Үүлэн дээр суурилсан хувийн компьютерын хамгаалалтын удирдлагын шинэ консол болох Check Point SandBlast Agent Management Platform-ийн тухай цувралын гурав дахь нийтлэлд тавтай морилно уу. Үүнийг танд сануулъя Бид Infinity Portal-тай танилцаж, үүлэнд суурилсан агентын удирдлагын үйлчилгээ болох Endpoint Management Service-ийг бий болгосон. онд Бид вэб удирдлагын консолын интерфейсийг судалж, хэрэглэгчийн машин дээр стандарт бодлого бүхий агент суулгасан. Өнөөдөр бид аюул заналаас урьдчилан сэргийлэх стандарт аюулгүй байдлын бодлогын агуулгыг үзэж, түгээмэл халдлагыг эсэргүүцэх үр дүнтэй эсэхийг шалгах болно.
Аюулаас урьдчилан сэргийлэх стандарт бодлого: Тодорхойлолт
Дээрх зурагт Аюулаас урьдчилан сэргийлэх стандарт бодлогын дүрмийг харуулсан бөгөөд энэ нь анхдагч байдлаар бүх байгууллагад (суулгасан бүх агентууд) хамаарах бөгөөд вэб ба файлын хамгаалалт, зан үйлийн хамгаалалт, дүн шинжилгээ ба засварын гурван логик бүлэг хамгаалалтын бүрэлдэхүүн хэсгүүдийг агуулдаг. Бүлэг тус бүрийг нарийвчлан авч үзье.
Вэб ба файлын хамгаалалт
URL шүүлтүүр
URL шүүлтүүр нь урьдчилан тодорхойлсон 5 ангиллын сайтуудыг ашиглан вэб нөөцөд хэрэглэгчийн хандалтыг хянах боломжийг танд олгоно. 5 ангилал тус бүр нь хэд хэдэн тодорхой дэд категориудыг агуулдаг бөгөөд энэ нь жишээлбэл, "Тоглоомын" дэд ангилалд хандах хандалтыг хаах, Бүтээмжийн алдагдлын ижил ангилалд багтсан Шуурхай мессежийн дэд ангилалд хандах боломжийг тохируулах боломжийг олгодог. Тодорхой дэд ангилалтай холбоотой URL-уудыг Check Point-оор тодорхойлно. Та тодорхой URL-д хамаарах категорийг шалгах эсвэл тусгай нөөц дээр категорийг хүчингүй болгох хүсэлт гаргах боломжтой .
Үйлдлийг Урьдчилан сэргийлэх, Илрүүлэх эсвэл Унтраах гэж тохируулж болно. Мөн Илрүүлэх үйлдлийг сонгох үед хэрэглэгчид URL шүүлтүүрийн анхааруулгыг алгасаж сонирхсон эх сурвалж руугаа очих боломжийг автоматаар нэмдэг. Хэрэв Prevent-ийг ашиглавал энэ тохиргоог устгаж болох бөгөөд хэрэглэгч хориглосон сайт руу нэвтрэх боломжгүй болно. Хориотой нөөцийг хянах өөр нэг тохиромжтой арга бол Блокийн жагсаалт үүсгэх бөгөөд үүнд та домэйн, IP хаяг зааж өгөх эсвэл хаах домайнуудын жагсаалт бүхий .csv файлыг байршуулах боломжтой.
URL шүүлтүүрийн стандарт бодлогод үйлдлийг Илрүүлэх гэж тохируулсан бөгөөд нэг ангиллыг сонгосон - Аюулгүй байдал, үйл явдлыг илрүүлэх. Энэ ангилалд янз бүрийн нэрээ нууцлагч, чухал/өндөр/дунд эрсдэлтэй сайтууд, фишинг сайтууд, спам болон бусад олон зүйлс багтана. Гэсэн хэдий ч хэрэглэгчид "URL шүүлтүүрийн сэрэмжлүүлгийг хааж, вэбсайт руу нэвтрэхийг хэрэглэгчдэд зөвшөөрөх" тохиргооны ачаар нөөцөд хандах боломжтой хэвээр байх болно.
