Wëllkomm op den drëtten Artikel an der Serie iwwer déi nei Cloud-baséiert perséinlech Computer Schutz Management Konsol - Check Point SandBlast Agent Management Plattform. Loosst mech Iech drun erënneren datt an mir hunn den Infinity Portal kennt an e Cloud-baséiert Agent Management Service, Endpoint Management Service, erstallt. An Mir studéiert de Web Management Konsol Interface an installéiert en Agent mat enger Standard Politik op der Benotzer Maschinn. Haut wäerte mir d'Inhalter vun der Standard Threat Prevention Sécherheetspolitik kucken a seng Effektivitéit testen fir populär Attacken ze bekämpfen.
Standard Bedrohung Preventioun Politik: Beschreiwung
D'Figur uewe weist eng Standard Bedrohungspräventiounspolitik Regel, déi als Standard fir déi ganz Organisatioun gëlt (all installéiert Agenten) an enthält dräi logesch Gruppe vu Schutzkomponenten: Web & Dateieschutz, Verhalensschutz an Analyse & Sanéierung. Loosst eis all eenzel vun de Gruppen méi genau kucken.
Web & Dateie Schutz
URL Filteren
URL Filtering erlaabt Iech de Benotzer Zougang zu Webressourcen ze kontrolléieren, mat virdefinéierte 5 Kategorien vu Siten. Jiddereng vun den 5 Kategorien enthält e puer méi spezifesch Ënnerkategorien, wat Iech erlaabt, zum Beispill den Zougang zu der Games Ënnerkategorie ze blockéieren an Zougang zu der Instant Messaging Ënnerkategorie z'erméiglechen, déi an der selwechter Produktivitéit Verloscht Kategorie abegraff sinn. URLen, déi mat spezifesche Ënnerkategorien verbonne sinn, gi vum Check Point bestëmmt. Dir kënnt d'Kategorie iwwerpréiwen, zu där eng spezifesch URL gehéiert oder eng Kategorie Iwwerschrëft op eng speziell Ressource ufroen .
D'Aktioun kann op Prevent, Detect oder Off gesat ginn. Och wann Dir d'Detect Action auswielt, gëtt eng Astellung automatesch bäigefüügt, déi d'Benotzer erlaabt d'URL Filtering Warnung ze sprangen an op d'Ressource vun Interesse ze goen. Wann Prevent benotzt gëtt, kann dës Astellung geläscht ginn an de Benotzer kann net op de verbuedenen Site kommen. Eng aner praktesch Manéier fir verbueden Ressourcen ze kontrolléieren ass eng Blocklëscht opzestellen, an där Dir Domainen, IP Adressen spezifizéiere kënnt oder eng .csv Datei eropluede mat enger Lëscht vun Domainen fir ze blockéieren.
An der Standardpolitik fir URL Filtering gëtt d'Aktioun op Detect gesat an eng Kategorie gëtt ausgewielt - Sécherheet, fir déi Eventer festgestallt ginn. Dës Kategorie enthält verschidde Anonymiséierer, Site mat engem kriteschen / héijen / mëttleren Risikoniveau, Phishing-Siten, Spam a vill méi. Wéi och ëmmer, d'Benotzer kënnen nach ëmmer op d'Ressource zougräifen dank der Astellung "Erlaabt de Benotzer d'URL Filteralarm ze entloossen an op d'Websäit ze kommen".
Download (Web) Schutz
Emulatioun & Extraktioun erlaabt Iech erofgeluede Dateien an der Check Point Cloud Sandbox ze emuléieren an Dokumenter op der Flucht ze botzen, potenziell béiswëlleg Inhalter ze läschen oder d'Dokument op PDF ze konvertéieren. Et ginn dräi Operatiounsmodi:
- Präventioun - erlaabt Iech eng Kopie vum gebotzten Dokument ze kréien virum endgülteg Emulatiounsverdikt, oder waart bis d'Emulatioun fäerdeg ass an d'Originaldatei direkt erofzelueden;
- Detektéieren - mécht Emulatioun am Hannergrond, ouni datt de Benotzer d'Original Datei kritt, onofhängeg vum Uerteel;
- ugefaangen - all Dateie kënnen erofgeluede ginn ouni Emulatioun a Botzen vu potenziell béiswëlleg Komponenten ze maachen.
Et ass och méiglech eng Handlung fir Dateien ze wielen déi net vun Check Point Emulatioun a Botzen Tools ënnerstëtzt ginn - Dir kënnt den Download vun all net ënnerstëtzten Dateien erlaben oder refuséieren.
