Sugeng rawuh ing artikel katelu ing seri babagan konsol manajemen perlindungan komputer pribadi berbasis awan anyar - Check Point SandBlast Agent Management Platform. Ayo kula ngelingake sampeyan ing kita kenal karo Infinity Portal lan nggawe layanan manajemen agen berbasis awan, Layanan Manajemen Endpoint. Ing Kita sinau antarmuka konsol manajemen web lan nginstal agen kanthi kabijakan standar ing mesin pangguna. Dina iki kita bakal ndeleng isi kabijakan keamanan Pencegahan Ancaman standar lan nyoba efektifitas kanggo nglawan serangan populer.
Kebijakan Nyegah Ancaman Standar: Katrangan
Tokoh ing ndhuwur nuduhake aturan kabijakan Nyegah Ancaman standar, sing minangka standar ditrapake kanggo kabeh organisasi (kabeh agen sing diinstal) lan kalebu telung klompok komponen proteksi logis: Perlindhungan Web & File, Perlindhungan Perilaku lan Analisis & Remediasi. Ayo padha nliti saben kelompok.
Pangreksan Web & File
Nyaring URL
Nyaring URL ngidini sampeyan ngontrol akses pangguna menyang sumber web, nggunakake 5 kategori situs sing wis ditemtokake. Saben 5 kategori ngemot sawetara subkategori sing luwih spesifik, sing ngidini sampeyan ngatur, contone, mblokir akses menyang subkategori Game lan ngidini akses menyang subkategori Pesen cepet, sing kalebu ing kategori Mundhut Produktivitas sing padha. URL sing digandhengake karo subkategori tartamtu ditemtokake dening Check Point. Sampeyan bisa mriksa kategori sing nduweni URL tartamtu utawa njaluk timpa kategori ing sumber khusus .
Tumindak bisa disetel kanggo Nyegah, Ndeteksi utawa Off. Uga, nalika milih tumindak Deteksi, setelan ditambahake kanthi otomatis sing ngidini pangguna ngliwati bebaya Filtering URL lan pindhah menyang sumber kapentingan. Yen Nyegah digunakake, setelan iki bisa dibusak lan pangguna ora bisa ngakses situs sing dilarang. Cara liya sing trep kanggo ngontrol sumber daya sing dilarang yaiku nyiyapake Dhaptar Blok, ing ngendi sampeyan bisa nemtokake domain, alamat IP, utawa ngunggah file .csv kanthi dhaptar domain sing bakal diblokir.
Ing kabijakan standar kanggo Filter URL, tumindak disetel menyang Deteksi lan siji kategori dipilih - Keamanan, sing acara bakal dideteksi. Kategori iki kalebu macem-macem anonim, situs kanthi tingkat risiko Kritis / Tinggi / Sedheng, situs phishing, spam lan liya-liyane. Nanging, pangguna isih bisa ngakses sumber kasebut amarga setelan "Allow pangguna ngilangi tandha URL Filtering lan ngakses situs web".
Ngundhuh (web) Proteksi
Emulasi & Ekstraksi ngidini sampeyan niru file sing diundhuh ing kothak wedhi maya Check Point lan ngresiki dokumen kanthi cepet, mbusak konten sing bisa mbebayani, utawa ngowahi dokumen kasebut dadi PDF. Ana telung mode operasi:
- Nyegah - ngidini sampeyan entuk salinan dokumen sing wis diresiki sadurunge putusan emulasi pungkasan, utawa ngenteni emulasi rampung lan langsung download file asli;
- Ndeteksi - nindakake emulasi ing latar mburi, tanpa nyegah pangguna kanggo nampa file asli, preduli saka putusan;
- Off - file apa wae sing diidini diundhuh tanpa ngalami emulasi lan ngresiki komponen sing duweni potensi ala.
Sampeyan uga bisa milih tumindak kanggo file sing ora didhukung dening emulasi Check Point lan alat reresik - sampeyan bisa ngidini utawa nolak download kabeh file sing ora didhukung.
