Velkomin í þriðju greinina í seríunni um nýju skýjabyggðu einkatölvuverndarstjórnunarborðið - Check Point SandBlast Agent Management Platform. Leyfðu mér að minna þig á að í við kynntumst Infinity Portal og stofnuðum skýjatengda umboðsstjórnunarþjónustu, Endpoint Management Service. Í Við rannsökuðum viðmót vefstjórnunarborðsins og settum upp umboðsmann með staðlaða stefnu á notendavélinni. Í dag munum við skoða innihald staðlaðrar öryggisstefnu gegn ógnum og prófa virkni hennar til að vinna gegn vinsælum árásum.
Hefðbundin stefna um varnir gegn ógnum: Lýsing
Myndin hér að ofan sýnir staðlaða ógnarforvarnir stefnureglu, sem sjálfgefið gildir fyrir alla stofnunina (alla uppsetta umboðsmenn) og inniheldur þrjá rökrétta hópa verndarþátta: Vef- og skráavernd, hegðunarvernd og greining og úrbætur. Skoðum hvern hópinn nánar.
Vef- og skráavernd
URL sía
URL síun gerir þér kleift að stjórna aðgangi notenda að vefauðlindum með því að nota fyrirfram skilgreinda 5 flokka vefsvæða. Hver af 5 flokkunum inniheldur nokkra sértækari undirflokka, sem gerir þér kleift að stilla, til dæmis, að loka fyrir aðgang að leikjaundirflokknum og leyfa aðgang að undirflokki spjallskilaboða, sem eru innifalin í sama flokki framleiðnistaps. Vefslóðir sem tengjast ákveðnum undirflokkum eru ákvarðaðar af Check Point. Þú getur athugað flokkinn sem tiltekin vefslóð tilheyrir eða beðið um hnekkingar á flokki á sérstöku tilfangi .
Aðgerðina er hægt að stilla á Hindra, Finna eða Slökkt. Einnig, þegar aðgerðin Greina er valin, er stillingu sjálfkrafa bætt við sem gerir notendum kleift að sleppa viðvöruninni um síusíun vefslóða og fara á áhugaverðan tilföng. Ef Hindra er notað er hægt að fjarlægja þessa stillingu og notandinn mun ekki geta opnað bönnuðu síðuna. Önnur þægileg leið til að stjórna bönnuðum auðlindum er að setja upp blokkunarlista, þar sem þú getur tilgreint lén, IP tölur eða hlaðið upp .csv skrá með lista yfir lén sem á að loka.
Í stöðluðu stefnunni fyrir vefslóðasíun er aðgerðin stillt á Greina og einn flokkur valinn - Öryggi, þar sem atburðir verða greindir. Þessi flokkur inniheldur ýmsa nafnlausa, síður með mikilvægu/háu/miðlungs áhættustigi, vefveiðasíður, ruslpóst og margt fleira. Hins vegar munu notendur enn hafa aðgang að auðlindinni þökk sé „Leyfa notanda að hafna viðvörun um vefslóðasíun og fá aðgang að vefsíðunni“ stillingunni.
Sækja (vef) vernd
Eftirlíking og útdráttur gerir þér kleift að líkja eftir niðurhaluðum skrám í Check Point skýsandkassanum og hreinsa upp skjöl á flugi, fjarlægja hugsanlega skaðlegt efni eða breyta skjalinu í PDF. Það eru þrjár aðgerðastillingar:
- Hindra — gerir þér kleift að fá afrit af hreinsaða skjalinu áður en endanleg hermidómur kemur fram, eða bíða eftir að hermigerðinni ljúki og hlaða niður upprunalegu skránni strax;
- Uppgötva — framkvæmir eftirlíkingu í bakgrunni, án þess að koma í veg fyrir að notandinn fái upprunalegu skrána, óháð dómnum;
- Off - leyft er að hlaða niður hvaða skrá sem er án þess að fara í eftirlíkingu og hreinsun á hugsanlegum skaðlegum hlutum.
