Benvenuti al terzo articolo della serie sulla nuova console di gestione della protezione dei personal computer basata su cloud: Check Point SandBlast Agent Management Platform. Lascia che te lo ricordi abbiamo conosciuto Infinity Portal e creato un servizio di gestione degli agenti basato su cloud, Endpoint Management Service. In Abbiamo studiato l'interfaccia della console di gestione web e installato un agente con una policy standard sul computer dell'utente. Oggi esamineremo i contenuti della politica di sicurezza standard di Prevenzione delle minacce e ne testeremo l’efficacia nel contrastare gli attacchi più diffusi.
Politica standard di prevenzione delle minacce: descrizione
La figura sopra mostra una regola di policy standard di Prevenzione delle minacce, che per impostazione predefinita si applica all'intera organizzazione (tutti gli agenti installati) e include tre gruppi logici di componenti di protezione: Protezione Web e file, Protezione comportamentale e Analisi e risoluzione. Diamo uno sguardo più da vicino a ciascuno dei gruppi.
Protezione Web e file
Filtro URL
Il filtraggio URL ti consente di controllare l'accesso degli utenti alle risorse web, utilizzando 5 categorie di siti predefinite. Ognuna delle 5 categorie contiene diverse sottocategorie più specifiche, che consentono di configurare, ad esempio, bloccando l'accesso alla sottocategoria Giochi e consentendo l'accesso alla sottocategoria Messaggistica istantanea, che sono incluse nella stessa categoria Perdita di produttività. Gli URL associati a sottocategorie specifiche sono determinati da Check Point. Puoi verificare la categoria a cui appartiene un URL specifico o richiedere una sostituzione di categoria su una risorsa speciale .
L'azione può essere impostata su Previeni, Rileva o Disattiva. Inoltre, quando si seleziona l'azione Rileva, viene aggiunta automaticamente un'impostazione che consente agli utenti di ignorare l'avviso di Filtro URL e accedere alla risorsa di interesse. Se si utilizza Previeni, questa impostazione può essere rimossa e l'utente non sarà in grado di accedere al sito vietato. Un altro modo conveniente per controllare le risorse vietate è impostare un Elenco bloccati, in cui è possibile specificare domini, indirizzi IP o caricare un file .csv con un elenco di domini da bloccare.
Nella policy standard per il filtro URL, l'azione è impostata su Rileva ed è selezionata una categoria: Sicurezza, per la quale verranno rilevati gli eventi. In questa categoria rientrano vari anonimizzatori, siti con livello di rischio Critico/Alto/Medio, siti di phishing, spam e molto altro. Tuttavia, gli utenti potranno comunque accedere alla risorsa grazie all'impostazione "Consenti all'utente di ignorare l'avviso di filtro URL e accedere al sito Web".
Scarica Protezione (web).
Emulazione ed estrazione ti consente di emulare i file scaricati nella sandbox cloud di Check Point e di ripulire i documenti al volo, rimuovendo contenuti potenzialmente dannosi o convertendo il documento in PDF. Sono previste tre modalità operative:
- Prevenire — consente di ottenere una copia del documento ripulito prima del verdetto finale dell'emulazione, oppure attendere il completamento dell'emulazione e scaricare immediatamente il file originale;
- Individuare — effettua l'emulazione in background, senza impedire all'utente di ricevere il file originale, indipendentemente dal verdetto;
- sconto — è possibile scaricare qualsiasi file senza subire l'emulazione e la pulizia di componenti potenzialmente dannosi.
È anche possibile selezionare un'azione per i file che non sono supportati dagli strumenti di emulazione e pulizia di Check Point: è possibile consentire o negare il download di tutti i file non supportati.
La policy standard per la protezione download è impostata su Previeni, che consente di ottenere una copia del documento originale da cui è stato ripulito il contenuto potenzialmente dannoso, oltre a consentire il download di file che non sono supportati dagli strumenti di emulazione e pulizia.
Protezione delle credenziali
Il componente Protezione credenziali protegge le credenziali dell'utente e include 2 componenti: Zero Phishing e Protezione tramite password. Zero Phishing protegge gli utenti dall'accesso alle risorse di phishing e Password di protezione avvisa l'utente circa l'inammissibilità dell'utilizzo delle credenziali aziendali al di fuori del dominio protetto. È possibile impostare Zero Phishing su Previeni, Rileva o Disattiva. Quando è impostata l'azione Previeni, è possibile consentire agli utenti di ignorare l'avviso su una potenziale risorsa di phishing e ottenere l'accesso alla risorsa oppure disattivare questa opzione e bloccare l'accesso per sempre. Con un'azione Rileva, gli utenti hanno sempre la possibilità di ignorare l'avviso e accedere alla risorsa. Protezione password consente di selezionare domini protetti per i quali verrà verificata la conformità delle password e una delle tre azioni: Rileva e avvisa (notifica all'utente), Rileva o Disattiva.
