Laipni lÅ«dzam treÅ”ajÄ rakstÄ sÄrijÄ par jauno personÄlo datoru aizsardzÄ«bas pÄrvaldÄ«bas konsoli, kas balstÄ«ta uz mÄkoÅdatoÅ”anu ā Check Point SandBlast Agent Management Platform. Ä»aujiet man jums to atgÄdinÄt
Standarta draudu novÄrÅ”anas politika: Apraksts
AugÅ”ÄjÄ attÄlÄ ir parÄdÄ«ts standarta draudu novÄrÅ”anas politikas noteikums, kas pÄc noklusÄjuma attiecas uz visu organizÄciju (visiem instalÄtajiem aÄ£entiem) un ietver trÄ«s loÄ£iskas aizsardzÄ«bas komponentu grupas: tÄ«mekļa un failu aizsardzÄ«ba, uzvedÄ«bas aizsardzÄ«ba un analÄ«ze un laboÅ”ana. ApskatÄ«sim tuvÄk katru no grupÄm.
Tīmekļa un failu aizsardzība
URL filtrÄÅ”ana
URL filtrÄÅ”ana ļauj kontrolÄt lietotÄju piekļuvi tÄ«mekļa resursiem, izmantojot iepriekÅ” noteiktas 5 vietÅu kategorijas. Katra no 5 kategorijÄm satur vairÄkas specifiskÄkas apakÅ”kategorijas, kas ļauj konfigurÄt, piemÄram, bloÄ·Ät piekļuvi apakÅ”kategorijai SpÄles un ļaut piekļūt apakÅ”kategorijai Instant Messaging, kas ir iekļautas tajÄ paÅ”Ä ProduktivitÄtes zudumu kategorijÄ. Ar noteiktÄm apakÅ”kategorijÄm saistÄ«tos URL nosaka Check Point. Varat pÄrbaudÄ«t kategoriju, kurai pieder konkrÄts URL, vai pieprasÄ«t kategorijas ignorÄÅ”anu Ä«paÅ”am resursam
DarbÄ«bu var iestatÄ«t uz NovÄrst, Noteikt vai IzslÄgt. TurklÄt, atlasot darbÄ«bu Noteikt, automÄtiski tiek pievienots iestatÄ«jums, kas ļauj lietotÄjiem izlaist URL filtrÄÅ”anas brÄ«dinÄjumu un pÄriet uz interesÄjoÅ”o resursu. Ja tiek izmantots Prevent, Å”o iestatÄ«jumu var noÅemt un lietotÄjs nevarÄs piekļūt aizliegtajai vietnei. VÄl viens Ärts veids, kÄ kontrolÄt aizliegtos resursus, ir izveidot bloÄ·Äto sarakstu, kurÄ varat norÄdÄ«t domÄnus, IP adreses vai augÅ”upielÄdÄt .csv failu ar bloÄ·Äjamo domÄnu sarakstu.
Standarta politikÄ URL filtrÄÅ”anai darbÄ«ba ir iestatÄ«ta uz Noteikt un ir atlasÄ«ta viena kategorija ā DroŔība, kurai tiks noteikti notikumi. Å ajÄ kategorijÄ ietilpst dažÄdi anonimizatori, vietnes ar kritisku/augstu/vidÄju riska lÄ«meni, pikŔķerÄÅ”anas vietnes, surogÄtpasts un daudz kas cits. TomÄr lietotÄji joprojÄm varÄs piekļūt resursam, pateicoties iestatÄ«jumam āAtļaut lietotÄjam noraidÄ«t URL filtrÄÅ”anas brÄ«dinÄjumu un piekļūt vietneiā.
