Сериядагы үчүнчү макалага кош келиңиз, булутка негизделген жеке компьютерди коргоонун жаңы консолу - Check Point SandBlast Agent Management Platform. Эске сала кетейин, ичинде биз Infinity Portal менен тааныштык жана булутка негизделген агентти башкаруу кызматын, Endpoint Management Service түздүк. In Биз веб-башкаруу консолунун интерфейсин изилдеп, колдонуучу машинасына стандарттык саясат менен агентти орноттук. Бүгүн биз коркунучтарды алдын алуу коопсуздук саясатынын мазмунун карап чыгабыз жана популярдуу чабуулдарга каршы турууда анын натыйжалуулугун текшеребиз.
Коркунучтун алдын алуу боюнча стандарттык саясат: Сүрөттөмө
Жогорудагы сүрөттө Коркунучтун алдын алуу саясатынын стандарттык эрежеси көрсөтүлгөн, ал демейки боюнча бүт уюмга (бардык орнотулган агенттерге) тиешелүү жана коргоо компоненттеринин үч логикалык тобун камтыйт: Веб жана файлдарды коргоо, жүрүм-турумду коргоо жана талдоо жана оңдоо. Келгиле, топтордун ар бирин кененирээк карап чыгалы.
Веб жана файлдарды коргоо
URL чыпкалоо
URL чыпкалоо сайттардын алдын ала аныкталган 5 категориясын колдонуу менен колдонуучунун веб-ресурстарына кирүү мүмкүнчүлүгүн көзөмөлдөөгө мүмкүндүк берет. 5 категориянын ар бири бир нече конкреттүү субкатегорияларды камтыйт, алар конфигурациялоого мүмкүндүк берет, мисалы, Оюндар субкатегориясына кирүүгө бөгөт коюу жана ошол эле Өндүрүмдүүлүктү жоготуу категориясына кирген Ыкчам кабарлашуу субкатегориясына кирүүгө уруксат берүү. Белгилүү субкатегориялар менен байланышкан URL'дер Check Point тарабынан аныкталат. Сиз белгилүү бир URL таандык болгон категорияны текшере аласыз же атайын булакта категорияны жокко чыгарууну сурансаңыз болот .
Ишти Алдын алуу, аныктоо же Өчүрүүгө коюуга болот. Ошондой эле, "Аныктоо" аракетин тандоодо, колдонуучуларга URL чыпкалоо эскертүүсүн өткөрүп жиберип, кызыккан булакка өтүүгө мүмкүндүк берген жөндөө автоматтык түрдө кошулат. Prevent колдонулса, бул жөндөө алынып салынышы мүмкүн жана колдонуучу тыюу салынган сайтка кире албайт. Тыюу салынган ресурстарды көзөмөлдөөнүн дагы бир ыңгайлуу жолу бул Блок тизмени түзүү, анда домендерди, IP даректерди көрсөтүү же бөгөттөө үчүн домендердин тизмеси менен .csv файлын жүктөй аласыз.
URL чыпкалоо үчүн стандарттык саясатта аракет "Аныктоо" деп коюлуп, бир категория тандалган - окуялар аныктала турган Коопсуздук. Бул категорияга ар кандай анонимизаторлор, Критикалык/Жогорку/Орто тобокелдик деңгээли бар сайттар, фишинг сайттары, спам жана башка көптөгөн нерселер кирет. Бирок, колдонуучулар дагы эле "Колдонуучуга URL чыпкалоо эскертүүсүн четке кагууга жана веб-сайтка кирүүгө уруксат берүү" жөндөөсүнөн улам бул ресурска кире алышат.
Жүктөп алуу (веб) коргоо
Эмуляция жана экстракция сизге жүктөлүп алынган файлдарды Check Point булут кум чөйрөсүндө эмуляциялоого жана документтерди тез арада тазалоого, потенциалдуу зыяндуу мазмунду жок кылууга же документти PDF форматына айландырууга мүмкүндүк берет. Үч иштөө режими бар:
- алдын алуу — эмуляциянын акыркы өкүмү чыкканга чейин тазаланган документтин көчүрмөсүн алууга же эмуляциянын бүтүшүн күтүүгө жана баштапкы файлды дароо жүктөп алууга мүмкүндүк берет;
- ачуу — соттун өкүмүнө карабастан колдонуучуга файлдын түпнускасын алуусуна тоскоолдук кылбастан, фондо эмуляцияны жүргүзөт;
- Off — ар кандай файлдарды эмуляциясыз жана потенциалдуу зыяндуу компоненттерден тазалабастан жүктөөгө уруксат берилет.
Ошондой эле Check Point эмуляциясы жана тазалоо куралдары тарабынан колдоого алынбаган файлдар үчүн аракетти тандоого болот - сиз бардык колдоого алынбаган файлдарды жүктөөгө уруксат берип же баш тарта аласыз.
