Benvido ao terceiro artigo da serie sobre a nova consola de xestión de protección de ordenadores persoais baseada na nube: Check Point SandBlast Agent Management Platform. Permíteme recordarche que en coñecemos o Portal Infinity e creamos un servizo de xestión de axentes baseado na nube, Endpoint Management Service. En Estudamos a interface da consola de xestión web e instalamos un axente cunha política estándar na máquina do usuario. Hoxe analizaremos o contido da política de seguridade estándar de prevención de ameazas e probaremos a súa eficacia para contrarrestar ataques populares.
Política estándar de prevención de ameazas: descrición
A figura anterior mostra unha regra de política estándar de prevención de ameazas, que por defecto se aplica a toda a organización (todos os axentes instalados) e inclúe tres grupos lóxicos de compoñentes de protección: Protección de ficheiros e web, Protección de comportamento e Análise e corrección. Vexamos máis de cerca cada un dos grupos.
Protección web e ficheiros
Filtrado de URL
O filtrado de URL permítelle controlar o acceso dos usuarios aos recursos web, utilizando 5 categorías de sitios predefinidas. Cada unha das 5 categorías contén varias subcategorías máis específicas, o que permite configurar, por exemplo, bloqueando o acceso á subcategoría Xogos e permitindo o acceso á subcategoría de Mensaxería instantánea, que se inclúen na mesma categoría de Perda de produtividade. Check Point determina os URL asociados a subcategorías específicas. Pode comprobar a categoría á que pertence un URL específico ou solicitar unha substitución de categoría nun recurso especial .
A acción pódese configurar en Prevent, Detect ou Off. Ademais, ao seleccionar a acción Detectar, engádese automaticamente unha configuración que permite aos usuarios omitir o aviso de filtrado de URL e ir ao recurso de interese. Se se utiliza Prevent, pódese eliminar esta configuración e o usuario non poderá acceder ao sitio prohibido. Outra forma conveniente de controlar os recursos prohibidos é configurar unha Lista de bloqueo, na que podes especificar dominios, enderezos IP ou cargar un ficheiro .csv cunha lista de dominios para bloquear.
Na política estándar para o filtrado de URL, a acción está definida como Detectar e selecciónase unha categoría: Seguridade, para a que se detectarán eventos. Esta categoría inclúe varios anonimizadores, sitios cun nivel de risco crítico/alto/medio, sitios de phishing, spam e moito máis. Non obstante, os usuarios aínda poderán acceder ao recurso grazas á configuración "Permitir que o usuario descarte a alerta de filtrado de URL e acceda ao sitio web".
Descarga (web) Protección
A emulación e extracción permítelle emular ficheiros descargados na caixa de probas da nube de Check Point e limpar documentos sobre a marcha, eliminando contido potencialmente malicioso ou convertendo o documento a PDF. Hai tres modos de funcionamento:
- Previr — permítelle obter unha copia do documento limpo antes do veredicto final da emulación ou esperar a que a emulación se complete e descargar o ficheiro orixinal inmediatamente;
- Detectar — realiza a emulación en segundo plano, sen impedir que o usuario reciba o ficheiro orixinal, independentemente do veredicto;
- Fóra — Permítese descargar calquera ficheiro sen ser sometido a emulación e limpeza de compoñentes potencialmente maliciosos.
Tamén é posible seleccionar unha acción para os ficheiros que non son compatibles coas ferramentas de limpeza e emulación de Check Point; pode permitir ou denegar a descarga de todos os ficheiros non compatibles.
A política estándar para Protección de descargas está definida como Prevención, o que lle permite obter unha copia do documento orixinal que se eliminou de contido potencialmente malicioso, ademais de permitir a descarga de ficheiros que non son compatibles con ferramentas de emulación e limpeza.
Protección de credenciais
O compoñente de protección de credenciais protexe as credenciais dos usuarios e inclúe dous compoñentes: cero phishing e protección por contrasinal. Phishing cero protexe aos usuarios do acceso aos recursos de phishing e Protección de contrasinal notifica ao usuario a inadmisión do uso de credenciais corporativas fóra do dominio protexido. Zero Phishing pódese configurar en Prevent, Detect ou Off. Cando se define a acción Prevención, é posible permitir que os usuarios ignoren a advertencia sobre un recurso potencial de phishing e accedan ao recurso, ou desactiven esta opción e bloqueen o acceso para sempre. Cunha acción Detectar, os usuarios sempre teñen a opción de ignorar o aviso e acceder ao recurso. A protección de contrasinais permítelle seleccionar dominios protexidos para os que se comprobará o cumprimento dos contrasinais e unha das tres accións: Detectar e alertar (avisar ao usuario), Detectar ou Desactivar.