LejupielÄdes (tÄ«mekļa) aizsardzÄ«ba
EmulÄcija un ekstrakcija ļauj atdarinÄt lejupielÄdÄtos failus Check Point mÄkoÅa smilÅ”u kastÄ un Ätri iztÄ«rÄ«t dokumentus, noÅemot potenciÄli ļaunprÄtÄ«gu saturu vai konvertÄjot dokumentu PDF formÄtÄ. Ir trÄ«s darbÄ«bas režīmi:
- KavÄt ā ļauj iegÅ«t notÄ«rÄ«tÄ dokumenta kopiju pirms galÄ«gÄ emulÄcijas sprieduma vai gaidÄ«t, lÄ«dz emulÄcija tiks pabeigta, un nekavÄjoties lejupielÄdÄt oriÄ£inÄlo failu;
- AtklÄt ā veic emulÄciju fonÄ, neliedzot lietotÄjam saÅemt oriÄ£inÄlo failu neatkarÄ«gi no sprieduma;
- No ā visus failus ir atļauts lejupielÄdÄt bez emulÄcijas un potenciÄli ļaunprÄtÄ«gu komponentu tÄ«rÄ«Å”anas.
Ir iespÄjams arÄ« atlasÄ«t darbÄ«bu failiem, kurus neatbalsta Check Point emulÄcijas un tÄ«rÄ«Å”anas rÄ«ki ā varat atļaut vai liegt visu neatbalstÄ«to failu lejupielÄdi.
LejupielÄdes aizsardzÄ«bas standarta politika ir iestatÄ«ta uz Prevent, kas ļauj iegÅ«t oriÄ£inÄlÄ dokumenta kopiju, kas ir atbrÄ«vota no potenciÄli ļaunprÄtÄ«ga satura, kÄ arÄ« ļauj lejupielÄdÄt failus, kurus neatbalsta emulÄcijas un tÄ«rÄ«Å”anas rÄ«ki.
AkreditÄcijas datu aizsardzÄ«ba
AkreditÄcijas datu aizsardzÄ«bas komponents aizsargÄ lietotÄja akreditÄcijas datus un ietver divus komponentus: nulles pikŔķerÄÅ”anas un paroles aizsardzÄ«bu. Nulle pikŔķerÄÅ”anas aizsargÄ lietotÄjus no piekļuves pikŔķerÄÅ”anas resursiem, un paroles aizsardzÄ«ba informÄ lietotÄju par nepieÅemamÄ«bu izmantot korporatÄ«vos akreditÄcijas datus Ärpus aizsargÄtÄ domÄna. Zero Phishing var iestatÄ«t uz Prevent, Detect vai Off. Ja ir iestatÄ«ta darbÄ«ba NovÄrst, ir iespÄjams ļaut lietotÄjiem ignorÄt brÄ«dinÄjumu par iespÄjamu pikŔķerÄÅ”anas resursu un piekļūt resursam vai atspÄjot Å”o opciju un uz visiem laikiem bloÄ·Ät piekļuvi. Izmantojot darbÄ«bu Noteikt, lietotÄjiem vienmÄr ir iespÄja ignorÄt brÄ«dinÄjumu un piekļūt resursam. Paroles aizsardzÄ«ba ļauj atlasÄ«t aizsargÄtus domÄnus, kuriem tiks pÄrbaudÄ«ta paroļu atbilstÄ«ba, un vienu no trim darbÄ«bÄm: Noteikt un brÄ«dinÄt (paziÅot lietotÄjam), noteikt vai izslÄgt.
AkreditÄcijas datu aizsardzÄ«bas standarta politika ir novÄrst, ka pikŔķerÄÅ”anas resursi neļauj lietotÄjiem piekļūt potenciÄli ļaunprÄtÄ«gai vietnei. Ir iespÄjota arÄ« aizsardzÄ«ba pret korporatÄ«vo paroļu izmantoÅ”anu, taÄu bez norÄdÄ«tajiem domÄniem Ŕī funkcija nedarbosies.