Татаж авах (вэб) хамгаалалт
Emulation & Extraction нь Check Point үүлэн хамгаалагдсан хязгаарлагдмал орчинд татаж авсан файлуудыг дуурайж, баримтуудыг шууд цэвэрлэх, хортой байж болзошгүй контентыг устгах эсвэл баримтыг PDF болгон хөрвүүлэх боломжийг олгоно. Гурван үйлдлийн горим байдаг:
- Урьдчилан сэргийлэх - эмуляцийн эцсийн шийдвэр гарахаас өмнө цэвэрлэсэн баримт бичгийн хуулбарыг авах, эсвэл эмуляцийг дуусгахыг хүлээх, эх файлыг шууд татаж авах боломжийг танд олгоно;
- Тодорхойлолт - Шүүхийн шийдвэрээс үл хамааран хэрэглэгч эх файлыг хүлээн авахад саад учруулахгүйгээр далд дууриамал хийх;
- Off - аливаа файлыг эмуляци хийх, хортой бүрэлдэхүүн хэсгүүдийг цэвэрлэхгүйгээр татаж авахыг зөвшөөрдөг.
Мөн Check Point эмуляц болон цэвэрлэх хэрэгслүүдээр дэмжигдээгүй файлуудын үйлдлийг сонгох боломжтой - та дэмжигдээгүй бүх файлыг татаж авахыг зөвшөөрөх эсвэл татгалзах боломжтой.
Татаж авах хамгаалалтын стандарт бодлогыг Урьдчилан сэргийлэх гэж тохируулсан бөгөөд энэ нь хортой байж болзошгүй агуулгыг устгасан эх баримт бичгийн хуулбарыг авах, мөн эмуляц болон цэвэрлэх хэрэгслүүдээр дэмжигдээгүй файлуудыг татаж авах боломжийг олгодог.
Итгэмжлэлийн хамгаалалт
Итгэмжлэлийн хамгаалалтын бүрэлдэхүүн хэсэг нь хэрэглэгчийн итгэмжлэлийг хамгаалдаг бөгөөд 2 бүрэлдэхүүн хэсэг багтана: Zero Phishing болон Password Protection. Тэг фишинг хэрэглэгчдийг фишингийн нөөцөд хандахаас хамгаалдаг, мөн Нууц үг хамгаалах хамгаалагдсан домэйноос гадуур байгууллагын итгэмжлэлийг ашиглахыг зөвшөөрөхгүй байгаа талаар хэрэглэгчдэд мэдэгдэнэ. "Тэг фишинг"-ийг Урьдчилан сэргийлэх, илрүүлэх, унтраах гэж тохируулж болно. Урьдчилан сэргийлэх үйлдлийг тохируулснаар хэрэглэгчдэд боломжит фишинг нөөцийн талаарх сэрэмжлүүлгийг үл тоомсорлож, нөөцөд хандах эрхийг олгох эсвэл энэ сонголтыг идэвхгүй болгож, хандалтыг бүрмөсөн хаах боломжтой. Илрүүлэх үйлдлээр хэрэглэгчдэд анхааруулгыг үл тоомсорлож, нөөцөд хандах сонголт үргэлж байдаг. Нууц үгийн хамгаалалт нь нууц үг нь нийцэж байгаа эсэхийг шалгах хамгаалагдсан домэйнүүдийг сонгох боломжийг олгодог бөгөөд гурван үйлдлийн нэг нь: Илрүүлэх, сэрэмжлүүлэх (хэрэглэгчийг мэдэгдэх), Илрүүлэх эсвэл Унтраах.
Итгэмжлэх жуух бичгээ хамгаалах стандарт бодлого нь аливаа фишинг эх үүсвэрийг хэрэглэгчдийг хортой сайт руу нэвтрэхээс урьдчилан сэргийлэх явдал юм. Корпорацийн нууц үг ашиглахаас хамгаалах хамгаалалтыг идэвхжүүлсэн боловч заасан домэйнгүйгээр энэ функц ажиллахгүй.
Файлын хамгаалалт
Files Protection нь хэрэглэгчийн машин дээр хадгалагдсан файлуудыг хамгаалах үүрэгтэй бөгөөд Anti-Malware болон Files Threat Emulation гэсэн хоёр бүрэлдэхүүн хэсгээс бүрдэнэ. Вирусны эсрэг програм нь гарын үсгийн шинжилгээ ашиглан бүх хэрэглэгчийн болон системийн файлуудыг тогтмол сканнердах хэрэгсэл юм. Энэ бүрэлдэхүүн хэсгийн тохиргоонд та тогтмол сканнердах эсвэл санамсаргүй скан хийх хугацаа, гарын үсгийн шинэчлэлтийн хугацаа, хэрэглэгчдэд төлөвлөсөн сканнердах ажиллагааг цуцлах зэрэг тохиргоог хийж болно. Файлын аюулын эмуляц Check Point үүлэн хамгаалагдсан хязгаарлагдмал орчинд хэрэглэгчийн машин дээр хадгалагдсан файлуудыг дуурайх боломжийг танд олгодог боловч энэ хамгаалалтын функц нь зөвхөн Илрүүлэх горимд ажилладаг.
