Selamat datang di artikel ketiga dalam seri tentang konsol manajemen perlindungan komputer pribadi berbasis cloud yang baru - Platform Manajemen Agen SandBlast Check Point. Biarkan saya mengingatkan Anda bahwa di kami mengenal Portal Infinity dan menciptakan layanan manajemen agen berbasis cloud, Layanan Manajemen Titik Akhir. Di dalam Kami mempelajari antarmuka konsol manajemen web dan menginstal agen dengan kebijakan standar pada mesin pengguna. Hari ini kita akan melihat isi kebijakan keamanan Pencegahan Ancaman standar dan menguji efektivitasnya dalam melawan serangan populer.
Kebijakan Pencegahan Ancaman Standar: Deskripsi
Gambar di atas menunjukkan aturan kebijakan Pencegahan Ancaman standar, yang secara default berlaku untuk seluruh organisasi (semua agen yang diinstal) dan mencakup tiga kelompok komponen perlindungan yang logis: Perlindungan Web & File, Perlindungan Perilaku, dan Analisis & Remediasi. Mari kita lihat lebih dekat masing-masing kelompok.
Perlindungan Web & File
URL Filtering
Pemfilteran URL memungkinkan Anda mengontrol akses pengguna ke sumber daya web, menggunakan 5 kategori situs yang telah ditentukan sebelumnya. Masing-masing dari 5 kategori berisi beberapa subkategori yang lebih spesifik, yang memungkinkan Anda mengonfigurasi, misalnya, memblokir akses ke subkategori Permainan dan mengizinkan akses ke subkategori Pesan Instan, yang termasuk dalam kategori Kehilangan Produktivitas yang sama. URL yang terkait dengan subkategori tertentu ditentukan oleh Check Point. Anda dapat memeriksa kategori milik URL tertentu atau meminta penggantian kategori pada sumber daya khusus .
Tindakannya dapat diatur ke Cegah, Deteksi, atau Nonaktif. Selain itu, saat memilih tindakan Deteksi, pengaturan secara otomatis ditambahkan yang memungkinkan pengguna melewati peringatan Pemfilteran URL dan membuka sumber daya yang diinginkan. Jika Cegah digunakan, pengaturan ini dapat dihapus dan pengguna tidak akan dapat mengakses situs terlarang tersebut. Cara mudah lainnya untuk mengontrol sumber daya terlarang adalah dengan menyiapkan Daftar Blokir, di mana Anda dapat menentukan domain, alamat IP, atau mengunggah file .csv dengan daftar domain yang akan diblokir.
Dalam kebijakan standar untuk Pemfilteran URL, tindakan diatur ke Deteksi dan satu kategori dipilih - Keamanan, yang peristiwanya akan terdeteksi. Kategori ini mencakup berbagai anonimizer, situs dengan tingkat risiko Kritis/Tinggi/Sedang, situs phishing, spam, dan banyak lagi. Namun, pengguna masih dapat mengakses sumber daya berkat pengaturan βIzinkan pengguna mengabaikan peringatan Pemfilteran URL dan mengakses situs webβ.
Unduh (web) Perlindungan
Emulasi & Ekstraksi memungkinkan Anda meniru file yang diunduh di kotak pasir cloud Check Point dan membersihkan dokumen dengan cepat, menghapus konten yang berpotensi berbahaya, atau mengonversi dokumen ke PDF. Ada tiga mode operasi:
- Mencegah β memungkinkan Anda mendapatkan salinan dokumen yang telah dibersihkan sebelum keputusan emulasi akhir, atau menunggu hingga emulasi selesai dan segera mengunduh file asli;
- menemukan β melakukan emulasi di latar belakang, tanpa mencegah pengguna menerima file asli, apa pun putusannya;
- Off β file apa pun diperbolehkan untuk diunduh tanpa melalui emulasi dan pembersihan komponen yang berpotensi berbahaya.
Dimungkinkan juga untuk memilih tindakan untuk file yang tidak didukung oleh alat emulasi dan pembersihan Check Point - Anda dapat mengizinkan atau menolak pengunduhan semua file yang tidak didukung.
