxa de bloqueo no correo electrónico é do 100 %;
- Taxa de bloqueo de ameazas fóra de liña: 100 %;
- A taxa de bloqueo dos intentos de anulación é do 100 %;
- Taxa de bloqueo global: 99,12 %;
- O valor dos falsos positivos Os falsos positivos son 0,8%.
SandBlast Agent ofrece un alto nivel de seguridade para as estacións de traballo dos usuarios mediante a colaboración de varios compoñentes, chamados "blades" na terminoloxía de Check Point. Breve descrición das láminas utilizadas no SandBlast Agent:
- Emulación de ameazas — tecnoloxía sandbox, resistente a diversas técnicas de evasión e que permite evitar ataques de día cero;
- Extracción de ameazas — tecnoloxía de limpeza de ficheiros ao voo, que permite ao usuario obter un documento limpo de compoñentes activos antes do veredicto de emulación total;
- Anti-explotación — protección de aplicacións moi utilizadas (Microsoft Office, Adobe PDF Reader, navegadores, etc.) de ataques mediante exploits;
- Anti-Bot — tecnoloxía para protexer os ordenadores persoais de unirse a redes de botnets, permítelle detectar infeccións, deter o funcionamento de software malicioso e "limpar" as máquinas infectadas;
- Zero-Phishing — un módulo de protección que bloquea sitios de phishing fraudulentos e notifica ao usuario sobre o uso dun contrasinal que funcione en recursos de terceiros;
- Garda conductual — tecnoloxía destinada a previr ataques que utilizan tecnoloxías para eludir e eludir a detección;
- Anti-Ransomware — un módulo de protección que detecta e bloquea as accións do ransomware e que tamén che permite restaurar ficheiros cifrados mediante Snapshots;
- Forenses — un módulo de seguridade que rexistra e analiza todos os eventos da máquina e, como resultado, proporciona un informe de alta calidade sobre os ataques que se están investigando.
Ademais das funcións enumeradas, SandBlast Agent permite o cifrado completo do disco, así como o cifrado de medios extraíbles e a protección dos portos do ordenador, ten un cliente VPN integrado, módulos de sinatura e heurísticos para protección contra malware. As capacidades de todos os compoñentes de SandBlast Agent comentaranse con máis detalle en artigos posteriores, pero agora é hora de familiarizarse coa plataforma en desenvolvemento activo: Check Point Infinity.
Check Point Infinity: protección contra ameazas da xeración V
Desde 2017, Check Point desenvolve e promove unha única arquitectura de seguridade consolidada , que lle permite protexer con éxito todos os compoñentes da infraestrutura de TI moderna: infraestrutura de rede e nube, estacións de traballo e dispositivos móbiles. A idea principal é a capacidade de xestionar ferramentas de seguridade de varias categorías desde unha única consola de xestión baseada nun navegador.
Actualmente, a arquitectura Check Point Infinity permítelle administrar solucións para a protección da nube - CloudGuard SaaS, solucións de seguridade de rede - CloudGuard Connect, Smart-1 Cloud, Infinity SOC, así como para protexer os dispositivos dos usuarios mediante SandBlast Agent Management Platform, SandBlast Agent Cloud Xestión e SandBlast Web Dashboard.
Esta serie de artigos dedicarase á solución SandBlast Agent Management Platform (actualmente versión Beta), que permite despregar un servidor de xestión na nube en cuestión de minutos, configurar unha política de seguridade e distribuír axentes nos ordenadores dos usuarios.
Infinity Portal e SandBlast Agent Management Platform: primeiros pasos
O proceso de implantación do axente SandBlast mediante a plataforma de xestión consta de 5 pasos:
- Rexistro no portal Check Point Infinity;
- Rexistrando a aplicación SandBlast Agent Management Platform;
- Crear un novo servizo de xestión de puntos finais para xestionar axentes;
- Creación e configuración dunha política para axentes;
- Implantación de axentes nos ordenadores dos usuarios.