Файлын хамгаалалтын стандарт бодлогод Anti-Malware-ийн хамгаалалт, Files Threat Emulation-ийн тусламжтайгаар хортой файлуудыг илрүүлэх зэрэг орно. Тогтмол сканнердах ажлыг сар бүр хийдэг бөгөөд хэрэглэгчийн машин дээрх гарын үсгийг 4 цаг тутамд шинэчилдэг. Үүний зэрэгцээ хэрэглэгчид хуваарьт сканнердсаныг цуцлах боломжтой байхаар тохируулагдсан боловч сүүлчийн амжилттай скан хийснээс хойш 30 хоногийн дотор.
Зан үйлийн хамгаалалт
Anti-Bot, Behavior Guard & Anti-Ransomware, Anti-Exploit
Хамгаалалтын бүрэлдэхүүн хэсгүүдийн зан үйлийн хамгаалалтын бүлэг нь Anti-Bot, Behavioral Guard & Anti-Ransomware, Anti-Exploit гэсэн гурван бүрэлдэхүүн хэсгээс бүрдэнэ. Ботын эсрэг байнга шинэчлэгдэж байдаг Check Point ThreatCloud мэдээллийн санг ашиглан C&C холболтыг хянах, хаах боломжийг танд олгоно. Зан үйлийн хамгаалалт ба Ransomware-ийн эсрэг хэрэглэгчийн машин дээрх үйл ажиллагааг (файл, процесс, сүлжээний харилцан үйлчлэл) байнга хянаж, эхний шатанд ransomware халдлагаас урьдчилан сэргийлэх боломжийг олгодог. Нэмж дурдахад энэхүү хамгаалалтын элемент нь хортой програмаар шифрлэгдсэн файлуудыг сэргээх боломжийг танд олгоно. Файлуудыг анхны сан руугаа сэргээдэг, эсвэл та бүх сэргээсэн файлуудыг хадгалах тодорхой замыг зааж өгч болно. Мөлжлөгийн эсрэг тэг өдрийн халдлагыг илрүүлэх боломжийг танд олгоно. Зан үйлийн хамгаалалтын бүх бүрэлдэхүүн хэсгүүд нь урьдчилан сэргийлэх, илрүүлэх, унтраах гэсэн гурван үйлдлийн горимыг дэмждэг.
Зан үйлийн хамгаалалтын стандарт бодлого нь Anti-Bot болон Behavioral Guard & Anti-Ransomware бүрэлдэхүүн хэсгүүдэд зориулж урьдчилан сэргийлэх, шифрлэгдсэн файлуудыг анхны лавлахдаа сэргээх боломжийг олгодог. Anti-Exploit бүрэлдэхүүн хэсэг нь идэвхгүй бөгөөд ашиглагдаагүй байна.
Шинжилгээ ба засвар
Автомат довтолгоонд дүн шинжилгээ хийх (Шүүхийн шинжилгээ), нөхөн сэргээх, хариу арга хэмжээ авах
Аюулгүй байдлын хоёр бүрэлдэхүүн хэсэг нь аюулгүй байдлын ослын шинжилгээ, мөрдөн байцаалтад зориулагдсан: Автомат довтолгоонд дүн шинжилгээ хийх (Шүүхийн шинжилгээ) болон Засварлах, хариу арга хэмжээ авах. Автомат довтолгооны шинжилгээ (Шүүхийн шинжилгээ) Хэрэглэгчийн машин дээр хортой програмыг ажиллуулах үйл явцад дүн шинжилгээ хийх хүртэл нарийвчилсан тайлбар бүхий халдлагыг няцаах үр дүнгийн талаар тайлан гаргах боломжийг танд олгоно. Урьдчилан тодорхойлсон эсвэл үүсгэсэн шүүлтүүрийг ашиглан гажиг болон болзошгүй хорлонтой зан үйлийг идэвхтэй хайх боломжийг олгодог Threat Hunting функцийг ашиглах боломжтой. Засвар, хариу арга хэмжээ халдлагын дараа файлуудыг сэргээх, хорио цээрийн тохиргоог хийх боломжийг танд олгоно: хорио цээрийн файлуудтай хэрэглэгчийн харилцах харилцааг зохицуулж, хорио цээрийн файлуудыг администраторын заасан директорт хадгалах боломжтой.
