ProHoster > Blogs > Administrācija > 3. Pārbaudiet Point SandBlast aÄ£entu pārvaldÄ«bas platformu. Draudu novērÅ”anas politika

3. Pārbaudiet Point SandBlast aÄ£entu pārvaldÄ«bas platformu. Draudu novērÅ”anas politika

3. Pārbaudiet Point SandBlast aÄ£entu pārvaldÄ«bas platformu. Draudu novērÅ”anas politika

Laipni lÅ«dzam treÅ”ajā rakstā sērijā par jauno personālo datoru aizsardzÄ«bas pārvaldÄ«bas konsoli, kas balstÄ«ta uz mākoņdatoÅ”anu ā€“ Check Point SandBlast Agent Management Platform. Ä»aujiet man jums to atgādināt pirmais raksts iepazināmies ar Infinity portālu un izveidojām uz mākoņa bāzes aÄ£entu pārvaldÄ«bas servisu Endpoint Management Service. In otrais raksts Mēs izpētÄ«jām tÄ«mekļa pārvaldÄ«bas konsoles saskarni un lietotāja datorā instalējām aÄ£entu ar standarta politiku. Å odien mēs apskatÄ«sim standarta draudu novērÅ”anas droŔības politikas saturu un pārbaudÄ«sim tās efektivitāti cīņā pret populāriem uzbrukumiem.

Standarta draudu novērÅ”anas politika: Apraksts

3. Pārbaudiet Point SandBlast aÄ£entu pārvaldÄ«bas platformu. Draudu novērÅ”anas politika

AugŔējā attēlā ir parādÄ«ts standarta draudu novērÅ”anas politikas noteikums, kas pēc noklusējuma attiecas uz visu organizāciju (visiem instalētajiem aÄ£entiem) un ietver trÄ«s loÄ£iskas aizsardzÄ«bas komponentu grupas: tÄ«mekļa un failu aizsardzÄ«ba, uzvedÄ«bas aizsardzÄ«ba un analÄ«ze un laboÅ”ana. ApskatÄ«sim tuvāk katru no grupām.

Tīmekļa un failu aizsardzība

URL filtrēŔana
URL filtrÄ“Å”ana ļauj kontrolēt lietotāju piekļuvi tÄ«mekļa resursiem, izmantojot iepriekÅ” noteiktas 5 vietņu kategorijas. Katra no 5 kategorijām satur vairākas specifiskākas apakÅ”kategorijas, kas ļauj konfigurēt, piemēram, bloķēt piekļuvi apakÅ”kategorijai Spēles un ļaut piekļūt apakÅ”kategorijai Instant Messaging, kas ir iekļautas tajā paŔā Produktivitātes zudumu kategorijā. Ar noteiktām apakÅ”kategorijām saistÄ«tos URL nosaka Check Point. Varat pārbaudÄ«t kategoriju, kurai pieder konkrēts URL, vai pieprasÄ«t kategorijas ignorÄ“Å”anu Ä«paÅ”am resursam URL kategorizÄ“Å”ana.
DarbÄ«bu var iestatÄ«t uz Novērst, Noteikt vai Izslēgt. Turklāt, atlasot darbÄ«bu Noteikt, automātiski tiek pievienots iestatÄ«jums, kas ļauj lietotājiem izlaist URL filtrÄ“Å”anas brÄ«dinājumu un pāriet uz interesējoÅ”o resursu. Ja tiek izmantots Prevent, Å”o iestatÄ«jumu var noņemt un lietotājs nevarēs piekļūt aizliegtajai vietnei. Vēl viens ērts veids, kā kontrolēt aizliegtos resursus, ir izveidot bloķēto sarakstu, kurā varat norādÄ«t domēnus, IP adreses vai augÅ”upielādēt .csv failu ar bloķējamo domēnu sarakstu.

