Sveiki atvykę į trečiąjį serijos straipsnį apie naują debesies pagrindu sukurtą asmeninio kompiuterio apsaugos valdymo pultą – „Check Point SandBlast Agent Management Platform“. Leiskite man tai priminti susipažinome su Infinity portalu ir sukūrėme debesų pagrindu veikiančią agentų valdymo paslaugą Endpoint Management Service. Į Ištyrėme žiniatinklio valdymo pulto sąsają ir vartotojo kompiuteryje įdiegėme agentą su standartine politika. Šiandien pažvelgsime į standartinės grėsmių prevencijos saugumo politikos turinį ir išbandysime jos efektyvumą kovojant su populiariomis atakomis.
Standartinė grėsmių prevencijos politika: Aprašymas
Aukščiau pateiktame paveikslėlyje parodyta standartinė grėsmių prevencijos politikos taisyklė, kuri pagal numatytuosius nustatymus taikoma visai organizacijai (visiems įdiegtiems agentams) ir apima tris logines apsaugos komponentų grupes: žiniatinklio ir failų apsaugą, elgsenos apsaugą ir analizę ir taisymą. Pažvelkime į kiekvieną grupę atidžiau.
Žiniatinklio ir failų apsauga
URL filtravimas
URL filtravimas leidžia valdyti vartotojų prieigą prie žiniatinklio išteklių, naudojant iš anksto nustatytas 5 svetainių kategorijas. Kiekvienoje iš 5 kategorijų yra keletas konkretesnių subkategorijų, kurios leidžia konfigūruoti, pavyzdžiui, blokuoti prieigą prie žaidimų subkategorijos ir leisti prieigą prie momentinių pranešimų subkategorijos, kurios yra įtrauktos į tą pačią produktyvumo praradimo kategoriją. Su konkrečiomis subkategorijomis susietus URL nustato Check Point. Galite patikrinti kategoriją, kuriai priklauso konkretus URL, arba pateikti užklausą dėl kategorijos nepaisymo specialiame šaltinyje .
Veiksmą galima nustatyti kaip Neleisti, Aptikti arba Išjungti. Be to, pasirenkant veiksmą Aptikti, automatiškai pridedamas nustatymas, leidžiantis vartotojams praleisti įspėjimą apie URL filtravimą ir pereiti prie dominančio šaltinio. Jei naudojama Prevent, šį nustatymą galima pašalinti ir vartotojas negalės pasiekti draudžiamos svetainės. Kitas patogus būdas valdyti draudžiamus išteklius – sukurti blokų sąrašą, kuriame galite nurodyti domenus, IP adresus arba įkelti .csv failą su blokuojamų domenų sąrašu.
Standartinėje URL filtravimo politikoje veiksmas nustatytas kaip Aptikti ir pasirenkama viena kategorija – Sauga, kurios įvykiai bus aptikti. Į šią kategoriją įeina įvairūs anonimizatoriai, svetainės su kritiniu / dideliu / vidutiniu rizikos lygiu, sukčiavimo svetainės, šlamštas ir daug daugiau. Tačiau vartotojai vis tiek galės pasiekti išteklius, naudodami nustatymą „Leisti vartotojui atsisakyti URL filtravimo įspėjimo ir pasiekti svetainę“.
Atsisiuntimo (žiniatinklio) apsauga
Emuliacija ir ištraukimas leidžia emuliuoti atsisiųstus failus „Check Point“ debesies smėlio dėžėje ir greitai išvalyti dokumentus, pašalinti potencialiai kenksmingą turinį arba konvertuoti dokumentą į PDF. Yra trys veikimo režimai:
- Užkirsti kelią — leidžia gauti išvalyto dokumento kopiją prieš priimant galutinį emuliacijos verdiktą arba palaukti, kol emuliacija bus baigta, ir nedelsiant atsisiųsti originalų failą;
- Aptikti — atlieka emuliaciją fone, netrukdydamas vartotojui gauti pradinio failo, nepaisant nuosprendžio;
- Nuo — bet kokius failus leidžiama atsisiųsti be emuliacijos ir potencialiai kenksmingų komponentų valymo.
