Selamat datang ke artikel ketiga dalam siri tentang konsol pengurusan perlindungan komputer peribadi berasaskan awan baharu - Platform Pengurusan Agen SandBlast Check Point. Biar saya ingatkan anda bahawa dalam kami berkenalan dengan Portal Infinity dan mencipta perkhidmatan pengurusan ejen berasaskan awan, Perkhidmatan Pengurusan Titik Akhir. Dalam Kami mengkaji antara muka konsol pengurusan web dan memasang ejen dengan dasar standard pada mesin pengguna. Hari ini kita akan melihat kandungan dasar keselamatan Pencegahan Ancaman standard dan menguji keberkesanannya dalam menentang serangan popular.
Dasar Pencegahan Ancaman Standard: Penerangan
Rajah di atas menunjukkan peraturan dasar Pencegahan Ancaman standard, yang secara lalai digunakan untuk keseluruhan organisasi (semua ejen yang dipasang) dan termasuk tiga kumpulan logik komponen perlindungan: Perlindungan Web & Fail, Perlindungan Tingkah Laku dan Analisis & Pemulihan. Mari kita lihat lebih dekat setiap kumpulan.
Perlindungan Web & Fail
Penapisan URL
Penapisan URL membolehkan anda mengawal akses pengguna kepada sumber web, menggunakan 5 kategori tapak yang dipratentukan. Setiap satu daripada 5 kategori mengandungi beberapa subkategori yang lebih khusus, yang membolehkan anda mengkonfigurasi, contohnya, menyekat akses kepada subkategori Permainan dan membenarkan akses kepada subkategori Pemesejan Segera, yang termasuk dalam kategori Kehilangan Produktiviti yang sama. URL yang dikaitkan dengan subkategori tertentu ditentukan oleh Check Point. Anda boleh menyemak kategori kepunyaan URL tertentu atau meminta kategori ganti pada sumber khas .
Tindakan itu boleh ditetapkan kepada Cegah, Kesan atau Mati. Selain itu, apabila memilih tindakan Kesan, tetapan ditambahkan secara automatik yang membolehkan pengguna melangkau amaran Penapisan URL dan pergi ke sumber yang diminati. Jika Cegah digunakan, tetapan ini boleh dialih keluar dan pengguna tidak akan dapat mengakses tapak yang dilarang. Satu lagi cara mudah untuk mengawal sumber yang dilarang ialah dengan menyediakan Senarai Sekat, di mana anda boleh menentukan domain, alamat IP atau memuat naik fail .csv dengan senarai domain untuk disekat.
Dalam dasar standard untuk Penapisan URL, tindakan ditetapkan kepada Kesan dan satu kategori dipilih - Keselamatan, yang mana peristiwa akan dikesan. Kategori ini termasuk pelbagai nama tanpa nama, tapak dengan tahap risiko Kritikal/Tinggi/Sederhana, tapak pancingan data, spam dan banyak lagi. Walau bagaimanapun, pengguna masih boleh mengakses sumber terima kasih kepada tetapan "Benarkan pengguna mengetepikan makluman Penapisan URL dan mengakses tapak web".
Muat turun (web) Perlindungan
Emulasi & Pengekstrakan membolehkan anda meniru fail yang dimuat turun dalam kotak pasir awan Check Point dan membersihkan dokumen dengan cepat, mengalih keluar kandungan yang berpotensi berniat jahat atau menukar dokumen kepada PDF. Terdapat tiga mod operasi:
- Mencegah β membolehkan anda mendapatkan salinan dokumen yang telah dibersihkan sebelum keputusan emulasi terakhir, atau tunggu emulasi selesai dan memuat turun fail asal dengan segera;
- Mengesan β menjalankan emulasi di latar belakang, tanpa menghalang pengguna daripada menerima fail asal, tanpa mengira keputusannya;
- off β sebarang fail dibenarkan untuk dimuat turun tanpa menjalani emulasi dan pembersihan komponen yang berpotensi berniat jahat.
Anda juga boleh memilih tindakan untuk fail yang tidak disokong oleh emulasi Check Point dan alat pembersihan - anda boleh membenarkan atau menafikan muat turun semua fail yang tidak disokong.