Failu aizsardzība
Failu aizsardzÄ«ba ir atbildÄ«ga par lietotÄja datorÄ saglabÄto failu aizsardzÄ«bu, un tÄ ietver divus komponentus: ļaunprÄtÄ«gas programmatÅ«ras apkaroÅ”anu un failu draudu emulÄciju. Anti-Malware ir rÄ«ks, kas regulÄri skenÄ visus lietotÄju un sistÄmas failus, izmantojot parakstu analÄ«zi. Å Ä« komponenta iestatÄ«jumos varat konfigurÄt regulÄras skenÄÅ”anas vai nejauÅ”as skenÄÅ”anas laika iestatÄ«jumus, paraksta atjauninÄÅ”anas periodu un iespÄju lietotÄjiem atcelt plÄnoto skenÄÅ”anu. Failu draudu emulÄcija ļauj emulÄt failus, kas saglabÄti lietotÄja datorÄ Check Point mÄkoÅa smilÅ”u kastÄ, tomÄr Ŕī droŔības funkcija darbojas tikai Detect režīmÄ.
Failu aizsardzÄ«bas standarta politika ietver aizsardzÄ«bu ar ļaunprÄtÄ«gu programmatÅ«ru un ļaunprÄtÄ«gu failu atklÄÅ”anu, izmantojot failu draudu emulÄciju. RegulÄra skenÄÅ”ana tiek veikta katru mÄnesi, un paraksti lietotÄja ierÄ«cÄ tiek atjauninÄti ik pÄc 4 stundÄm. TajÄ paÅ”Ä laikÄ lietotÄji ir konfigurÄti, lai varÄtu atcelt ieplÄnoto skenÄÅ”anu, bet ne vÄlÄk kÄ 30 dienu laikÄ no pÄdÄjÄs veiksmÄ«gÄs skenÄÅ”anas datuma.
Uzvedības aizsardzība
Anti-Bot, uzvedÄ«bas aizsargs un pretizspiedÄjvÄ«rusu programmatÅ«ra, pretizmantoÅ”ana
AizsardzÄ«bas komponentu grupÄ uzvedÄ«bas aizsardzÄ«ba ietver trÄ«s komponentus: Anti-Bot, Behavioral Guard & Anti-Ransomware un Anti-Exploit. Anti-Bot ļauj uzraudzÄ«t un bloÄ·Ät C&C savienojumus, izmantojot pastÄvÄ«gi atjauninÄto Check Point ThreatCloud datubÄzi. UzvedÄ«bas aizsargs un izspiedÄjvÄ«rusu novÄrÅ”ana pastÄvÄ«gi uzrauga darbÄ«bas (failus, procesus, tÄ«kla mijiedarbÄ«bas) lietotÄja maŔīnÄ un ļauj novÄrst izspiedÄjvÄ«rusu uzbrukumus sÄkuma stadijÄ. TurklÄt Å”is aizsardzÄ«bas elements ļauj atjaunot failus, kurus ļaunprogrammatÅ«ra jau ir Å”ifrÄjusi. Faili tiek atjaunoti to sÄkotnÄjos direktorijos, vai arÄ« varat norÄdÄ«t konkrÄtu ceļu, kurÄ tiks saglabÄti visi atgÅ«tie faili. Anti-Exploit ļauj atklÄt nulles dienas uzbrukumus. Visi uzvedÄ«bas aizsardzÄ«bas komponenti atbalsta trÄ«s darbÄ«bas režīmus: Prevent, Detect un Off.
Standarta uzvedÄ«bas aizsardzÄ«bas politika nodroÅ”ina Anti-Bot un Behavioral Guard un Anti-Ransomware komponentus, kÄ arÄ« Å”ifrÄto failu atjaunoÅ”anu to oriÄ£inÄlajos direktorijos. Anti-Exploit komponents ir atspÄjots un netiek izmantots.
