Witamy w trzecim artykule z serii o nowej, opartej na chmurze konsoli zarządzania ochroną komputera osobistego - Check Point SandBlast Agent Management Platform. Przypomnę, że w zapoznaliśmy się z Portalem Infinity i stworzyliśmy usługę zarządzania agentami w chmurze Endpoint Management Service. W Przestudiowaliśmy interfejs konsoli zarządzania siecią i zainstalowaliśmy agenta ze standardową polityką na komputerze użytkownika. Dziś przyjrzymy się zawartości standardowej polityki bezpieczeństwa Threat Prevention i sprawdzimy jej skuteczność w przeciwdziałaniu popularnym atakom.
Standardowa polityka zapobiegania zagrożeniom: Opis
Powyższy rysunek przedstawia standardową regułę polityki Zapobiegania zagrożeniom, która domyślnie dotyczy całej organizacji (wszystkich zainstalowanych agentów) i obejmuje trzy logiczne grupy komponentów ochrony: Ochrona sieci i plików, Ochrona behawioralna oraz Analiza i naprawa. Przyjrzyjmy się bliżej każdej z grup.
Ochrona sieci i plików
Filtrowanie adresów URL
Filtrowanie adresów URL pozwala kontrolować dostęp użytkowników do zasobów sieciowych, korzystając z predefiniowanych 5 kategorii witryn. Każda z 5 kategorii zawiera kilka bardziej szczegółowych podkategorii, co pozwala skonfigurować np. blokowanie dostępu do podkategorii Gry i umożliwianie dostępu do podkategorii Komunikatory internetowe, które mieszczą się w tej samej kategorii Utrata Produktywności. Adresy URL powiązane z konkretnymi podkategoriami są ustalane przez firmę Check Point. Możesz sprawdzić kategorię, do której należy dany adres URL, lub poprosić o zastąpienie kategorii dla specjalnego zasobu .
Akcję można ustawić na Zapobiegaj, Wykrywaj lub Wyłącz. Ponadto po wybraniu akcji Wykryj automatycznie dodawane jest ustawienie, które pozwala użytkownikom pominąć ostrzeżenie o filtrowaniu adresów URL i przejść do interesującego zasobu. Jeśli używana jest opcja Zapobiegaj, to ustawienie można usunąć, a użytkownik nie będzie mógł uzyskać dostępu do zabronionej witryny. Innym wygodnym sposobem kontrolowania zabronionych zasobów jest skonfigurowanie listy zablokowanych, w której możesz określić domeny, adresy IP lub przesłać plik .csv z listą domen do zablokowania.
W standardowej zasadzie Filtrowania adresów URL akcja jest ustawiona na Wykryj i wybrana jest jedna kategoria - Bezpieczeństwo, dla której będą wykrywane zdarzenia. Ta kategoria obejmuje różne narzędzia anonimizujące, witryny o poziomie ryzyka krytycznego/wysokiego/średniego, witryny phishingowe, spam i wiele innych. Jednak użytkownicy nadal będą mogli uzyskać dostęp do zasobu dzięki ustawieniu „Pozwól użytkownikowi na odrzucenie alertu filtrowania adresów URL i dostęp do witryny”.
Ochrona pobierania (sieci).
Emulacja i ekstrakcja umożliwia emulację pobranych plików w piaskownicy chmury Check Point i czyszczenie dokumentów na bieżąco, usuwanie potencjalnie złośliwej zawartości lub konwertowanie dokumentu do formatu PDF. Istnieją trzy tryby pracy:
- Zapobiec — umożliwia uzyskanie kopii oczyszczonego dokumentu przed ostateczną oceną emulacji lub poczekanie na zakończenie emulacji i natychmiastowe pobranie oryginalnego pliku;
- Wykryć — przeprowadza emulację w tle, nie uniemożliwiając użytkownikowi otrzymania oryginalnego pliku, niezależnie od werdyktu;
- poza — można pobrać dowolne pliki bez konieczności emulacji i czyszczenia potencjalnie złośliwych komponentów.
Możliwe jest również wybranie akcji dla plików, które nie są obsługiwane przez narzędzia do emulacji i czyszczenia Check Point - możesz zezwolić lub zabronić pobierania wszystkich nieobsługiwanych plików.