Жүктөп алуудан коргоонун стандарттык саясаты Алдын алуу деп коюлган, ал потенциалдуу зыяндуу мазмундан тазаланган түпнуска документтин көчүрмөсүн алууга, ошондой эле эмуляция жана тазалоо куралдары тарабынан колдоого алынбаган файлдарды жүктөп алууга мүмкүндүк берет.
Каттоо грамотасын коргоо
Credential Protection компоненти колдонуучунун эсептик дайындарын коргойт жана 2 компонентти камтыйт: Нөл фишинг жана Сырсөздү коргоо. Нөл фишинг колдонуучуларды фишинг ресурстарына кирүүдөн коргойт жана Сырсөз коргоо корголгон доменден тышкары корпоративдик эсептик дайындарды колдонууга жол берилбестиги жөнүндө колдонуучуга кабарлайт. Нөл фишингди алдын алуу, аныктоо же өчүрүү деп коюуга болот. Алдын алуу аракети коюлганда, колдонуучуларга потенциалдуу фишинг ресурсу жөнүндө эскертүүгө көңүл бурбай, ресурска жетүү мүмкүнчүлүгүн алууга же бул опцияны өчүрүп, кирүү мүмкүнчүлүгүн биротоло бөгөттөп коюуга мүмкүндүк берет. Detect аракети менен колдонуучулар дайыма эскертүүгө көңүл бурбай, ресурска кирүү мүмкүнчүлүгүнө ээ. Сырсөздү коргоо сырсөздөрдүн шайкештиги текшериле турган корголгон домендерди тандоого мүмкүндүк берет жана үч аракеттин бири: Detect & Alert (колдонуучуга кабарлоо), Detect же Off.
Эсептик дайындарды коргоонун стандарттуу саясаты фишинг ресурстарынын колдонуучулардын потенциалдуу зыяндуу сайтка кирүүсүнө жол бербөө болуп саналат. Корпоративдик сырсөздөрдү колдонуудан коргоо да иштетилген, бирок көрсөтүлгөн домендерсиз бул функция иштебейт.
Файлдарды коргоо
Files Protection колдонуучунун машинасында сакталган файлдарды коргоо үчүн жооп берет жана эки компонентти камтыйт: Анти-Кесептүү программа жана Files Threat Emululation. Анти-Кесепеттүү кол талдоо аркылуу бардык колдонуучу жана тутум файлдарын үзгүлтүксүз сканерлөөчү курал. Бул компоненттин жөндөөлөрүндө сиз үзгүлтүксүз сканерлөө же туш келди сканерлөө убакыттары, кол тамганы жаңыртуу мезгили жана колдонуучулардын пландаштырылган сканерлөөдөн баш тартуу мүмкүнчүлүгү үчүн орнотууларды конфигурациялай аласыз. Files Threat Эмуляциясы Колдонуучунун машинасында сакталган файлдарды Check Point булут кум чөйрөсүндө эмуляциялоого мүмкүндүк берет, бирок бул коопсуздук функциясы Detect режиминде гана иштейт.
Файлдарды коргоонун стандарттуу саясаты зыяндуу программаларга каршы коргоону жана Files Threat Emulation менен зыяндуу файлдарды аныктоону камтыйт. Үзгүлтүксүз сканерлөө ай сайын жүргүзүлөт, ал эми колдонуучунун машинасындагы кол тамгалар ар 4 саат сайын жаңыртылып турат. Ошол эле учурда, колдонуучулар пландаштырылган сканерлөөдөн баш тартууга конфигурацияланган, бирок акыркы ийгиликтүү сканерлөө күндөн тартып 30 күндөн кеч эмес.
Жүрүм-турумду коргоо
Anti-Bot, Behavior Guard & Anti-Ransomware, Anti-Exploit
Коргоо компоненттеринин жүрүм-турумду коргоо тобу үч компонентти камтыйт: Anti-Bot, Behavioral Guard & Anti-Ransomware жана Anti-Exploit. Анти-Бот дайыма жаңыланып турган Check Point ThreatCloud маалымат базасын колдонуу менен C&C байланыштарын көзөмөлдөөгө жана бөгөт коюуга мүмкүндүк берет. Behavioral Guard & Anti-Ransomware колдонуучу машинадагы активдүүлүктү (файлдарды, процесстерди, тармактык өз ара аракеттенишүүнү) дайыма көзөмөлдөп турат жана баштапкы этапта ransomware чабуулдарын алдын алууга мүмкүндүк берет. Мындан тышкары, бул коргоо элементи зыяндуу программа тарабынан шифрленген файлдарды калыбына келтирүүгө мүмкүндүк берет. Файлдар баштапкы каталогдоруна калыбына келтирилет, же сиз бардык калыбына келтирилген файлдар сактала турган белгилүү бир жолду белгилесеңиз болот. Anti-Exploit нөл күндүк чабуулдарды аныктоого мүмкүндүк берет. Бардык жүрүм-турумду коргоо компоненттери үч иштөө режимин колдойт: алдын алуу, аныктоо жана өчүрүү.
Жүрүм-турумду коргоонун стандарттык саясаты Bot жана Behavioral Guard & Anti-Ransomware компоненттери үчүн алдын алууну камсыз кылат, алардын баштапкы каталогдорундагы шифрленген файлдарды калыбына келтирет. Anti-Exploit компоненти өчүрүлгөн жана колдонулбайт.
Анализ жана оңдоо
Автоматташтырылган чабуул анализи (криминалистика), оңдоо жана жооп берүү
Коопсуздук инциденттерин талдоо жана иликтөө үчүн коопсуздуктун эки компоненти бар: Автоматташтырылган чабуул анализи (криминалистика) жана оңдоо жана жооп кайтаруу. Автоматташтырылган чабуул анализи (криминалистика) Колдонуучунун машинасында кесепеттүү программаны ишке ашыруу процессин анализдөөгө чейин деталдуу сыпаттамасы менен чабуулдарды кайтаруунун натыйжалары жөнүндө отчетторду түзүүгө мүмкүндүк берет. Алдын ала аныкталган же түзүлгөн чыпкаларды колдонуу менен аномалияларды жана потенциалдуу зыяндуу жүрүм-турумду активдүү издөөгө мүмкүндүк берген Threat Hunting функциясын да колдонсо болот. Оңдоо жана жооп чабуулдан кийин файлдарды калыбына келтирүү жана карантин үчүн орнотууларды конфигурациялоого мүмкүндүк берет: колдонуучунун карантиндик файлдар менен иштешүүсү жөнгө салынат, ошондой эле карантинге алынган файлдарды администратор белгилеген каталогдо сактоого да болот.
Стандарттык Талдоо жана оңдоо саясаты калыбына келтирүү боюнча автоматтык аракеттерди камтыган коргоону камтыйт (процесстерди аяктоо, файлдарды калыбына келтирүү ж.б.) жана файлдарды карантинге жөнөтүү опциясы активдүү жана колдонуучулар файлдарды карантинден гана жок кыла алышат.
Коркунучтун алдын алуу боюнча стандарттык саясат: Сыноо
CheckMe Endpoint Check Point
Колдонуучунун машинасынын коопсуздугун эң популярдуу чабуул түрлөрүнө каршы текшерүүнүн эң тез жана оңой жолу бул ресурсту колдонуу менен тест жүргүзүү. , ар кандай категориядагы бир катар типтүү чабуулдарды ишке ашырат жана тестирлөөнүн жыйынтыгы боюнча отчет алууга мүмкүндүк берет. Бул учурда, Endpoint testing опциясы колдонулган, анда аткарылуучу файл жүктөлүп, компьютерге ишке киргизилет, андан кийин текшерүү процесси башталат.
Иштеп жаткан компьютердин коопсуздугун текшерүү процессинде SandBlast Agent колдонуучунун компьютерине аныкталган жана чагылдырылган чабуулдар жөнүндө сигнал берет, мисалы: Anti-Bot blade инфекциянын аныкталгандыгы жөнүндө кабарлайт, Anti-Malware blade аны аныктап, жок кылды. зыяндуу файл CP_AM.exe жана Threat Emulation blade CP_ZD.exe файлы зыяндуу деп орнотулду.
CheckMe Endpoint аркылуу тестирлөөнүн жыйынтыктарынын негизинде биз төмөнкүдөй жыйынтыкка ээ болдук: чабуулдун 6 категориясынын ичинен Коркунучтун алдын алуу стандарттык саясаты бир гана категорияга туруштук бере алган жок - Browser Exploit. Себеби, стандарттуу Коркунучтун алдын алуу саясаты Анти-Экплойт блейди камтыбайт. Белгилей кетсек, SandBlast Agent орнотулбастан, колдонуучунун компьютери Ransomware категориясы боюнча гана сканерден өткөн.
KnowBe4 RanSim
Anti-Ransomware blade иштешин текшерүү үчүн, сиз акысыз чечимди колдоно аласыз , колдонуучунун машинасында бир катар сыноолорду жүргүзөт: 18 ransomware инфекциясынын сценарийи жана 1 криптоминер инфекциясынын сценарийи. Белгилей кетчү нерсе, алдын алуу аракети менен стандарттык саясатта (Treat Emulation, Anti-Malware, Behavioral Guard) көптөгөн бычактардын болушу бул тесттин туура иштешине жол бербейт. Бирок, коопсуздук деңгээли төмөндөсө да (Өчүрүлгөн режимде коркунучтун эмуляциясы) Anti-Ransomware blade тести жогорку натыйжаларды көрсөтөт: 18 сыноонун 19и ийгиликтүү өттү (1 башталбай калды).
