Üdvözöljük a sorozat harmadik cikkében, amely az új felhőalapú személyi számítógép-védelmi felügyeleti konzolról – a Check Point SandBlast Agent Management Platformról – szól. Hadd emlékeztesselek rá megismerkedtünk az Infinity Portállal és létrehoztunk egy felhő alapú ügynökkezelő szolgáltatást, az Endpoint Management Service-t. Ban ben Tanulmányoztuk a webkezelő konzol felületét, és telepítettünk egy szabványos házirenddel rendelkező ügynököt a felhasználói gépre. Ma megvizsgáljuk a szabványos fenyegetésmegelőzési biztonsági szabályzat tartalmát, és teszteljük annak hatékonyságát a népszerű támadások elleni küzdelemben.
Szabványos fenyegetés-megelőzési szabályzat: Leírás
A fenti ábra egy szabványos fenyegetés-megelőzési szabályzatot mutat be, amely alapértelmezés szerint a teljes szervezetre (az összes telepített ügynökre) vonatkozik, és a védelmi összetevők három logikai csoportját tartalmazza: Web & Files Protection, Behavioral Protection és Analysis & Remediation. Nézzük meg közelebbről az egyes csoportokat.
Web és fájlok védelme
URL-szűrés
Az URL-szűrés lehetővé teszi a felhasználók webes erőforrásokhoz való hozzáférésének szabályozását, előre meghatározott 5 webhelykategória használatával. Mind az 5 kategória több konkrét alkategóriát tartalmaz, amelyek lehetővé teszik például a Játékok alkategóriához való hozzáférés blokkolását és az azonnali üzenetküldés alkategóriához való hozzáférés engedélyezését, amelyek ugyanabban a termelékenységi veszteség kategóriában szerepelnek. Az egyes alkategóriákhoz társított URL-eket a Check Point határozza meg. Ellenőrizheti, hogy melyik kategóriához tartozik egy adott URL, vagy kérheti a kategória felülbírálását egy speciális erőforráson .
A művelet beállítható Prevent, Detect vagy Off értékre. Ezenkívül az Észlelés művelet kiválasztásakor a rendszer automatikusan hozzáad egy olyan beállítást, amely lehetővé teszi a felhasználók számára, hogy kihagyják az URL-szűrésre vonatkozó figyelmeztetést, és a kívánt forráshoz lépjenek. Ha a Megelőzés funkciót használja, ez a beállítás eltávolítható, és a felhasználó nem férhet hozzá a tiltott oldalhoz. Egy másik kényelmes módja a tiltott erőforrások szabályozásának egy blokkolista létrehozása, amelyben megadhat tartományokat, IP-címeket, vagy feltölthet egy .csv fájlt a blokkolni kívánt tartományok listájával.
Az URL-szűrés szabványos házirendjében a művelet Detect értékre van állítva, és egy kategória van kiválasztva – Biztonság, amelyhez a rendszer észleli az eseményeket. Ez a kategória különféle névtelenítőket, kritikus/magas/közepes kockázatú webhelyeket, adathalász webhelyeket, spamet és sok mást foglal magában. A felhasználók azonban továbbra is hozzáférhetnek az erőforráshoz az „Engedélyezi a felhasználónak az URL-szűrési figyelmeztetés elvetését és a webhely elérését” beállításnak köszönhetően.
Letöltés (web) védelem
Az Emulation & Extraction segítségével emulálhatja a letöltött fájlokat a Check Point felhő homokozójában, és menet közben tisztíthatja meg a dokumentumokat, eltávolíthatja a potenciálisan rosszindulatú tartalmat, vagy konvertálhatja a dokumentumot PDF formátumba. Három működési mód létezik:
- Megelőzése — lehetővé teszi a megtisztított dokumentum másolatának beszerzését a végső emulációs ítélet előtt, vagy megvárhatja, amíg az emuláció befejeződik, és azonnal letölti az eredeti fájlt;
- Felismerni — emulációt hajt végre a háttérben, anélkül, hogy akadályozná a felhasználót az eredeti fájl kézhezvételében, függetlenül az ítélettől;
- le — minden fájl letölthető emuláció és a potenciálisan rosszindulatú összetevők tisztítása nélkül.
