Dobro došli u treći članak u nizu o novoj konzoli za upravljanje zaštitom osobnog računala temeljenoj na oblaku - Check Point SandBlast Agent Management Platform. Da vas podsjetim da je u upoznali smo se s Infinity Portalom i izradili uslugu upravljanja agentima u oblaku, Endpoint Management Service. U Proučili smo sučelje web upravljačke konzole i instalirali agenta sa standardnom politikom na korisničkom računalu. Danas ćemo pogledati sadržaj standardne sigurnosne politike Threat Prevention i testirati njenu učinkovitost u borbi protiv popularnih napada.
Standardna politika prevencije prijetnji: Opis
Gornja slika prikazuje standardno pravilo politike sprječavanja prijetnji, koje se prema zadanim postavkama primjenjuje na cijelu organizaciju (sve instalirane agente) i uključuje tri logičke grupe komponenti zaštite: Zaštita weba i datoteka, Zaštita ponašanja te Analiza i sanacija. Pogledajmo pobliže svaku od skupina.
Zaštita weba i datoteka
URL filtriranje
Filtriranje URL-ova omogućuje vam kontrolu korisničkog pristupa web-resursima, koristeći 5 unaprijed definiranih kategorija web-mjesta. Svaka od 5 kategorija sadrži nekoliko specifičnijih potkategorija, koje vam omogućuju konfiguriranje, na primjer, blokiranja pristupa potkategoriji Igre i dopuštanja pristupa potkategoriji Instant Messaging, koje su uključene u istu kategoriju Gubitak produktivnosti. URL-ove povezane s određenim potkategorijama određuje Check Point. Možete provjeriti kategoriju kojoj pripada određeni URL ili zatražiti nadjačavanje kategorije na posebnom resursu .
Radnja se može postaviti na Spriječiti, Otkriti ili Isključiti. Također, pri odabiru radnje Detect automatski se dodaje postavka koja korisnicima omogućuje preskakanje upozorenja URL Filtering i odlazak na resurs koji ih zanima. Ako se koristi Prevent, ova se postavka može ukloniti i korisnik neće moći pristupiti zabranjenoj stranici. Još jedan prikladan način za kontrolu zabranjenih resursa je postavljanje popisa blokiranih, u kojem možete navesti domene, IP adrese ili učitati .csv datoteku s popisom domena za blokiranje.
U standardnoj politici za filtriranje URL-ova, radnja je postavljena na Otkrij i odabrana je jedna kategorija - Sigurnost, za koju će se događaji otkrivati. Ova kategorija uključuje razne anonimizatore, stranice s kritičnom/visokom/srednjom razinom rizika, stranice za krađu identiteta, neželjenu poštu i još mnogo toga. Međutim, korisnici će i dalje moći pristupiti resursu zahvaljujući postavci "Dopusti korisniku da odbaci upozorenje URL filtriranja i pristupi web stranici".
Download (web) Zaštita
Emulation & Extraction omogućuje emuliranje preuzetih datoteka u oblaku Check Point sandbox i čišćenje dokumenata u hodu, uklanjanje potencijalno zlonamjernog sadržaja ili pretvaranje dokumenta u PDF. Postoje tri načina rada:
- Spriječiti — omogućuje vam da dobijete kopiju očišćenog dokumenta prije konačne presude emulacije ili pričekajte da se emulacija dovrši i odmah preuzmete izvornu datoteku;
- Otkriti — provodi emulaciju u pozadini, bez sprječavanja korisnika da primi izvornu datoteku, bez obzira na presudu;
- od — dopušteno je preuzimanje svih datoteka bez podvrgavanja emulaciji i čišćenju potencijalno zlonamjernih komponenti.
Također je moguće odabrati radnju za datoteke koje alati za emulaciju i čišćenje Check Pointa ne podržavaju - možete dopustiti ili zabraniti preuzimanje svih nepodržanih datoteka.
Standardna politika za zaštitu od preuzimanja postavljena je na Spriječi, što vam omogućuje dobivanje kopije izvornog dokumenta koji je očišćen od potencijalno zlonamjernog sadržaja, kao i dopuštanje preuzimanja datoteka koje nisu podržane emulacijom i alatima za čišćenje.
Zaštita vjerodajnica
Komponenta Credential Protection štiti korisničke vjerodajnice i uključuje 2 komponente: Zero Phishing i Password Protection. Nula krađe identiteta štiti korisnike od pristupa resursima za krađu identiteta i Zaštita lozinkom obavještava korisnika o nedopustivosti korištenja korporativnih vjerodajnica izvan zaštićene domene. Zero Phishing se može postaviti na Prevent, Detect ili Off. Kada je postavljena radnja Spriječiti, moguće je dopustiti korisnicima da ignoriraju upozorenje o potencijalnom izvoru krađe identiteta i dobiju pristup resursu ili onemogućiti ovu opciju i zauvijek blokirati pristup. Uz radnju Detect, korisnici uvijek imaju opciju zanemariti upozorenje i pristupiti resursu. Zaštita lozinkom omogućuje vam odabir zaštićenih domena za koje će se provjeriti usklađenost lozinki i jednu od tri akcije: Otkrij i upozori (obavijesti korisnika), Otkrij ili Isključi.