Taip pat galima pasirinkti veiksmą failams, kurių nepalaiko Check Point emuliacijos ir valymo įrankiai – galite leisti arba uždrausti atsisiųsti visus nepalaikomus failus.
Standartinė atsisiuntimo apsaugos politika nustatyta į Neleisti, kuri leidžia gauti originalaus dokumento kopiją, iš kurios pašalintas galimai kenksmingas turinys, taip pat leisti atsisiųsti failus, kurių nepalaiko emuliacijos ir valymo įrankiai.
Kredencialų apsauga
Kredencialų apsaugos komponentas apsaugo vartotojo kredencialus ir apima 2 komponentus: Nulinio sukčiavimo ir apsaugos slaptažodžiu. Nulis sukčiavimo apsaugo vartotojus nuo prieigos prie sukčiavimo išteklių ir Slaptažodžių apsauga praneša vartotojui apie nepriimtinumą naudoti įmonės kredencialus už saugomo domeno ribų. Nulinis sukčiavimas gali būti nustatytas kaip Neleisti, Aptikti arba Išjungti. Kai nustatytas veiksmas Neleisti, galima leisti vartotojams nepaisyti įspėjimo apie galimą sukčiavimo šaltinį ir gauti prieigą prie šaltinio arba išjungti šią parinktį ir visam laikui blokuoti prieigą. Naudodami veiksmą Aptikti, vartotojai visada turi galimybę nepaisyti įspėjimo ir pasiekti šaltinį. Slaptažodžio apsauga leidžia pasirinkti apsaugotus domenus, kurių slaptažodžių atitiktis bus tikrinama, ir vieną iš trijų veiksmų: Aptikti ir įspėti (pranešti vartotojui), Aptikti arba Išjungti.
Standartinė kredencialų apsaugos politika yra neleisti, kad sukčiavimo ištekliai netrukdytų vartotojams pasiekti potencialiai kenkėjiškos svetainės. Taip pat įjungta apsauga nuo įmonių slaptažodžių naudojimo, tačiau be nurodytų domenų ši funkcija neveiks.
Failų apsauga
Failų apsauga yra atsakinga už failų, saugomų vartotojo kompiuteryje, apsaugą ir apima du komponentus: kovos su kenkėjiškomis programomis ir failų grėsmių emuliaciją. Anti-Malware yra įrankis, kuris reguliariai nuskaito visus vartotojo ir sistemos failus naudodamas parašo analizę. Šio komponento nustatymuose galite konfigūruoti reguliaraus nuskaitymo arba atsitiktinio nuskaitymo laiko, parašo atnaujinimo laikotarpio ir vartotojų galimybės atšaukti suplanuotą nuskaitymą parametrus. Failų grėsmių emuliacija leidžia emuliuoti failus, saugomus vartotojo kompiuteryje „Check Point“ debesies smėlio dėžėje, tačiau ši saugos funkcija veikia tik aptikimo režimu.
Standartinė failų apsaugos politika apima apsaugą nuo kenkėjiškų programų ir kenkėjiškų failų aptikimą naudojant failų grėsmių emuliaciją. Reguliarus nuskaitymas atliekamas kas mėnesį, o parašai vartotojo kompiuteryje atnaujinami kas 4 valandas. Tuo pačiu metu vartotojai sukonfigūruojami taip, kad galėtų atšaukti suplanuotą nuskaitymą, bet ne vėliau kaip per 30 dienų nuo paskutinio sėkmingo nuskaitymo datos.
Elgesio apsauga
„Anti-Bot“, „Behavioral Guard“ ir „Anti-Ransomware“, „Anti-Exploit“.
Behavioral Protection apsaugos komponentų grupę sudaro trys komponentai: „Anti-Bot“, „Behavioral Guard“ ir „Anti-Ransomware“ bei „Anti-Exploit“. Anti-Bot leidžia stebėti ir blokuoti C&C ryšius naudojant nuolat atnaujinamą Check Point ThreatCloud duomenų bazę. Elgesio apsauga ir apsauga nuo išpirkos programų nuolat stebi veiklą (failus, procesus, tinklo sąveiką) vartotojo kompiuteryje ir leidžia išvengti išpirkos reikalaujančių programų atakų pradinėse stadijose. Be to, šis apsaugos elementas leidžia atkurti failus, kurie jau buvo užšifruoti kenkėjiškos programos. Failai atkuriami į pradinius katalogus arba galite nurodyti konkretų kelią, kuriame bus saugomi visi atkurti failai. Anti-Exploit leidžia aptikti nulinės dienos atakas. Visi elgesio apsaugos komponentai palaiko tris veikimo režimus: prevencija, aptikimas ir išjungimas.