Dasar standard untuk Perlindungan Muat Turun ditetapkan kepada Cegah, yang membolehkan anda mendapatkan salinan dokumen asal yang telah dibersihkan daripada kandungan yang berpotensi berniat jahat, serta membenarkan muat turun fail yang tidak disokong oleh alat emulasi dan pembersihan.
Perlindungan Tauliah
Komponen Perlindungan Kredensial melindungi kelayakan pengguna dan termasuk 2 komponen: Zero Phishing dan Perlindungan Kata Laluan. Sifar Phishing melindungi pengguna daripada mengakses sumber pancingan data, dan Perlindungan kata laluan memberitahu pengguna tentang ketidakbolehterimaan menggunakan bukti kelayakan korporat di luar domain yang dilindungi. Zero Phishing boleh ditetapkan kepada Cegah, Kesan atau Mati. Apabila tindakan Cegah ditetapkan, adalah mungkin untuk membenarkan pengguna mengabaikan amaran tentang sumber pancingan data yang berpotensi dan mendapatkan akses kepada sumber itu, atau untuk melumpuhkan pilihan ini dan menyekat akses selama-lamanya. Dengan tindakan Kesan, pengguna sentiasa mempunyai pilihan untuk mengabaikan amaran dan mengakses sumber. Perlindungan Kata Laluan membolehkan anda memilih domain yang dilindungi yang kata laluannya akan disemak untuk pematuhan dan salah satu daripada tiga tindakan: Kesan & Makluman (memberitahu pengguna), Kesan atau Matikan.
Dasar standard untuk Perlindungan Kredensial adalah untuk menghalang sebarang sumber pancingan data daripada menghalang pengguna daripada mengakses tapak yang berpotensi berniat jahat. Perlindungan terhadap penggunaan kata laluan korporat juga didayakan, tetapi tanpa domain yang ditentukan ciri ini tidak akan berfungsi.
Perlindungan Fail
Perlindungan Fail bertanggungjawab untuk melindungi fail yang disimpan pada mesin pengguna dan termasuk dua komponen: Anti-Malware dan Emulasi Ancaman Fail. Anti-perisian hasad ialah alat yang kerap mengimbas semua fail pengguna dan sistem menggunakan analisis tandatangan. Dalam tetapan komponen ini, anda boleh mengkonfigurasi tetapan untuk pengimbasan biasa atau masa pengimbasan rawak, tempoh kemas kini tandatangan dan keupayaan untuk pengguna membatalkan pengimbasan yang dijadualkan. Emulasi Ancaman Fail membolehkan anda meniru fail yang disimpan pada mesin pengguna dalam kotak pasir awan Check Point, walau bagaimanapun, ciri keselamatan ini hanya berfungsi dalam mod Kesan.
Dasar standard untuk Perlindungan Fail termasuk perlindungan dengan Anti-Malware dan pengesanan fail berniat jahat dengan Emulasi Ancaman Fail. Pengimbasan biasa dilakukan setiap bulan, dan tandatangan pada mesin pengguna dikemas kini setiap 4 jam. Pada masa yang sama, pengguna dikonfigurasikan untuk dapat membatalkan imbasan yang dijadualkan, tetapi tidak lewat daripada 30 hari dari tarikh imbasan terakhir yang berjaya.
Perlindungan Tingkah Laku
Anti-Bot, Pengawal Tingkah Laku & Anti-Ransomware, Anti-Eksploitasi
Kumpulan komponen perlindungan Behavioral Protection merangkumi tiga komponen: Anti-Bot, Behavioral Guard & Anti-Ransomware dan Anti-Exploit. Anti Bot membolehkan anda memantau dan menyekat sambungan C&C menggunakan pangkalan data Check Point ThreatCloud yang sentiasa dikemas kini. Pengawal Tingkah Laku & Anti-Ransomware sentiasa memantau aktiviti (fail, proses, interaksi rangkaian) pada mesin pengguna dan membolehkan anda menghalang serangan ransomware pada peringkat awal. Di samping itu, elemen perlindungan ini membolehkan anda memulihkan fail yang telah disulitkan oleh perisian hasad. Fail dipulihkan ke direktori asalnya, atau anda boleh menentukan laluan tertentu di mana semua fail yang dipulihkan akan disimpan. Anti-Eksploitasi membolehkan anda mengesan serangan sifar hari. Semua komponen Perlindungan Tingkah Laku menyokong tiga mod pengendalian: Cegah, Kesan dan Mati.
