Byenveni nan twazyèm atik nan seri a sou nouvo konsole jesyon pwoteksyon òdinatè pèsonèl ki baze sou nwaj la - Check Point SandBlast Agent Management Platform. Kite m fè w sonje sa nan nou te fè konesans ak Infinity Portal epi nou te kreye yon sèvis jesyon ajan ki baze sou nwaj, Endpoint Management Service. Nan Nou etidye koòdone konsole jesyon entènèt la epi enstale yon ajan ki gen yon politik estanda sou machin itilizatè a. Jodi a nou pral gade sa ki nan règleman sekirite estanda Prevansyon Menas la epi teste efikasite li nan kontrekare atak popilè yo.
Règleman Estanda pou Prevansyon Menas: Deskripsyon
Figi ki pi wo a montre yon règ estanda Prevansyon Menas, ki pa defo aplike nan tout òganizasyon an (tout ajan enstale) epi li gen ladan twa gwoup lojik nan eleman pwoteksyon: Pwoteksyon Web & Fichye, Pwoteksyon Konpòtman ak Analiz & Ratrapaj. Ann pran yon gade pi pre nan chak nan gwoup yo.
Pwoteksyon Entènèt ak Fichye
Filtraj URL
Filtraj URL pèmèt ou kontwole aksè itilizatè a resous entènèt, lè l sèvi avèk 5 kategori sit predefini. Chak nan 5 kategori yo gen plizyè sou-kategori ki pi espesifik, ki pèmèt ou konfigirasyon, pou egzanp, bloke aksè nan sou-kategori jwèt la ak pèmèt aksè nan sou-kategori Instant Messaging, ki enkli nan menm kategori Pèt Pwodiktivite. URL ki asosye ak sou-kategori espesifik yo detèmine pa Check Point. Ou ka tcheke kategori kote yon URL espesifik fè pati oswa mande pou yon kategori pase sou yon resous espesyal .
Aksyon an ka mete pou Prevni, Detekte oswa Off. Epitou, lè w ap chwazi aksyon Detekte a, otomatikman ajoute yon paramèt ki pèmèt itilizatè yo sote avètisman Filtraj URL la epi ale nan resous ki enterese yo. Si yo itilize Prevent, yo ka retire anviwònman sa a epi itilizatè a p ap kapab jwenn aksè nan sit entèdi a. Yon lòt fason pratik pou kontwole resous entèdi se mete yon lis blòk, kote ou ka presize domèn, adrès IP, oswa telechaje yon fichye .csv ak yon lis domèn yo bloke.
Nan règleman estanda pou Filtrage URL, aksyon an mete sou Detekte epi yo chwazi yon kategori - Sekirite, pou ki evènman yo pral detekte. Kategori sa a gen ladan divès kalite anonimize, sit ki gen yon nivo risk kritik / segondè / mwayen, sit èskrokri, spam ak plis ankò. Sepandan, itilizatè yo ap toujou kapab jwenn aksè nan resous la gras a "Pèmèt itilizatè a ranvwaye alèt Filtrage URL la ak aksè nan sit entènèt la".
Telechaje (web) Pwoteksyon
Emulation & Extraction pèmèt ou imite fichye telechaje yo nan bwat sab nwaj Check Point la epi netwaye dokiman yo sou vole, retire kontni ki kapab malveyan, oswa konvèti dokiman an nan PDF. Gen twa mòd opere:
- Anpeche — pèmèt ou jwenn yon kopi dokiman an netwaye anvan vèdik final la, oswa tann pou imitasyon an ranpli epi telechaje dosye orijinal la imedyatman;
- Detekte — fè imitasyon nan background nan, san yo pa anpeche itilizatè a resevwa dosye orijinal la, kèlkeswa vèdik la;
- Off — Yo gen dwa telechaje nenpòt fichye san yo pa sibi emulasyon ak netwayaj konpozan ki kapab move.
Li posib tou pou chwazi yon aksyon pou dosye ki pa sipòte pa chèk Point emulation ak zouti netwayaj - ou ka pèmèt oswa refize telechaje tout dosye ki pa sipòte.
