Bem-vindo ao terceiro artigo da série sobre o novo console de gerenciamento de proteção de computadores pessoais baseado em nuvem - Check Point SandBlast Agent Management Platform. Deixe-me lembrá-lo que em conhecemos o Portal Infinity e criamos um serviço de gerenciamento de agentes baseado em nuvem, Endpoint Management Service. Em Estudamos a interface do console de gerenciamento web e instalamos um agente com uma política padrão na máquina do usuário. Hoje examinaremos o conteúdo da política de segurança padrão de Prevenção de Ameaças e testaremos sua eficácia no combate a ataques populares.
Política padrão de prevenção contra ameaças: descrição
A figura acima mostra uma regra de política padrão de Prevenção de Ameaças, que por padrão se aplica a toda a organização (todos os agentes instalados) e inclui três grupos lógicos de componentes de proteção: Proteção da Web e de Arquivos, Proteção Comportamental e Análise e Remediação. Vamos dar uma olhada em cada um dos grupos.
Proteção da Web e de arquivos
Filtragem de URL
A Filtragem de URL permite controlar o acesso do usuário aos recursos da web, usando 5 categorias de sites predefinidas. Cada uma das 5 categorias contém várias subcategorias mais específicas, o que permite configurar, por exemplo, bloquear o acesso à subcategoria Jogos e permitir o acesso à subcategoria Mensagens Instantâneas, que estão incluídas na mesma categoria Perda de Produtividade. URLs associados a subcategorias específicas são determinados pela Check Point. Você pode verificar a categoria à qual pertence um URL específico ou solicitar uma substituição de categoria em um recurso especial .
A ação pode ser definida como Prevenir, Detectar ou Desligar. Além disso, ao selecionar a ação Detectar, é adicionada automaticamente uma configuração que permite aos usuários ignorar o aviso de Filtragem de URL e ir para o recurso de interesse. Se o Prevent for utilizado, esta configuração poderá ser removida e o usuário não poderá acessar o site proibido. Outra maneira conveniente de controlar recursos proibidos é configurar uma Lista de Bloqueios, na qual você pode especificar domínios, endereços IP ou fazer upload de um arquivo .csv com uma lista de domínios a serem bloqueados.
Na política padrão de Filtragem de URL, a ação é definida como Detectar e uma categoria é selecionada - Segurança, para a qual os eventos serão detectados. Esta categoria inclui vários anonimizadores, sites com nível de risco Crítico/Alto/Médio, sites de phishing, spam e muito mais. No entanto, os usuários ainda poderão acessar o recurso graças à configuração “Permitir que o usuário ignore o alerta de filtragem de URL e acesse o site”.
Proteção de download (web)
Emulação e extração permite emular arquivos baixados na sandbox da nuvem Check Point e limpar documentos instantaneamente, removendo conteúdo potencialmente malicioso ou convertendo o documento em PDF. Existem três modos de operação:
- prevenir — permite obter uma cópia do documento limpo antes do veredicto final da emulação ou aguardar a conclusão da emulação e baixar o arquivo original imediatamente;
- Detectar — realiza a emulação em segundo plano, sem impedir que o usuário receba o arquivo original, independente do veredicto;
- Off — qualquer arquivo pode ser baixado sem sofrer emulação e limpeza de componentes potencialmente maliciosos.
Também é possível selecionar uma ação para arquivos que não são suportados pelas ferramentas de emulação e limpeza do Check Point – você pode permitir ou negar o download de todos os arquivos não suportados.
A política padrão de Proteção de Download é definida como Prevenir, o que permite obter uma cópia do documento original que foi limpo de conteúdo potencialmente malicioso, além de permitir o download de arquivos que não são suportados por ferramentas de emulação e limpeza.