3. Pārbaudiet Point SandBlast aÄ£entu pārvaldÄ«bas platformu. Draudu novērÅ”anas politika

Standarta politikā URL filtrÄ“Å”anai darbÄ«ba ir iestatÄ«ta uz Noteikt un ir atlasÄ«ta viena kategorija ā€” DroŔība, kurai tiks noteikti notikumi. Å ajā kategorijā ietilpst dažādi anonimizatori, vietnes ar kritisku/augstu/vidēju riska lÄ«meni, pikŔķerÄ“Å”anas vietnes, surogātpasts un daudz kas cits. Tomēr lietotāji joprojām varēs piekļūt resursam, pateicoties iestatÄ«jumam ā€œAtļaut lietotājam noraidÄ«t URL filtrÄ“Å”anas brÄ«dinājumu un piekļūt vietneiā€.

Lejupielādes (tīmekļa) aizsardzība
Emulācija un ekstrakcija ļauj atdarināt lejupielādētos failus Check Point mākoņa smilÅ”u kastē un ātri iztÄ«rÄ«t dokumentus, noņemot potenciāli ļaunprātÄ«gu saturu vai konvertējot dokumentu PDF formātā. Ir trÄ«s darbÄ«bas režīmi:

  • Kavēt ā€” ļauj iegÅ«t notÄ«rÄ«tā dokumenta kopiju pirms galÄ«gā emulācijas sprieduma vai gaidÄ«t, lÄ«dz emulācija tiks pabeigta, un nekavējoties lejupielādēt oriÄ£inālo failu;

  • Atklāt ā€” veic emulāciju fonā, neliedzot lietotājam saņemt oriÄ£inālo failu neatkarÄ«gi no sprieduma;

  • No ā€” visus failus ir atļauts lejupielādēt bez emulācijas un potenciāli ļaunprātÄ«gu komponentu tÄ«rÄ«Å”anas.

Ir iespējams arÄ« atlasÄ«t darbÄ«bu failiem, kurus neatbalsta Check Point emulācijas un tÄ«rÄ«Å”anas rÄ«ki ā€“ varat atļaut vai liegt visu neatbalstÄ«to failu lejupielādi.

3. Pārbaudiet Point SandBlast aÄ£entu pārvaldÄ«bas platformu. Draudu novērÅ”anas politika

Lejupielādes aizsardzÄ«bas standarta politika ir iestatÄ«ta uz Prevent, kas ļauj iegÅ«t oriÄ£inālā dokumenta kopiju, kas ir atbrÄ«vota no potenciāli ļaunprātÄ«ga satura, kā arÄ« ļauj lejupielādēt failus, kurus neatbalsta emulācijas un tÄ«rÄ«Å”anas rÄ«ki.

Akreditācijas datu aizsardzība
Akreditācijas datu aizsardzÄ«bas komponents aizsargā lietotāja akreditācijas datus un ietver divus komponentus: nulles pikŔķerÄ“Å”anas un paroles aizsardzÄ«bu. Nulle pikŔķerÄ“Å”anas aizsargā lietotājus no piekļuves pikŔķerÄ“Å”anas resursiem, un paroles aizsardzÄ«ba informē lietotāju par nepieņemamÄ«bu izmantot korporatÄ«vos akreditācijas datus ārpus aizsargātā domēna. Zero Phishing var iestatÄ«t uz Prevent, Detect vai Off. Ja ir iestatÄ«ta darbÄ«ba Novērst, ir iespējams ļaut lietotājiem ignorēt brÄ«dinājumu par iespējamu pikŔķerÄ“Å”anas resursu un piekļūt resursam vai atspējot Å”o opciju un uz visiem laikiem bloķēt piekļuvi. Izmantojot darbÄ«bu Noteikt, lietotājiem vienmēr ir iespēja ignorēt brÄ«dinājumu un piekļūt resursam. Paroles aizsardzÄ«ba ļauj atlasÄ«t aizsargātus domēnus, kuriem tiks pārbaudÄ«ta paroļu atbilstÄ«ba, un vienu no trim darbÄ«bām: Noteikt un brÄ«dināt (paziņot lietotājam), noteikt vai izslēgt.

