Բարի գալուստ «Check Point SandBlast Agent Management Platform» ամպի վրա հիմնված անհատական համակարգիչների պաշտպանության կառավարման նոր վահանակի մասին շարքի երրորդ հոդվածը: Հիշեցնեմ, որ ներս մենք ծանոթացանք Infinity Portal-ի հետ և ստեղծեցինք ամպի վրա հիմնված գործակալների կառավարման ծառայություն՝ Endpoint Management Service: Մեջ Մենք ուսումնասիրեցինք վեբ կառավարման վահանակի ինտերֆեյսը և օգտագործողի մեքենայի վրա տեղադրեցինք ստանդարտ քաղաքականությամբ գործակալ: Այսօր մենք կդիտարկենք ստանդարտ սպառնալիքների կանխարգելման անվտանգության քաղաքականության բովանդակությունը և կփորձարկենք դրա արդյունավետությունը հանրաճանաչ հարձակումներին հակազդելու համար:
Ստանդարտ սպառնալիքների կանխարգելման քաղաքականություն. Նկարագրություն
Վերևի նկարը ցույց է տալիս սպառնալիքների կանխարգելման քաղաքականության ստանդարտ կանոնը, որը լռելյայնորեն կիրառվում է ամբողջ կազմակերպության վրա (բոլոր տեղադրված գործակալները) և ներառում է պաշտպանության բաղադրիչների երեք տրամաբանական խմբեր՝ Վեբ և ֆայլերի պաշտպանություն, վարքագծային պաշտպանություն և վերլուծություն և վերականգնում: Եկեք մանրամասն նայենք խմբերից յուրաքանչյուրին:
Վեբ և ֆայլերի պաշտպանություն
URL-ի զտում
URL-ի զտումը թույլ է տալիս վերահսկել օգտատերերի մուտքը վեբ ռեսուրսներ՝ օգտագործելով կայքերի նախապես սահմանված 5 կատեգորիաները: 5 կատեգորիաներից յուրաքանչյուրը պարունակում է մի քանի ավելի կոնկրետ ենթակատեգորիաներ, որոնք թույլ են տալիս կարգավորել, օրինակ՝ արգելափակել մուտքը Խաղեր ենթակատեգորիա և թույլատրել մուտք գործել Ակնթարթային հաղորդագրությունների ենթակատեգորիա, որոնք ներառված են արտադրողականության կորստի նույն կատեգորիայում: Հատուկ ենթակատեգորիաների հետ կապված URL-ները որոշվում են Check Point-ով: Դուք կարող եք ստուգել այն կատեգորիան, որին պատկանում է կոնկրետ URL կամ պահանջել կատեգորիայի վերացում հատուկ ռեսուրսի վրա .
Գործողությունը կարող է սահմանվել «Կանխել», «Հայտնաբերել» կամ «Անջատել»: Բացի այդ, «Հայտնաբերել» գործողությունն ընտրելիս ավտոմատ կերպով ավելացվում է պարամետր, որը թույլ է տալիս օգտվողներին բաց թողնել URL-ի զտման նախազգուշացումը և գնալ հետաքրքրության ռեսուրս: Եթե Prevent-ն օգտագործվի, այս կարգավորումը կարող է հեռացվել, և օգտատերը չի կարողանա մուտք գործել արգելված կայք: Արգելված ռեսուրսները վերահսկելու մեկ այլ հարմար միջոց է ստեղծել Արգելափակման ցուցակը, որտեղ կարող եք նշել տիրույթներ, IP հասցեներ կամ վերբեռնել .csv ֆայլ՝ արգելափակման ենթակա տիրույթների ցանկով:
URL-ի զտման ստանդարտ քաղաքականության մեջ գործողությունը սահմանվում է «Հայտնաբերել» և ընտրվում է մեկ կատեգորիա՝ Անվտանգություն, որի համար կհայտնաբերվեն իրադարձություններ: Այս կատեգորիան ներառում է տարբեր անանունացնողներ, Կրիտիկական/Բարձր/Միջին ռիսկի մակարդակ ունեցող կայքեր, ֆիշինգ կայքեր, սպամ և շատ ավելին: Այնուամենայնիվ, օգտատերերը դեռ կկարողանան մուտք գործել ռեսուրս՝ շնորհիվ «Թույլատրել օգտվողին մերժել URL-ի զտման ծանուցումը և մուտք գործել կայք» պարամետրը:
Ներբեռնեք (վեբ) Պաշտպանություն
Emulation & Extraction-ը թույլ է տալիս նմանակել ներբեռնված ֆայլերը Check Point-ի ամպային ավազատուփում և անմիջապես մաքրել փաստաթղթերը՝ հեռացնելով պոտենցիալ վնասակար բովանդակությունը կամ վերափոխելով փաստաթուղթը PDF-ի: Գործողության երեք ռեժիմ կա.