Proteção de credenciais
O componente Credential Protection protege as credenciais do usuário e inclui 2 componentes: Zero Phishing e Proteção por Senha. Phishing zero protege os usuários contra acesso a recursos de phishing e Proteção de senha notifica o usuário sobre a inadmissibilidade do uso de credenciais corporativas fora do domínio protegido. Zero Phishing pode ser definido como Prevenir, Detectar ou Desativar. Quando a ação Prevenir está definida, é possível permitir que os usuários ignorem o aviso sobre um possível recurso de phishing e obtenham acesso ao recurso, ou desabilitem esta opção e bloqueiem o acesso para sempre. Com uma ação Detectar, os usuários sempre têm a opção de ignorar o aviso e acessar o recurso. A proteção por senha permite que você selecione domínios protegidos para os quais as senhas serão verificadas quanto à conformidade e uma das três ações: Detectar e alertar (notificar o usuário), Detectar ou Desligar.
A política padrão para proteção de credenciais é impedir que quaisquer recursos de phishing impeçam os usuários de acessar um site potencialmente malicioso. A proteção contra o uso de senhas corporativas também está habilitada, mas sem os domínios especificados esse recurso não funcionará.
Proteção de arquivos
A Proteção de Arquivos é responsável por proteger os arquivos armazenados na máquina do usuário e inclui dois componentes: Anti-Malware e Emulação de Ameaças de Arquivos. Anti-Malware é uma ferramenta que verifica regularmente todos os arquivos do usuário e do sistema usando análise de assinatura. Nas configurações deste componente, você pode definir as configurações para verificação regular ou tempos de verificação aleatórios, o período de atualização de assinatura e a capacidade dos usuários cancelarem a verificação agendada. Emulação de ameaças de arquivos permite emular arquivos armazenados na máquina do usuário no sandbox da nuvem Check Point, porém, esse recurso de segurança só funciona no modo Detectar.
A política padrão de proteção de arquivos inclui proteção com antimalware e detecção de arquivos maliciosos com emulação de ameaça de arquivos. A verificação regular é realizada todos os meses e as assinaturas na máquina do usuário são atualizadas a cada 4 horas. Ao mesmo tempo, os usuários estão configurados para cancelar uma verificação agendada, mas no máximo 30 dias a partir da data da última verificação bem-sucedida.
Proteção Comportamental
Anti-Bot, Proteção Comportamental e Anti-Ransomware, Anti-Exploit
O grupo de componentes de proteção da Proteção Comportamental inclui três componentes: Anti-Bot, Behavioral Guard & Anti-Ransomware e Anti-Exploit. Antibot permite monitorar e bloquear conexões C&C usando o banco de dados Check Point ThreatCloud constantemente atualizado. Guarda Comportamental e Anti-Ransomware monitora constantemente a atividade (arquivos, processos, interações de rede) na máquina do usuário e permite evitar ataques de ransomware nos estágios iniciais. Além disso, este elemento de proteção permite restaurar arquivos que já foram criptografados pelo malware. Os arquivos são restaurados para seus diretórios originais ou você pode especificar um caminho específico onde todos os arquivos recuperados serão armazenados. Anti-exploração permite detectar ataques de dia zero. Todos os componentes da Proteção Comportamental suportam três modos de operação: Prevenir, Detectar e Desligar.
A política padrão de Proteção Comportamental fornece Prevenção para os componentes Anti-Bot e Behavioral Guard & Anti-Ransomware, com a restauração de arquivos criptografados em seus diretórios originais. O componente Anti-Exploit está desativado e não é usado.
Análise e Remediação
Análise Automatizada de Ataques (Forense), Remediação e Resposta
Dois componentes de segurança estão disponíveis para análise e investigação de incidentes de segurança: Análise Automatizada de Ataques (Forense) e Remediação e Resposta. Análise Automatizada de Ataques (Forense) permite gerar relatórios sobre os resultados da repulsão de ataques com uma descrição detalhada - até a análise do processo de execução do malware na máquina do usuário. Também é possível utilizar o recurso Threat Hunting, que permite pesquisar proativamente anomalias e comportamentos potencialmente maliciosos por meio de filtros predefinidos ou criados. Remediação e Resposta permite definir configurações para recuperação e quarentena de arquivos após um ataque: a interação do usuário com os arquivos em quarentena é regulada e também é possível armazenar arquivos em quarentena em um diretório especificado pelo administrador.