Kebijakan standar untuk Perlindungan Unduhan diatur ke Mencegah, yang memungkinkan Anda mendapatkan salinan dokumen asli yang telah dibersihkan dari konten yang berpotensi berbahaya, serta mengizinkan pengunduhan file yang tidak didukung oleh alat emulasi dan pembersihan.
Perlindungan Kredensial
Komponen Perlindungan Kredensial melindungi kredensial pengguna dan mencakup 2 komponen: Nol Phishing dan Perlindungan Kata Sandi. Nol Phishing melindungi pengguna dari mengakses sumber daya phishing, dan Perlindungan Kata Sandi memberi tahu pengguna tentang tidak dapat diterimanya penggunaan kredensial perusahaan di luar domain yang dilindungi. Zero Phishing dapat diatur ke Cegah, Deteksi, atau Nonaktifkan. Ketika tindakan Cegah diatur, pengguna dapat mengabaikan peringatan tentang potensi sumber daya phishing dan mendapatkan akses ke sumber daya tersebut, atau menonaktifkan opsi ini dan memblokir akses selamanya. Dengan tindakan Deteksi, pengguna selalu memiliki opsi untuk mengabaikan peringatan dan mengakses sumber daya. Perlindungan Kata Sandi memungkinkan Anda memilih domain yang dilindungi yang kata sandinya akan diperiksa kepatuhannya, dan salah satu dari tiga tindakan: Deteksi & Peringatan (memberi tahu pengguna), Deteksi atau Nonaktif.
Kebijakan standar Perlindungan Kredensial adalah untuk mencegah sumber daya phishing mencegah pengguna mengakses situs yang berpotensi berbahaya. Perlindungan terhadap penggunaan kata sandi perusahaan juga diaktifkan, namun tanpa domain yang ditentukan, fitur ini tidak akan berfungsi.
Perlindungan File
Perlindungan File bertanggung jawab untuk melindungi file yang disimpan di mesin pengguna dan mencakup dua komponen: Anti-Malware dan Emulasi Ancaman File. Anti-Malware adalah alat yang secara teratur memindai semua file pengguna dan sistem menggunakan analisis tanda tangan. Dalam pengaturan komponen ini, Anda dapat mengonfigurasi pengaturan untuk pemindaian reguler atau waktu pemindaian acak, periode pembaruan tanda tangan, dan kemampuan pengguna untuk membatalkan pemindaian terjadwal. Emulasi Ancaman File memungkinkan Anda meniru file yang disimpan di mesin pengguna di kotak pasir cloud Check Point, namun fitur keamanan ini hanya berfungsi dalam mode Deteksi.
Kebijakan standar untuk Perlindungan File mencakup perlindungan dengan Anti-Malware dan deteksi file berbahaya dengan Emulasi Ancaman File. Pemindaian rutin dilakukan setiap bulan, dan tanda tangan di mesin pengguna diperbarui setiap 4 jam. Pada saat yang sama, pengguna dikonfigurasikan untuk dapat membatalkan pemindaian terjadwal, tetapi selambat-lambatnya 30 hari sejak tanggal pemindaian terakhir yang berhasil.
Perlindungan Perilaku
Anti-Bot, Penjaga Perilaku & Anti-Ransomware, Anti-Eksploitasi
Kelompok komponen perlindungan Perlindungan Perilaku mencakup tiga komponen: Anti-Bot, Penjaga Perilaku & Anti-Ransomware, dan Anti-Eksploitasi. anti bot memungkinkan Anda memantau dan memblokir koneksi C&C menggunakan database Check Point ThreatCloud yang terus diperbarui. Penjaga Perilaku & Anti-Ransomware terus memantau aktivitas (file, proses, interaksi jaringan) pada mesin pengguna dan memungkinkan Anda mencegah serangan ransomware pada tahap awal. Selain itu, elemen perlindungan ini memungkinkan Anda memulihkan file yang telah dienkripsi oleh malware. File dikembalikan ke direktori aslinya, atau Anda dapat menentukan jalur tertentu di mana semua file yang dipulihkan akan disimpan. Anti Eksploitasi memungkinkan Anda mendeteksi serangan zero-day. Semua komponen Perlindungan Perilaku mendukung tiga mode pengoperasian: Cegah, Deteksi, dan Mati.