A política estándar de Protección de credenciais é evitar que ningún recurso de phishing impida que os usuarios accedan a un sitio potencialmente malicioso. A protección contra o uso de contrasinais corporativos tamén está activada, pero sen os dominios especificados esta función non funcionará.
Protección de ficheiros
Files Protection encárgase de protexer os ficheiros almacenados na máquina do usuario e inclúe dous compoñentes: Anti-Malware e Files Threat Emulation. Anti-malware é unha ferramenta que analiza regularmente todos os ficheiros do usuario e do sistema mediante a análise de sinaturas. Na configuración deste compoñente, pode configurar a configuración para os tempos de dixitalización regular ou aleatoria, o período de actualización da sinatura e a posibilidade de que os usuarios cancelen a dixitalización programada. Emulación de ameazas de ficheiros permítelle emular ficheiros almacenados na máquina do usuario no sandbox da nube de Check Point, pero esta función de seguranza só funciona no modo Detectar.
A política estándar de Protección de ficheiros inclúe protección con Anti-Malware e detección de ficheiros maliciosos con Files Threat Emulation. A dixitalización regular realízase cada mes e as sinaturas na máquina do usuario actualízanse cada 4 horas. Ao mesmo tempo, os usuarios están configurados para poder cancelar unha exploración programada, pero non máis tarde de 30 días desde a data da última exploración exitosa.
Protección do comportamento
Anti-Bot, Behavioral Guard e Anti-Ransomware, Anti-Exploit
O grupo de compoñentes de protección Behavioral Protection inclúe tres compoñentes: Anti-Bot, Behavioral Guard e Anti-Ransomware e Anti-Exploit. Anti-Bot permítelle supervisar e bloquear as conexións C&C usando a base de datos de Check Point ThreatCloud constantemente actualizada. Behavioral Guard e anti-ransomware supervisa constantemente a actividade (arquivos, procesos, interaccións de rede) na máquina do usuario e permítelle evitar ataques de ransomware nas fases iniciais. Ademais, este elemento de protección permítelle restaurar ficheiros que xa foron cifrados polo malware. Os ficheiros restaúranse aos seus directorios orixinais ou pode especificar un camiño específico onde se almacenarán todos os ficheiros recuperados. Anti-explotación permite detectar ataques de día cero. Todos os compoñentes de Behavioral Protection admiten tres modos de funcionamento: prevenir, detectar e desactivar.
A política estándar de Protección de comportamento proporciona Prevent para os compoñentes Anti-Bot e Behavioral Guard e Anti-Ransomware, coa restauración dos ficheiros cifrados nos seus directorios orixinais. O compoñente Anti-Exploit está desactivado e non se usa.
Análise e Remediación
Análise de ataques automatizados (forense), corrección e resposta
Hai dous compoñentes de seguridade dispoñibles para a análise e investigación de incidentes de seguridade: Análise de ataques automatizados (Forense) e Remediación e Resposta. Análise automatizada de ataques (forense) permítelle xerar informes sobre os resultados de repeler ataques cunha descrición detallada, ata analizar o proceso de execución do malware na máquina do usuario. Tamén é posible utilizar a función Threat Hunting, que permite buscar de forma proactiva anomalías e comportamentos potencialmente maliciosos mediante filtros predefinidos ou creados. Remediación e resposta permítelle configurar a configuración para a recuperación e corentena de ficheiros despois dun ataque: a interacción do usuario cos ficheiros de corentena está regulada e tamén é posible almacenar ficheiros en corentena nun directorio especificado polo administrador.
A política estándar de Análise e Remediación inclúe protección, que inclúe accións automáticas para a recuperación (finalización de procesos, restauración de ficheiros, etc.) e a opción de enviar ficheiros á corentena está activa, e os usuarios só poden eliminar ficheiros da corentena.
Política estándar de prevención de ameazas: probas
Check Point CheckMe Endpoint
A forma máis rápida e sinxela de comprobar a seguridade da máquina dun usuario contra os tipos máis populares de ataques é realizar unha proba usando o recurso , que realiza unha serie de ataques típicos de varias categorías e permite obter un informe sobre os resultados das probas. Neste caso, utilizouse a opción de proba de Endpoint, na que se descarga un ficheiro executable e lánzase ao ordenador, e despois comeza o proceso de verificación.