Standartinė elgesio apsaugos politika numato „Prevent for Anti-Bot“ ir „Behavioral Guard“ ir „Anti-Ransomware“ komponentus, atkuriant užšifruotus failus į jų pradinius katalogus. Anti-Exploit komponentas yra išjungtas ir nenaudojamas.
Analizė ir taisymas
Automatizuota atakų analizė (teismo ekspertizė), taisymas ir atsakas
Saugos incidentų analizei ir tyrimui galimi du saugos komponentai: automatizuota atakų analizė (kriminalistika) ir ištaisymas ir atsakas. Automatizuota atakų analizė (kriminalistika) leidžia generuoti ataskaitas apie atakų atmušimo rezultatus su išsamiu aprašymu – iki pat kenkėjiškos programos vykdymo vartotojo kompiuteryje proceso analizės. Taip pat galima naudoti grėsmių paieškos funkciją, kuri leidžia aktyviai ieškoti anomalijų ir galimai kenksmingo elgesio naudojant iš anksto nustatytus arba sukurtus filtrus. Ištaisymas ir atsakas leidžia konfigūruoti failų atkūrimo ir karantino nustatymus po atakos: reguliuojama vartotojo sąveika su karantino failais, taip pat galima saugoti karantinuotus failus administratoriaus nurodytame kataloge.
Standartinė analizės ir taisymo politika apima apsaugą, kuri apima automatinius atkūrimo veiksmus (procesų pabaigą, failų atkūrimą ir kt.), o galimybė siųsti failus į karantiną yra aktyvi, o vartotojai gali ištrinti failus tik iš karantino.
Standartinė grėsmių prevencijos politika: testavimas
Check Point CheckMe Endpoint
Greičiausias ir lengviausias būdas patikrinti vartotojo mašinos saugumą nuo populiariausių atakų tipų yra atlikti bandymą naudojant išteklius , kuri atlieka daugybę tipiškų įvairių kategorijų atakų ir leidžia gauti ataskaitą apie testavimo rezultatus. Šiuo atveju buvo naudojama Endpoint testing parinktis, kai vykdomasis failas atsisiunčiamas ir paleidžiamas į kompiuterį, o tada prasideda tikrinimo procesas.
Tikrinant veikiančio kompiuterio saugumą, „SandBlast Agent“ signalizuoja apie identifikuotas ir atspindėtas atakas prieš vartotojo kompiuterį, pavyzdžiui: „Anti-Bot Blade“ praneša apie infekciją, „Anti-Malware“ peilis aptiko ir ištrynė kenkėjišką failą CP_AM.exe, o grėsmių emuliacijos elementas įdiegė, kad CP_ZD.exe failas yra kenkėjiškas.
Remiantis testavimo naudojant CheckMe Endpoint rezultatus, gauname tokį rezultatą: iš 6 atakų kategorijų standartinė grėsmių prevencijos politika nesugebėjo susidoroti tik su viena kategorija – naršyklės išnaudojimu. Taip yra todėl, kad į standartinę grėsmių prevencijos politiką neįtrauktas „Anti-Exploit“ peilis. Verta paminėti, kad neįdiegus „SandBlast Agent“, vartotojo kompiuteris patikrino tik „Ransomware“ kategoriją.
KnowBe4 RanSim
Norėdami patikrinti „Anti-Ransomware“ ašmenų veikimą, galite naudoti nemokamą sprendimą , kuris atlieka daugybę testų naudotojo kompiuteryje: 18 išpirkos reikalaujančių programų užkrėtimo scenarijų ir 1 kriptominerio infekcijos scenarijus. Verta paminėti, kad tai, kad standartinėje politikoje (Grėsmių emuliacija, Apsaugos nuo kenkėjiškų programų, Elgsenos apsauga) yra daug peiliukų su veiksmu Prevencija neleidžia tinkamai atlikti šio testo. Tačiau net ir esant sumažintam saugumo lygiui (Grėsmės emuliacija išjungus režimu), Anti-Ransomware ašmenų testas rodo aukštus rezultatus: 18 iš 19 testų buvo sėkmingai išlaikyti (1 nepavyko pradėti).