Kebijakan standar untuk Perlindungan Perilaku menyediakan komponen Pencegahan untuk Anti-Bot dan Penjaga Perilaku & Anti-Ransomware, dengan pemulihan file terenkripsi di direktori aslinya. Komponen Anti-Eksploitasi dinonaktifkan dan tidak digunakan.
Analisis & Remediasi
Analisis Serangan Otomatis (Forensik), Remediasi & Respon
Dua komponen keamanan tersedia untuk analisis dan investigasi insiden keamanan: Analisis Serangan Otomatis (Forensik) dan Remediasi & Respons. Analisis Serangan Otomatis (Forensik) memungkinkan Anda membuat laporan tentang hasil menangkis serangan dengan deskripsi mendetail - hingga menganalisis proses eksekusi malware di mesin pengguna. Dimungkinkan juga untuk menggunakan fitur Perburuan Ancaman, yang memungkinkan pencarian anomali dan perilaku yang berpotensi berbahaya secara proaktif menggunakan filter yang telah ditentukan atau dibuat. Remediasi & Respon memungkinkan Anda mengonfigurasi pengaturan untuk pemulihan dan karantina file setelah serangan: interaksi pengguna dengan file karantina diatur, dan juga dimungkinkan untuk menyimpan file yang dikarantina di direktori yang ditentukan oleh administrator.
Kebijakan Analisis & Remediasi standar mencakup perlindungan, yang mencakup tindakan otomatis untuk pemulihan (mengakhiri proses, memulihkan file, dll.), dan opsi untuk mengirim file ke karantina aktif, dan pengguna hanya dapat menghapus file dari karantina.
Kebijakan Pencegahan Ancaman Standar: Pengujian
Titik Periksa Titik Akhir CheckMe
Cara tercepat dan termudah untuk memeriksa keamanan mesin pengguna terhadap jenis serangan paling populer adalah dengan melakukan pengujian menggunakan sumber daya , yang melakukan sejumlah serangan khas dari berbagai kategori dan memungkinkan Anda mendapatkan laporan tentang hasil pengujian. Dalam hal ini, opsi pengujian Titik Akhir digunakan, di mana file yang dapat dieksekusi diunduh dan diluncurkan ke komputer, dan kemudian proses verifikasi dimulai.
Dalam proses pemeriksaan keamanan komputer yang berfungsi, Agen SandBlast memberi sinyal tentang serangan yang teridentifikasi dan tercermin pada komputer pengguna, misalnya: bilah Anti-Bot melaporkan deteksi infeksi, bilah Anti-Malware telah mendeteksi dan menghapus file berbahaya CP_AM.exe, dan bilah Emulasi Ancaman telah menginstal bahwa file CP_ZD.exe berbahaya.
Berdasarkan hasil pengujian menggunakan CheckMe Endpoint, kami mendapatkan hasil sebagai berikut: dari 6 kategori serangan, kebijakan Pencegahan Ancaman standar gagal mengatasi hanya satu kategori - Eksploitasi Browser. Hal ini karena kebijakan Pencegahan Ancaman standar tidak menyertakan bilah Anti-Eksploitasi. Perlu dicatat bahwa tanpa menginstal SandBlast Agent, komputer pengguna hanya lolos pemindaian dalam kategori Ransomware.
TahuBe4 RanSim
Untuk menguji pengoperasian bilah Anti-Ransomware, Anda dapat menggunakan solusi gratis , yang menjalankan serangkaian pengujian pada mesin pengguna: 18 skenario infeksi ransomware dan 1 skenario infeksi cryptominer. Perlu dicatat bahwa kehadiran banyak bilah dalam kebijakan standar (Emulasi Ancaman, Anti-Malware, Penjaga Perilaku) dengan tindakan Cegah tidak memungkinkan pengujian ini berjalan dengan benar. Namun, bahkan dengan tingkat keamanan yang berkurang (Emulasi Ancaman dalam mode Mati), pengujian blade Anti-Ransomware menunjukkan hasil yang tinggi: 18 dari 19 pengujian berhasil lulus (1 gagal dimulai).