Standardowa zasada Ochrony pobierania jest ustawiona na Zapobiegaj, co pozwala uzyskać kopię oryginalnego dokumentu, który został oczyszczony z potencjalnie złośliwej zawartości, a także umożliwia pobieranie plików, które nie są obsługiwane przez narzędzia do emulacji i czyszczenia.
Ochrona poświadczeń
Komponent Credential Protection chroni dane uwierzytelniające użytkownika i obejmuje 2 komponenty: Zero Phishing i Ochrona hasłem. Zero phishingu chroni użytkowników przed dostępem do zasobów phishingowych oraz Ochrona hasłem powiadamia użytkownika o niedopuszczalności używania poświadczeń korporacyjnych poza domeną chronioną. Zero Phishing można ustawić na Zapobiegaj, Wykrywaj lub Wyłącz. Gdy ustawiona jest akcja Zapobiegaj, możliwe jest zezwolenie użytkownikom na zignorowanie ostrzeżenia o potencjalnym zasobie phishingowym i uzyskanie dostępu do zasobu lub wyłączenie tej opcji i zablokowanie dostępu na zawsze. Dzięki akcji Wykryj użytkownicy zawsze mają możliwość zignorowania ostrzeżenia i uzyskania dostępu do zasobu. Ochrona hasłem umożliwia wybranie chronionych domen, dla których hasła będą sprawdzane pod kątem zgodności, oraz jedną z trzech akcji: Wykryj i ostrzeż (powiadomienie użytkownika), Wykryj lub Wyłącz.
Standardową polityką Ochrony Poświadczeń jest zapobieganie sytuacji, w której jakiekolwiek zasoby służące do wyłudzania informacji uniemożliwiają użytkownikom dostęp do potencjalnie złośliwej witryny. Ochrona przed użyciem haseł firmowych jest również włączona, ale bez określonych domen ta funkcja nie będzie działać.
Ochrona plików
Files Protection odpowiada za ochronę plików przechowywanych na komputerze użytkownika i obejmuje dwa komponenty: Anti-Malware i Files Threat Emulation. Anti-Malware to narzędzie, które regularnie skanuje wszystkie pliki użytkownika i systemu za pomocą analizy sygnatur. W ustawieniach tego komponentu możesz skonfigurować ustawienia czasu skanowania zwykłego lub losowego, okresu aktualizacji podpisu oraz możliwości anulowania zaplanowanego skanowania przez użytkowników. Emulacja zagrożeń plików umożliwia emulację plików przechowywanych na komputerze użytkownika w piaskownicy chmury Check Point, jednak ta funkcja bezpieczeństwa działa tylko w trybie Wykryj.
Standardowa polityka Ochrony plików obejmuje ochronę przed złośliwym oprogramowaniem i wykrywanie złośliwych plików za pomocą emulacji zagrożeń plików. Regularne skanowanie odbywa się co miesiąc, a podpisy na komputerze użytkownika są aktualizowane co 4 godziny. Jednocześnie użytkownicy są skonfigurowani tak, aby móc anulować zaplanowane skanowanie, ale nie później niż 30 dni od daty ostatniego udanego skanowania.
Ochrona behawioralna
Ochrona przed botami, ochrona behawioralna i ochrona przed oprogramowaniem ransomware, ochrona przed exploitami
Grupa komponentów ochrony behawioralnej obejmuje trzy komponenty: Anti-Bot, Behavioral Guard & Anti-Ransomware oraz Anti-Exploit. Antybot umożliwia monitorowanie i blokowanie połączeń C&C przy użyciu stale aktualizowanej bazy danych Check Point ThreatCloud. Ochrona behawioralna i ochrona przed oprogramowaniem ransomware stale monitoruje aktywność (pliki, procesy, interakcje sieciowe) na komputerze użytkownika i pozwala zapobiegać atakom ransomware już na początkowych etapach. Ponadto ten element ochronny umożliwia przywrócenie plików, które zostały już zaszyfrowane przez złośliwe oprogramowanie. Pliki są przywracane do oryginalnych katalogów lub możesz określić konkretną ścieżkę, w której będą przechowywane wszystkie odzyskane pliki. Ochrona przed exploitami pozwala wykryć ataki typu zero-day. Wszystkie komponenty Ochrony Behawioralnej obsługują trzy tryby pracy: Zapobieganie, Wykrywanie i Wyłączanie.