3. Pārbaudiet Point SandBlast aÄ£entu pārvaldÄ«bas platformu. Draudu novērÅ”anas politika

Akreditācijas datu aizsardzÄ«bas standarta politika ir novērst, ka pikŔķerÄ“Å”anas resursi neļauj lietotājiem piekļūt potenciāli ļaunprātÄ«gai vietnei. Ir iespējota arÄ« aizsardzÄ«ba pret korporatÄ«vo paroļu izmantoÅ”anu, taču bez norādÄ«tajiem domēniem Ŕī funkcija nedarbosies.

Failu aizsardzība
Failu aizsardzÄ«ba ir atbildÄ«ga par lietotāja datorā saglabāto failu aizsardzÄ«bu, un tā ietver divus komponentus: ļaunprātÄ«gas programmatÅ«ras apkaroÅ”anu un failu draudu emulāciju. Anti-Malware ir rÄ«ks, kas regulāri skenē visus lietotāju un sistēmas failus, izmantojot parakstu analÄ«zi. Å Ä« komponenta iestatÄ«jumos varat konfigurēt regulāras skenÄ“Å”anas vai nejauÅ”as skenÄ“Å”anas laika iestatÄ«jumus, paraksta atjaunināŔanas periodu un iespēju lietotājiem atcelt plānoto skenÄ“Å”anu. Failu draudu emulācija ļauj emulēt failus, kas saglabāti lietotāja datorā Check Point mākoņa smilÅ”u kastē, tomēr Ŕī droŔības funkcija darbojas tikai Detect režīmā.

3. Pārbaudiet Point SandBlast aÄ£entu pārvaldÄ«bas platformu. Draudu novērÅ”anas politika

Failu aizsardzÄ«bas standarta politika ietver aizsardzÄ«bu ar ļaunprātÄ«gu programmatÅ«ru un ļaunprātÄ«gu failu atklāŔanu, izmantojot failu draudu emulāciju. Regulāra skenÄ“Å”ana tiek veikta katru mēnesi, un paraksti lietotāja ierÄ«cē tiek atjaunināti ik pēc 4 stundām. Tajā paŔā laikā lietotāji ir konfigurēti, lai varētu atcelt ieplānoto skenÄ“Å”anu, bet ne vēlāk kā 30 dienu laikā no pēdējās veiksmÄ«gās skenÄ“Å”anas datuma.

Uzvedības aizsardzība

Anti-Bot, uzvedÄ«bas aizsargs un pretizspiedējvÄ«rusu programmatÅ«ra, pretizmantoÅ”ana
AizsardzÄ«bas komponentu grupā uzvedÄ«bas aizsardzÄ«ba ietver trÄ«s komponentus: Anti-Bot, Behavioral Guard & Anti-Ransomware un Anti-Exploit. Anti-Bot ļauj uzraudzÄ«t un bloķēt C&C savienojumus, izmantojot pastāvÄ«gi atjaunināto Check Point ThreatCloud datubāzi. UzvedÄ«bas aizsargs un izspiedējvÄ«rusu novērÅ”ana pastāvÄ«gi uzrauga darbÄ«bas (failus, procesus, tÄ«kla mijiedarbÄ«bas) lietotāja maŔīnā un ļauj novērst izspiedējvÄ«rusu uzbrukumus sākuma stadijā. Turklāt Å”is aizsardzÄ«bas elements ļauj atjaunot failus, kurus ļaunprogrammatÅ«ra jau ir Å”ifrējusi. Faili tiek atjaunoti to sākotnējos direktorijos, vai arÄ« varat norādÄ«t konkrētu ceļu, kurā tiks saglabāti visi atgÅ«tie faili. Anti-Exploit ļauj atklāt nulles dienas uzbrukumus. Visi uzvedÄ«bas aizsardzÄ«bas komponenti atbalsta trÄ«s darbÄ«bas režīmus: Prevent, Detect un Off.