File dan dokumen berbahaya
Merupakan indikasi untuk memeriksa pengoperasian berbagai bilah kebijakan Pencegahan Ancaman standar menggunakan file berbahaya dalam format populer yang diunduh ke mesin pengguna. Pengujian ini melibatkan 66 file dalam format PDF, DOC, DOCX, EXE, XLS, XLSX, CAB, RTF. Hasil pengujian menunjukkan bahwa Agen SandBlast mampu memblokir 64 file berbahaya dari 66 file. File yang terinfeksi dihapus setelah diunduh, atau dibersihkan dari konten berbahaya menggunakan Ekstraksi Ancaman dan diterima oleh pengguna.
Rekomendasi untuk menyempurnakan kebijakan Pencegahan Ancaman
1. Pemfilteran URL
Hal pertama yang perlu diperbaiki dalam kebijakan standar untuk meningkatkan tingkat keamanan mesin klien adalah mengalihkan bilah Penyaringan URL ke Mencegah dan menentukan kategori yang sesuai untuk pemblokiran. Dalam kasus kami, semua kategori dipilih kecuali Penggunaan Umum, karena kategori tersebut mencakup sebagian besar sumber daya yang diperlukan untuk membatasi akses pengguna di tempat kerja. Selain itu, untuk situs semacam itu, disarankan untuk menghilangkan kemampuan pengguna untuk melewati jendela peringatan dengan menghapus centang pada parameter βIzinkan pengguna untuk mengabaikan peringatan Pemfilteran URL dan mengakses situs webβ.
2.Unduh Perlindungan
Opsi kedua yang perlu diperhatikan adalah kemampuan pengguna untuk mengunduh file yang tidak didukung oleh emulasi Check Point. Karena di bagian ini kita melihat peningkatan pada kebijakan Pencegahan Ancaman standar dari sudut pandang keamanan, opsi terbaik adalah memblokir pengunduhan file yang tidak didukung.
3. Perlindungan File
Anda juga perlu memperhatikan pengaturan untuk melindungi file - khususnya, pengaturan untuk pemindaian berkala dan kemampuan pengguna untuk menunda pemindaian paksa. Dalam hal ini, jangka waktu pengguna harus diperhitungkan, dan opsi yang baik dari sudut pandang keamanan dan kinerja adalah mengonfigurasi pemindaian paksa untuk dijalankan setiap hari, dengan waktu yang dipilih secara acak (dari 00:00 hingga 8: 00), dan pengguna dapat menunda pemindaian maksimal satu minggu.
4. Anti Eksploitasi
Kelemahan signifikan dari kebijakan Pencegahan Ancaman standar adalah bilah Anti-Eksploitasi dinonaktifkan. Disarankan untuk mengaktifkan blade ini dengan tindakan Cegah untuk melindungi stasiun kerja dari serangan menggunakan eksploitasi. Dengan perbaikan ini, pengujian ulang CheckMe berhasil diselesaikan tanpa mendeteksi kerentanan pada mesin produksi pengguna.
Kesimpulan
Mari kita rangkum: dalam artikel ini kita mengenal komponen kebijakan Pencegahan Ancaman standar, menguji kebijakan ini menggunakan berbagai metode dan alat, dan juga menjelaskan rekomendasi untuk meningkatkan pengaturan kebijakan standar untuk meningkatkan tingkat keamanan mesin pengguna. . Pada artikel berikutnya dalam seri ini, kita akan melanjutkan mempelajari kebijakan Perlindungan Data dan melihat Pengaturan Kebijakan Global.
. Agar tidak ketinggalan publikasi berikutnya tentang topik Platform Manajemen Agen SandBlast, ikuti pembaruan di jejaring sosial kami (, , , , ).
Sumber: www.habr.com