Kabijakan standar kanggo Perlindhungan Ngundhuh disetel kanggo Nyegah, sing ngidini sampeyan entuk salinan dokumen asli sing wis diresiki saka konten sing duweni potensi angkoro, uga ngidini download file sing ora didhukung dening emulasi lan alat reresik.
Proteksi Kredensial
Komponen Proteksi Kredensial nglindhungi kredensial pangguna lan kalebu 2 komponen: Zero Phishing lan Proteksi Sandi. Zero Phising nglindhungi pangguna saka ngakses sumber daya phishing, lan Protection sandi ngabari pangguna babagan ora bisa ditampa nggunakake kredensial perusahaan ing njaba domain sing dilindhungi. Zero Phishing bisa disetel kanggo Nyegah, Ndeteksi utawa Off. Nalika tumindak Nyegah disetel, bisa ngidini pangguna kanggo nglirwakake bebaya babagan sumber daya phishing potensial lan entuk akses menyang sumber, utawa kanggo mateni pilihan iki lan mblokir akses ing salawas-lawase. Kanthi tumindak Deteksi, pangguna tansah duwe pilihan kanggo nglirwakake bebaya lan ngakses sumber daya. Pangreksan Sandi ngidini sampeyan milih domain sing dilindhungi sing sandhi bakal dicenthang kepatuhan, lan salah siji saka telung tumindak: Ndeteksi & Tandha (ngabari pangguna), Ndeteksi utawa Mati.
Kabijakan standar kanggo Perlindhungan Kredensial yaiku kanggo nyegah sumber daya phishing kanggo nyegah pangguna ngakses situs sing bisa mbebayani. Perlindhungan marang panggunaan sandhi perusahaan uga diaktifake, nanging tanpa domain sing ditemtokake fitur iki ora bakal bisa digunakake.
Proteksi File
File Protection tanggung jawab kanggo nglindhungi file sing disimpen ing mesin pangguna lan kalebu rong komponen: Anti-Malware lan File Threat Emulation. Anti-Malware minangka alat sing mindai kabeh file pangguna lan sistem kanthi rutin nggunakake analisis teken. Ing setelan komponen iki, sampeyan bisa ngatur setelan kanggo mindhai biasa utawa kaping mindhai acak, wektu nganyari teken, lan kemampuan kanggo pangguna kanggo mbatalake mindhai dijadwal. Emulasi Ancaman File ngidini sampeyan niru file sing disimpen ing mesin pangguna ing kothak wedhi maya Check Point, nanging fitur keamanan iki mung bisa digunakake ing mode Deteksi.
Kabijakan gawan kanggo Perlindhungan File kalebu proteksi nganggo Anti-Malware lan deteksi file jahat nganggo Emulasi Ancaman File. Pemindaian reguler ditindakake saben wulan, lan tandha tangan ing mesin pangguna dianyari saben 4 jam. Ing wektu sing padha, pangguna dikonfigurasi supaya bisa mbatalake pemindaian sing dijadwalake, nanging ora luwih saka 30 dina saka tanggal pindai sukses pungkasan.
Proteksi prilaku
Anti-Bot, Pengawal Perilaku & Anti-Ransomware, Anti-Eksploitasi
Klompok Proteksi Perilaku komponen proteksi kalebu telung komponen: Anti-Bot, Behavioral Guard & Anti-Ransomware lan Anti-Eksploitasi. Anti-Botol ngidini sampeyan ngawasi lan mblokir sambungan C&C nggunakake basis data Check Point ThreatCloud sing terus dianyari. Pengawal Perilaku & Anti-Ransomware terus-terusan ngawasi kegiatan (file, proses, interaksi jaringan) ing mesin pangguna lan ngidini sampeyan nyegah serangan ransomware ing tahap wiwitan. Kajaba iku, unsur proteksi iki ngidini sampeyan mulihake file sing wis dienkripsi dening malware. File dibalèkaké menyang direktori asli, utawa sampeyan bisa nemtokake path tartamtu ngendi kabeh file mbalekake bakal disimpen. Anti-Eksploitasi ngidini sampeyan ndeteksi serangan nul dina. Kabeh komponen Proteksi Perilaku ndhukung telung mode operasi: Nyegah, Ndeteksi lan Off.
