Welkom bij het derde artikel in de serie over de nieuwe cloudgebaseerde beheerconsole voor personal computerbescherming: Check Point SandBlast Agent Management Platform. Laat me je eraan herinneren dat in we maakten kennis met de Infinity Portal en creëerden een cloudgebaseerde agentbeheerservice, Endpoint Management Service. In We hebben de interface van de webbeheerconsole bestudeerd en een agent met een standaardbeleid op de gebruikerscomputer geïnstalleerd. Vandaag zullen we kijken naar de inhoud van het standaard beveiligingsbeleid voor bedreigingspreventie en de effectiviteit ervan testen bij het tegengaan van populaire aanvallen.
Standaardbeleid voor bedreigingspreventie: beschrijving
De afbeelding hierboven toont een standaard beleidsregel voor Bedreigingspreventie, die standaard van toepassing is op de hele organisatie (alle geïnstalleerde agenten) en drie logische groepen beveiligingscomponenten omvat: Web- en bestandsbescherming, Gedragsbescherming en Analyse en herstel. Laten we elk van de groepen eens nader bekijken.
Web- en bestandsbeveiliging
URL-filtering
Met URL-filtering kunt u de gebruikerstoegang tot webbronnen controleren, met behulp van vooraf gedefinieerde vijf categorieën sites. Elk van de vijf categorieën bevat verschillende meer specifieke subcategorieën, waarmee u bijvoorbeeld de toegang tot de subcategorie Games kunt blokkeren en toegang kunt verlenen tot de subcategorie Instant Messaging, die zijn opgenomen in dezelfde categorie Productiviteitsverlies. URL's die aan specifieke subcategorieën zijn gekoppeld, worden bepaald door Check Point. U kunt controleren tot welke categorie een specifieke URL behoort of een categorieoverschrijving aanvragen voor een speciale bron .
De actie kan worden ingesteld op Voorkomen, Detecteren of Uit. Wanneer u de actie Detecteren selecteert, wordt er bovendien automatisch een instelling toegevoegd waarmee gebruikers de URL-filterwaarschuwing kunnen overslaan en naar de gewenste bron kunnen gaan. Als Prevent wordt gebruikt, kan deze instelling worden verwijderd en heeft de gebruiker geen toegang tot de verboden site. Een andere handige manier om verboden bronnen te beheren is door een blokkeerlijst op te stellen, waarin u domeinen en IP-adressen kunt opgeven of een .csv-bestand kunt uploaden met een lijst met domeinen die u wilt blokkeren.
In het standaardbeleid voor URL-filtering is de actie ingesteld op Detecteren en is één categorie geselecteerd: Beveiliging, waarvoor gebeurtenissen worden gedetecteerd. Deze categorie omvat verschillende anonimizers, sites met een kritiek/hoog/gemiddeld risiconiveau, phishingsites, spam en nog veel meer. Gebruikers hebben echter nog steeds toegang tot de bron dankzij de instelling 'Gebruiker toestaan de URL-filterwaarschuwing te negeren en toegang te krijgen tot de website'.
Download (web)bescherming
Met emulatie en extractie kunt u gedownloade bestanden emuleren in de Check Point-cloudsandbox en documenten direct opschonen, mogelijk schadelijke inhoud verwijderen of het document naar PDF converteren. Er zijn drie bedrijfsmodi:
- Voorkomen — hiermee kunt u een kopie van het opgeschoonde document verkrijgen vóór het definitieve oordeel over de emulatie, of wachten tot de emulatie is voltooid en het originele bestand onmiddellijk downloaden;
- Opsporen — voert emulatie uit op de achtergrond, zonder te voorkomen dat de gebruiker het originele bestand ontvangt, ongeacht het oordeel;
- af — alle bestanden mogen worden gedownload zonder emulatie en opschoning van mogelijk kwaadaardige componenten.
Het is ook mogelijk om een actie te selecteren voor bestanden die niet worden ondersteund door Check Point-emulatie- en opschoontools. U kunt het downloaden van alle niet-ondersteunde bestanden toestaan of weigeren.