Það er líka hægt að velja aðgerð fyrir skrár sem eru ekki studdar af Check Point hermi- og hreinsiverkfærum - þú getur leyft eða hafnað niðurhali á öllum óstuddum skrám.
Stöðluð stefna fyrir niðurhalsvernd er stillt á Hindra, sem gerir þér kleift að fá afrit af upprunalega skjalinu sem hefur verið hreinsað af hugsanlega skaðlegu efni, auk þess að leyfa niðurhal á skrám sem eru ekki studdar af hermi- og hreinsiverkfærum.
Persónuvernd
Persónuverndarhlutinn verndar notendaskilríki og inniheldur 2 hluti: Núll vefveiðar og lykilorðavernd. Núll vefveiðar verndar notendur gegn aðgangi að vefveiðum, og Lykilorð Protection tilkynnir notandanum um óheimilleika þess að nota fyrirtækjaskilríki utan verndaðs léns. Núll vefveiðar er hægt að stilla á Hindra, Finna eða Slökkt. Þegar aðgerðin Hindra er stillt er hægt að leyfa notendum að hunsa viðvörunina um hugsanlega vefveiðar og fá aðgang að auðlindinni, eða slökkva á þessum valkosti og loka fyrir aðgang að eilífu. Með Detect aðgerð hafa notendur alltaf möguleika á að hunsa viðvörunina og fá aðgang að auðlindinni. Lykilorðsvörn gerir þér kleift að velja vernduð lén þar sem lykilorð verða athugað með tilliti til samræmis, og eina af þremur aðgerðum: Uppgötva og viðvörun (tilkynna notanda), Finna eða Slökkva.
Stöðluð stefna fyrir persónuskilríkisvernd er að koma í veg fyrir að vefveiðaauðlindir komi í veg fyrir að notendur fái aðgang að hugsanlega skaðlegum vefsvæðum. Vörn gegn notkun lykilorða fyrirtækja er einnig virkjuð, en án tilgreindra léna mun þessi eiginleiki ekki virka.
Skráavernd
Skráavernd er ábyrg fyrir því að vernda skrár sem eru geymdar á vél notandans og inniheldur tvo þætti: Anti-Malware og Files Threat Emulation. Andstæðingur-malware er tól sem skannar reglulega allar notenda- og kerfisskrár með því að nota undirskriftargreiningu. Í stillingum þessa íhluta er hægt að stilla stillingar fyrir venjulegan skönnun eða handahófskenndan tíma, uppfærslutíma undirskriftarinnar og getu notenda til að hætta við áætlaða skönnun. Skrár Threat Emulation gerir þér kleift að líkja eftir skrám sem eru geymdar á vél notandans í Check Point skýjasandkassanum, en þessi öryggiseiginleiki virkar aðeins í Uppgötvunarham.
Stöðluð stefna fyrir skráavernd felur í sér vernd með anti-malware og uppgötvun skaðlegra skráa með Files Threat Emulation. Regluleg skönnun fer fram í hverjum mánuði og undirskriftir á notendavélinni eru uppfærðar á 4 klukkustunda fresti. Á sama tíma eru notendur stilltir til að geta hætt við áætlaða skönnun, en eigi síðar en 30 dögum frá dagsetningu síðasta árangursríka skönnun.
Atferlisvernd
Anti-Bot, Behavioral Guard & Anti-Ransomware, Anti-Exploit
Atferlisverndarhópur verndarþátta inniheldur þrjá þætti: Anti-Bot, Behavioral Guard & Anti-Ransomware og Anti-Exploit. Andstæðingur-Bot gerir þér kleift að fylgjast með og loka á C&C tengingar með því að nota stöðugt uppfærða Check Point ThreatCloud gagnagrunn. Behavioral Guard & Anti-Ransomware fylgist stöðugt með virkni (skrár, ferli, netsamskipti) á notendavélinni og gerir þér kleift að koma í veg fyrir lausnarárásir á fyrstu stigum. Að auki gerir þessi verndarþáttur þér kleift að endurheimta skrár sem hafa þegar verið dulkóðaðar af spilliforritinu. Skrár eru endurheimtar í upprunalegar möppur, eða þú getur tilgreint ákveðna slóð þar sem allar endurheimtar skrár verða geymdar. And-nýting gerir þér kleift að greina zero-day árásir. Allir atferlisverndaríhlutir styðja þrjár aðgerðastillingar: Hindra, uppgötva og slökkva.