Règleman estanda pou Pwoteksyon Téléchargement yo mete sou Anpeche, ki pèmèt ou jwenn yon kopi dokiman orijinal la ki te retire kontni potansyèlman move, epi tou pèmèt telechaje fichye ki pa sipòte pa emulasyon ak zouti netwayaj.
Pwoteksyon kalifikasyon
Eleman Pwoteksyon Credential la pwoteje kalifikasyon itilizatè yo epi li gen ladan 2 eleman: Zero Phishing ak Pwoteksyon Modpas. Zewo èskrokri pwoteje itilizatè yo kont aksè nan resous èskrokri, ak modpas Pwoteksyon notifye itilizatè a sou inadmisibilite pou itilize kalifikasyon antrepriz andeyò domèn pwoteje. Zewo Phishing ka mete pou Prevni, Detekte oswa Off. Lè yo fikse aksyon Prevent la, li posib pou pèmèt itilizatè yo inyore avètisman sou yon potansyèl resous èskrokri epi jwenn aksè nan resous la, oswa pou enfim opsyon sa a epi bloke aksè pou tout tan. Avèk yon aksyon Deteksyon, itilizatè yo toujou gen opsyon pou yo inyore avètisman an epi jwenn aksè nan resous la. Pwoteksyon Modpas pèmèt ou chwazi domèn pwoteje pou ki modpas yo pral tcheke pou konfòmite, ak youn nan twa aksyon: Detekte & Alèt (avèti itilizatè a), Detekte oswa Off.
Règleman estanda pou Pwoteksyon Kredansyèl se pou anpeche nenpòt resous èskrokri anpeche itilizatè yo jwenn aksè nan yon sit ki kapab move. Pwoteksyon kont itilizasyon modpas antrepriz yo tou pèmèt, men san domèn yo espesifye karakteristik sa a pa pral travay.
Pwoteksyon dosye
Files Protection responsab pou pwoteje fichye ki estoke sou machin itilizatè a e li gen ladan de eleman: Anti-Malveyan ak Files Threat Emulation. Anti-malveyan se yon zouti ki regilyèman analize tout itilizatè yo ak dosye sistèm lè l sèvi avèk analiz siyati. Nan anviwònman yo nan eleman sa a, ou ka konfigirasyon anviwònman yo pou optik regilye oswa owaza tan optik, peryòd aktyalizasyon siyati a, ak kapasite pou itilizatè yo anile optik pwograme yo. Fichye menas Emulation pèmèt ou imite dosye ki estoke sou machin itilizatè a nan bwat sab nwaj Check Point la, sepandan, karakteristik sekirite sa a ap travay sèlman nan mòd Deteksyon.
Règleman estanda pou Files Protection gen ladan pwoteksyon ak Anti-Malveyan ak deteksyon dosye move ak Files Threat Emulation. Yo fè optik regilye chak mwa, epi siyati sou machin itilizatè yo mete ajou chak 4 èdtan. An menm tan an, itilizatè yo configuré pou kapab anile yon eskanè pwograme, men pa pita pase 30 jou apati dat dènye eskanè siksè.
Pwoteksyon Konpòtman
Anti-Bot, Gad Konpòtman & Anti-Ransomware, Anti-Exploit
Gwoup Pwoteksyon Konpòtman an nan eleman pwoteksyon gen ladan twa eleman: Anti-Bot, Gad Konpòtman & Anti-Ransomware ak Anti-Exploit. Anti-bot pèmèt ou kontwole ak bloke koneksyon C&C lè l sèvi avèk baz done Check Point ThreatCloud ki toujou ajou. Gad Konpòtman ak Anti-Ransomware toujou ap kontwole aktivite (fichye, pwosesis, entèraksyon rezo) sou machin itilizatè a epi pèmèt ou anpeche atak ransomware nan premye etap yo. Anplis de sa, eleman pwoteksyon sa a pèmèt ou retabli dosye ki te deja chiffres pa malveyan an. Fichye yo retabli nan anyè orijinal yo, oswa ou ka presize yon chemen espesifik kote tout dosye refè yo pral estoke. Anti-Exploit pèmèt ou detekte atak zewo jou. Tout konpozan Pwoteksyon Konpòtman sipòte twa mòd fonksyone: Anpeche, Detekte ak Off.