Het standaardbeleid voor Downloadbeveiliging is ingesteld op Voorkomen, waarmee u een kopie van het originele document kunt verkrijgen waarvan de mogelijk schadelijke inhoud is verwijderd, en waarmee u bestanden kunt downloaden die niet worden ondersteund door emulatie- en opschoontools.
Referentiebescherming
Het onderdeel Credential Protection beschermt gebruikersreferenties en omvat twee componenten: Zero Phishing en Wachtwoordbeveiliging. Geen phishing beschermt gebruikers tegen toegang tot phishing-bronnen, en Wachtwoordbeveiliging informeert de gebruiker over de ontoelaatbaarheid van het gebruik van bedrijfsreferenties buiten het beschermde domein. Zero Phishing kan worden ingesteld op Voorkomen, Detecteren of Uit. Wanneer de actie Voorkomen is ingesteld, is het mogelijk om gebruikers toe te staan de waarschuwing over een potentiële phishing-bron te negeren en toegang te krijgen tot de bron, of om deze optie uit te schakelen en de toegang voor altijd te blokkeren. Met een detectieactie hebben gebruikers altijd de mogelijkheid om de waarschuwing te negeren en toegang te krijgen tot de bron. Met Wachtwoordbeveiliging kunt u beveiligde domeinen selecteren waarvoor wachtwoorden worden gecontroleerd op naleving, en een van de volgende drie acties: Detecteren en waarschuwen (de gebruiker op de hoogte stellen), Detecteren of Uit.
Het standaardbeleid voor Credential Protection is om te voorkomen dat phishing-bronnen gebruikers ervan weerhouden toegang te krijgen tot een potentieel schadelijke site. Bescherming tegen het gebruik van bedrijfswachtwoorden is ook ingeschakeld, maar zonder de opgegeven domeinen werkt deze functie niet.
Bestandsbeveiliging
Bestandsbescherming is verantwoordelijk voor het beschermen van bestanden die op de computer van de gebruiker zijn opgeslagen en omvat twee componenten: Anti-Malware en Files Threat Emulation. Anti-Malware is een tool die regelmatig alle gebruikers- en systeembestanden scant met behulp van handtekeninganalyse. In de instellingen van dit onderdeel kunt u de instellingen configureren voor reguliere scan- of willekeurige scantijden, de updateperiode van de handtekening en de mogelijkheid voor gebruikers om geplande scans te annuleren. Emulatie van bedreigingen voor bestanden Hiermee kunt u bestanden emuleren die zijn opgeslagen op de computer van de gebruiker in de Check Point-cloudsandbox. Deze beveiligingsfunctie werkt echter alleen in de detectiemodus.
Het standaardbeleid voor Bestandsbeveiliging omvat bescherming met Anti-Malware en detectie van kwaadaardige bestanden met Files Threat Emulation. Elke maand wordt er regelmatig gescand en de handtekeningen op de computer van de gebruiker worden elke 4 uur bijgewerkt. Tegelijkertijd zijn gebruikers geconfigureerd om een geplande scan te kunnen annuleren, maar niet later dan 30 dagen na de datum van de laatste succesvolle scan.
Gedragsbescherming
Anti-bot, gedragsbewaking en anti-ransomware, anti-uitbuiting
De Gedragsbeschermingsgroep met beschermingscomponenten omvat drie componenten: Anti-Bot, Gedragsbescherming & Anti-Ransomware en Anti-Exploit. Anti-Bot Hiermee kunt u C&C-verbindingen controleren en blokkeren met behulp van de voortdurend bijgewerkte Check Point ThreatCloud-database. Gedragsbescherming en anti-ransomware bewaakt voortdurend de activiteit (bestanden, processen, netwerkinteracties) op de computer van de gebruiker en stelt u in staat ransomware-aanvallen in de beginfase te voorkomen. Bovendien kunt u met dit beveiligingselement bestanden herstellen die al door de malware zijn gecodeerd. Bestanden worden teruggezet naar hun oorspronkelijke mappen, of u kunt een specifiek pad opgeven waar alle herstelde bestanden worden opgeslagen. Anti-exploit Hiermee kunt u zero-day-aanvallen detecteren. Alle componenten van Gedragsbescherming ondersteunen drie werkingsmodi: Voorkomen, Detecteren en Uit.