3. Pārbaudiet Point SandBlast aÄ£entu pārvaldÄ«bas platformu. Draudu novērÅ”anas politika

Standarta uzvedÄ«bas aizsardzÄ«bas politika nodroÅ”ina Anti-Bot un Behavioral Guard un Anti-Ransomware komponentus, kā arÄ« Å”ifrēto failu atjaunoÅ”anu to oriÄ£inālajos direktorijos. Anti-Exploit komponents ir atspējots un netiek izmantots.

Analīze un sanācija

Automatizēta uzbrukumu analÄ«ze (tiesu ekspertÄ«ze), sanācija un reaģēŔana
DroŔības incidentu analÄ«zei un izmeklÄ“Å”anai ir pieejami divi droŔības komponenti: Automated Attack Analysis (tiesu ekspertÄ«ze) un Remediation & Response. Automatizētā uzbrukuma analÄ«ze (tiesu ekspertÄ«ze) ļauj Ä£enerēt pārskatus par uzbrukumu atvairÄ«Å”anas rezultātiem ar detalizētu aprakstu ā€” lÄ«dz pat ļaunprogrammatÅ«ras izpildes procesa analÄ«zei lietotāja datorā. Ir iespējams izmantot arÄ« draudu meklÄ“Å”anas lÄ«dzekli, kas ļauj proaktÄ«vi meklēt anomālijas un potenciāli ļaunprātÄ«gu uzvedÄ«bu, izmantojot iepriekÅ” definētus vai izveidotus filtrus. Sanācija un reaģēŔana ļauj konfigurēt iestatÄ«jumus failu atkopÅ”anai un karantÄ«nai pēc uzbrukuma: tiek regulēta lietotāja mijiedarbÄ«ba ar karantÄ«nas failiem, kā arÄ« ir iespējams saglabāt karantÄ«nas failus administratora norādÄ«tajā direktorijā.

3. Pārbaudiet Point SandBlast aÄ£entu pārvaldÄ«bas platformu. Draudu novērÅ”anas politika

Standarta analÄ«zes un laboÅ”anas politikā ir iekļauta aizsardzÄ«ba, kas ietver automātiskas atkopÅ”anas darbÄ«bas (procesu pārtraukÅ”ana, failu atjaunoÅ”ana utt.), kā arÄ« ir aktÄ«va iespēja nosÅ«tÄ«t failus uz karantÄ«nu, un lietotāji var dzēst tikai failus no karantÄ«nas.

Standarta draudu novērÅ”anas politika: testÄ“Å”ana

Check Point CheckMe galapunkts

3. Pārbaudiet Point SandBlast aÄ£entu pārvaldÄ«bas platformu. Draudu novērÅ”anas politika

Ātrākais un vienkārŔākais veids, kā pārbaudÄ«t lietotāja iekārtas droŔību pret populārākajiem uzbrukuma veidiem, ir veikt pārbaudi, izmantojot resursu Check Point Check Me, kas veic vairākus tipiskus dažādu kategoriju uzbrukumus un ļauj iegÅ«t atskaiti par testÄ“Å”anas rezultātiem. Å ajā gadÄ«jumā tika izmantota opcija Endpoint testing, kurā izpildāmais fails tiek lejupielādēts un palaists datorā, un pēc tam sākas verifikācijas process.

3. Pārbaudiet Point SandBlast aÄ£entu pārvaldÄ«bas platformu. Draudu novērÅ”anas politika

Darba datora droŔības pārbaudes procesā SandBlast Agent signalizē par identificētiem un atspoguļotiem uzbrukumiem lietotāja datoram, piemēram: Anti-Bot asmens ziņo par infekcijas atklāŔanu, Anti-Malware asmens ir atklājis un dzēsis ļaunprātÄ«gs fails CP_AM.exe, un draudu emulācijas asmens ir instalējis, ka CP_ZD.exe fails ir ļaunprātÄ«gs.

