3. チェック・ポイント SandBlast エージェント管理プラットフォーム。 脅威防御ポリシー

新しいクラウドベースのパーソナル コンピュータ保護管理コンソールである Check Point SandBlast Agent Management Platform に関するシリーズの XNUMX 番目の記事へようこそ。 思い出させてください 最初の記事 私たちは Infinity Portal を知り、クラウドベースのエージェント管理サービスである Endpoint Management Service を作成しました。 で 第二条 Web 管理コンソールのインターフェイスを検討し、標準ポリシーを持つエージェントをユーザー マシンにインストールしました。 今日は、標準的な脅威防御セキュリティ ポリシーの内容を確認し、一般的な攻撃に対抗する際のその有効性をテストします。

標準の脅威防止ポリシー: 説明

上の図は、標準の脅威対策ポリシー ルールを示しています。このルールは、デフォルトで組織全体 (インストールされているすべてのエージェント) に適用され、Web とファイルの保護、動作の保護、および分析と修復という XNUMX つの保護コンポーネントの論理グループが含まれています。 それぞれのグループを詳しく見てみましょう。

Web とファイルの保護

URLフィルタリング
URL フィルタリングを使用すると、事前定義された 5 つのサイト カテゴリを使用して、Web リソースへのユーザー アクセスを制御できます。 5 つのカテゴリのそれぞれには、より具体的なサブカテゴリがいくつか含まれており、たとえば、同じ「生産性の損失」カテゴリに含まれる「ゲーム」サブカテゴリへのアクセスをブロックし、「インスタント メッセージング」サブカテゴリへのアクセスを許可するなどの設定が可能です。 特定のサブカテゴリに関連付けられた URL は、Check Point によって決定されます。 特定の URL が属するカテゴリを確認したり、特別なリソースのカテゴリ オーバーライドをリクエストしたりできます。 URLの分類.
アクションは、防止、検出、またはオフに設定できます。 また、検出アクションを選択すると、ユーザーが URL フィルタリングの警告をスキップして対象のリソースに移動できるようにする設定が自動的に追加されます。 Prevent を使用すると、この設定を削除でき、ユーザーは禁止されたサイトにアクセスできなくなります。 禁止されたリソースを制御するもう XNUMX つの便利な方法は、ブロック リストを設定することです。ブロック リストでは、ドメイン、IP アドレスを指定するか、ブロックするドメインのリストを含む .csv ファイルをアップロードできます。

URL フィルタリングの標準ポリシーでは、アクションが検出に設定され、イベントが検出されるカテゴリの XNUMX つであるセキュリティが選択されています。 このカテゴリには、さまざまな匿名化ツール、重大/高/中リスク レベルのサイト、フィッシング サイト、スパムなどが含まれます。 ただし、「ユーザーが URL フィルタリング アラートを無視して Web サイトにアクセスできるようにする」設定のおかげで、ユーザーは引き続きリソースにアクセスできます。

ダウンロード (Web) 保護
エミュレーションと抽出を使用すると、ダウンロードしたファイルを Check Point クラウド サンドボックスでエミュレートし、その場でドキュメントをクリーンアップして、悪意のある可能性のあるコンテンツを削除したり、ドキュメントを PDF に変換したりできます。 XNUMX つの動作モードがあります。

• 防ぐ — 最終的なエミュレーションの判定の前に、クリーンなドキュメントのコピーを取得することも、エミュレーションが完了するのを待って元のファイルをすぐにダウンロードすることもできます。

• 検出 — 判定に関係なく、ユーザーが元のファイルを受信するのを妨げることなく、バックグラウンドでエミュレーションを実行します。

• オフ — 潜在的に悪意のあるコンポーネントのエミュレーションやクリーニングを行わずに、あらゆるファイルをダウンロードできます。

Check Point エミュレーションおよびクリーニング ツールでサポートされていないファイルに対するアクションを選択することもできます。サポートされていないすべてのファイルのダウンロードを許可または拒否できます。

ダウンロード保護の標準ポリシーは「防止」に設定されており、潜在的に悪意のあるコンテンツが除去された元のドキュメントのコピーを取得できるほか、エミュレーション ツールやクリーニング ツールでサポートされていないファイルのダウンロードも許可されます。

資格情報の保護
資格情報保護コンポーネントはユーザーの資格情報を保護し、ゼロ フィッシングとパスワード保護の 2 つのコンポーネントを含みます。 フィッシングゼロ ユーザーをフィッシング リソースへのアクセスから保護します。 パスワード保護 保護されたドメイン外での企業資格情報の使用が許可されていないことをユーザーに通知します。 ゼロ フィッシングは、防止、検出、またはオフに設定できます。 防止アクションが設定されている場合、ユーザーが潜在的なフィッシング リソースに関する警告を無視してリソースにアクセスできるようにしたり、このオプションを無効にしてアクセスを永久にブロックしたりすることができます。 検出アクションを使用すると、ユーザーには警告を無視してリソースにアクセスするオプションが常にあります。 パスワード保護では、パスワードが準拠しているかどうかをチェックする保護されたドメインと、検出と警告 (ユーザーに通知)、検出、またはオフの XNUMX つのアクションのいずれかを選択できます。