Het standaardbeleid voor Gedragsbescherming biedt Prevent voor de componenten Anti-Bot en Behavioral Guard & Anti-Ransomware, met het herstel van gecodeerde bestanden in hun oorspronkelijke mappen. De component Anti-Exploit is uitgeschakeld en wordt niet gebruikt.
Analyse & Sanering
Geautomatiseerde aanvalsanalyse (forensisch onderzoek), herstel en respons
Voor de analyse en het onderzoek van beveiligingsincidenten zijn twee beveiligingscomponenten beschikbaar: Automated Attack Analysis (Forensics) en Remediation & Response. Geautomatiseerde aanvalsanalyse (forensisch onderzoek) Hiermee kunt u rapporten genereren over de resultaten van het afweren van aanvallen met een gedetailleerde beschrijving, tot en met het analyseren van het proces van het uitvoeren van de malware op de computer van de gebruiker. Het is ook mogelijk om de Threat Hunting-functie te gebruiken, die het mogelijk maakt om proactief te zoeken naar afwijkingen en potentieel kwaadaardig gedrag met behulp van vooraf gedefinieerde of gemaakte filters. Herstel en reactie Hiermee kunt u instellingen configureren voor herstel en quarantaine van bestanden na een aanval: gebruikersinteractie met quarantainebestanden is gereguleerd en het is ook mogelijk om in quarantaine geplaatste bestanden op te slaan in een map die is opgegeven door de beheerder.
Het standaard Analyse- en herstelbeleid omvat bescherming, waaronder automatische herstelacties (processen beëindigen, bestanden herstellen, enz.). De optie om bestanden in quarantaine te plaatsen is actief en gebruikers kunnen alleen bestanden uit quarantaine verwijderen.
Standaardbeleid voor bedreigingspreventie: testen
Check Point CheckMe-eindpunt
De snelste en gemakkelijkste manier om de veiligheid van de machine van een gebruiker te controleren tegen de meest populaire soorten aanvallen is door een test uit te voeren met behulp van de bron , dat een aantal typische aanvallen van verschillende categorieën uitvoert en waarmee u een rapport kunt krijgen over de testresultaten. In dit geval werd de optie Endpoint-testen gebruikt, waarbij een uitvoerbaar bestand wordt gedownload en op de computer wordt gestart, waarna het verificatieproces begint.
Tijdens het controleren van de veiligheid van een werkende computer, signaleert SandBlast Agent over geïdentificeerde en gereflecteerde aanvallen op de computer van de gebruiker, bijvoorbeeld: de Anti-Bot-blade rapporteert de detectie van een infectie, de Anti-Malware-blade heeft de kwaadaardig bestand CP_AM.exe en de Blade Threat Emulation heeft geïnstalleerd dat het bestand CP_ZD.exe schadelijk is.
Op basis van de testresultaten met CheckMe Endpoint hebben we het volgende resultaat: van de zes aanvalscategorieën kon het standaardbeleid voor bedreigingspreventie slechts één categorie aan: browserexploit. Dit komt omdat het standaard Bedreigingspreventiebeleid niet de Blade Anti-Exploit omvat. Het is vermeldenswaard dat zonder dat SandBlast Agent was geïnstalleerd, de computer van de gebruiker de scan alleen onder de categorie Ransomware doorstond.
KnowBe4RanSim
Om de werking van de Anti-Ransomware-blade te testen, kunt u gebruik maken van een gratis oplossing , dat een reeks tests uitvoert op de machine van de gebruiker: 18 ransomware-infectiescenario's en 1 cryptominer-infectiescenario. Het is vermeldenswaard dat de aanwezigheid van veel blades in het standaardbeleid (Threat Emulation, Anti-Malware, Behavioral Guard) met de actie Prevent ervoor zorgt dat deze test niet correct wordt uitgevoerd. Maar zelfs met een verlaagd beveiligingsniveau (Threat Emulation in Off-modus) laat de Anti-Ransomware-bladetest goede resultaten zien: 18 van de 19 tests zijn met succes geslaagd (1 kon niet worden gestart).