A Check Point emulációs és tisztítóeszközök által nem támogatott fájlok esetében is kiválaszthat műveletet – engedélyezheti vagy letilthatja az összes nem támogatott fájl letöltését.
A letöltésvédelem szabványos házirendje Megakadályozásra van állítva, amely lehetővé teszi az eredeti dokumentum másolatának beszerzését, amely megtisztult a potenciálisan rosszindulatú tartalomtól, valamint lehetővé teszi az emulációs és tisztítóeszközök által nem támogatott fájlok letöltését.
Hitelesítő adatok védelme
A Credential Protection összetevő védi a felhasználói hitelesítő adatokat, és két összetevőből áll: az adathalászat nélküli és a jelszóvédelmet. Nulla adathalászat megvédi a felhasználókat az adathalász erőforrásokhoz való hozzáféréstől, és Jelszóvédelem értesíti a felhasználót a vállalati hitelesítő adatok védett tartományon kívüli használatának megengedhetetlenségéről. A Nulla adathalászat beállítása Megakadályozás, Felismerés vagy Ki. Ha a Megakadályozás művelet be van állítva, lehetőség van arra, hogy a felhasználók figyelmen kívül hagyják a potenciális adathalász erőforrásra vonatkozó figyelmeztetést, és hozzáférjenek az erőforráshoz, vagy letiltsák ezt a lehetőséget, és örökre letiltsák a hozzáférést. Az észlelési művelettel a felhasználóknak mindig lehetőségük van figyelmen kívül hagyni a figyelmeztetést, és hozzáférni az erőforráshoz. A Jelszavas védelem lehetővé teszi azoknak a védett tartományoknak a kiválasztását, amelyek jelszavainak megfelelőségét ellenőrizni fogja, és a következő három művelet egyikét: Észlelés és riasztás (a felhasználó értesítése), Észlelés vagy Ki.
A hitelesítő adatok védelmére vonatkozó szabványos házirend célja, hogy megakadályozza, hogy az adathalász erőforrások megakadályozzák a felhasználókat egy potenciálisan rosszindulatú webhely elérésében. A vállalati jelszavak használata elleni védelem is engedélyezett, de a megadott tartományok nélkül ez a funkció nem működik.
Fájlok védelme
A Files Protection felelős a felhasználó gépén tárolt fájlok védelméért, és két összetevőből áll: az Anti-Malware és a Files Threat Emulation. Anti-Malware egy olyan eszköz, amely rendszeresen ellenőrzi az összes felhasználói és rendszerfájlt aláírás-elemzés segítségével. Ennek az összetevőnek a beállításaiban konfigurálhatja a rendszeres vagy véletlenszerű vizsgálati idők beállításait, az aláírás frissítési időszakát, valamint azt, hogy a felhasználók megszakíthatják az ütemezett vizsgálatot. Fájlok fenyegetés emulációja lehetővé teszi a felhasználó gépén tárolt fájlok emulálását a Check Point felhő sandboxban, azonban ez a biztonsági funkció csak Detect módban működik.
A Fájlvédelem szabványos szabályzata tartalmazza a kártevők elleni védelmet és a rosszindulatú fájlok észlelését a Files Threat Emulation segítségével. A rendszeres szkennelés havonta történik, és a felhasználói gépen lévő aláírások 4 óránként frissülnek. Ezzel egyidejűleg a felhasználók úgy vannak beállítva, hogy törölhessék az ütemezett vizsgálatot, de legkésőbb az utolsó sikeres vizsgálat dátumától számított 30 napon belül.
Viselkedésvédelem
Anti-Bot, Behavioral Guard és Anti-Ransomware, Anti-Exploit
A Viselkedésvédelem védelmi összetevőinek csoportja három összetevőből áll: Anti-Bot, Behavioral Guard & Anti-Ransomware és Anti-Exploit. Anti-Bot lehetővé teszi a C&C kapcsolatok figyelését és blokkolását a folyamatosan frissített Check Point ThreatCloud adatbázis segítségével. Viselkedésőr és Ransomware elleni védelem folyamatosan figyeli a tevékenységet (fájlok, folyamatok, hálózati interakciók) a felhasználói gépen, és lehetővé teszi a ransomware támadások megelőzését a kezdeti szakaszban. Ezenkívül ez a védelmi elem lehetővé teszi a kártevő által már titkosított fájlok visszaállítását. A fájlok visszaállításra kerülnek az eredeti könyvtárukba, vagy megadhat egy konkrét elérési utat, ahol az összes helyreállított fájl tárolásra kerül. Anti-Exploit lehetővé teszi a nulladik napi támadások észlelését. Az összes Viselkedésvédelmi összetevő három üzemmódot támogat: Megelőzés, Észlelés és Ki.