Règleman estanda pou Pwoteksyon Konpòtman an bay Prevansyon pou konpozan Anti-Bot ak Konpòtman Gad ak Anti-Ransomware, ak restorasyon fichye chiffres nan anyè orijinal yo. Eleman Anti-Exploit la enfim epi li pa itilize.
Analiz & Ratrapaj
Analiz Otomatik Atak (Forensics), Ratrapaj ak Repons
Gen de eleman sekirite ki disponib pou analiz ak envestigasyon ensidan sekirite yo: Analiz Otomatik Atak (Forensics) ak Ratrapaj ak Repons. Analiz Otomatik Atak (Forensics) pèmèt ou jenere rapò sou rezilta yo nan repouse atak ak yon deskripsyon detaye - jiska analize pwosesis la nan egzekite malveyan an sou machin itilizatè a. Li posib tou pou itilize karakteristik lachas menas, ki fè li posib pou chèche anomali ak konpòtman potansyèlman move lè l sèvi avèk filtè predefini oswa kreye. Ratrapaj ak Repons pèmèt ou konfigirasyon paramèt pou rekiperasyon ak karantèn dosye apre yon atak: entèraksyon itilizatè a ak dosye karantèn yo reglemante, epi li posib tou pou estoke fichye karantèn yo nan yon anyè administratè a espesifye.
Règleman estanda analiz & ratrapaj la gen ladan pwoteksyon, ki gen ladan aksyon otomatik pou rekiperasyon (fen pwosesis, restore fichye, elatriye), ak opsyon pou voye fichye yo nan karantèn aktif, epi itilizatè yo ka sèlman efase fichye yo nan karantèn.
Règleman Estanda pou Prevansyon Menas: Tès
Check Point CheckMe Endpoint
Fason ki pi rapid ak pi fasil pou tcheke sekirite machin yon itilizatè kont kalite atak ki pi popilè yo se fè yon tès lè l sèvi avèk resous la. , ki pote soti nan yon kantite atak tipik nan divès kategori ak pèmèt ou jwenn yon rapò sou rezilta tès yo. Nan ka sa a, yo te itilize opsyon tès Endpoint la, kote yo telechaje yon dosye ègzèkutabl epi lanse sou òdinatè a, epi apre sa pwosesis verifikasyon an kòmanse.
Nan pwosesis pou tcheke sekirite yon òdinatè k ap travay, SandBlast Agent siyal sou atak idantifye ak reflete sou òdinatè itilizatè a, pou egzanp: lam Anti-Bot rapòte deteksyon an nan yon enfeksyon, lam Anti-Malveyan te detekte ak efase la. fichye move CP_AM.exe, epi lam Emulation menas la enstale ke fichye CP_ZD.exe la se move.
Dapre rezilta tès yo lè l sèvi avèk CheckMe Endpoint, nou gen rezilta sa a: sou 6 kategori atak, règleman estanda Prevansyon Menas la pa t fè fas ak yon sèl kategori - Exploit Navigatè. Sa a se paske règleman estanda Prevansyon Menas la pa enkli lam Anti-Exploit la. Li se vo anyen ke san SandBlast Agent enstale, òdinatè itilizatè a te pase eskanè a sèlman anba kategori a Ransomware.
KnowBe4 RanSim
Pou teste operasyon an nan lam Anti-Ransomware, ou ka itilize yon solisyon gratis , ki fè yon seri tès sou machin itilizatè a: 18 senaryo enfeksyon ransomware ak 1 senaryo enfeksyon cryptominer. Li se vo sonje ke prezans nan anpil lam nan règleman an estanda (Emulation Menas, Anti-Malveyan, Gad Konpòtman) ak aksyon an Prevent pa pèmèt tès sa a kouri kòrèkteman. Sepandan, menm ak yon nivo sekirite redwi (Emulation Menas nan mòd Off), tès lam Anti-Ransomware montre rezilta segondè: 18 sou 19 tès yo te pase avèk siksè (1 echwe pou yo kòmanse).