Standardna politika za zaštitu vjerodajnica je spriječiti bilo koje izvore za krađu identiteta da spriječe korisnike u pristupu potencijalno zlonamjernom mjestu. Zaštita od korištenja korporativnih lozinki također je omogućena, ali bez navedenih domena ova značajka neće raditi.
Zaštita datoteka
Files Protection odgovoran je za zaštitu datoteka pohranjenih na korisnikovom računalu i uključuje dvije komponente: Anti-Malware i Files Threat Emulation. Anti-Malware je alat koji redovito skenira sve korisničke i sistemske datoteke koristeći analizu potpisa. U postavkama ove komponente možete konfigurirati postavke za redovito skeniranje ili nasumično vrijeme skeniranja, razdoblje ažuriranja potpisa i mogućnost da korisnici otkažu planirano skeniranje. Files Threat Emulation omogućuje emulaciju datoteka pohranjenih na korisnikovom računalu u oblaku Check Point sandbox, međutim, ova sigurnosna značajka radi samo u načinu otkrivanja.
Standardna politika za zaštitu datoteka uključuje zaštitu s Anti-Malware i otkrivanje zlonamjernih datoteka s Files Threat Emulation. Redovno skeniranje provodi se svaki mjesec, a potpisi na korisničkom računalu ažuriraju se svaka 4 sata. Istodobno, korisnici su konfigurirani da mogu otkazati planirano skeniranje, ali najkasnije 30 dana od datuma posljednjeg uspješnog skeniranja.
Zaštita ponašanja
Anti-Bot, Behavioral Guard & Anti-Ransomware, Anti-Exploit
Skupina zaštitnih komponenti Behavioral Protection uključuje tri komponente: Anti-Bot, Behavioral Guard & Anti-Ransomware i Anti-Exploit. Anti-bot omogućuje praćenje i blokiranje C&C veza pomoću stalno ažurirane baze podataka Check Point ThreatCloud. Čuvar ponašanja i zaštita od ransomwarea stalno prati aktivnost (datoteke, procese, mrežne interakcije) na korisničkom računalu i omogućuje vam da spriječite napade ransomwarea u početnim fazama. Osim toga, ovaj zaštitni element omogućuje vraćanje datoteka koje su već šifrirane zlonamjernim softverom. Datoteke se vraćaju u izvorne direktorije ili možete navesti određeni put gdje će sve oporavljene datoteke biti pohranjene. Anti-Exploit omogućuje otkrivanje napada nultog dana. Sve komponente zaštite ponašanja podržavaju tri načina rada: Prevent, Detect i Off.
Standardna politika za zaštitu ponašanja pruža Prevent za komponente Anti-Bot i Behavioral Guard & Anti-Ransomware, uz vraćanje šifriranih datoteka u njihove izvorne direktorije. Komponenta Anti-Exploit je onemogućena i ne koristi se.
Analiza i sanacija
Automatizirana analiza napada (forenzika), sanacija i odgovor
Za analizu i istraživanje sigurnosnih incidenata dostupne su dvije sigurnosne komponente: automatizirana analiza napada (forenzika) i sanacija i odgovor. Automatizirana analiza napada (forenzika) omogućuje generiranje izvješća o rezultatima odbijanja napada s detaljnim opisom - sve do analize procesa izvršavanja zlonamjernog softvera na korisnikovom računalu. Također je moguće koristiti značajku Lov na prijetnje, koja omogućuje proaktivno traženje anomalija i potencijalno zlonamjernog ponašanja pomoću unaprijed definiranih ili kreiranih filtara. Sanacija i odgovor omogućuje vam konfiguriranje postavki za oporavak i karantenu datoteka nakon napada: interakcija korisnika s karantenskim datotekama je regulirana, a također je moguće pohraniti karantenske datoteke u direktorij koji odredi administrator.
Standardna politika Analysis & Remediation uključuje zaštitu koja uključuje automatske radnje za oporavak (završetak procesa, vraćanje datoteka itd.), a aktivna je i opcija slanja datoteka u karantenu, a korisnici mogu samo brisati datoteke iz karantene.
Standardna politika prevencije prijetnji: testiranje
CheckMe Krajnja točka CheckMe
Najbrži i najlakši način za provjeru sigurnosti korisničkog računala od najpopularnijih vrsta napada je provođenje testa korištenjem resursa , koji provodi niz tipičnih napada različitih kategorija i omogućuje dobivanje izvješća o rezultatima testiranja. U ovom slučaju korištena je opcija Endpoint testing u kojoj se izvršna datoteka preuzima i pokreće na računalo, a zatim počinje proces verifikacije.