A Behavioral Protection szabványos házirendje Prevent lehetőséget biztosít az Anti-Bot és Behavioral Guard és Anti-Ransomware összetevők számára, a titkosított fájlok visszaállításával az eredeti könyvtárakban. Az Anti-Exploit összetevő le van tiltva, és nincs használatban.
Elemzés és helyreállítás
Automatizált támadáselemzés (törvényszéki szakértők), kárelhárítás és válaszadás
A biztonsági incidensek elemzéséhez és kivizsgálásához két biztonsági összetevő áll rendelkezésre: Automated Attack Analysis (Forensics) és Remediation & Response. Automatizált támadáselemzés (kriminalisztika) lehetővé teszi, hogy jelentéseket készítsen a támadások visszaszorításának eredményeiről, részletes leírással – egészen a kártevő felhasználó gépén történő végrehajtási folyamatának elemzéséig. Lehetőség van a fenyegetésvadászat használatára is, amely lehetővé teszi az anomáliák és a potenciálisan rosszindulatú viselkedés proaktív keresését előre meghatározott vagy létrehozott szűrők segítségével. Helyreállítás és válasz lehetővé teszi a fájlok támadás utáni helyreállításának és karanténjának beállítását: szabályozott a felhasználói interakció a karanténfájlokkal, és lehetőség van a karanténba helyezett fájlok tárolására is a rendszergazda által meghatározott könyvtárban.
A szabványos Analysis & Remediation házirend tartalmazza a védelmet, amely magában foglalja az automatikus helyreállítási műveleteket (folyamatok leállítása, fájlok visszaállítása stb.), és aktív a fájlok karanténba küldésének lehetősége, és a felhasználók csak a karanténból törölhetnek fájlokat.
Szabványos fenyegetés-megelőzési szabályzat: Tesztelés
Check Point CheckMe végpont
A leggyorsabb és legegyszerűbb módja annak, hogy ellenőrizzük a felhasználó gépének biztonságát a legnépszerűbb támadástípusokkal szemben, ha tesztet hajtunk végre az erőforrás használatával. , amely számos tipikus, különböző kategóriájú támadást hajt végre, és lehetővé teszi, hogy jelentést kapjon a tesztelés eredményeiről. Ebben az esetben az Endpoint testing opciót használták, amelyben egy végrehajtható fájl letöltése és elindítása a számítógépen történik, majd megkezdődik az ellenőrzési folyamat.
A működő számítógép biztonságának ellenőrzése során a SandBlast Agent jelzi a felhasználó számítógépét ért azonosított és visszatükröződő támadásokat, például: az Anti-Bot blade fertőzést észlel, az Anti-Malware blade észlelte és törölte a rosszindulatú CP_AM.exe fájlt, és a Threat Emulation panel telepítette, hogy a CP_ZD.exe fájl rosszindulatú.
A CheckMe Endpoint használatával végzett tesztelés eredményei alapján a következő eredményt kaptuk: a 6 támadási kategóriából a szabványos fenyegetésmegelőzési szabályzat egyetlen kategóriával - a Browser Exploittal - nem tudott megbirkózni. Ennek az az oka, hogy a szabványos fenyegetésmegelőzési szabályzat nem tartalmazza az Anti-Exploit pengét. Érdemes megjegyezni, hogy a SandBlast Agent telepítése nélkül a felhasználó számítógépe csak a Ransomware kategóriában ment át a vizsgálaton.
KnowBe4 RanSim
Az Anti-Ransomware blade működésének teszteléséhez ingyenes megoldást használhat , amely egy tesztsorozatot futtat a felhasználó gépén: 18 ransomware fertőzési forgatókönyvet és 1 cryptominer fertőzési forgatókönyvet. Érdemes megjegyezni, hogy a Megelőzés művelettel rendelkező standard szabályzatban (Threat Emulation, Anti-Malware, Behavioral Guard) sok penge nem teszi lehetővé a teszt megfelelő lefutását. Az Anti-Ransomware blade teszt azonban még csökkentett biztonsági szint mellett is (Threat Emulation in Off módban) magas eredményeket mutat: 18 tesztből 19 sikeres volt (1 nem indult el).