Зыяндуу файлдар жана документтер
Бул колдонуучунун машинасына жүктөлүп алынган популярдуу форматтагы зыяндуу файлдарды колдонуу менен Коркунучтун алдын алуу стандарттык саясатынын ар кандай тилкелеринин иштешин текшерүү үчүн индикатор болуп саналат. Бул тестке PDF, DOC, DOCX, EXE, XLS, XLSX, CAB, RTF форматтарындагы 66 файл тартылган. Сыноонун натыйжалары SandBlast Agent 64 зыяндуу файлдын 66ун бөгөттөй алганын көрсөттү. Вирус жуккан файлдар жүктөлүп алынгандан кийин жок кылынды, же Threat Extraction аркылуу зыяндуу мазмундан тазаланып, колдонуучу кабыл алды.
Коркунучтун алдын алуу саясатын өркүндөтүү боюнча сунуштар
1. URL чыпкалоо
Кардар машинасынын коопсуздук деңгээлин жогорулатуу үчүн стандарттык саясатта оңдоо керек болгон биринчи нерсе - URL чыпкалоо тилкесин Алдын алуу жана бөгөттөө үчүн тиешелүү категорияларды көрсөтүү. Биздин учурда, жалпы колдонуудан башка бардык категориялар тандалган, анткени алар жумуш ордунда колдонуучуларга кирүү мүмкүнчүлүгүн чектөө үчүн зарыл болгон ресурстардын көбүн камтыйт. Ошондой эле, мындай сайттар үчүн "Колдонуучуга URL чыпкалоо эскертүүсүн четке кагууга жана веб-сайтка кирүүгө уруксат берүү" параметрин белгилөө менен колдонуучулардын эскертүү терезесин өткөрүп жиберүү мүмкүнчүлүгүн алып салуу сунушталат.
2. Download Protection
Көңүл бурууга арзырлык экинчи вариант - бул колдонуучулар үчүн Check Point эмуляциясы колдоого алынбаган файлдарды жүктөп алуу мүмкүнчүлүгү. Бул бөлүмдө биз стандарттык Коркунучтун алдын алуу саясатын коопсуздук көз карашынан жакшыртууну карап жаткандыктан, эң жакшы вариант колдоого алынбаган файлдарды жүктөп алууну бөгөттөө болмок.
3. Файлдарды коргоо
Сиз ошондой эле файлдарды коргоо орнотууларына көңүл бурушуңуз керек - атап айтканда, мезгил-мезгили менен сканерлөө орнотуулары жана колдонуучуга мажбурлап сканерлөөнү кийинкиге калтыруу мүмкүнчүлүгү. Бул учурда, колдонуучунун убакыт алкагын эске алуу керек жана коопсуздук жана натыйжалуулук көз карашынан алганда, күн сайын кокусунан тандалып алынган убакыт (00:00дөн 8ге чейин) мажбурлап сканерлөө үчүн конфигурациялоо жакшы вариант болуп саналат. 00) жана колдонуучу скандоону эң көп дегенде бир жумага кечиктире алат.
4. Эксплуатка каршы
Стандарттык Коркунучтун алдын алуу саясатынын олуттуу кемчилиги – бул Анти-Экплоиттин өчүрүлгөнү. Иш станциясын эксплоиттерди колдонуу менен чабуулдардан коргоо үчүн бул лейдди Алдын алуу аракети менен иштетүү сунушталат. Бул оңдоо менен, CheckMe кайра сыналышы колдонуучунун өндүрүш машинасында кемчиликтерди аныктабастан ийгиликтүү аяктайт.
жыйынтыктоо
Жыйынтыктап көрөлү: бул макалада биз коркунучтун алдын алуу саясатынын компоненттери менен таанышып чыктык, бул саясатты ар кандай ыкмаларды жана инструменттерди колдонуу менен сынап көрдүк, ошондой эле колдонуучунун машинасынын коопсуздук деңгээлин жогорулатуу үчүн стандарттык саясаттын орнотууларын жакшыртуу боюнча сунуштарды сүрөттөп бердик. . Сериянын кийинки макаласында биз Маалыматтарды коргоо саясатын изилдөөгө өтүп, Глобалдык саясат жөндөөлөрүн карайбыз.
. SandBlast Agent Management Platform темасындагы кийинки басылмаларды өткөрүп жибербөө үчүн, биздин социалдык тармактардагы жаңыртууларга көз салыңыз (, , , , ).
Source: www.habr.com