Standardowa polityka Ochrony Behawioralnej zapewnia funkcję Zapobiegania dla komponentów Anti-Bot, Behavioral Guard i Anti-Ransomware, z przywracaniem zaszyfrowanych plików w ich oryginalnych katalogach. Komponent Anti-Exploit jest wyłączony i nieużywany.
Analiza i naprawa
Zautomatyzowana analiza ataków (medycyna kryminalistyczna), naprawa i reakcja
Do analizy i badania incydentów związanych z bezpieczeństwem dostępne są dwa komponenty zabezpieczeń: automatyczna analiza ataków (medycyna śledcza) oraz naprawa i reagowanie. Zautomatyzowana analiza ataków (kryminalistyka) umożliwia generowanie raportów o wynikach odparcia ataków wraz ze szczegółowym opisem – aż do analizy procesu uruchamiania szkodliwego oprogramowania na komputerze użytkownika. Możliwe jest także wykorzystanie funkcji Threat Hunting, która umożliwia proaktywne wyszukiwanie anomalii i potencjalnie złośliwych zachowań przy użyciu predefiniowanych lub stworzonych filtrów. Naprawa i reakcja umożliwia skonfigurowanie ustawień odzyskiwania i kwarantanny plików po ataku: uregulowana jest interakcja użytkownika z plikami kwarantanny, możliwe jest także przechowywanie plików poddanych kwarantannie w katalogu określonym przez administratora.
Standardowa polityka analizy i naprawy obejmuje ochronę, która obejmuje automatyczne akcje odzyskiwania (zakończenie procesów, przywracanie plików itp.), a opcja wysyłania plików do kwarantanny jest aktywna, a użytkownicy mogą jedynie usuwać pliki z kwarantanny.
Standardowa polityka zapobiegania zagrożeniom: testowanie
Sprawdź punkt końcowy CheckMe
Najszybszym i najłatwiejszym sposobem sprawdzenia bezpieczeństwa komputera użytkownika przed najpopularniejszymi rodzajami ataków jest przeprowadzenie testu z wykorzystaniem zasobu , który przeprowadza szereg typowych ataków różnych kategorii i pozwala uzyskać raport z wyników testów. W tym przypadku wykorzystano opcję Testowanie Endpoint, polegającą na pobraniu i uruchomieniu na komputerze pliku wykonywalnego, po czym rozpoczyna się proces weryfikacji.
W procesie sprawdzania bezpieczeństwa działającego komputera SandBlast Agent sygnalizuje zidentyfikowane i odzwierciedlone ataki na komputer użytkownika, np.: blok Anti-Bot zgłasza wykrycie infekcji, blok Anti-Malware wykrył i usunął złośliwy plik CP_AM.exe i zainstalowany moduł Threat Emulation, że plik CP_ZD.exe jest złośliwy.
Na podstawie wyników testów z wykorzystaniem CheckMe Endpoint mamy następujący wynik: na 6 kategorii ataków, standardowa polityka Zapobiegania Zagrożeniom nie poradziła sobie tylko z jedną kategorią – Browser Exploit. Dzieje się tak, ponieważ standardowe zasady zapobiegania zagrożeniom nie obejmują modułu Anti-Exploit. Warto zauważyć, że bez zainstalowanego agenta SandBlast Agent komputer użytkownika przeszedł skanowanie tylko w kategorii Ransomware.
KnowBe4 RanSim
Aby przetestować działanie modułu Anti-Ransomware, możesz skorzystać z bezpłatnego rozwiązania , który przeprowadza serię testów na komputerze użytkownika: 18 scenariuszy infekcji ransomware i 1 scenariusz infekcji koparką kryptowalut. Warto zaznaczyć, że obecność wielu ostrzy w standardowej polityce (Emulacja zagrożeń, Ochrona przed złośliwym oprogramowaniem, Ochrona behawioralna) z akcją Zapobiegaj nie pozwala na poprawne przebiegnie tego testu. Jednak nawet przy obniżonym poziomie bezpieczeństwa (emulacja zagrożeń w trybie wyłączonym) test kasetowy modułu Anti-Ransomware wykazuje wysokie wyniki: 18 z 19 testów przeszło pomyślnie (1 nie został uruchomiony).
Złośliwe pliki i dokumenty
Wskazane jest sprawdzenie działania różnych bloków standardowej polityki zapobiegania zagrożeniom przy użyciu szkodliwych plików w popularnych formatach pobranych na komputer użytkownika. W teście wzięło udział 66 plików w formatach PDF, DOC, DOCX, EXE, XLS, XLSX, CAB, RTF. Wyniki testu wykazały, że SandBlast Agent był w stanie zablokować 64 złośliwe pliki z 66. Zainfekowane pliki były usuwane po pobraniu lub usuwane ze złośliwej zawartości za pomocą funkcji Threat Extraction i odbierane przez użytkownika.
Rekomendacje dotyczące udoskonalenia polityki zapobiegania zagrożeniom
1. Filtrowanie adresów URL
Pierwszą rzeczą, którą należy poprawić w standardowej polityce, aby zwiększyć poziom bezpieczeństwa komputera klienckiego, jest przełączenie bloku Filtrowanie adresów URL na Zapobieganie i określenie odpowiednich kategorii blokowania. W naszym przypadku wybrano wszystkie kategorie z wyjątkiem Ogólnego użytku, ponieważ obejmują one większość zasobów, do których konieczne jest ograniczenie dostępu użytkownikom w miejscu pracy. Ponadto w przypadku takich witryn zaleca się wyłączenie możliwości pomijania okna ostrzeżenia przez użytkowników poprzez odznaczenie parametru „Pozwól użytkownikowi na odrzucenie alertu filtrowania adresów URL i uzyskanie dostępu do witryny”.
2. Ochrona pobierania
Drugą opcją, na którą warto zwrócić uwagę, jest możliwość pobierania przez użytkowników plików, które nie są obsługiwane przez emulację Check Point. Ponieważ w tej sekcji przyglądamy się ulepszeniom standardowej polityki zapobiegania zagrożeniom z punktu widzenia bezpieczeństwa, najlepszą opcją byłoby zablokowanie pobierania nieobsługiwanych plików.
3. Ochrona plików
Należy także zwrócić uwagę na ustawienia ochrony plików - w szczególności ustawienia skanowania okresowego oraz możliwość odroczenia przez użytkownika wymuszonego skanowania. W takim przypadku należy wziąć pod uwagę ramy czasowe użytkownika, a dobrą opcją z punktu widzenia bezpieczeństwa i wydajności jest skonfigurowanie wymuszonego skanowania codziennie, o losowo wybranej godzinie (od 00:00 do 8:00:XNUMX). XNUMX), a użytkownik może opóźnić skanowanie maksymalnie o tydzień.
4. Ochrona przed exploitami
Istotną wadą standardowej polityki zapobiegania zagrożeniom jest to, że moduł modułu Anti-Exploit jest wyłączony. Zalecane jest włączenie tego bloku z akcją Zapobiegaj, aby chronić stację roboczą przed atakami wykorzystującymi exploity. Dzięki tej poprawce ponowny test CheckMe zakończy się pomyślnie, nie wykrywając luk w zabezpieczeniach komputera produkcyjnego użytkownika.
wniosek
Podsumujmy: w tym artykule zapoznaliśmy się ze składnikami standardowej polityki Zapobiegania Zagrożeniom, przetestowaliśmy tę politykę przy użyciu różnych metod i narzędzi, a także opisaliśmy zalecenia dotyczące ulepszenia ustawień standardowej polityki w celu zwiększenia poziomu bezpieczeństwa komputera użytkownika . W następnym artykule z tej serii przejdziemy do studiowania Polityki ochrony danych i przyjrzymy się Globalnym ustawieniom zasad.
. Aby nie przegapić kolejnych publikacji na temat SandBlast Agent Management Platform, śledź aktualizacje na naszych portalach społecznościowych (, , , , ).
Źródło: www.habr.com