Stöðluð stefna fyrir hegðunarvernd veitir Prevent fyrir Anti-Bot og Behavioral Guard & Anti-Ransomware hluti, með endurheimt dulkóðaðra skráa í upprunalegum möppum þeirra. Anti-Exploit hluti er óvirkur og ekki notaður.
Greining og úrbætur
Sjálfvirk árásargreining (réttarfræði), úrbætur og viðbrögð
Tveir öryggisþættir eru tiltækir fyrir greiningu og rannsókn á öryggisatvikum: Sjálfvirk árásargreining (réttar) og úrbætur og viðbrögð. Sjálfvirk árásargreining (réttarfræði) gerir þér kleift að búa til skýrslur um niðurstöður hrinda árásum frá með nákvæmri lýsingu - allt niður í að greina ferlið við að keyra spilliforritið á vél notandans. Það er líka hægt að nota Threat Hunting eiginleikann, sem gerir það mögulegt að leita fyrirbyggjandi að frávikum og hugsanlega illgjarnri hegðun með því að nota fyrirfram skilgreindar eða búnar síur. Úrbætur og viðbrögð gerir þér kleift að stilla stillingar fyrir endurheimt og sóttkví skráa eftir árás: samskiptum notenda við sóttkvíarskrár er stjórnað og einnig er hægt að geyma sóttkvíarskrár í möppu sem kerfisstjórinn tilgreinir.
Staðlaða greiningar- og úrbótastefnan felur í sér vernd, sem felur í sér sjálfvirkar aðgerðir til að endurheimta (slíta ferli, endurheimta skrár osfrv.), og möguleikinn á að senda skrár í sóttkví er virkur og notendur geta aðeins eytt skrám úr sóttkví.
Hefðbundin ógnarvarnir: Prófanir
Check Point CheckMe endapunktur
Fljótlegasta og auðveldasta leiðin til að athuga öryggi vél notanda gegn vinsælustu tegundum árása er að framkvæma próf með því að nota auðlindina , sem framkvæmir fjölda dæmigerðra árása af ýmsum flokkum og gerir þér kleift að fá skýrslu um niðurstöður prófana. Í þessu tilviki var Endpoint testing valmöguleikinn notaður, þar sem keyrsluskrá er hlaðið niður og sett á tölvuna og síðan hefst staðfestingarferlið.
Í því ferli að kanna öryggi vinnutölvu gefur SandBlast Agent merki um auðkenndar og endurspeglaðar árásir á tölvu notandans, til dæmis: Anti-Bot blaðið tilkynnir um uppgötvun sýkingar, Anti-Malware blaðið hefur greint og eytt illgjarn skrá CP_AM.exe, og Threat Emulation blaðið hefur sett upp að CP_ZD.exe skráin sé skaðleg.
Byggt á niðurstöðum prófana með því að nota CheckMe Endpoint, höfum við eftirfarandi niðurstöðu: af 6 árásarflokkum tókst stöðluðu ógnarvarnarstefnan ekki aðeins við einn flokk - vafranotkun. Þetta er vegna þess að staðlaða stefnan um forvarnir gegn ógnum felur ekki í sér Anti-Exploit blaðið. Það er athyglisvert að án SandBlast Agent uppsettur, tölva notandans stóðst skönnunina aðeins undir Ransomware flokknum.