- Կանխել — թույլ է տալիս ստանալ մաքրված փաստաթղթի պատճենը մինչև վերջնական նմանակման վճիռը կամ սպասել, որ էմուլյացիան ավարտվի և անմիջապես ներբեռնեք բնօրինակ ֆայլը.
- Հայտնաբերել — իրականացնում է էմուլյացիա հետին պլանում՝ չխոչընդոտելով օգտատիրոջը ստանալ բնօրինակ ֆայլը՝ անկախ դատավճռից.
- Off — ցանկացած ֆայլ թույլատրվում է ներբեռնել առանց պոտենցիալ վնասակար բաղադրիչների նմանակման և մաքրման:
Հնարավոր է նաև գործողություն ընտրել այն ֆայլերի համար, որոնք չեն աջակցվում Check Point-ի էմուլյացիայի և մաքրման գործիքների կողմից. կարող եք թույլատրել կամ մերժել բոլոր չաջակցվող ֆայլերի ներբեռնումը:
Ներբեռնման պաշտպանության ստանդարտ քաղաքականությունը սահմանվել է Կանխարգելման համար, որը թույլ է տալիս ստանալ բնօրինակ փաստաթղթի պատճենը, որը մաքրվել է հնարավոր վնասակար բովանդակությունից, ինչպես նաև թույլ է տալիս ներբեռնել այնպիսի ֆայլեր, որոնք չեն աջակցվում էմուլյացիայի և մաքրման գործիքներով:
Հավատարմագրերի պաշտպանություն
Հավատարմագրերի պաշտպանության բաղադրիչը պաշտպանում է օգտվողի հավատարմագրերը և ներառում է 2 բաղադրիչ՝ զրո ֆիշինգ և գաղտնաբառի պաշտպանություն: Զրո ֆիշինգ պաշտպանում է օգտվողներին ֆիշինգի ռեսուրսներ մուտք գործելուց և Գաղտնաբառ պաշտպանության ծանուցում է օգտվողին պաշտպանված տիրույթից դուրս կորպորատիվ հավատարմագրերի օգտագործման անթույլատրելիության մասին: Զրոյական ֆիշինգը կարող է սահմանվել «Կանխել», «Հայտնաբերել» կամ «Անջատել»: Երբ կանխարգելում է գործողությունը, հնարավոր է թույլատրել օգտվողներին անտեսել պոտենցիալ ֆիշինգի ռեսուրսի մասին նախազգուշացումը և մուտք գործել ռեսուրս, կամ անջատել այս տարբերակը և ընդմիշտ արգելափակել մուտքը: «Հայտնաբերել» գործողությամբ օգտվողները միշտ հնարավորություն ունեն անտեսելու նախազգուշացումը և մուտք գործելու ռեսուրս: Գաղտնաբառի պաշտպանությունը թույլ է տալիս ընտրել պաշտպանված տիրույթներ, որոնց գաղտնաբառերը կստուգվեն համապատասխանության համար, և երեք գործողություններից մեկը՝ հայտնաբերել և զգուշացնել (օգտագործողին ծանուցում), հայտնաբերել կամ անջատել:
Հավատարմագրերի պաշտպանության ստանդարտ քաղաքականությունն է՝ կանխել ֆիշինգի ցանկացած ռեսուրս, որը թույլ չի տա օգտվողներին մուտք գործել պոտենցիալ վնասակար կայք: Կորպորատիվ գաղտնաբառերի օգտագործումից պաշտպանությունը նույնպես միացված է, սակայն առանց նշված տիրույթների այս գործառույթը չի աշխատի:
Ֆայլերի պաշտպանություն
Ֆայլերի պաշտպանությունը պատասխանատու է օգտատիրոջ մեքենայում պահվող ֆայլերի պաշտպանության համար և ներառում է երկու բաղադրիչ՝ Anti-Malware և Files Threat Emulation: Հակավիրուսային ծրագիր գործիք է, որը պարբերաբար սկանավորում է օգտատերերի և համակարգի բոլոր ֆայլերը՝ օգտագործելով ստորագրության վերլուծությունը: Այս բաղադրիչի կարգավորումներում դուք կարող եք կարգավորել կանոնավոր սկանավորման կամ պատահական սկանավորման ժամանակների կարգավորումները, ստորագրության թարմացման ժամանակահատվածը և օգտատերերի՝ պլանավորված սկանավորումը չեղարկելու հնարավորությունը: Ֆայլերի սպառնալիքների էմուլյացիա թույլ է տալիս ընդօրինակել օգտատիրոջ մեքենայում պահված ֆայլերը Check Point ամպային ավազարկղում, սակայն անվտանգության այս հատկությունն աշխատում է միայն «Հայտնաբերել» ռեժիմում:
Ֆայլերի պաշտպանության ստանդարտ քաղաքականությունը ներառում է պաշտպանություն Anti-Malware-ով և վնասակար ֆայլերի հայտնաբերում Files Threat Emulation-ով: Կանոնավոր սկանավորումն իրականացվում է ամեն ամիս, իսկ օգտագործողի մեքենայի ստորագրությունները թարմացվում են 4 ժամը մեկ: Միևնույն ժամանակ, օգտվողները կազմաձևված են այնպես, որ կարողանան չեղարկել պլանավորված սկանավորումը, բայց ոչ ուշ, քան վերջին հաջող սկանավորման օրվանից 30 օր հետո:
Վարքագծի պաշտպանություն
Anti-Bot, Behavioral Guard & Anti-Ransomware, Anti-Exploit
Պաշտպանական բաղադրիչների վարքագծային պաշտպանության խումբը ներառում է երեք բաղադրիչ՝ Anti-Bot, Behavioral Guard & Anti-Ransomware և Anti-Exploit: Հակա-բոտ թույլ է տալիս վերահսկել և արգելափակել C&C կապերը՝ օգտագործելով անընդհատ թարմացվող Check Point ThreatCloud տվյալների բազան: Վարքագծային պահակ և հակափրկագին անընդհատ վերահսկում է գործունեությունը (ֆայլեր, գործընթացներ, ցանցային փոխազդեցություններ) օգտագործողի մեքենայի վրա և թույլ է տալիս կանխել փրկագինների հարձակումները սկզբնական փուլերում: Բացի այդ, այս պաշտպանության տարրը թույլ է տալիս վերականգնել ֆայլերը, որոնք արդեն գաղտնագրված են չարամիտ ծրագրի կողմից: Ֆայլերը վերականգնվում են իրենց սկզբնական դիրեկտորիաներում, կամ կարող եք նշել հատուկ ուղի, որտեղ կպահվեն բոլոր վերականգնված ֆայլերը: Anti-Exploit թույլ է տալիս բացահայտել զրոյական օրվա հարձակումները: Վարքագծային պաշտպանության բոլոր բաղադրիչներն աջակցում են երեք գործառնական ռեժիմների՝ կանխարգելում, հայտնաբերում և անջատում:
Վարքագծային պաշտպանության ստանդարտ քաղաքականությունը ապահովում է կանխարգելում Anti-Bot-ի և Behavioral Guard & Anti-Ransomware բաղադրիչների համար՝ գաղտնագրված ֆայլերի վերականգնումով իրենց սկզբնական գրացուցակներում: Anti-Exploit բաղադրիչն անջատված է և չի օգտագործվում:
Վերլուծություն և վերականգնում
Հարձակման ավտոմատ վերլուծություն (դատական փորձաքննություն), վերականգնում և պատասխան
Անվտանգության միջադեպերի վերլուծության և հետաքննության համար հասանելի են անվտանգության երկու բաղադրիչ՝ ավտոմատացված հարձակման վերլուծություն (դատաբժշկական փորձաքննություն) և վերականգնում և արձագանք: Հարձակման ավտոմատ վերլուծություն (դատաբժշկական փորձաքննություն) թույլ է տալիս հաշվետվություններ ստեղծել գրոհների ետ մղման արդյունքների վերաբերյալ մանրամասն նկարագրությամբ՝ մինչև օգտագործողի մեքենայի վրա չարամիտ ծրագրի կատարման գործընթացը վերլուծելը: Հնարավոր է նաև օգտագործել Threat Hunting ֆունկցիան, որը հնարավորություն է տալիս ակտիվորեն որոնել անոմալիաներ և պոտենցիալ վնասակար վարքագիծ՝ օգտագործելով նախապես սահմանված կամ ստեղծված զտիչներ: Վերականգնում և արձագանքում թույլ է տալիս կարգավորել կարգավորումները հարձակումից հետո ֆայլերի վերականգնման և կարանտինի համար. օգտատիրոջ փոխգործակցությունը կարանտինային ֆայլերի հետ կարգավորվում է, ինչպես նաև հնարավոր է կարանտինային ֆայլերը պահել ադմինիստրատորի կողմից նշված գրացուցակում:
Վերլուծության և վերականգնման ստանդարտ քաղաքականությունը ներառում է պաշտպանություն, որը ներառում է վերականգնման ավտոմատ գործողություններ (գործընթացների ավարտ, ֆայլերի վերականգնում և այլն), իսկ ֆայլերը կարանտին ուղարկելու տարբերակն ակտիվ է, և օգտվողները կարող են ջնջել միայն ֆայլերը կարանտինից:
Ստանդարտ սպառնալիքների կանխարգելման քաղաքականություն. թեստավորում
Check Point CheckMe վերջնակետ
Ամենահայտնի հարձակումների դեմ օգտագործողի մեքենայի անվտանգությունը ստուգելու ամենաարագ և ամենահեշտ ձևը ռեսուրսի միջոցով թեստ անցկացնելն է: , որն իրականացնում է տարբեր կատեգորիաների մի շարք բնորոշ հարձակումներ և թույլ է տալիս ստանալ թեստավորման արդյունքների մասին հաշվետվություն։ Այս դեպքում օգտագործվել է Endpoint testing տարբերակը, որի դեպքում գործարկվող ֆայլը ներբեռնվում և գործարկվում է համակարգչի վրա, այնուհետև սկսվում է ստուգման գործընթացը:
Գործող համակարգչի անվտանգությունը ստուգելու գործընթացում SandBlast Agent-ը ազդանշան է տալիս օգտագործողի համակարգչի վրա հայտնաբերված և արտացոլված հարձակումների մասին, օրինակ՝ Anti-Bot blade-ը հայտնում է վարակի հայտնաբերման մասին, Anti-Malware blade-ը հայտնաբերել և ջնջել է CP_AM.exe վնասակար ֆայլը, և Threat Emulation blade-ը տեղադրել է, որ CP_ZD.exe ֆայլը վնասակար է:
CheckMe Endpoint-ի միջոցով փորձարկման արդյունքների հիման վրա մենք ունենք հետևյալ արդյունքը. 6 հարձակման կատեգորիաներից ստանդարտ սպառնալիքների կանխարգելման քաղաքականությունը չի կարողացել հաղթահարել միայն մեկ կատեգորիա՝ Browser Exploit-ը: Դա պայմանավորված է նրանով, որ սպառնալիքների կանխարգելման ստանդարտ քաղաքականությունը չի ներառում Anti-Exploit սայրը: Հարկ է նշել, որ առանց SandBlast Agent-ի տեղադրման, օգտատիրոջ համակարգիչը սկան է անցել միայն Ransomware կատեգորիայի ներքո:
KnowBe4 RanSim
Anti-Ransomware blade-ի աշխատանքը ստուգելու համար կարող եք օգտագործել անվճար լուծում , որն իրականացնում է մի շարք թեստեր օգտատիրոջ մեքենայի վրա՝ 18 ransomware վարակման սցենար և 1 cryptominer վարակման սցենար: Հարկ է նշել, որ Կանխարգելման գործողությամբ ստանդարտ քաղաքականության մեջ բազմաթիվ շեղբերների առկայությունը (Սպառնալիքների էմուլյացիա, Վնասակար ծրագրերի դեմ, Վարքագծային պաշտպանություն) թույլ չի տալիս այս թեստը ճիշտ աշխատել: Այնուամենայնիվ, նույնիսկ անվտանգության նվազեցված մակարդակի դեպքում (Սպառնալիքների էմուլյացիա անջատված ռեժիմում), Anti-Ransomware blade թեստը ցույց է տալիս բարձր արդյունքներ. 18 թեստերից 19-ը հաջողությամբ անցել են (1-ը չի մեկնարկել):
Վնասակար ֆայլեր և փաստաթղթեր
Հատկանշական է ստուգել ստանդարտ սպառնալիքների կանխարգելման քաղաքականության տարբեր շեղբերների աշխատանքը՝ օգտագործելով օգտագործողի մեքենա ներբեռնված հանրաճանաչ ձևաչափերի վնասակար ֆայլերը: Այս թեստը ներառում էր 66 ֆայլ PDF, DOC, DOCX, EXE, XLS, XLSX, CAB, RTF ձևաչափերով: Փորձարկման արդյունքները ցույց են տվել, որ SandBlast Agent-ը կարողացել է արգելափակել 64 վնասակար ֆայլերից 66-ը: Վարակված ֆայլերը ջնջվել են ներբեռնումից հետո կամ մաքրվել վնասակար բովանդակությունից Threat Extraction-ի միջոցով և ստացվել օգտատիրոջ կողմից:
Սպառնալիքների կանխարգելման քաղաքականության բարելավման վերաբերյալ առաջարկություններ
1. URL-ի զտում
Առաջին բանը, որ պետք է շտկվի ստանդարտ քաղաքականության մեջ՝ հաճախորդի մեքենայի անվտանգության մակարդակը բարձրացնելու համար, URL Filtering blade-ը Prevent-ի անցնելն է և արգելափակման համար համապատասխան կատեգորիաներ նշելը: Մեր դեպքում ընտրվել են բոլոր կատեգորիաները, բացառությամբ Ընդհանուր օգտագործման, քանի որ դրանք ներառում են ռեսուրսների մեծ մասը, որոնց համար անհրաժեշտ է սահմանափակել աշխատավայրում օգտագործողների մուտքը: Բացի այդ, նման կայքերի համար խորհուրդ է տրվում հեռացնել օգտատերերի նախազգուշացման պատուհանը բաց թողնելու հնարավորությունը՝ հեռացնելով «Թույլատրել օգտվողին մերժել URL-ի զտման ազդանշանը և մուտք գործել կայք» պարամետրը:
2. Ներբեռնման պաշտպանություն
Երկրորդ տարբերակը, որին արժե ուշադրություն դարձնել, օգտվողների համար այն ֆայլերը ներբեռնելու հնարավորությունն է, որոնք չեն աջակցվում Check Point emulation-ի կողմից: Քանի որ այս բաժնում մենք դիտարկում ենք ստանդարտ սպառնալիքների կանխարգելման քաղաքականության բարելավումները անվտանգության տեսանկյունից, լավագույն տարբերակը կլինի արգելափակել չաջակցվող ֆայլերի ներբեռնումը:
3. Ֆայլերի պաշտպանություն
Դուք նաև պետք է ուշադրություն դարձնեք ֆայլերի պաշտպանության պարամետրերին, մասնավորապես, պարբերական սկանավորման պարամետրերին և օգտագործողի կողմից հարկադիր սկանավորումը հետաձգելու կարողությանը: Այս դեպքում պետք է հաշվի առնել օգտատիրոջ ժամանակային շրջանակը, և անվտանգության և կատարողականի տեսանկյունից լավ տարբերակ է կարգավորել հարկադիր սկանավորումը, որպեսզի այն աշխատի ամեն օր՝ պատահականորեն ընտրված ժամանակը (00:00-ից մինչև 8: 00), և օգտագործողը կարող է հետաձգել սկանավորումը առավելագույնը մեկ շաբաթով:
4. Anti-Exploit
Ստանդարտ սպառնալիքների կանխարգելման քաղաքականության էական թերությունն այն է, որ Anti-Exploit սայրն անջատված է: Առաջարկվում է միացնել այս սայրը կանխարգելել գործողությամբ՝ պաշտպանելու աշխատակայանը հարձակումներից՝ օգտագործելով շահագործում: Այս շտկումով CheckMe-ի վերստուգումը հաջողությամբ ավարտվում է՝ առանց օգտագործողի արտադրական մեքենայի խոցելիության հայտնաբերման:
Ամփոփում
Եկեք ամփոփենք. այս հոդվածում մենք ծանոթացանք ստանդարտ սպառնալիքների կանխարգելման քաղաքականության բաղադրիչներին, փորձարկեցինք այս քաղաքականությունը՝ օգտագործելով տարբեր մեթոդներ և գործիքներ, ինչպես նաև նկարագրեցինք ստանդարտ քաղաքականության պարամետրերը բարելավելու առաջարկություններ՝ օգտագործողի մեքենայի անվտանգության մակարդակը բարձրացնելու համար: . Շարքի հաջորդ հոդվածում մենք կանցնենք տվյալների պաշտպանության քաղաքականության ուսումնասիրությանը և կանդրադառնանք Գլոբալ քաղաքականության կարգավորումներին:
. Որպեսզի բաց չթողնեք SandBlast Agent Management Platform թեմայի վերաբերյալ հաջորդ հրապարակումները, հետևեք մեր սոցիալական ցանցերի թարմացումներին (, , , , ).
Source: www.habr.com