Este artigo abarca os tres primeiros pasos e, en publicacións posteriores, analizaremos os dous restantes, incluíndo a exploración da interface da plataforma de xestión, a distribución de axentes nos ordenadores cliente, a configuración da política e a proba da capacidade do axente para xestionar os máis populares. ameazas de seguridade.
1. Rexistro no Portal Infinity
Primeiro de todo, cómpre ir ao sitio e enche o formulario de rexistro, indicando o nome da empresa, a información de contacto e acepta as condicións de uso do servizo e a política de privacidade do portal, e tamén completa o reCAPTCHA. Cabe destacar que ao rexistrarse, pode seleccionar o país en cuxo centro de datos se almacenarán os datos recollidos polo portal de acordo coas normas de uso do servizo e a política de privacidade. Só hai dúas opcións: Irlanda e Estados Unidos. Para iso, cómpre marcar a caixa de verificación "Usar rexión de residencia de datos específicas" e seleccionar o país.
Tras o rexistro exitoso no portal, enviarase unha carta ao teu enderezo de correo electrónico confirmando o teu acceso ao Portal Infinity e invitándote a iniciar sesión no portal. Paga a pena notar que ao iniciar sesión no portal por primeira vez, é posible que se lle solicite que seleccione a opción de restablecemento do contrasinal para unha maior autenticación.
2. Rexistra a aplicación SandBlast Agent Management Platform
Despois de autenticarse no portal e facer clic na icona "Menú" (paso 1 da imaxe de abaixo), solicitaráselle que rexistre unha aplicación da lista de dispoñibles nas seguintes categorías: Protección da nube, Protección da rede e Protección de puntos finais. Cada aplicación merece o seu propio curso de artigos introdutorios, polo que non nos deteremos máis en detalle e seleccionaremos a aplicación SandBlast Agent Management Platform na categoría Endpoint Protection (paso 2 na imaxe de abaixo).
Unha vez seleccionada a aplicación, debes aceptar as condicións de uso do servizo e a política de privacidade do portal e, tras facer clic no botón "PROBAR AGORA", ábrese o acceso á interface para crear servizos de Endpoint Management.
3. Cree un novo servizo de xestión de puntos finais
O último paso é crear un novo servizo para Endpoint Management, que é unha interface web para xestionar axentes. O proceso, como antes, é extremadamente sinxelo: selecciona a opción "Novo servizo de xestión de puntos finais" (como se mostra na figura a continuación), enche os detalles do teu novo servizo (ID, rexión de hospedaxe e contrasinal) e fai clic en "CREAR" botón.
Despois de completar o proceso de creación do servizo, recibirá un correo electrónico cos parámetros que pode usar para conectarse ao servidor de xestión da nube mediante a consola estándar de Check Point para a administración de axentes: SmartEndpoint versión R80.40. Non consideraremos a xestión mediante unha consola estándar, xa que esta serie de artigos ten como obxectivo demostrar as capacidades do sistema de xestión de axentes na nube SandBlast.
Neste punto, o proceso de rexistro dun servizo na nube para xestionar a ferramenta de protección do ordenador persoal do axente SandBlast pódese considerar rematado con éxito. Vemos a interface web da plataforma de administración de axentes, que se comentará en detalle no noso próximo artigo da serie "Check Point SandBlast Agent Management Platform".
Conclusión
É o momento de resumir o traballo realizado: rexistrámonos con éxito no Portal Infinity, rexistramos a aplicación SandBlast Agent Management Platform no portal e creamos un novo servizo de xestión na nube, Endpoint Management Service.
No noso próximo artigo da serie, daremos unha ollada detallada á interface de xestión de axentes: non se deixará ningunha pestana desatendida, o que nos permitirá crear facilmente unha política de seguranza no futuro e supervisar o estado das máquinas dos usuarios usando rexistros e informes.
. Para non perderse as próximas publicacións sobre o tema SandBlast Agent Management Platform, siga as actualizacións nas nosas redes sociais (, , , , ).
Fonte: www.habr.com