資格情報保護の標準ポリシーは、フィッシング リソースがユーザーの潜在的に悪意のあるサイトへのアクセスを妨げないようにすることです。 企業パスワードの使用に対する保護も有効ですが、指定されたドメインがなければこの機能は機能しません。

ファイル保護
ファイル保護は、ユーザーのマシンに保存されているファイルを保護する役割を果たし、マルウェア対策とファイル脅威エミュレーションの XNUMX つのコンポーネントが含まれています。 アンチマルウェア は、シグネチャ分析を使用してすべてのユーザー ファイルとシステム ファイルを定期的にスキャンするツールです。 このコンポーネントの設定では、定期スキャンまたはランダム スキャンの時間、署名の更新期間、およびユーザーがスケジュールされたスキャンをキャンセルできる機能を設定できます。 ファイル脅威エミュレーション ユーザーのマシンに保存されているファイルを Check Point クラウド サンドボックスでエミュレートできますが、このセキュリティ機能は検出モードでのみ機能します。

ファイル保護の標準ポリシーには、マルウェア対策による保護とファイル脅威エミュレーションによる悪意のあるファイルの検出が含まれます。 定期的なスキャンは毎月実行され、ユーザー マシン上の署名は 4 時間ごとに更新されます。 同時に、ユーザーは、最後に成功したスキャンの日から 30 日以内であれば、スケジュールされたスキャンをキャンセルできるように構成されています。

行動保護

ボット対策、行動ガードおよびランサムウェア対策、エクスプロイト対策
保護コンポーネントの Behavioral Protection グループには、Anti-Bot、Behavioral Guard & Anti-Ransomware、Anti-Exploit の XNUMX つのコンポーネントが含まれています。 アンチボット 常に更新される Check Point ThreatCloud データベースを使用して、C&C 接続を監視およびブロックできます。 行動ガードとランサムウェア対策 ユーザー マシン上のアクティビティ (ファイル、プロセス、ネットワーク インタラクション) を常に監視し、ランサムウェア攻撃を初期段階で防ぐことができます。 さらに、この保護要素を使用すると、マルウェアによってすでに暗号化されているファイルを復元できます。 ファイルは元のディレクトリに復元されます。または、復元されたすべてのファイルが保存される特定のパスを指定することもできます。 アンチエクスプロイト ゼロデイ攻撃を検出できます。 すべての行動保護コンポーネントは、防止、検出、オフの XNUMX つの動作モードをサポートします。

Behavioral Protection の標準ポリシーは、Anti-Bot、Behavioral Guard & Anti-Ransomware コンポーネントに防止機能を提供し、暗号化されたファイルを元のディレクトリに復元します。 エクスプロイト対策コンポーネントは無効になっており、使用されません。

分析と修復

自動化された攻撃分析 (フォレンジック)、修復および対応
セキュリティ インシデントの分析と調査には、自動攻撃分析 (フォレンジック) と修復と対応の XNUMX つのセキュリティ コンポーネントを使用できます。 自動攻撃分析 (フォレンジック) ユーザーのマシン上でマルウェアを実行するプロセスの分析に至るまで、詳細な説明を含む攻撃を撃退した結果に関するレポートを生成できます。 また、脅威ハンティング機能を使用することもできます。これにより、事前定義または作成されたフィルターを使用して、異常や潜在的に悪意のある動作を積極的に検索できます。 修復と対応 攻撃後のファイルの回復と隔離の設定を構成できます。隔離ファイルに対するユーザーの操作は規制されており、管理者が指定したディレクトリに隔離ファイルを保存することもできます。

標準の分析と修復ポリシーには、回復のための自動アクション (プロセスの終了、ファイルの復元など) を含む保護が含まれており、ファイルを隔離に送信するオプションがアクティブになっており、ユーザーは隔離からのファイルの削除のみが可能です。

標準の脅威防御ポリシー: テスト

チェックポイント CheckMe エンドポイント

最も一般的なタイプの攻撃に対するユーザーのマシンのセキュリティをチェックする最も速くて簡単な方法は、リソースを使用してテストを実施することです。 チェックポイント チェックミー、さまざまなカテゴリの典型的な攻撃を多数実行し、テストの結果に関するレポートを取得できます。 この場合、エンドポイント テスト オプションが使用されました。このオプションでは、実行可能ファイルがダウンロードされてコンピュータに起動され、検証プロセスが開始されます。