Schadelijke bestanden en documenten
Het is indicatief om de werking van verschillende blades van het standaard Bedreigingspreventiebeleid te controleren met behulp van kwaadaardige bestanden van populaire formaten die naar de computer van de gebruiker zijn gedownload. Bij deze test waren 66 bestanden betrokken in de formaten PDF, DOC, DOCX, EXE, XLS, XLSX, CAB en RTF. Uit de testresultaten bleek dat SandBlast Agent 64 van de 66 kwaadaardige bestanden kon blokkeren. Geïnfecteerde bestanden werden na het downloaden verwijderd of van schadelijke inhoud ontdaan met behulp van Threat Extraction en door de gebruiker ontvangen.
Aanbevelingen voor het verbeteren van het dreigingspreventiebeleid
1. URL-filtering
Het eerste dat moet worden gecorrigeerd in het standaardbeleid om het beveiligingsniveau van de clientcomputer te verhogen, is het overschakelen van de blade URL-filtering naar Prevent en het specificeren van de juiste categorieën voor blokkering. In ons geval zijn alle categorieën geselecteerd, behalve Algemeen gebruik, omdat deze de meeste bronnen omvatten waartoe het nodig is om de toegang tot gebruikers op de werkplek te beperken. Voor dergelijke sites is het ook raadzaam om de mogelijkheid voor gebruikers om het waarschuwingsvenster over te slaan te verwijderen door de parameter 'Gebruiker toestaan de URL-filterwaarschuwing te negeren en toegang te krijgen tot de website' uit te schakelen.
2. Downloadbeveiliging
De tweede optie die de moeite waard is om op te letten is de mogelijkheid voor gebruikers om bestanden te downloaden die niet worden ondersteund door de Check Point-emulatie. Omdat we in deze sectie vanuit beveiligingsperspectief kijken naar verbeteringen aan het standaard Bedreigingspreventiebeleid, is de beste optie het blokkeren van het downloaden van niet-ondersteunde bestanden.
3. Bestandsbeveiliging
U moet ook letten op de instellingen voor het beschermen van bestanden, met name de instellingen voor periodiek scannen en de mogelijkheid voor de gebruiker om geforceerd scannen uit te stellen. In dit geval moet rekening worden gehouden met het tijdsbestek van de gebruiker, en een goede optie vanuit het oogpunt van beveiliging en prestaties is het configureren van een geforceerde scan die elke dag wordt uitgevoerd, waarbij de tijd willekeurig wordt geselecteerd (van 00:00 tot 8:00 uur: XNUMX), en de gebruiker kan de scan maximaal een week uitstellen.
4. Anti-uitbuiting
Een belangrijk nadeel van het standaard Bedreigingspreventiebeleid is dat de Blade Anti-Exploit is uitgeschakeld. Het wordt aanbevolen om deze blade in te schakelen met de actie Prevent om het werkstation te beschermen tegen aanvallen met exploits. Met deze oplossing wordt de CheckMe-hertest met succes voltooid zonder dat er kwetsbaarheden op de productiemachine van de gebruiker worden gedetecteerd.
Conclusie
Laten we samenvatten: in dit artikel maakten we kennis met de componenten van het standaard Threat Prevention-beleid, testten we dit beleid met behulp van verschillende methoden en tools, en beschreven we ook aanbevelingen voor het verbeteren van de instellingen van het standaardbeleid om het beveiligingsniveau van de gebruikersmachine te verhogen . In het volgende artikel in de serie gaan we verder met het bestuderen van het gegevensbeschermingsbeleid en kijken we naar de algemene beleidsinstellingen.
. Om de volgende publicaties over het onderwerp SandBlast Agent Management Platform niet te missen, volgt u de updates op onze sociale netwerken (, , , , ).
Bron: www.habr.com