Fichye ak dokiman move
Li se indicative tcheke operasyon an nan lam diferan nan règleman estanda prevansyon menas la lè l sèvi avèk dosye move nan fòma popilè telechaje nan machin itilizatè a. Tès sa a te enplike 66 fichye nan fòma PDF, DOC, DOCX, EXE, XLS, XLSX, CAB, RTF. Rezilta tès yo te montre ke SandBlast Agent te kapab bloke 64 fichye move sou 66. Fichye ki enfekte yo te efase apre telechaje, oswa efase nan kontni move lè l sèvi avèk Ekstraksyon Menas ak resevwa pa itilizatè a.
Rekòmandasyon pou amelyore politik prevansyon menas la
1. URL Filtrage
Premye bagay ki bezwen korije nan règleman estanda a pou ogmante nivo sekirite machin kliyan an se chanje URL Filtering lam pou Prevent epi presize kategori ki apwopriye pou bloke. Nan ka nou an, yo te chwazi tout kategori eksepte Itilizasyon Jeneral, paske yo enkli pi fò nan resous ki nesesè pou limite aksè a itilizatè yo nan espas travay la. Epitou, pou sit sa yo, li rekòmande pou retire kapasite itilizatè yo sote fenèt avètisman an lè yo dezaktive paramèt "Pèmèt itilizatè a ranvwaye alèt Filtraj URL la epi jwenn aksè nan sit entènèt la".
2.Download Pwoteksyon
Dezyèm opsyon ki vo peye atansyon a se kapasite pou itilizatè yo telechaje dosye ki pa sipòte pa emulasyon nan Check Point. Piske nan seksyon sa a nou ap gade amelyorasyon nan règleman estanda Prevansyon Menas nan yon pèspektiv sekirite, opsyon ki pi bon ta se bloke telechaje dosye ki pa sipòte yo.
3. Fichye Pwoteksyon
Ou bezwen tou peye atansyon sou anviwònman yo pou pwoteje dosye - an patikilye, anviwònman yo pou optik peryodik ak kapasite pou itilizatè a ranvwaye optik fòse. Nan ka sa a, kad tan itilizatè a dwe pran an kont, ak yon bon opsyon nan yon pwen de vi sekirite ak pèfòmans se konfigirasyon yon eskanè fòse kouri chak jou, ak lè a chwazi owaza (de 00:00 a 8: 00), ak itilizatè a ka retade eskanè a pou yon maksimòm de yon semèn.
4. Anti-Exploit
Yon dezavantaj enpòtan nan règleman estanda Prevansyon Menas la se ke lam Anti-Exploit la enfim. Li rekòmande pou pèmèt lam sa a ak aksyon Prevent pou pwoteje estasyon travay la kont atak lè l sèvi avèk exploit. Avèk ranje sa a, tès la CheckMe konplete avèk siksè san yo pa detekte frajilite sou machin pwodiksyon itilizatè a.
Konklizyon
Ann rezime: nan atik sa a nou te fè konesans ak eleman yo nan règleman estanda prevansyon menas la, teste règleman sa a lè l sèvi avèk divès metòd ak zouti, epi tou dekri rekòmandasyon pou amelyore anviwònman politik estanda a pou ogmante nivo sekirite machin itilizatè a. . Nan pwochen atik la nan seri a, nou pral ale nan etidye politik la Pwoteksyon Done epi gade nan Anviwònman Règleman Global yo.
. Pou w pa rate pwochen piblikasyon yo sou sijè SandBlast Agent Management Platform, swiv dènye enfòmasyon yo sou rezo sosyal nou yo (, , , , ).
Sous: www.habr.com