KnowBe4 RanSim
Til að prófa virkni Anti-Ransomware blaðsins geturðu notað ókeypis lausn , sem keyrir röð prófana á vél notandans: 18 sýkingaratburðarás fyrir lausnarhugbúnað og 1 cryptominer sýkingaratburðarás. Það er athyglisvert að tilvist margra blaða í stöðluðu stefnunni (Threat Emulation, Anti-Malware, Behavioral Guard) með aðgerðinni Hindra gerir þetta próf ekki kleift að keyra rétt. Hins vegar, jafnvel með minni öryggisstig (Threat Emulation í slökkt) sýnir Anti-Ransomware blaðprófið miklar niðurstöður: 18 af 19 prófum stóðust með góðum árangri (1 tókst ekki að byrja).
Skaðlegar skrár og skjöl
Það er leiðbeinandi að athuga virkni mismunandi blaða í stöðluðu hættuvarnarstefnunni með því að nota skaðlegar skrár af vinsælum sniðum sem hlaðið er niður á vél notandans. Þetta próf tók þátt í 66 skrám á PDF, DOC, DOCX, EXE, XLS, XLSX, CAB, RTF sniðum. Prófunarniðurstöðurnar sýndu að SandBlast Agent gat lokað 64 skaðlegum skrám af 66. Sýktum skrám var eytt eftir niðurhal, eða hreinsað af skaðlegu efni með því að nota Threat Extraction og mótteknar af notandanum.
Tillögur um endurbætur á stefnu gegn ógnum
1. URL síun
Það fyrsta sem þarf að leiðrétta í stöðluðu stefnunni til að auka öryggisstig biðlaravélarinnar er að skipta vefslóðasíublaðinu í Hindra og tilgreina viðeigandi flokka fyrir lokun. Í okkar tilviki voru allir flokkar valdir nema almenn notkun, þar sem þeir innihalda flest þau úrræði sem nauðsynlegt er að takmarka aðgang að notendum á vinnustaðnum. Einnig, fyrir slíkar síður, er ráðlegt að fjarlægja möguleika notenda á að sleppa viðvörunarglugganum með því að taka hakið úr „Leyfa notanda að hafna viðvörun um vefslóðasíun og fá aðgang að vefsíðunni“ færibreytunni.
2.Download vernd
Annar valkosturinn sem vert er að borga eftirtekt til er hæfileikinn fyrir notendur að hlaða niður skrám sem eru ekki studdar af Check Point hermun. Þar sem í þessum hluta erum við að skoða endurbætur á stöðluðu hættuvarnarstefnunni frá öryggissjónarmiði, þá væri besti kosturinn að loka fyrir niðurhal á óstuddum skrám.
3. Skráavernd
Þú þarft einnig að huga að stillingum til að vernda skrár - sérstaklega stillingar fyrir reglubundna skönnun og getu notandans til að fresta þvinguðu skönnun. Í þessu tilviki verður að taka tillit til tímaramma notandans og góður kostur út frá öryggis- og frammistöðusjónarmiði er að stilla þvingaða skönnun til að keyra á hverjum degi, með tímanum valinn af handahófi (frá 00:00 til 8: 00), og getur notandinn seinkað skönnuninni í að hámarki eina viku.
4. Andstæðingur-nýting
Verulegur galli við staðlaða stefnu um ógnarvarnir er að blaðið gegn hagnýtingu er óvirkt. Mælt er með því að virkja þetta blað með aðgerðinni Hindra til að vernda vinnustöðina gegn árásum með hetjudáð. Með þessari lagfæringu lýkur CheckMe endurprófuninni með góðum árangri án þess að greina veikleika á framleiðsluvél notandans.
Ályktun
Við skulum draga saman: í þessari grein kynntumst við íhlutum staðlaðrar ógnarvarnastefnu, prófuðum þessa stefnu með ýmsum aðferðum og verkfærum og lýstum einnig ráðleggingum um að bæta stillingar staðlaðrar stefnu til að auka öryggi notendavélarinnar . Í næstu grein í seríunni munum við halda áfram að kynna okkur gagnaverndarstefnuna og skoða alþjóðlegu stefnustillingarnar.
. Til að missa ekki af næstu útgáfum um efnið SandBlast Agent Management Platform, fylgdu uppfærslunum á samfélagsnetunum okkar (, , , , ).
Heimild: www.habr.com