Rosszindulatú fájlok és dokumentumok
Javasoljuk, hogy a felhasználó gépére letöltött, népszerű formátumú rosszindulatú fájlokat használva ellenőrizze a szabványos fenyegetésmegelőzési szabályzat különböző pengéinek működését. Ez a teszt 66 fájlt tartalmazott PDF, DOC, DOCX, EXE, XLS, XLSX, CAB, RTF formátumban. A teszt eredményei azt mutatták, hogy a SandBlast Agent 64-ból 66 rosszindulatú fájlt tudott blokkolni. A fertőzött fájlokat a letöltés után törölték, vagy a fenyegetés-kivonat segítségével megtisztították a rosszindulatú tartalomtól, és a felhasználó megkapta.
Javaslatok a fenyegetés-megelőzési politika javítására
1. URL-szűrés
Az első dolog, amit a szabványos házirendben ki kell javítani az ügyfélgép biztonsági szintjének növelése érdekében, az URL-szűrő panel beállítása Megakadályozásra, és a megfelelő blokkolási kategóriák megadása. Esetünkben az általános felhasználás kivételével minden kategória került kiválasztásra, mivel ezek tartalmazzák a legtöbb erőforrást, amelyhez korlátozni kell a munkahelyi felhasználók hozzáférését. Ezen túlmenően az ilyen webhelyeken tanácsos megszüntetni azt a lehetőséget, hogy a felhasználók átugorhassák a figyelmeztető ablakot az „Engedélyezze a felhasználónak az URL-szűrési figyelmeztetés elvetése és a webhely elérése” paraméter bejelölését.
2. Letöltés védelem
A második lehetőség, amelyre érdemes odafigyelni, az a lehetőség, hogy a felhasználók letölthessenek olyan fájlokat, amelyeket a Check Point emuláció nem támogat. Mivel ebben a részben a szabványos fenyegetés-megelőzési szabályzat fejlesztéseit vizsgáljuk biztonsági szempontból, a legjobb megoldás a nem támogatott fájlok letöltésének blokkolása.
3. Fájlok védelme
Figyelni kell a fájlok védelmére vonatkozó beállításokra is – különösen az időszakos vizsgálat beállításaira és arra, hogy a felhasználó elhalassza a kényszerített vizsgálatot. Ebben az esetben figyelembe kell venni a felhasználó időkeretét, és biztonsági és teljesítményi szempontból jó megoldás, ha egy kényszerített vizsgálatot úgy konfigurálunk, hogy minden nap fusson, véletlenszerűen kiválasztott idővel (00:00-tól 8-ig: 00), és a felhasználó legfeljebb egy héttel késleltetheti a vizsgálatot.
4. Anti-Exploit
A szabványos fenyegetésmegelőzési szabályzat jelentős hátránya, hogy az Anti-Exploit blade le van tiltva. Javasoljuk, hogy engedélyezze ezt a panelt a Megelőzés művelettel, hogy megvédje a munkaállomást a kizsákmányoló támadásoktól. Ezzel a javítással a CheckMe újratesztelése sikeresen befejeződik anélkül, hogy a felhasználó éles gépének sebezhetőségét észlelné.
Következtetés
Összefoglaljuk: ebben a cikkben megismerkedtünk a szabványos fenyegetésmegelőzési szabályzat összetevőivel, különféle módszerekkel és eszközökkel teszteltük ezt a házirendet, valamint ajánlásokat írtunk le a szabványos házirend beállításainak javítására a felhasználói gép biztonsági szintjének növelése érdekében. . A sorozat következő cikkében áttérünk az adatvédelmi irányelvek tanulmányozására, és megvizsgáljuk a Globális irányelvek beállításait.
. Annak érdekében, hogy ne maradjon le a következő kiadványokról a SandBlast Agent Management Platform témában, kövesse a frissítéseket közösségi hálózatainkon (, , , , ).
Forrás: will.com