U procesu provjere sigurnosti radnog računala, SandBlast Agent signalizira o identificiranim i reflektiranim napadima na računalo korisnika, na primjer: Anti-Bot blade javlja otkrivanje infekcije, Anti-Malware blade je otkrio i izbrisao zlonamjernu datoteku CP_AM.exe, a blade Threat Emulation je instalirao da je datoteka CP_ZD.exe zlonamjerna.
Na temelju rezultata testiranja pomoću CheckMe Endpointa, imamo sljedeći rezultat: od 6 kategorija napada, standardna politika za sprječavanje prijetnji nije se uspjela nositi samo s jednom kategorijom - Browser Exploit. To je zato što standardna politika sprječavanja prijetnji ne uključuje blade Anti-Exploit. Vrijedno je napomenuti da je bez instaliranog SandBlast Agenta korisničko računalo prošlo skeniranje samo pod kategorijom Ransomware.
KnowBe4 RanSim
Za testiranje rada Anti-Ransomware bladea možete koristiti besplatno rješenje , koji izvodi niz testova na korisnikovom računalu: 18 scenarija infekcije ransomwareom i 1 scenarij infekcije kriptominarom. Vrijedno je napomenuti da prisutnost mnogih oštrica u standardnoj politici (emulacija prijetnji, zaštita od zlonamjernog softvera, zaštita ponašanja) s radnjom Spriječi ne dopušta ispravno izvođenje ovog testa. Međutim, čak i sa smanjenom razinom sigurnosti (Emulacija prijetnje u načinu rada Isključeno), Anti-Ransomware blade test pokazuje visoke rezultate: 18 od 19 testova uspješno je prošlo (1 se nije uspio pokrenuti).
Zlonamjerne datoteke i dokumenti
Indikativno je provjeriti rad različitih oštrica standardne politike sprječavanja prijetnji pomoću zlonamjernih datoteka popularnih formata preuzetih na korisnikov stroj. Ovaj test uključivao je 66 datoteka u formatima PDF, DOC, DOCX, EXE, XLS, XLSX, CAB, RTF. Rezultati testa pokazali su da je SandBlast Agent uspio blokirati 64 zlonamjerne datoteke od 66. Zaražene datoteke izbrisane su nakon preuzimanja ili očišćene od zlonamjernog sadržaja korištenjem Threat Extraction i primljene od strane korisnika.
Preporuke za poboljšanje politike prevencije prijetnji
1. URL filtriranje
Prva stvar koju je potrebno ispraviti u standardnoj politici kako bi se povećala razina sigurnosti klijentskog stroja je prebaciti URL Filtering blade na Prevent i navesti odgovarajuće kategorije za blokiranje. U našem slučaju odabrane su sve kategorije osim Opće uporabe, budući da obuhvaćaju većinu resursa kojima je potrebno ograničiti pristup korisnicima na radnom mjestu. Također, za takve web stranice, preporučljivo je ukloniti mogućnost za korisnike da preskoče prozor upozorenja poništavanjem oznake parametra "Dopusti korisniku da odbaci upozorenje URL filtriranja i pristupi web stranici".
2. Zaštita od preuzimanja
Druga opcija na koju vrijedi obratiti pozornost je mogućnost da korisnici preuzimaju datoteke koje ne podržava Check Point emulacija. Budući da u ovom odjeljku gledamo na poboljšanja standardne politike za sprječavanje prijetnji iz sigurnosne perspektive, najbolja opcija bila bi blokirati preuzimanje nepodržanih datoteka.
3. Zaštita datoteka
Također morate obratiti pozornost na postavke za zaštitu datoteka - posebno postavke za periodično skeniranje i mogućnost da korisnik odgodi prisilno skeniranje. U ovom slučaju mora se uzeti u obzir vremenski okvir korisnika, a dobra opcija sa sigurnosne točke gledišta i performansi je konfigurirati prisilno skeniranje da se izvodi svaki dan, s nasumično odabranim vremenom (od 00:00 do 8: 00), a korisnik može odgoditi skeniranje za najviše tjedan dana.
4. Anti-Exploit
Značajan nedostatak standardne politike sprječavanja prijetnji je da je Anti-Exploit blade onemogućen. Preporuča se omogućiti ovu oštricu s radnjom Spriječi kako biste zaštitili radnu stanicu od napada korištenjem eksploatacija. S ovim popravkom, ponovno testiranje CheckMe uspješno završava bez otkrivanja ranjivosti na proizvodnom stroju korisnika.
Zaključak
Ukratko: u ovom smo se članku upoznali s komponentama standardne politike za sprječavanje prijetnji, testirali ovu politiku pomoću različitih metoda i alata, a također smo opisali preporuke za poboljšanje postavki standardne politike za povećanje razine sigurnosti korisničkog stroja . U sljedećem članku u nizu, prijeći ćemo na proučavanje pravila o zaštiti podataka i pogledati Globalne postavke pravila.
. Kako ne biste propustili sljedeće publikacije na temu SandBlast Agent Management Platforma, pratite ažuriranja na našim društvenim mrežama (, , , , ).
Izvor: www.habr.com