La policy standard per la protezione delle credenziali consiste nell'impedire a qualsiasi risorsa di phishing di impedire agli utenti di accedere a un sito potenzialmente dannoso. È abilitata anche la protezione contro l'uso di password aziendali, ma senza i domini specificati questa funzionalità non funzionerà.
Protezione dei file
Protezione file è responsabile della protezione dei file archiviati sul computer dell'utente e include due componenti: Anti-Malware ed Emulazione delle minacce dei file. Anti-Malware è uno strumento che scansiona regolarmente tutti i file utente e di sistema utilizzando l'analisi delle firme. Nelle impostazioni di questo componente è possibile configurare le impostazioni per la scansione regolare o i tempi di scansione casuale, il periodo di aggiornamento della firma e la possibilità per gli utenti di annullare la scansione pianificata. Emulazione delle minacce ai file consente di emulare i file archiviati sul computer dell'utente nella sandbox cloud di Check Point, tuttavia, questa funzionalità di sicurezza funziona solo in modalità Rileva.
La policy standard per la protezione dei file include la protezione con Anti-Malware e il rilevamento di file dannosi con File Threat Emulation. La scansione regolare viene eseguita ogni mese e le firme sul computer dell'utente vengono aggiornate ogni 4 ore. Allo stesso tempo, gli utenti sono configurati per poter annullare una scansione pianificata, ma entro e non oltre 30 giorni dalla data dell'ultima scansione riuscita.
Protezione comportamentale
Anti-bot, protezione comportamentale e anti-ransomware, anti-exploit
Il gruppo di componenti di protezione Protezione comportamentale comprende tre componenti: Anti-Bot, Guardia comportamentale e Anti-Ransomware e Anti-Exploit. Antibot consente di monitorare e bloccare le connessioni C&C utilizzando il database Check Point ThreatCloud costantemente aggiornato. Protezione comportamentale e anti-ransomware monitora costantemente l'attività (file, processi, interazioni di rete) sul computer dell'utente e consente di prevenire attacchi ransomware nelle fasi iniziali. Inoltre, questo elemento di protezione consente di ripristinare i file che sono già stati crittografati dal malware. I file vengono ripristinati nelle directory originali oppure è possibile specificare un percorso specifico in cui verranno archiviati tutti i file recuperati. Anti-exploit consente di rilevare gli attacchi zero-day. Tutti i componenti di protezione comportamentale supportano tre modalità operative: Prevenzione, Rilevamento e Disattivazione.
La policy standard per la protezione comportamentale prevede la prevenzione per i componenti Anti-Bot e Behavioral Guard e Anti-Ransomware, con il ripristino dei file crittografati nelle loro directory originali. Il componente Anti-Exploit è disabilitato e non utilizzato.
Analisi e riparazione
Analisi automatizzata degli attacchi (forense), riparazione e risposta
Sono disponibili due componenti di sicurezza per l'analisi e l'investigazione degli incidenti di sicurezza: Analisi automatizzata degli attacchi (Forensics) e Remediation & Response. Analisi automatizzata degli attacchi (forense) consente di generare report sui risultati della repressione degli attacchi con una descrizione dettagliata, fino all'analisi del processo di esecuzione del malware sul computer dell'utente. È inoltre possibile utilizzare la funzionalità Threat Hunting, che permette di ricercare in modo proattivo anomalie e comportamenti potenzialmente dannosi utilizzando filtri predefiniti o creati. Riparazione e risposta consente di configurare le impostazioni per il ripristino e la quarantena dei file dopo un attacco: l'interazione dell'utente con i file in quarantena è regolamentata ed è anche possibile archiviare i file in quarantena in una directory specificata dall'amministratore.
La policy standard di analisi e riparazione include la protezione, che include azioni automatiche per il ripristino (fine dei processi, ripristino dei file, ecc.) e l'opzione per inviare i file in quarantena è attiva e gli utenti possono solo eliminare i file dalla quarantena.
Politica standard di prevenzione delle minacce: test
Punto di controllo CheckMe Endpoint
Il modo più rapido e semplice per verificare la sicurezza del computer di un utente rispetto ai tipi di attacchi più diffusi è condurre un test utilizzando la risorsa , che esegue una serie di attacchi tipici di varie categorie e consente di ottenere un rapporto sui risultati dei test. In questo caso è stata utilizzata l'opzione di test Endpoint, in cui un file eseguibile viene scaricato e avviato sul computer, quindi inizia il processo di verifica.