D'Standardpolitik fir den Downloadschutz ass op Prevent gesat, wat Iech erlaabt eng Kopie vum ursprénglechen Dokument ze kréien, dee vu potenziell béiswëllegen Inhalter geläscht gouf, souwéi den Download vun Dateien erlaabt, déi net vun Emulatiouns- a Botzeninstrumenter ënnerstëtzt ginn.
Umeldungsinformatioun Schutz
De Credential Protection Komponent schützt d'Benotzer Umeldungsinformatiounen an enthält 2 Komponenten: Zero Phishing a Passwuertschutz. Null Phishing schützt Benotzer vum Zougang zu Phishing Ressourcen, an Passwuert Schutz informéiert de Benotzer iwwer d'Inadmissibilitéit fir d'Firma Umeldungsinformatiounen ausserhalb vum geschützte Domain ze benotzen. Null Phishing kann op Prevent, Detect oder Off gesat ginn. Wann d'Aktioun Verhënneren agestallt ass, ass et méiglech de Benotzer d'Warnung iwwer eng potenziell Phishing-Ressource ze ignoréieren an Zougang zu der Ressource ze kréien, oder dës Optioun auszeschalten an den Zougang fir ëmmer ze blockéieren. Mat enger Detect Handlung hunn d'Benotzer ëmmer d'Méiglechkeet d'Warnung ze ignoréieren an d'Ressource ze kréien. Passwuertschutz erlaabt Iech geschützte Domainen auswielen fir déi Passwierder fir Konformitéit gepréift ginn, an eng vun dräi Aktiounen: Detect & Alert (de Benotzer Notifikatioun), Detect oder Off.
D'Standardpolitik fir d'Umeldungsschutz ass et ze verhënneren datt all Phishing-Ressourcen d'Benotzer verhënnere fir op eng potenziell béiswëlleg Säit ze kommen. Schutz géint d'Benotzung vu Firmepasswierder ass och aktivéiert, awer ouni déi spezifizéiert Domainen funktionnéiert dës Feature net.
Dateien Schutz
Dateieschutz ass verantwortlech fir Dateien ze schützen déi op der Maschinn vum Benotzer gespäichert sinn an enthält zwee Komponenten: Anti-Malware a Files Threat Emulation. Anti Malware ass en Tool dat reegelméisseg all Benotzer- a Systemdateien scannt mat der Ënnerschrëftanalyse. An den Astellunge vun dëser Komponent kënnt Dir d'Astellunge fir regelméisseg Scannen oder zoufälleg Scannenzäiten konfiguréieren, d'Ënnerschrëftaktualiséierungsperiod an d'Fäegkeet fir Benotzer fir geplangte Scannen ze annuléieren. Dateien Gefor Emulatioun erlaabt Iech Dateien ze emuléieren déi op der Maschinn vum Benotzer an der Check Point Cloud Sandbox gespäichert sinn, awer dës Sécherheetsfunktioun funktionnéiert nëmmen am Detect Modus.
D'Standardpolitik fir Dateieschutz enthält Schutz mat Anti-Malware an Detektioun vu béiswëlleg Dateien mat Files Threat Emulation. Regelméisseg Scannen gëtt all Mount duerchgefouert, an Ënnerschrëften op der Benotzermaschinn ginn all 4 Stonnen aktualiséiert. Zur selwechter Zäit sinn d'Benotzer konfiguréiert fir e geplangte Scan ze annuléieren, awer net méi spéit wéi 30 Deeg vum Datum vum leschten erfollegräiche Scan.
Verhalensschutz
Anti-Bot, Behavioral Guard & Anti-Ransomware, Anti-Exploit
D'Behavioral Protection Grupp vu Schutzkomponenten enthält dräi Komponenten: Anti-Bot, Behavioral Guard & Anti-Ransomware an Anti-Exploit. Anti-Bot erlaabt Iech C&C Verbindungen ze iwwerwaachen an ze blockéieren mat der stänneg aktualiséierter Check Point ThreatCloud Datebank. Behavioral Guard & Anti-Ransomware konstant iwwerwaacht Aktivitéit (Dateien, Prozesser, Netzwierkinteraktiounen) op der Benotzermaschinn an erlaabt Iech Ransomware Attacken an den initialen Etappen ze verhënneren. Zousätzlech erlaabt dëst Schutzelement Iech Dateien ze restauréieren déi scho vun der Malware verschlësselt goufen. Dateien ginn an hir ursprénglech Verzeichnisser restauréiert, oder Dir kënnt e spezifesche Wee spezifizéieren wou all erëmfonnt Dateie gespäichert ginn. Anti-Exploit erlaabt Iech Null-Dag Attacken z'entdecken. All Verhalensschutz Komponenten ënnerstëtzen dräi Operatiounsmodi: Präventioun, Detectéieren an Off.