AnalÄ«ze un sanÄcija
AutomatizÄta uzbrukumu analÄ«ze (tiesu ekspertÄ«ze), sanÄcija un reaÄ£ÄÅ”ana
DroŔības incidentu analÄ«zei un izmeklÄÅ”anai ir pieejami divi droŔības komponenti: Automated Attack Analysis (tiesu ekspertÄ«ze) un Remediation & Response. AutomatizÄtÄ uzbrukuma analÄ«ze (tiesu ekspertÄ«ze) ļauj Ä£enerÄt pÄrskatus par uzbrukumu atvairÄ«Å”anas rezultÄtiem ar detalizÄtu aprakstu ā lÄ«dz pat ļaunprogrammatÅ«ras izpildes procesa analÄ«zei lietotÄja datorÄ. Ir iespÄjams izmantot arÄ« draudu meklÄÅ”anas lÄ«dzekli, kas ļauj proaktÄ«vi meklÄt anomÄlijas un potenciÄli ļaunprÄtÄ«gu uzvedÄ«bu, izmantojot iepriekÅ” definÄtus vai izveidotus filtrus. SanÄcija un reaÄ£ÄÅ”ana ļauj konfigurÄt iestatÄ«jumus failu atkopÅ”anai un karantÄ«nai pÄc uzbrukuma: tiek regulÄta lietotÄja mijiedarbÄ«ba ar karantÄ«nas failiem, kÄ arÄ« ir iespÄjams saglabÄt karantÄ«nas failus administratora norÄdÄ«tajÄ direktorijÄ.
Standarta analÄ«zes un laboÅ”anas politikÄ ir iekļauta aizsardzÄ«ba, kas ietver automÄtiskas atkopÅ”anas darbÄ«bas (procesu pÄrtraukÅ”ana, failu atjaunoÅ”ana utt.), kÄ arÄ« ir aktÄ«va iespÄja nosÅ«tÄ«t failus uz karantÄ«nu, un lietotÄji var dzÄst tikai failus no karantÄ«nas.
Standarta draudu novÄrÅ”anas politika: testÄÅ”ana
Check Point CheckMe galapunkts
ÄtrÄkais un vienkÄrÅ”Äkais veids, kÄ pÄrbaudÄ«t lietotÄja iekÄrtas droŔību pret populÄrÄkajiem uzbrukuma veidiem, ir veikt pÄrbaudi, izmantojot resursu
Darba datora droŔības pÄrbaudes procesÄ SandBlast Agent signalizÄ par identificÄtiem un atspoguļotiem uzbrukumiem lietotÄja datoram, piemÄram: Anti-Bot asmens ziÅo par infekcijas atklÄÅ”anu, Anti-Malware asmens ir atklÄjis un dzÄsis ļaunprÄtÄ«gs fails CP_AM.exe, un draudu emulÄcijas asmens ir instalÄjis, ka CP_ZD.exe fails ir ļaunprÄtÄ«gs.
Pamatojoties uz pÄrbaudes rezultÄtiem, izmantojot CheckMe Endpoint, mums ir Å”Äds rezultÄts: no 6 uzbrukuma kategorijÄm standarta draudu novÄrÅ”anas politika nespÄja tikt galÄ tikai ar vienu kategoriju - pÄrlÅ«kprogrammas izmantoÅ”anu. Tas ir tÄpÄc, ka standarta draudu novÄrÅ”anas politikÄ nav iekļauts Anti-Exploit asmens. Ir vÄrts atzÄ«mÄt, ka bez SandBlast Agent instalÄÅ”anas lietotÄja dators izturÄja skenÄÅ”anu tikai kategorijÄ Ransomware.
KnowBe4 RanSim
Lai pÄrbaudÄ«tu Anti-Ransomware asmens darbÄ«bu, varat izmantot bezmaksas risinÄjumu
Ä»aunprÄtÄ«gi faili un dokumenti
Ieteicams pÄrbaudÄ«t dažÄdu standarta draudu novÄrÅ”anas politikas lÄpstiÅu darbÄ«bu, izmantojot populÄru formÄtu ļaunprÄtÄ«gus failus, kas lejupielÄdÄti lietotÄja ierÄ«cÄ. Å ajÄ testÄ tika iekļauti 66 faili PDF, DOC, DOCX, EXE, XLS, XLSX, CAB, RTF formÄtos. Testa rezultÄti parÄdÄ«ja, ka SandBlast Agent spÄja bloÄ·Ät 64 ļaunprÄtÄ«gus failus no 66. InficÄtie faili tika dzÄsti pÄc lejupielÄdes vai arÄ« tika atbrÄ«voti no ļaunprÄtÄ«ga satura, izmantojot draudu ekstrakciju, un lietotÄjs tos saÅÄma.