Kabijakan standar kanggo Perlindhungan Perilaku nyedhiyakake komponen Nyegah kanggo Anti-Bot lan Pengawal Perilaku & Anti-Ransomware, kanthi mulihake file sing dienkripsi ing direktori asline. Komponen Anti-Eksploitasi dipateni lan ora digunakake.
Analisis & Remediasi
Analisis Serangan Otomatis (Forensik), Remediasi & Tanggapan
Loro komponen keamanan kasedhiya kanggo analisis lan investigasi kedadeyan keamanan: Analisis Serangan Otomatis (Forensik) lan Remediasi & Respon. Analisis Serangan Otomatis (Forensik) ngidini sampeyan ngasilake laporan babagan asil serangan ngusir kanthi katrangan sing rinci - nganti nganalisa proses ngeksekusi malware ing mesin pangguna. Sampeyan uga bisa nggunakake fitur Ancaman Hunting, kang ndadekake iku bisa kanggo proaktif nelusuri anomali lan prilaku duweni potensi angkoro nggunakake saringan sing wis ditemtokake utawa digawe. Remediasi & Tanggapan ngijini sampeyan kanggo ngatur setelan kanggo Recovery lan quarantine file sawise serangan: interaksi pangguna karo file quarantine diatur, lan iku uga bisa kanggo nyimpen file quarantine ing direktori sing ditemtokake dening administrator.
Kabijakan Analisis & Remediasi standar kalebu proteksi, sing kalebu tumindak otomatis kanggo pemulihan (ngakhiri proses, mulihake file, lsp.), lan pilihan kanggo ngirim file menyang karantina aktif, lan pangguna mung bisa mbusak file saka karantina.
Kebijakan Nyegah Ancaman Standar: Pengujian
Check Point CheckMe Endpoint
Cara paling cepet lan paling gampang kanggo mriksa keamanan mesin pangguna marang jinis serangan sing paling populer yaiku nganakake tes nggunakake sumber daya. , sing nindakake sawetara serangan khas saka macem-macem kategori lan ngidini sampeyan entuk laporan babagan asil tes. Ing kasus iki, opsi testing Endpoint digunakake, ing ngendi file eksekusi diundhuh lan diluncurake menyang komputer, banjur proses verifikasi diwiwiti.
Ing proses mriksa keamanan komputer sing digunakake, SandBlast Agent menehi sinyal babagan serangan sing diidentifikasi lan dibayangke ing komputer pangguna, contone: bilah Anti-Bot nglaporake deteksi infeksi, bilah Anti-Malware wis ndeteksi lan mbusak file angkoro CP_AM.exe, lan lading Emulation Ancaman wis diinstal sing file CP_ZD.exe angkoro.
Adhedhasar asil tes nggunakake CheckMe Endpoint, kita duwe asil ing ngisor iki: saka 6 kategori serangan, kabijakan Pencegahan Ancaman standar gagal ngatasi mung siji kategori - Eksploitasi Browser. Iki amarga kabijakan Nyegah Ancaman standar ora kalebu bilah Anti-Eksploitasi. Wigati dicathet yen tanpa SandBlast Agent diinstal, komputer pangguna liwati scan mung ing kategori Ransomware.
KnowBe4 RanSim
Kanggo nguji operasi lading Anti-Ransomware, sampeyan bisa nggunakake solusi gratis , sing nganakake seri tes ing mesin pangguna: 18 skenario infeksi ransomware lan 1 skenario infeksi cryptominer. Wigati dicathet yen ana akeh lading ing kabijakan standar (Threat Emulation, Anti-Malware, Behavioral Guard) kanthi tumindak Nyegah ora ngidini tes iki bisa mlaku kanthi bener. Nanging, sanajan tingkat keamanan sing suda (Emulation Ancaman ing mode Mati), tes blade Anti-Ransomware nuduhake asil sing dhuwur: 18 saka 19 tes sukses (1 gagal diwiwiti).