Стандарт шинжилгээ ба засварын бодлого нь сэргээх автомат үйлдлүүдийг (процессыг дуусгах, файлуудыг сэргээх гэх мэт) агуулсан хамгаалалтыг багтаасан бөгөөд файлуудыг хорио цээрийн дэглэмд илгээх сонголт идэвхтэй бөгөөд хэрэглэгчид зөвхөн хорио цээрээс файлуудыг устгах боломжтой.
Аюулаас урьдчилан сэргийлэх стандарт бодлого: Туршилт
CheckMe Endpoint Check Point
Хэрэглэгчийн машины аюулгүй байдлыг хамгийн түгээмэл төрлийн халдлагын эсрэг шалгах хамгийн хурдан бөгөөд хялбар арга бол нөөцийг ашиглан тест хийх явдал юм. , энэ нь янз бүрийн ангиллын хэд хэдэн ердийн халдлагуудыг гүйцэтгэдэг бөгөөд туршилтын үр дүнгийн талаар тайлан авах боломжийг олгодог. Энэ тохиолдолд Endpoint testing сонголтыг ашигласан бөгөөд үүнд гүйцэтгэгдэх файлыг татаж аваад компьютер дээр ажиллуулж, баталгаажуулах процесс эхэлнэ.
Ажиллаж буй компьютерийн аюулгүй байдлыг шалгах явцад SandBlast Agent нь хэрэглэгчийн компьютерт халдсан халдлагын талаар дохио өгдөг, жишээлбэл: Anti-Bot ир нь халдвар илрүүлсэн тухай мэдээлдэг, Anti-Malware ир нь халдвар илрүүлж устгасан. CP_AM.exe хортой файл байгаа бөгөөд CP_ZD.exe файлыг хортой гэж Threat Emulation blade суулгасан байна.
CheckMe Endpoint ашиглан хийсэн туршилтын үр дүнд үндэслэн бид дараах үр дүнд хүрсэн: 6 төрлийн халдлагаас аюул заналаас урьдчилан сэргийлэх стандарт бодлого нь зөвхөн нэг ангилалыг даван туулж чадсангүй - Browser Exploit. Учир нь Аюулаас урьдчилан сэргийлэх стандарт бодлогод Exploit эсрэг ирийг оруулаагүй болно. SandBlast Agent суулгаагүй тохиолдолд хэрэглэгчийн компьютер зөвхөн Ransomware ангиллын дагуу сканнердсан гэдгийг тэмдэглэх нь зүйтэй.
KnowBe4 RanSim
Anti-Ransomware ирний ажиллагааг шалгахын тулд та үнэгүй шийдлийг ашиглаж болно , энэ нь хэрэглэгчийн машин дээр хэд хэдэн туршилт явуулдаг: 18 ransomware халдварын хувилбар, 1 криптоминер халдварын хувилбар. Урьдчилан сэргийлэх үйлдэлтэй стандарт бодлогод олон ир (Аюул заналхийлэх, хортой програмаас хамгаалах, зан үйлийн хамгаалалт) байгаа нь энэ туршилтыг зөв явуулах боломжийг олгодоггүй гэдгийг тэмдэглэх нь зүйтэй. Гэсэн хэдий ч, аюулгүй байдлын түвшин буурсан ч гэсэн (Аюулын эмуляцийг унтраасан горимд) Anti-Ransomware blade тест өндөр үр дүнг харуулж байна: 18 туршилтаас 19 нь амжилттай давсан (1 эхлүүлж чадаагүй).
Хортой файл, баримт бичиг
Хэрэглэгчийн машинд татаж авсан түгээмэл форматтай хортой файлуудыг ашиглан аюулаас урьдчилан сэргийлэх стандарт бодлогын өөр өөр хэсгүүдийн ажиллагааг шалгах нь чухал юм. Энэхүү туршилтанд PDF, DOC, DOCX, EXE, XLS, XLSX, CAB, RTF форматтай 66 файл хамрагдсан. Туршилтын үр дүнгээс харахад SandBlast Agent нь 64 хортой файлаас 66-ийг нь блоклож чадсан. Халдвар авсан файлуудыг татаж авсны дараа устгасан эсвэл Threat Extraction ашиглан хортой контентыг устгаж, хэрэглэгч хүлээн авсан.