Nel processo di controllo della sicurezza di un computer funzionante, SandBlast Agent segnala attacchi identificati e riflessi sul computer dell'utente, ad esempio: il pannello Anti-Bot segnala il rilevamento di un'infezione, il pannello Anti-Malware ha rilevato ed eliminato il file dannoso CP_AM.exe e il pannello Threat Emulation ha installato che il file CP_ZD.exe è dannoso.
In base ai risultati dei test utilizzando CheckMe Endpoint, abbiamo il seguente risultato: su 6 categorie di attacco, la policy standard di Prevenzione delle minacce non è riuscita a far fronte a una sola categoria: Browser Exploit. Questo perché la policy standard di Prevenzione delle minacce non include il pannello Anti-Exploit. Vale la pena notare che senza SandBlast Agent installato, il computer dell'utente ha superato la scansione solo nella categoria Ransomware.
KnowBe4 RanSim
Per testare il funzionamento del blade Anti-Ransomware è possibile utilizzare una soluzione gratuita , che esegue una serie di test sul computer dell'utente: 18 scenari di infezione da ransomware e 1 scenario di infezione da cryptominer. Vale la pena notare che la presenza di molti blade nella policy standard (Threat Emulation, Anti-Malware, Behavioral Guard) con l'azione Prevent non consente il corretto funzionamento di questo test. Tuttavia, anche con un livello di sicurezza ridotto (Threat Emulation in modalità Off), il test del blade Anti-Ransomware mostra risultati elevati: 18 test su 19 sono stati superati con successo (1 non è riuscito ad avviarsi).
File e documenti dannosi
È indicativo verificare il funzionamento dei diversi pannelli della policy standard di Prevenzione delle minacce utilizzando file dannosi dei formati più diffusi scaricati sul computer dell'utente. Questo test ha coinvolto 66 file nei formati PDF, DOC, DOCX, EXE, XLS, XLSX, CAB, RTF. I risultati del test hanno mostrato che SandBlast Agent è stato in grado di bloccare 64 file dannosi su 66. I file infetti sono stati eliminati dopo il download o ripuliti dai contenuti dannosi utilizzando Threat Extraction e ricevuti dall'utente.
Raccomandazioni per migliorare la politica di prevenzione delle minacce
1. Filtraggio URL
La prima cosa che deve essere corretta nella policy standard per aumentare il livello di sicurezza del computer client è impostare il pannello Filtro URL su Previeni e specificare le categorie appropriate per il blocco. Nel nostro caso sono state selezionate tutte le categorie tranne Uso Generale, poiché comprendono la maggior parte delle risorse a cui è necessario limitare l'accesso agli utenti sul posto di lavoro. Inoltre, per tali siti, è consigliabile rimuovere la possibilità per gli utenti di saltare la finestra di avviso deselezionando il parametro "Consenti all'utente di ignorare l'avviso di filtro URL e accedere al sito Web".
2.Protezione download
La seconda opzione a cui vale la pena prestare attenzione è la possibilità per gli utenti di scaricare file che non sono supportati dall'emulazione Check Point. Poiché in questa sezione esamineremo i miglioramenti alla politica standard di Prevenzione delle minacce dal punto di vista della sicurezza, l'opzione migliore sarebbe bloccare il download di file non supportati.
3. Protezione dei file
È inoltre necessario prestare attenzione alle impostazioni per la protezione dei file, in particolare alle impostazioni per la scansione periodica e alla possibilità per l'utente di posticipare la scansione forzata. In questo caso, è necessario tenere conto dell'intervallo di tempo dell'utente e una buona opzione dal punto di vista della sicurezza e delle prestazioni è configurare una scansione forzata da eseguire ogni giorno, con l'orario selezionato in modo casuale (dalle 00:00 alle 8:00). XNUMX) e l'utente può ritardare la scansione per un massimo di una settimana.
4. Anti-exploit
Uno svantaggio significativo della policy standard di Prevenzione delle minacce è che il pannello Anti-Exploit è disabilitato. Si consiglia di abilitare questo blade con l'azione Previeni per proteggere la workstation dagli attacchi tramite exploit. Con questa correzione, il nuovo test CheckMe viene completato con successo senza rilevare vulnerabilità sul computer di produzione dell'utente.
conclusione
Riassumiamo: in questo articolo abbiamo conosciuto i componenti della politica standard di Prevenzione delle minacce, testato questa politica utilizzando vari metodi e strumenti e descritto anche raccomandazioni per migliorare le impostazioni della politica standard per aumentare il livello di sicurezza della macchina dell'utente . Nel prossimo articolo della serie, passeremo allo studio della politica sulla protezione dei dati e esamineremo le impostazioni della politica globale.
. Per non perdere le prossime pubblicazioni sull'argomento SandBlast Agent Management Platform, segui gli aggiornamenti sui nostri social network (, , , , ).
Fonte: habr.com