3. Pārbaudiet Point SandBlast aÄ£entu pārvaldÄ«bas platformu. Draudu novērÅ”anas politika

Pamatojoties uz pārbaudes rezultātiem, izmantojot CheckMe Endpoint, mums ir Ŕāds rezultāts: no 6 uzbrukuma kategorijām standarta draudu novērÅ”anas politika nespēja tikt galā tikai ar vienu kategoriju - pārlÅ«kprogrammas izmantoÅ”anu. Tas ir tāpēc, ka standarta draudu novērÅ”anas politikā nav iekļauts Anti-Exploit asmens. Ir vērts atzÄ«mēt, ka bez SandBlast Agent instalÄ“Å”anas lietotāja dators izturēja skenÄ“Å”anu tikai kategorijā Ransomware.

3. Pārbaudiet Point SandBlast aÄ£entu pārvaldÄ«bas platformu. Draudu novērÅ”anas politika

KnowBe4 RanSim

Lai pārbaudÄ«tu Anti-Ransomware asmens darbÄ«bu, varat izmantot bezmaksas risinājumu KnowBe4 RanSim, kurā lietotāja datorā tiek veikta virkne testu: 18 izspiedējvÄ«rusu infekcijas scenāriji un 1 kriptogrāfa infekcijas scenārijs. Ir vērts atzÄ«mēt, ka daudzu asmeņu klātbÅ«tne standarta politikā (Draudu emulācija, Anti-Malware, Behavioral Guard) ar darbÄ«bu Prevent neļauj Å”im testam darboties pareizi. Tomēr pat ar pazeminātu droŔības lÄ«meni (Draudu emulācija izslēgtā režīmā) Anti-Ransomware asmens tests uzrāda augstus rezultātus: 18 no 19 testiem ir veiksmÄ«gi izturēti (1 neizdevās startēt).

3. Pārbaudiet Point SandBlast aÄ£entu pārvaldÄ«bas platformu. Draudu novērÅ”anas politika

Ļaunprātīgi faili un dokumenti

Ieteicams pārbaudÄ«t dažādu standarta draudu novērÅ”anas politikas lāpstiņu darbÄ«bu, izmantojot populāru formātu ļaunprātÄ«gus failus, kas lejupielādēti lietotāja ierÄ«cē. Å ajā testā tika iekļauti 66 faili PDF, DOC, DOCX, EXE, XLS, XLSX, CAB, RTF formātos. Testa rezultāti parādÄ«ja, ka SandBlast Agent spēja bloķēt 64 ļaunprātÄ«gus failus no 66. Inficētie faili tika dzēsti pēc lejupielādes vai arÄ« tika atbrÄ«voti no ļaunprātÄ«ga satura, izmantojot draudu ekstrakciju, un lietotājs tos saņēma.

3. Pārbaudiet Point SandBlast aÄ£entu pārvaldÄ«bas platformu. Draudu novērÅ”anas politika

Ieteikumi draudu novērÅ”anas politikas pilnveidoÅ”anai

1. URL filtrÄ“Å”ana

3. Pārbaudiet Point SandBlast aÄ£entu pārvaldÄ«bas platformu. Draudu novērÅ”anas politika

Pirmā lieta, kas ir jālabo standarta politikā, lai paaugstinātu klienta maŔīnas droŔības lÄ«meni, ir pārslēgt URL filtrÄ“Å”anas lāpstiņu uz Prevent un norādÄ«t atbilstoŔās bloÄ·Ä“Å”anas kategorijas. MÅ«su gadÄ«jumā tika atlasÄ«tas visas kategorijas, izņemot vispārējo lietoÅ”anu, jo tajās ir iekļauta lielākā daļa resursu, kuriem ir nepiecieÅ”ams ierobežot piekļuvi lietotājiem darba vietā. Šādām vietnēm ir ieteicams arÄ« noņemt iespēju lietotājiem izlaist brÄ«dinājuma logu, noņemot atzÄ«mi no parametra ā€œAtļaut lietotājam noraidÄ«t brÄ«dinājumu par URL filtrÄ“Å”anu un piekļūt vietneiā€.