A política padrão de Análise e Remediação inclui proteção, que inclui ações automáticas para recuperação (encerramento de processos, restauração de arquivos, etc.), e a opção de enviar arquivos para quarentena está ativa, e os usuários só podem excluir arquivos da quarentena.
Política padrão de prevenção de ameaças: testes
Ponto final CheckMe do ponto de verificação
A maneira mais rápida e fácil de verificar a segurança da máquina de um usuário contra os tipos de ataques mais populares é realizar um teste utilizando o recurso , que realiza uma série de ataques típicos de várias categorias e permite obter um relatório sobre os resultados dos testes. Neste caso, foi utilizada a opção de teste Endpoint, na qual um arquivo executável é baixado e lançado no computador e, em seguida, inicia-se o processo de verificação.
No processo de verificação da segurança de um computador em funcionamento, o SandBlast Agent sinaliza sobre ataques identificados e refletidos no computador do usuário, por exemplo: o blade Anti-Bot relata a detecção de uma infecção, o blade Anti-Malware detectou e excluiu o arquivo malicioso CP_AM.exe e a lâmina Threat Emulation instalou que o arquivo CP_ZD.exe é malicioso.
Com base nos resultados dos testes usando CheckMe Endpoint, temos o seguinte resultado: de 6 categorias de ataque, a política padrão de prevenção de ameaças não conseguiu lidar com apenas uma categoria - Exploração do navegador. Isso ocorre porque a política padrão de Prevenção contra ameaças não inclui o blade Anti-Exploit. É importante ressaltar que sem o SandBlast Agent instalado, o computador do usuário passou na verificação apenas na categoria Ransomware.
KnowBe4 RanSim
Para testar o funcionamento do blade Anti-Ransomware, você pode usar uma solução gratuita , que executa uma série de testes na máquina do usuário: 18 cenários de infecção por ransomware e 1 cenário de infecção por criptominerador. Vale ressaltar que a presença de muitos blades na política padrão (Threat Emulation, Anti-Malware, Behavioral Guard) com a ação Prevent não permite que este teste seja executado corretamente. No entanto, mesmo com um nível de segurança reduzido (Emulação de Ameaças no modo Desligado), o teste de blade Anti-Ransomware apresenta resultados elevados: 18 de 19 testes foram aprovados (1 falhou ao iniciar).
Arquivos e documentos maliciosos
É indicativo verificar o funcionamento de diferentes blades da política padrão de Prevenção de Ameaças utilizando arquivos maliciosos de formatos populares baixados na máquina do usuário. Este teste envolveu 66 arquivos nos formatos PDF, DOC, DOCX, EXE, XLS, XLSX, CAB, RTF. Os resultados do teste mostraram que o SandBlast Agent foi capaz de bloquear 64 arquivos maliciosos de 66. Os arquivos infectados foram excluídos após o download ou limpos de conteúdo malicioso usando a Extração de Ameaças e recebidos pelo usuário.
Recomendações para melhorar a política de prevenção de ameaças
1. Filtragem de URL
A primeira coisa que precisa ser corrigida na política padrão para aumentar o nível de segurança da máquina cliente é mudar a folha Filtragem de URL para Prevenir e especificar as categorias apropriadas para bloqueio. No nosso caso, foram selecionadas todas as categorias, exceto Uso Geral, pois incluem a maior parte dos recursos aos quais é necessário restringir o acesso dos usuários no local de trabalho. Além disso, para esses sites, é aconselhável remover a capacidade dos usuários de pular a janela de aviso desmarcando o parâmetro “Permitir que o usuário ignore o alerta de filtragem de URL e acesse o site”.
2. Proteção de download
A segunda opção que vale a pena prestar atenção é a capacidade dos usuários baixarem arquivos que não são suportados pela emulação Check Point. Como nesta seção estamos analisando melhorias na política padrão de Prevenção de Ameaças do ponto de vista da segurança, a melhor opção seria bloquear o download de arquivos não suportados.
3. Proteção de arquivos
Você também precisa prestar atenção às configurações de proteção de arquivos - em particular, às configurações de verificação periódica e à capacidade do usuário de adiar a verificação forçada. