Velkommen til den tredje artikkelen i serien om den nye skybaserte beskyttelseskonsollen for personlig datamaskin - Check Point SandBlast Agent Management Platform. La meg minne deg på at i vi ble kjent med Infinity Portal og laget en skybasert agentadministrasjonstjeneste, Endpoint Management Service. I Vi studerte grensesnittet for nettadministrasjonskonsollen og installerte en agent med en standard policy på brukermaskinen. I dag skal vi se på innholdet i standard sikkerhetspolicy for trusselforebygging og teste effektiviteten til å motvirke populære angrep.
Standard retningslinjer for trusselforebygging: Beskrivelse
Figuren ovenfor viser en standard policyregel for trusselforebygging, som som standard gjelder for hele organisasjonen (alle installerte agenter) og inkluderer tre logiske grupper av beskyttelseskomponenter: Nett- og filbeskyttelse, Behavioural Protection og Analysis & Remediation. La oss se nærmere på hver av gruppene.
Nett- og filbeskyttelse
URL-filtrering
URL-filtrering lar deg kontrollere brukertilgang til nettressurser ved å bruke forhåndsdefinerte 5 kategorier av nettsteder. Hver av de 5 kategoriene inneholder flere mer spesifikke underkategorier, som lar deg konfigurere for eksempel å blokkere tilgang til underkategorien Spill og gi tilgang til underkategorien Instant Messaging, som er inkludert i den samme kategorien Produktivitetstap. URLer knyttet til spesifikke underkategorier bestemmes av Check Point. Du kan sjekke kategorien som en spesifikk URL tilhører eller be om en kategorioverstyring på en spesiell ressurs .
Handlingen kan settes til Forhindre, Oppdag eller Av. Når du velger Oppdag-handlingen, legges det automatisk til en innstilling som lar brukere hoppe over URL-filtreringsadvarselen og gå til ressursen av interesse. Hvis Prevent brukes, kan denne innstillingen fjernes og brukeren vil ikke få tilgang til det forbudte nettstedet. En annen praktisk måte å kontrollere forbudte ressurser på er å sette opp en blokkeringsliste, der du kan spesifisere domener, IP-adresser eller laste opp en .csv-fil med en liste over domener som skal blokkeres.
I standardpolicyen for URL-filtrering er handlingen satt til Oppdag og én kategori er valgt - Sikkerhet, som hendelser vil bli oppdaget for. Denne kategorien inkluderer ulike anonymiserere, nettsteder med et kritisk/høyt/middels risikonivå, phishing-nettsteder, spam og mye mer. Imidlertid vil brukere fortsatt kunne få tilgang til ressursen takket være «Tillat brukeren å avvise URL-filtreringsvarselet og få tilgang til nettstedet»-innstillingen.
Last ned (nett) beskyttelse
Emulering og utvinning lar deg emulere nedlastede filer i Check Points skysandkasse og rydde opp i dokumenter på et øyeblikk, fjerne potensielt skadelig innhold eller konvertere dokumentet til PDF. Det er tre driftsmoduser:
- Forhindre — lar deg få en kopi av det rensede dokumentet før den endelige emuleringsdommen, eller vente på at emuleringen fullføres og laste ned den originale filen umiddelbart;
- oppdage — utfører emulering i bakgrunnen, uten å hindre brukeren i å motta originalfilen, uavhengig av dommen;
- Av - alle filer er tillatt å lastes ned uten å gjennomgå emulering og rensing av potensielt skadelige komponenter.
Det er også mulig å velge en handling for filer som ikke støttes av Check Point-emulerings- og renseverktøy - du kan tillate eller nekte nedlasting av alle filer som ikke støttes.
Standardpolicyen for nedlastingsbeskyttelse er satt til Forhindre, som lar deg få tak i en kopi av originaldokumentet som er fjernet for potensielt skadelig innhold, samt tillate nedlasting av filer som ikke støttes av emulerings- og renseverktøy.
Beskyttelse av legitimasjon
Credential Protection-komponenten beskytter brukerlegitimasjon og inkluderer 2 komponenter: Null phishing og passordbeskyttelse. Null phishing beskytter brukere mot tilgang til phishing-ressurser, og Passordbeskyttelse varsler brukeren om at det ikke er tillatt å bruke bedriftslegitimasjon utenfor det beskyttede domenet. Null phishing kan settes til Forhindre, Oppdag eller Av. Når handlingen Forhindre er angitt, er det mulig å la brukere ignorere advarselen om en potensiell nettfiskingsressurs og få tilgang til ressursen, eller å deaktivere dette alternativet og blokkere tilgangen for alltid. Med en Detect-handling har brukere alltid muligheten til å ignorere advarselen og få tilgang til ressursen. Passordbeskyttelse lar deg velge beskyttede domener som passord vil bli sjekket for samsvar, og en av tre handlinger: Oppdag og varsling (varsler brukeren), Oppdag eller Av.
Standardpolicyen for legitimasjonsbeskyttelse er å forhindre at phishing-ressurser hindrer brukere i å få tilgang til et potensielt skadelig nettsted. Beskyttelse mot bruk av bedriftspassord er også aktivert, men uten de angitte domenene vil ikke denne funksjonen fungere.
Filbeskyttelse
Filbeskyttelse er ansvarlig for å beskytte filer som er lagret på brukerens maskin og inkluderer to komponenter: Anti-Malware og Files Threat Emulation. Anti-Malware er et verktøy som regelmessig skanner alle bruker- og systemfiler ved hjelp av signaturanalyse. I innstillingene for denne komponenten kan du konfigurere innstillingene for vanlig skanning eller tilfeldige skannetider, signaturoppdateringsperioden og muligheten for brukere til å avbryte planlagt skanning. Filer trusselemulering lar deg emulere filer som er lagret på brukerens maskin i Check Points skysandkasse, men denne sikkerhetsfunksjonen fungerer bare i gjenkjenningsmodus.
Standardpolicyen for filbeskyttelse inkluderer beskyttelse med Anti-Malware og gjenkjenning av ondsinnede filer med Files Threat Emulation. Det utføres jevnlig skanning hver måned, og signaturer på brukermaskinen oppdateres hver 4. time. Samtidig er brukere konfigurert til å kunne avbryte en planlagt skanning, men senest 30 dager fra datoen for siste vellykkede skanning.
Beskyttelse mot atferd
Anti-Bot, Behavioral Guard & Anti-Ransomware, Anti-Exploit
Behavioral Protection-gruppen av beskyttelseskomponenter inkluderer tre komponenter: Anti-Bot, Behavioral Guard & Anti-Ransomware og Anti-Exploit. Anti-Bot lar deg overvåke og blokkere C&C-forbindelser ved å bruke den stadig oppdaterte Check Point ThreatCloud-databasen. Behavioral Guard og Anti-Ransomware overvåker kontinuerlig aktivitet (filer, prosesser, nettverksinteraksjoner) på brukermaskinen og lar deg forhindre ransomware-angrep i de innledende stadiene. I tillegg lar dette beskyttelseselementet deg gjenopprette filer som allerede er kryptert av skadelig programvare. Filer gjenopprettes til sine opprinnelige kataloger, eller du kan spesifisere en spesifikk bane der alle gjenopprettede filer skal lagres. Anti-utnyttelse lar deg oppdage zero-day angrep. Alle Behavioral Protection-komponenter støtter tre driftsmoduser: Forhindre, oppdage og Av.
Standardpolicyen for Behavioral Protection gir Prevent for komponentene Anti-Bot og Behavioural Guard & Anti-Ransomware, med gjenoppretting av krypterte filer i deres opprinnelige kataloger. Anti-Exploit-komponenten er deaktivert og brukes ikke.
Analyse og utbedring
Automatisert angrepsanalyse (etterforskning), utbedring og respons
To sikkerhetskomponenter er tilgjengelige for analyse og undersøkelse av sikkerhetshendelser: Automated Attack Analysis (Forensics) og Remediation & Response. Automatisert angrepsanalyse (kriminalteknisk) lar deg generere rapporter om resultatene av frastøtende angrep med en detaljert beskrivelse - helt ned til å analysere prosessen med å utføre skadelig programvare på brukerens maskin. Det er også mulig å bruke Threat Hunting-funksjonen, som gjør det mulig å proaktivt søke etter anomalier og potensielt ondsinnet oppførsel ved hjelp av forhåndsdefinerte eller opprettede filtre. Utbedring og respons lar deg konfigurere innstillinger for gjenoppretting og karantene av filer etter et angrep: brukerinteraksjon med karantenefiler er regulert, og det er også mulig å lagre filer i karantene i en katalog spesifisert av administratoren.
Standard policy for analyse og utbedring inkluderer beskyttelse, som inkluderer automatiske handlinger for gjenoppretting (avslutte prosesser, gjenoppretting av filer osv.), og muligheten for å sende filer til karantene er aktiv, og brukere kan bare slette filer fra karantene.
Standard trusselforebyggingspolicy: Testing
Check Point CheckMe-endepunkt
Den raskeste og enkleste måten å sjekke sikkerheten til en brukers maskin mot de mest populære typene angrep er å utføre en test ved hjelp av ressursen , som utfører en rekke typiske angrep av ulike kategorier og lar deg få en rapport om resultatene av testingen. I dette tilfellet ble alternativet Endpoint-testing brukt, der en kjørbar fil lastes ned og lanseres på datamaskinen, og deretter begynner verifiseringsprosessen.
I prosessen med å sjekke sikkerheten til en fungerende datamaskin, signaliserer SandBlast Agent om identifiserte og reflekterte angrep på brukerens datamaskin, for eksempel: Anti-Bot-bladet rapporterer oppdagelsen av en infeksjon, Anti-Malware-bladet har oppdaget og slettet ondsinnet fil CP_AM.exe, og Threat Emulation-bladet har installert at CP_ZD.exe-filen er skadelig.
Basert på resultatene av testing med CheckMe Endpoint, har vi følgende resultat: av 6 angrepskategorier klarte ikke standard trusselforebyggingspolicy å takle bare én kategori - Nettleserutnyttelse. Dette er fordi standarden for trusselforebygging ikke inkluderer Anti-Exploit-bladet. Det er verdt å merke seg at uten SandBlast Agent installert, passerte brukerens datamaskin skanningen bare under Ransomware-kategorien.
KnowBe4 RanSim
For å teste driften av Anti-Ransomware-bladet kan du bruke en gratis løsning , som kjører en serie tester på brukerens maskin: 18 ransomware-infeksjonsscenarier og 1 cryptominer-infeksjonsscenario. Det er verdt å merke seg at tilstedeværelsen av mange blader i standardpolicyen (Threat Emulation, Anti-Malware, Behavioral Guard) med Forhindre-handlingen ikke tillater at denne testen kjører riktig. Men selv med et redusert sikkerhetsnivå (trusselemulering i Av-modus), viser Anti-Ransomware-bladtesten høye resultater: 18 av 19 tester ble bestått (1 klarte ikke å starte).
Skadelige filer og dokumenter
Det er veiledende å kontrollere driften av forskjellige blader i standard trusselforebyggingspolicy ved å bruke ondsinnede filer av populære formater som er lastet ned til brukerens maskin. Denne testen involverte 66 filer i PDF, DOC, DOCX, EXE, XLS, XLSX, CAB, RTF-formater. Testresultatene viste at SandBlast Agent var i stand til å blokkere 64 ondsinnede filer av 66. Infiserte filer ble slettet etter nedlasting, eller fjernet for ondsinnet innhold ved hjelp av Threat Extraction og mottatt av brukeren.
Anbefalinger for å forbedre politikken for trusselforebygging
1. URL-filtrering
Det første som må korrigeres i standardpolicyen for å øke sikkerhetsnivået til klientmaskinen er å bytte URL-filtreringsbladet til Forhindre og spesifisere passende kategorier for blokkering. I vårt tilfelle ble alle kategorier valgt unntatt generell bruk, siden de inkluderer de fleste ressursene som det er nødvendig å begrense tilgangen til brukere på arbeidsplassen til. For slike nettsteder er det også tilrådelig å fjerne muligheten for brukere til å hoppe over advarselsvinduet ved å fjerne merket for "Tillat brukeren å avvise URL-filtreringsvarselet og få tilgang til nettstedet".
2. Last ned beskyttelse
Det andre alternativet som er verdt å ta hensyn til, er muligheten for brukere til å laste ned filer som ikke støttes av Check Point-emuleringen. Siden vi i denne delen ser på forbedringer av standard trusselforebyggingspolicy fra et sikkerhetsperspektiv, vil det beste alternativet være å blokkere nedlasting av filer som ikke støttes.
3. Filbeskyttelse
Du må også være oppmerksom på innstillingene for å beskytte filer - spesielt innstillingene for periodisk skanning og muligheten for brukeren til å utsette tvungen skanning. I dette tilfellet må brukerens tidsramme tas i betraktning, og et godt alternativ fra et sikkerhets- og ytelsessynspunkt er å konfigurere en tvungen skanning til å kjøre hver dag, med tiden valgt tilfeldig (fra 00:00 til 8: 00), og brukeren kan utsette skanningen i maksimalt en uke.
4. Anti-utnyttelse
En betydelig ulempe med standard trusselforebyggingspolicy er at Anti-Exploit-bladet er deaktivert. Det anbefales å aktivere dette bladet med Forhindre-handlingen for å beskytte arbeidsstasjonen mot angrep ved bruk av utnyttelser. Med denne løsningen fullføres CheckMe-retesten uten å oppdage sårbarheter på brukerens produksjonsmaskin.
Konklusjon
La oss oppsummere: i denne artikkelen ble vi kjent med komponentene i standard policy for trusselforebygging, testet denne policyen ved hjelp av ulike metoder og verktøy, og beskrev også anbefalinger for å forbedre innstillingene til standardpolicyen for å øke sikkerhetsnivået til brukermaskinen . I den neste artikkelen i serien vil vi gå videre til å studere databeskyttelsespolicyen og se på de globale policyinnstillingene.
. For ikke å gå glipp av de neste publikasjonene om emnet SandBlast Agent Management Platform, følg oppdateringene på våre sosiale nettverk (, , , , ).
Kilde: www.habr.com