Kenkėjiški failai ir dokumentai
Patartina patikrinti skirtingų standartinės grėsmių prevencijos politikos ašmenų veikimą naudojant kenkėjiškus populiarių formatų failus, atsisiųstus į vartotojo kompiuterį. Šis testas apėmė 66 failus PDF, DOC, DOCX, EXE, XLS, XLSX, CAB, RTF formatais. Bandymo rezultatai parodė, kad „SandBlast Agent“ sugebėjo užblokuoti 64 kenkėjiškus failus iš 66. Užkrėsti failai buvo ištrinti po atsisiuntimo arba išvalyti nuo kenksmingo turinio naudojant grėsmių ištraukimą ir gauti vartotojui.
Grėsmių prevencijos politikos tobulinimo rekomendacijos
1. URL filtravimas
Pirmas dalykas, kurį reikia pataisyti standartinėje politikoje, siekiant padidinti kliento įrenginio saugos lygį, yra URL filtravimo ašmenų perjungimas į Neleisti ir nurodyti atitinkamas blokavimo kategorijas. Mūsų atveju buvo pasirinktos visos kategorijos, išskyrus Bendrąjį naudojimą, nes jos apima daugumą išteklių, prie kurių būtina apriboti vartotojų prieigą darbo vietoje. Be to, tokiose svetainėse patartina pašalinti galimybę vartotojams praleisti įspėjimo langą, panaikinant parametro „Leisti vartotojui atsisakyti URL filtravimo įspėjimo ir pasiekti svetainę“ žymėjimą.
2. Atsisiuntimo apsauga
Antroji galimybė, į kurią verta atkreipti dėmesį, yra galimybė vartotojams atsisiųsti failus, kurių nepalaiko Check Point emuliacija. Kadangi šiame skyriuje ieškome standartinės grėsmių prevencijos politikos patobulinimų saugumo požiūriu, geriausias pasirinkimas būtų blokuoti nepalaikomų failų atsisiuntimą.
3. Failų apsauga
Taip pat turite atkreipti dėmesį į failų apsaugos nustatymus, ypač į periodinio nuskaitymo nustatymus ir galimybę vartotojui atidėti priverstinį nuskaitymą. Tokiu atveju reikia atsižvelgti į vartotojo laiko tarpą, o saugumo ir našumo požiūriu geras pasirinkimas yra sukonfigūruoti priverstinį nuskaitymą, kad jis būtų vykdomas kiekvieną dieną, o laikas parinktas atsitiktinai (nuo 00:00 iki 8:00: XNUMX), o vartotojas gali atidėti nuskaitymą ne ilgiau kaip vienai savaitei.
4. Anti-Exploit
Reikšmingas standartinės grėsmių prevencijos politikos trūkumas yra tai, kad „Anti-Exploit“ ašmenys yra išjungti. Norint apsaugoti darbo vietą nuo atakų naudojant išnaudojimus, rekomenduojama įjungti šį elementą su veiksmu Prevent. Naudojant šį pataisymą, pakartotinis CheckMe bandymas sėkmingai užbaigiamas neaptinkant vartotojo gamybos įrenginio pažeidžiamumų.
išvada
Apibendrinkime: šiame straipsnyje susipažinome su standartinės grėsmių prevencijos politikos komponentais, išbandėme šią politiką įvairiais metodais ir įrankiais, taip pat aprašėme rekomendacijas, kaip pagerinti standartinės politikos nustatymus, siekiant padidinti vartotojo įrenginio saugumo lygį. . Kitame serijos straipsnyje mes pereisime prie duomenų apsaugos politikos ir pažvelgsime į visuotinės politikos nustatymus.
. Kad nepraleistumėte kitų publikacijų tema „SandBlast Agent Management Platform“, sekite naujienas mūsų socialiniuose tinkluose (, , , , ).
Šaltinis: www.habr.com