Ieteikumi draudu novÄrÅ”anas politikas pilnveidoÅ”anai
1. URL filtrÄÅ”ana
PirmÄ lieta, kas ir jÄlabo standarta politikÄ, lai paaugstinÄtu klienta maŔīnas droŔības lÄ«meni, ir pÄrslÄgt URL filtrÄÅ”anas lÄpstiÅu uz Prevent un norÄdÄ«t atbilstoÅ”Äs bloÄ·ÄÅ”anas kategorijas. MÅ«su gadÄ«jumÄ tika atlasÄ«tas visas kategorijas, izÅemot vispÄrÄjo lietoÅ”anu, jo tajÄs ir iekļauta lielÄkÄ daļa resursu, kuriem ir nepiecieÅ”ams ierobežot piekļuvi lietotÄjiem darba vietÄ. Å ÄdÄm vietnÄm ir ieteicams arÄ« noÅemt iespÄju lietotÄjiem izlaist brÄ«dinÄjuma logu, noÅemot atzÄ«mi no parametra āAtļaut lietotÄjam noraidÄ«t brÄ«dinÄjumu par URL filtrÄÅ”anu un piekļūt vietneiā.
2. LejupielÄdes aizsardzÄ«ba
Otra iespÄja, kurai vÄrts pievÄrst uzmanÄ«bu, ir lietotÄju iespÄja lejupielÄdÄt failus, kurus neatbalsta Check Point emulÄcija. TÄ kÄ Å”ajÄ sadaÄ¼Ä mÄs aplÅ«kojam standarta draudu novÄrÅ”anas politikas uzlabojumus no droŔības viedokļa, labÄkÄ iespÄja bÅ«tu bloÄ·Ät neatbalstÄ«tu failu lejupielÄdi.
3. Failu aizsardzība
Jums jÄpievÄrÅ” uzmanÄ«ba arÄ« failu aizsardzÄ«bas iestatÄ«jumiem - jo Ä«paÅ”i periodiskas skenÄÅ”anas iestatÄ«jumiem un lietotÄja iespÄjai atlikt piespiedu skenÄÅ”anu. Å ajÄ gadÄ«jumÄ ir jÄÅem vÄrÄ lietotÄja laika posms, un labs risinÄjums no droŔības un veiktspÄjas viedokļa ir konfigurÄt piespiedu skenÄÅ”anu, lai tÄ darbotos katru dienu, laiku izvÄloties nejauÅ”i (no 00:00 lÄ«dz 8: 00), un lietotÄjs var atlikt skenÄÅ”anu ne ilgÄk kÄ vienu nedÄļu.
4. Anti-Exploit
BÅ«tisks standarta draudu novÄrÅ”anas politikas trÅ«kums ir tas, ka Anti-Exploit asmens ir atspÄjots. Ieteicams iespÄjot Å”o asmeni ar darbÄ«bu NovÄrst, lai aizsargÄtu darbstaciju no uzbrukumiem, izmantojot ļaunprÄtÄ«gas darbÄ«bas. Izmantojot Å”o labojumu, CheckMe atkÄrtotÄ pÄrbaude tiek veiksmÄ«gi pabeigta, neatklÄjot lietotÄja ražoÅ”anas iekÄrtas ievainojamÄ«bas.
SecinÄjums
Apkoposim: Å”ajÄ rakstÄ mÄs iepazinÄmies ar standarta draudu novÄrÅ”anas politikas sastÄvdaļÄm, pÄrbaudÄ«jÄm Å”o politiku, izmantojot dažÄdas metodes un rÄ«kus, kÄ arÄ« aprakstÄ«jÄm ieteikumus standarta politikas iestatÄ«jumu uzlaboÅ”anai, lai paaugstinÄtu lietotÄja maŔīnas droŔības lÄ«meni. . NÄkamajÄ sÄrijas rakstÄ mÄs pÄriesim uz datu aizsardzÄ«bas politikas izpÄti un apskatÄ«sim globÄlÄs politikas iestatÄ«jumus.
Avots: www.habr.com