D'Standardpolitik fir Verhalensschutz liwwert Präventioun fir den Anti-Bot a Behavioral Guard & Anti-Ransomware Komponenten, mat der Restauratioun vu verschlësselte Dateien an hiren originelle Verzeichnisser. D'Anti-Exploit Komponent ass behënnert an net benotzt.
Analyse & Sanéierung
Automatiséiert Attack Analyse (Forensik), Sanéierung & Äntwert
Zwee Sécherheetskomponente si verfügbar fir d'Analyse an d'Untersuchung vu Sécherheetsinfällen: Automatiséiert Attack Analyse (Forensik) a Sanéierung & Äntwert. Automatiséiert Attack Analyse (Forensik) erlaabt Iech Berichter iwwer d'Resultater vun Ofwierattacken mat enger detailléierter Beschreiwung ze generéieren - bis zur Analyse vum Prozess vun der Ausféierung vun der Malware op der Maschinn vum Benotzer. Et ass och méiglech d'Threat Hunting Feature ze benotzen, déi et méiglech mécht proaktiv no Anomalien a potenziell béiswëlleg Verhalen ze sichen andeems Dir virdefinéiert oder erstallt Filtere benotzt. Sanéierung & Äntwert erlaabt Iech Astellunge fir d'Erhuelung an d'Quarantän vu Dateien no engem Attack ze konfiguréieren: Benotzerinteraktioun mat Quarantändateien ass geregelt, an et ass och méiglech, quarantinéiert Dateien an engem Verzeichnis, deen vum Administrateur spezifizéiert ass, ze späicheren.
D'Standard Analyse & Sanéierungspolitik enthält Schutz, déi automatesch Aktiounen fir Erhuelung enthält (Enn vun Prozesser, Restauratioun vun Dateien, etc.), an d'Optioun fir Dateien an d'Quarantän ze schécken ass aktiv, an d'Benotzer kënnen nëmmen Dateien aus der Quarantän läschen.
Standard Bedrohung Preventioun Politik: Testen
Check Point CheckMe Endpunkt
De schnellsten an einfachste Wee fir d'Sécherheet vun engem Benotzer seng Maschinn géint déi populärsten Aarte vun Attacken ze kontrolléieren ass en Test mat der Ressource ze maachen , déi eng Rei typesch Attacke vu verschiddene Kategorien ausféiert an Iech erlaabt Iech e Bericht iwwer d'Resultater vum Test ze kréien. An dësem Fall gouf d'Endpoint Testoptioun benotzt, an där eng ausführbar Datei erofgelueden an op de Computer lancéiert gëtt, an dann fänkt de Verifizéierungsprozess un.
Am Prozess fir d'Sécherheet vun engem funktionnéierende Computer z'iwwerpréiwen, signaliséiert SandBlast Agent iwwer identifizéiert a reflektéiert Attacken op de Computer vum Benotzer, zum Beispill: d'Anti-Bot-Blade mellt d'Detektioun vun enger Infektioun, d'Anti-Malware-Blade huet entdeckt a geläscht béiswëlleg Datei CP_AM.exe, an d'Threat Emulation Blade huet installéiert datt d'CP_ZD.exe Datei béiswëlleg ass.
Baséierend op d'Resultater vum Test mat CheckMe Endpoint hu mir déi folgend Resultat: vu 6 Attackekategorien huet d'Standard Threat Prevention Politik net mat nëmmen enger Kategorie eens - Browser Exploit. Dëst ass well d'Standard Threat Prevention Politik d'Anti-Exploit Blade net enthält. Et ass derwäert ze notéieren datt ouni SandBlast Agent installéiert, de Computer vum Benotzer de Scan nëmmen ënner der Ransomware Kategorie passéiert.