動作しているコンピュータのセキュリティをチェックするプロセスで、SandBlast エージェントは、ユーザーのコンピュータに対する特定および反映された攻撃について通知します。たとえば、アンチボット ブレードは感染の検出を報告し、アンチマルウェア ブレードは悪意のあるファイル CP_AM.exe が存在し、脅威エミュレーション ブレードによって CP_ZD.exe ファイルが悪意のあるファイルであることがインストールされました。

CheckMe Endpoint を使用したテストの結果に基づくと、次の結果が得られました。6 つの攻撃カテゴリのうち、標準の脅威対策ポリシーは XNUMX つのカテゴリ (ブラウザ エクスプロイト) のみに対処できませんでした。 これは、標準の脅威対策ポリシーにエクスプロイト対策ブレードが含まれていないためです。 SandBlast Agent がインストールされていない場合、ユーザーのコンピュータはランサムウェア カテゴリでのみスキャンに合格したことは注目に値します。

KnowBe4 RanSim

ランサムウェア対策ブレードの動作をテストするには、無料のソリューションを使用できます。 KnowBe4 RanSim、ユーザーのマシン上で一連のテスト (18 件のランサムウェア感染シナリオと 1 件のクリプトマイナー感染シナリオ) を実行します。 Prevent アクションを備えた標準ポリシー (脅威エミュレーション、マルウェア対策、動作ガード) に多くのブレードが存在すると、このテストを正しく実行できないことに注意してください。 ただし、セキュリティ レベルを下げた (脅威エミュレーションがオフ モード) 場合でも、ランサムウェア対策ブレード テストは高い結果を示します。18 テスト中 19 が正常に合格しました (1 つは開始に失敗しました)。

悪意のあるファイルとドキュメント

これは、ユーザーのマシンにダウンロードされた一般的な形式の悪意のあるファイルを使用して、標準の脅威対策ポリシーのさまざまなブレードの動作をチェックすることを示しています。 このテストには、PDF、DOC、DOCX、EXE、XLS、XLSX、CAB、RTF 形式の 66 個のファイルが含まれました。 テスト結果では、SandBlast Agent が 64 個の悪意のあるファイルのうち 66 個をブロックできたことが示されました。感染したファイルはダウンロード後に削除されるか、脅威抽出を使用して悪意のあるコンテンツが除去され、ユーザーが受け取りました。

脅威防御ポリシーを改善するための推奨事項

1. URLフィルタリング

クライアント マシンのセキュリティ レベルを高めるために標準ポリシーを修正する必要がある最初のことは、URL フィルタリング ブレードを [防止] に切り替え、ブロックする適切なカテゴリを指定することです。 私たちの場合、職場のユーザーのアクセスを制限する必要があるリソースのほとんどがこれらのカテゴリに含まれているため、一般使用を除くすべてのカテゴリが選択されました。 また、そのようなサイトの場合は、「ユーザーが URL フィルタリング アラートを無視して Web サイトにアクセスできるようにする」パラメータのチェックを外して、ユーザーが警告ウィンドウをスキップできる機能を削除することをお勧めします。

2.ダウンロード保護

注目に値する XNUMX 番目のオプションは、Check Point エミュレーションでサポートされていないファイルをユーザーがダウンロードできることです。 このセクションでは、セキュリティの観点から標準の脅威対策ポリシーの改善を検討しているため、最善の選択肢は、サポートされていないファイルのダウンロードをブロックすることです。

3. ファイル保護

ファイルを保護するための設定、特に定期的なスキャンの設定と、ユーザーが強制スキャンを延期する機能にも注意を払う必要があります。 この場合、ユーザーの時間枠を考慮する必要があり、セキュリティとパフォーマンスの観点から良いオプションは、ランダムに選択された時刻 (00:00 から 8:00:XNUMX まで) で強制スキャンを毎日実行するように構成することです。 XNUMX)、ユーザーは最大 XNUMX 週間スキャンを遅らせることができます。

4. エクスプロイト対策

標準の脅威対策ポリシーの重大な欠点は、エクスプロイト対策ブレードが無効になっていることです。 エクスプロイトを使用した攻撃からワークステーションを保護するために、このブレードを防止アクションで有効にすることをお勧めします。 この修正により、CheckMe の再テストは、ユーザーの実稼働マシン上の脆弱性を検出することなく正常に完了します。

まとめ

要約しましょう: この記事では、標準の脅威対策ポリシーのコンポーネントについて説明し、さまざまな方法とツールを使用してこのポリシーをテストし、ユーザー マシンのセキュリティ レベルを高めるために標準ポリシーの設定を改善するための推奨事項についても説明しました。 。 シリーズの次の記事では、データ保護ポリシーの学習に進み、グローバル ポリシー設定について見ていきます。

TS ソリューションの Check Point に関する豊富な資料。 SandBlast エージェント管理プラットフォームのトピックに関する次の出版物を見逃さないように、ソーシャル ネットワークの更新情報をフォローしてください (Telegram, Facebook, VK, TSソリューションブログ, Yandex.Den).

出所： habr.com