2. Lejupielādes aizsardzība

3. Pārbaudiet Point SandBlast aÄ£entu pārvaldÄ«bas platformu. Draudu novērÅ”anas politika

Otra iespēja, kurai vērts pievērst uzmanÄ«bu, ir lietotāju iespēja lejupielādēt failus, kurus neatbalsta Check Point emulācija. Tā kā Å”ajā sadaļā mēs aplÅ«kojam standarta draudu novērÅ”anas politikas uzlabojumus no droŔības viedokļa, labākā iespēja bÅ«tu bloķēt neatbalstÄ«tu failu lejupielādi.

3. Failu aizsardzība

3. Pārbaudiet Point SandBlast aÄ£entu pārvaldÄ«bas platformu. Draudu novērÅ”anas politika

Jums jāpievērÅ” uzmanÄ«ba arÄ« failu aizsardzÄ«bas iestatÄ«jumiem - jo Ä«paÅ”i periodiskas skenÄ“Å”anas iestatÄ«jumiem un lietotāja iespējai atlikt piespiedu skenÄ“Å”anu. Å ajā gadÄ«jumā ir jāņem vērā lietotāja laika posms, un labs risinājums no droŔības un veiktspējas viedokļa ir konfigurēt piespiedu skenÄ“Å”anu, lai tā darbotos katru dienu, laiku izvēloties nejauÅ”i (no 00:00 lÄ«dz 8: 00), un lietotājs var atlikt skenÄ“Å”anu ne ilgāk kā vienu nedēļu.

4. Anti-Exploit

3. Pārbaudiet Point SandBlast aÄ£entu pārvaldÄ«bas platformu. Draudu novērÅ”anas politika

BÅ«tisks standarta draudu novērÅ”anas politikas trÅ«kums ir tas, ka Anti-Exploit asmens ir atspējots. Ieteicams iespējot Å”o asmeni ar darbÄ«bu Novērst, lai aizsargātu darbstaciju no uzbrukumiem, izmantojot ļaunprātÄ«gas darbÄ«bas. Izmantojot Å”o labojumu, CheckMe atkārtotā pārbaude tiek veiksmÄ«gi pabeigta, neatklājot lietotāja ražoÅ”anas iekārtas ievainojamÄ«bas.

3. Pārbaudiet Point SandBlast aÄ£entu pārvaldÄ«bas platformu. Draudu novērÅ”anas politika

Secinājums

Apkoposim: Å”ajā rakstā mēs iepazināmies ar standarta draudu novērÅ”anas politikas sastāvdaļām, pārbaudÄ«jām Å”o politiku, izmantojot dažādas metodes un rÄ«kus, kā arÄ« aprakstÄ«jām ieteikumus standarta politikas iestatÄ«jumu uzlaboÅ”anai, lai paaugstinātu lietotāja maŔīnas droŔības lÄ«meni. . Nākamajā sērijas rakstā mēs pāriesim uz datu aizsardzÄ«bas politikas izpēti un apskatÄ«sim globālās politikas iestatÄ«jumus.

Liela materiālu izvēle vietnē Check Point no TS Solution. Lai nepalaistu garām nākamās publikācijas par tēmu SandBlast Agent Management Platform, sekojiet līdzi jaunumiem mūsu sociālajos tīklos (Telegram, Facebook, VK, TS risinājumu emuārs, Yandex Zen).

Avots: www.habr.com

Pievieno komentāru