KnowBe4 RanSim
Fir d'Operatioun vun der Anti-Ransomware Blade ze testen, kënnt Dir eng gratis Léisung benotzen , déi eng Serie vun Tester op der Maschinn vum Benotzer leeft: 18 Ransomware Infektiounsszenarien an 1 Kryptominer Infektioun Szenario. Et ass derwäert ze bemierken datt d'Präsenz vu ville Blades an der Standardpolitik (Threat Emulation, Anti-Malware, Behavioral Guard) mat der Prevent Aktioun erlaabt dësen Test net korrekt ze lafen. Wéi och ëmmer, och mat engem reduzéierte Sécherheetsniveau (Threat Emulation am Off Modus), weist den Anti-Ransomware Blade Test héich Resultater: 18 vun 19 Tester sinn erfollegräich gepackt (1 konnt net starten).
Béiswëlleg Dateien an Dokumenter
Et ass indikativ fir d'Operatioun vu verschiddene Blades vun der Standard Threat Prevention Politik ze kontrolléieren mat béiswëlleg Dateie vu populäre Formater, déi op d'Maschinn vum Benotzer erofgeluede ginn. Dësen Test involvéiert 66 Dateien an PDF, DOC, DOCX, EXE, XLS, XLSX, CAB, RTF Formater. D'Testresultater weisen datt SandBlast Agent fäeg war 64 béiswëlleg Dateien aus 66 ze blockéieren. Infizéiert Dateien goufen nom Download geläscht oder vu béiswëllegen Inhalter benotzt Threat Extraction geläscht a vum Benotzer kritt.
Empfehlungen fir d'Bedrohungspräventiounspolitik ze verbesseren
1. URL Filteren
Déi éischt Saach, déi an der Standardpolitik korrigéiert muss ginn fir den Niveau vun der Sécherheet vun der Clientmaschinn z'erhéijen ass d'URL Filtering Blade op Prevent ze wiesselen an déi entspriechend Kategorien fir ze blockéieren. An eisem Fall goufen all Kategorien ausgewielt ausser Allgemeng Benotzung, well se déi meescht vun de Ressourcen enthalen, op déi et néideg ass den Zougang zu Benotzer op der Aarbechtsplaz ze beschränken. Och fir esou Siten ass et unzeroden d'Fäegkeet ze läschen fir d'Benotzer d'Warnungsfenster ze sprangen andeems Dir de Parameter "Erlaabt de Benotzer d'URL Filteralarm ze entloossen an op d'Websäit zouzegräifen".
2.Download Schutz
Déi zweet Optioun fir opmierksam ze bezuelen ass d'Fäegkeet fir d'Benotzer Dateien erofzelueden déi net vun der Check Point Emulatioun ënnerstëtzt ginn. Well mir an dëser Sektioun Verbesserunge vun der Standard Threat Prevention Politik aus enger Sécherheetsperspektiv kucken, wier déi bescht Optioun den Download vun net ënnerstëtzte Dateien ze blockéieren.
3. Fichier Schutz
Dir musst och oppassen op d'Astellunge fir Dateien ze schützen - besonnesch d'Astellunge fir periodesch Scannen an d'Fäegkeet fir de Benotzer gezwongen Scannen ze posten. An dësem Fall muss den Zäitframe vum Benotzer berücksichtegt ginn, an eng gutt Optioun aus Sécherheets- a Leeschtungssiicht ass e gezwongenen Scan ze konfiguréieren fir all Dag ze lafen, mat der Zäit gewielt zoufälleg (vun 00:00 bis 8: 00), an de Benotzer kann de Scan fir maximal eng Woch ophalen.
4. Anti-Exploitatioun
E wesentlechen Nodeel vun der Standard Threat Prevention Politik ass datt d'Anti-Exploit Blade behënnert ass. Et ass recommandéiert dës Blade mat der Verhënnerungsaktioun z'aktivéieren fir d'Aarbechtsstatioun géint Attacke mat Ausnotzen ze schützen. Mat dësem Fix fäerdeg de CheckMe Retest erfollegräich ouni Schwächen op der Produktiounsmaschinn vum Benotzer z'entdecken.
Konklusioun
Loosst eis zesummefaassen: an dësem Artikel hu mir d'Komponente vun der Standard Bedrohungspräventiounspolitik vertraut, dës Politik mat verschiddene Methoden an Tools getest, an och Empfehlungen beschriwwe fir d'Astellunge vun der Standardpolitik ze verbesseren fir de Sécherheetsniveau vun der Benotzermaschinn ze erhéijen . Am nächsten Artikel an der Serie wäerte mir weidergoen fir d'Dateschutzpolitik ze studéieren an d'Global Policy Settings ze kucken.
. Fir déi nächst Publikatiounen zum Thema SandBlast Agent Management Plattform net ze verpassen, befollegt d'Aktualiséierungen op eise sozialen Netzwierker (, , , , ).
Source: will.com