File lan dokumen ala
Iki minangka indikasi kanggo mriksa operasi blades sing beda-beda saka kabijakan Nyegah Ancaman standar nggunakake file angkoro saka format populer sing diundhuh menyang mesin pangguna. Tes iki melu 66 file ing format PDF, DOC, DOCX, EXE, XLS, XLSX, CAB, RTF. Asil tes nuduhake yen SandBlast Agent bisa mblokir 64 file jahat saka 66. File sing kena infeksi dibusak sawise diundhuh, utawa dibusak saka konten ala nggunakake Extraction Ancaman lan ditampa dening pangguna.
Rekomendasi kanggo nambah kabijakan Nyegah Ancaman
1. Filtering URL
Bab pisanan sing kudu didandani ing kabijakan standar kanggo nambah tingkat keamanan mesin klien yaiku ngalih bilah Filter URL kanggo Nyegah lan nemtokake kategori sing cocog kanggo pamblokiran. Ing kasus kita, kabeh kategori dipilih kajaba Panggunaan Umum, amarga kalebu akeh sumber daya sing perlu kanggo mbatesi akses menyang pangguna ing papan kerja. Uga, kanggo situs kasebut, disaranake mbusak kemampuan pangguna kanggo ngliwati jendhela bebaya kanthi mbusak centhang "Allow pangguna kanggo ngilangi tandha URL Filtering lan ngakses situs web" parameter.
2. Ngundhuh Proteksi
Pilihan kapindho sing kudu digatekake yaiku kemampuan pangguna kanggo ndownload file sing ora didhukung dening emulasi Check Point. Wiwit ing bagean iki kita ndeleng perbaikan kanggo kabijakan Nyegah Ancaman standar saka perspektif keamanan, pilihan sing paling apik yaiku mblokir undhuhan file sing ora didhukung.
3. File Proteksi
Sampeyan uga kudu menehi perhatian marang setelan kanggo nglindhungi file - utamane, setelan kanggo mindhai berkala lan kemampuan pangguna kanggo nundha pemindaian paksa. Ing kasus iki, pigura wektu pangguna kudu digatekake, lan pilihan sing apik saka sudut pandang keamanan lan kinerja yaiku ngonfigurasi pemindaian paksa kanggo mbukak saben dina, kanthi wektu dipilih kanthi acak (saka 00:00 nganti 8: 00), lan pangguna bisa nundha pindai maksimal seminggu.
4. Anti-Eksploitasi
A drawback pinunjul saka kawicaksanan Nyegah Ancaman standar sing agul-agul Anti-Eksploitasi dipatèni. Disaranake ngaktifake lading iki kanthi tumindak Nyegah kanggo nglindhungi workstation saka serangan nggunakake eksploitasi. Kanthi fix iki, tes maneh CheckMe rampung kanthi sukses tanpa ndeteksi kerentanan ing mesin produksi pangguna.
kesimpulan
Ayo diringkes: ing artikel iki kita kenal karo komponen saka kabijakan Nyegah Ancaman standar, nguji kabijakan iki kanthi nggunakake macem-macem cara lan alat, lan uga nerangake rekomendasi kanggo nambah setelan kabijakan standar kanggo nambah tingkat keamanan mesin pangguna. . Ing artikel sabanjure ing seri kasebut, kita bakal sinau babagan kabijakan Perlindungan Data lan ndeleng Setelan Kebijakan Global.
. Supaya ora kantun publikasi sabanjure babagan topik SandBlast Agent Management Platform, tindakake nganyari ing jaringan sosial kita (, , , , ).
Source: www.habr.com