Аюулаас урьдчилан сэргийлэх бодлогыг боловсронгуй болгох зөвлөмж
1. URL шүүлтүүр
Үйлчлүүлэгчийн машины аюулгүй байдлын түвшинг нэмэгдүүлэхийн тулд стандарт бодлогод засах шаардлагатай хамгийн эхний зүйл бол URL шүүлтүүрийн ирийг Урьдчилан сэргийлэх болгон сольж, блоклох зохих ангиллыг зааж өгөх явдал юм. Манай тохиолдолд ерөнхий хэрэглээнээс бусад бүх ангиллыг сонгосон, учир нь тэдгээр нь ажлын байран дахь хэрэглэгчдийн хандалтыг хязгаарлахад шаардлагатай ихэнх нөөцийг агуулдаг. Мөн ийм сайтуудын хувьд "Хэрэглэгчид URL шүүлтүүрийн сэрэмжлүүлгийг хэрэгсэхгүй болгож, вэб сайт руу нэвтрэхийг зөвшөөрөх" параметрийн сонголтыг арилгаснаар хэрэглэгчдэд анхааруулах цонхыг алгасах боломжийг арилгахыг зөвлөж байна.
2.Татаж авах хамгаалалт
Анхаарах ёстой хоёр дахь сонголт бол хэрэглэгчдэд Check Point эмуляцаар дэмжигдээгүй файлуудыг татаж авах чадвар юм. Энэ хэсэгт бид аюулаас урьдчилан сэргийлэх стандарт бодлогыг аюулгүй байдлын үүднээс сайжруулж байгаа тул хамгийн сайн сонголт бол дэмжигдээгүй файлуудыг татаж авахыг хориглох явдал юм.
3. Файлын хамгаалалт
Та мөн файлуудыг хамгаалах тохиргоонд анхаарлаа хандуулах хэрэгтэй, тухайлбал, үе үе скан хийх тохиргоо, хэрэглэгч албадан сканнердах ажиллагааг хойшлуулах чадвар. Энэ тохиолдолд хэрэглэгчийн цагийг харгалзан үзэх шаардлагатай бөгөөд аюулгүй байдал, гүйцэтгэлийн үүднээс авч үзвэл албадан сканнерыг өдөр бүр санамсаргүй байдлаар (00:00-8:00 цаг хүртэл) сонгон ажиллуулахаар тохируулах нь зүйтэй юм. XNUMX), хэрэглэгч скан хийх хугацааг дээд тал нь долоо хоногоор хойшлуулж болно.
4. Мөлжлөгийн эсрэг
Аюулаас урьдчилан сэргийлэх стандарт бодлогын томоохон дутагдалтай тал нь Anti-Exploit ирийг идэвхгүй болгосон явдал юм. Ажлын станцыг мөлжлөг ашиглан халдлагаас хамгаалахын тулд Урьдчилан сэргийлэх үйлдлээр энэ ирийг идэвхжүүлэхийг зөвлөж байна. Энэхүү засварын тусламжтайгаар CheckMe дахин тест нь хэрэглэгчийн үйлдвэрлэлийн машин дээрх эмзэг байдлыг илрүүлэхгүйгээр амжилттай дуусна.
дүгнэлт
Дүгнэж хэлье: энэ нийтлэлд бид аюулаас урьдчилан сэргийлэх стандарт бодлогын бүрэлдэхүүн хэсгүүдтэй танилцаж, янз бүрийн арга, хэрэгслийг ашиглан энэхүү бодлогыг туршиж үзсэн бөгөөд хэрэглэгчийн машины аюулгүй байдлын түвшинг нэмэгдүүлэхийн тулд стандарт бодлогын тохиргоог сайжруулах зөвлөмжийг тайлбарласан болно. . Цувралын дараагийн өгүүллээр бид Мэдээлэл хамгаалах бодлогыг судалж, дэлхийн бодлогын тохиргоог үзэх болно.
. SandBlast Agent Management Platform-ийн сэдвээр дараах нийтлэлүүдийг алдахгүйн тулд манай нийгмийн сүлжээн дэх шинэчлэлтүүдийг дагаж мөрдөөрэй (, , , , ).
Эх сурвалж: www.habr.com