Dasar standard untuk Perlindungan Tingkah Laku menyediakan komponen Cegah untuk Anti-Bot dan Pengawal Tingkah Laku & Anti-Ransomware, dengan pemulihan fail yang disulitkan dalam direktori asalnya. Komponen Anti-Eksploitasi dinyahdayakan dan tidak digunakan.
Analisis & Pemulihan
Analisis Serangan Automatik (Forensik), Pemulihan & Tindak Balas
Dua komponen keselamatan tersedia untuk analisis dan penyiasatan insiden keselamatan: Analisis Serangan Automatik (Forensik) dan Pemulihan & Tindak Balas. Analisis Serangan Automatik (Forensik) membolehkan anda menjana laporan tentang hasil serangan menangkis dengan penerangan terperinci - sehinggalah kepada menganalisis proses melaksanakan perisian hasad pada mesin pengguna. Anda juga boleh menggunakan ciri Memburu Ancaman, yang membolehkan anda mencari secara proaktif untuk anomali dan tingkah laku yang berpotensi berniat jahat menggunakan penapis yang telah ditetapkan atau dibuat. Pemulihan & Tindak Balas membolehkan anda mengkonfigurasi tetapan untuk pemulihan dan kuarantin fail selepas serangan: interaksi pengguna dengan fail kuarantin dikawal, dan ia juga mungkin untuk menyimpan fail yang dikuarantin dalam direktori yang ditentukan oleh pentadbir.
Dasar Analisis & Pemulihan standard termasuk perlindungan, yang merangkumi tindakan automatik untuk pemulihan (menamatkan proses, memulihkan fail, dll.), dan pilihan untuk menghantar fail ke kuarantin adalah aktif dan pengguna hanya boleh memadamkan fail daripada kuarantin.
Dasar Pencegahan Ancaman Standard: Pengujian
Check Point CheckMe Endpoint
Cara terpantas dan paling mudah untuk memeriksa keselamatan mesin pengguna terhadap jenis serangan yang paling popular adalah dengan menjalankan ujian menggunakan sumber , yang menjalankan beberapa serangan biasa pelbagai kategori dan membolehkan anda mendapatkan laporan tentang hasil ujian. Dalam kes ini, pilihan ujian Endpoint telah digunakan, di mana fail boleh laku dimuat turun dan dilancarkan ke komputer, dan kemudian proses pengesahan bermula.
Dalam proses menyemak keselamatan komputer yang berfungsi, SandBlast Agent memberi isyarat tentang serangan yang dikenal pasti dan dicerminkan pada komputer pengguna, contohnya: bilah Anti-Bot melaporkan pengesanan jangkitan, bilah Anti-Malware telah mengesan dan memadam fail berniat jahat CP_AM.exe, dan bilah Emulasi Ancaman telah memasang bahawa fail CP_ZD.exe berniat jahat.
Berdasarkan keputusan ujian menggunakan CheckMe Endpoint, kami mempunyai keputusan berikut: daripada 6 kategori serangan, dasar Pencegahan Ancaman standard gagal menangani hanya satu kategori - Eksploitasi Penyemak Imbas. Ini kerana dasar Pencegahan Ancaman standard tidak termasuk bilah Anti-Eksploitasi. Perlu diingat bahawa tanpa SandBlast Agent dipasang, komputer pengguna lulus imbasan hanya di bawah kategori Ransomware.
KnowBe4 RanSim
Untuk menguji operasi bilah Anti-Ransomware, anda boleh menggunakan penyelesaian percuma , yang menjalankan satu siri ujian pada mesin pengguna: 18 senario jangkitan ransomware dan 1 senario jangkitan cryptominer. Perlu diingat bahawa kehadiran banyak bilah dalam dasar standard (Threat Emulation, Anti-Malware, Behavioral Guard) dengan tindakan Cegah tidak membenarkan ujian ini berjalan dengan betul. Walau bagaimanapun, walaupun dengan tahap keselamatan yang dikurangkan (Emulasi Ancaman dalam mod Mati), ujian bilah Anti-Ransomware menunjukkan hasil yang tinggi: 18 daripada 19 ujian berjaya lulus (1 gagal dimulakan).
Fail dan dokumen berniat jahat
Ia adalah petunjuk untuk menyemak operasi bilah berbeza bagi dasar Pencegahan Ancaman standard menggunakan fail berniat jahat format popular yang dimuat turun ke mesin pengguna. Ujian ini melibatkan 66 fail dalam format PDF, DOC, DOCX, EXE, XLS, XLSX, CAB, RTF. Keputusan ujian menunjukkan bahawa SandBlast Agent dapat menyekat 64 fail berniat jahat daripada 66. Fail yang dijangkiti telah dipadamkan selepas memuat turun, atau dibersihkan daripada kandungan berniat jahat menggunakan Pengekstrakan Ancaman dan diterima oleh pengguna.
Cadangan untuk menambah baik dasar Pencegahan Ancaman
1. Penapisan URL
Perkara pertama yang perlu diperbetulkan dalam dasar standard untuk meningkatkan tahap keselamatan mesin pelanggan ialah menukar bilah Penapisan URL kepada Mencegah dan menentukan kategori yang sesuai untuk menyekat. Dalam kes kami, semua kategori telah dipilih kecuali Penggunaan Umum, kerana ia termasuk kebanyakan sumber yang diperlukan untuk menyekat akses kepada pengguna di tempat kerja. Selain itu, untuk tapak sedemikian, adalah dinasihatkan untuk mengalih keluar keupayaan untuk pengguna melangkau tetingkap amaran dengan menyahtanda parameter "Benarkan pengguna mengetepikan makluman Penapisan URL dan mengakses tapak web".
2. Muat turun Perlindungan
Pilihan kedua yang patut diberi perhatian ialah keupayaan untuk pengguna memuat turun fail yang tidak disokong oleh emulasi Check Point. Memandangkan dalam bahagian ini kita sedang melihat penambahbaikan pada dasar Pencegahan Ancaman standard dari perspektif keselamatan, pilihan terbaik ialah menyekat muat turun fail yang tidak disokong.
3. Perlindungan Fail
Anda juga perlu memberi perhatian kepada tetapan untuk melindungi fail - khususnya, tetapan untuk pengimbasan berkala dan keupayaan untuk pengguna menangguhkan pengimbasan paksa. Dalam kes ini, tempoh masa pengguna mesti diambil kira, dan pilihan yang baik dari sudut keselamatan dan prestasi ialah mengkonfigurasi imbasan paksa untuk dijalankan setiap hari, dengan masa dipilih secara rawak (dari 00:00 hingga 8: 00), dan pengguna boleh menangguhkan imbasan untuk maksimum satu minggu.
4. Anti-Eksploitasi
Kelemahan ketara dasar Pencegahan Ancaman standard ialah bilah Anti-Eksploitasi dilumpuhkan. Adalah disyorkan untuk mendayakan bilah ini dengan tindakan Cegah untuk melindungi stesen kerja daripada serangan menggunakan eksploitasi. Dengan pembetulan ini, ujian semula CheckMe selesai dengan jayanya tanpa mengesan kelemahan pada mesin pengeluaran pengguna.
Kesimpulan
Mari kita ringkaskan: dalam artikel ini kita telah mengenali komponen dasar Pencegahan Ancaman standard, menguji dasar ini menggunakan pelbagai kaedah dan alat, dan juga menerangkan cadangan untuk menambah baik tetapan dasar standard untuk meningkatkan tahap keselamatan mesin pengguna . Dalam artikel seterusnya dalam siri ini, kami akan meneruskan untuk mengkaji dasar Perlindungan Data dan melihat Tetapan Dasar Global.
. Untuk tidak terlepas penerbitan seterusnya mengenai topik Platform Pengurusan Agen SandBlast, ikuti kemas kini pada rangkaian sosial kami (, , , , ).
Sumber: www.habr.com