Durante o proceso de comprobación da seguridade dun ordenador en funcionamento, SandBlast Agent sinala os ataques identificados e reflectidos no ordenador do usuario, por exemplo: a lámina Anti-Bot informa da detección dunha infección, a lámina Anti-Malware detectou e eliminou o ficheiro malicioso CP_AM.exe e a lámina de emulación de ameazas instalou que o ficheiro CP_ZD.exe é malicioso.
Baseándonos nos resultados das probas con CheckMe Endpoint, temos o seguinte resultado: de 6 categorías de ataque, a política estándar de prevención de ameazas non puido xestionar só unha categoría: Explotación do navegador. Isto débese a que a política estándar de prevención de ameazas non inclúe a lámina Anti-Exploit. Paga a pena notar que sen SandBlast Agent instalado, o ordenador do usuario pasou a exploración só baixo a categoría Ransomware.
KnowBe4 RanSim
Para probar o funcionamento da lámina Anti-Ransomware, pode usar unha solución gratuíta , que realiza unha serie de probas na máquina do usuario: 18 escenarios de infección por ransomware e 1 escenario de infección por cryptominer. Cabe sinalar que a presenza de moitas láminas na política estándar (Emulación de ameazas, Anti-Malware, Behavioral Guard) coa acción Prevenir non permite que esta proba se execute correctamente. Non obstante, aínda cun nivel de seguridade reducido (Emulación de ameazas no modo Desactivado), a proba da lámina Anti-Ransomware mostra resultados elevados: 18 de 19 probas pasaron con éxito (1 non se iniciou).
Ficheiros e documentos maliciosos
É indicativo comprobar o funcionamento das diferentes láminas da política estándar de prevención de ameazas mediante ficheiros maliciosos de formatos populares descargados na máquina do usuario. Esta proba implicou 66 ficheiros en formato PDF, DOC, DOCX, EXE, XLS, XLSX, CAB, RTF. Os resultados das probas mostraron que SandBlast Agent foi capaz de bloquear 64 ficheiros maliciosos de 66. Os ficheiros infectados foron eliminados despois da descarga, ou borrados de contido malicioso mediante Threat Extraction e recibidos polo usuario.
Recomendacións para mellorar a política de Prevención de Ameazas
1. Filtrado de URL
O primeiro que hai que corrixir na política estándar para aumentar o nivel de seguridade da máquina cliente é cambiar a lámina de filtrado de URL a Prevent e especificar as categorías adecuadas para o bloqueo. No noso caso, seleccionáronse todas as categorías excepto Uso Xeral, xa que inclúen a maioría dos recursos aos que é necesario restrinxir o acceso aos usuarios no lugar de traballo. Ademais, para estes sitios, é recomendable eliminar a posibilidade de que os usuarios omitan a xanela de aviso desmarcando o parámetro "Permitir que o usuario descarte a alerta de filtrado de URL e acceda ao sitio web".
Protección 2.Download
A segunda opción á que paga a pena prestar atención é a posibilidade de que os usuarios descarguen ficheiros que non son compatibles coa emulación de Check Point. Dado que nesta sección estamos analizando melloras na política estándar de prevención de ameazas desde unha perspectiva de seguridade, a mellor opción sería bloquear a descarga de ficheiros non compatibles.
3. Protección de ficheiros
Tamén cómpre prestar atención á configuración para protexer os ficheiros, en particular, a configuración para a dixitalización periódica e a posibilidade de que o usuario pospoña a dixitalización forzada. Neste caso, hai que ter en conta a franxa horaria do usuario, e unha boa opción desde o punto de vista da seguridade e do rendemento é configurar unha exploración forzada para que se execute todos os días, coa hora seleccionada ao azar (de 00:00 a 8:00 horas: XNUMX), e o usuario pode atrasar a exploración durante un máximo dunha semana.
4. Anti-explotación
Un inconveniente importante da política estándar de prevención de ameazas é que a lámina Anti-Exploit está desactivada. Recoméndase habilitar esta lámina coa acción Prevent para protexer a estación de traballo de ataques mediante exploits. Con esta corrección, a reprobación de CheckMe finaliza con éxito sen detectar vulnerabilidades na máquina de produción do usuario.
Conclusión
Resumimos: neste artigo coñecemos os compoñentes da política estándar de prevención de ameazas, probamos esta política utilizando varios métodos e ferramentas e tamén describimos recomendacións para mellorar a configuración da política estándar para aumentar o nivel de seguridade da máquina do usuario. . No seguinte artigo da serie, pasaremos a estudar a política de protección de datos e analizaremos a configuración global da política.
. Para non perderse as próximas publicacións sobre o tema SandBlast Agent Management Platform, siga as actualizacións nas nosas redes sociais (, , , , ).
Fonte: www.habr.com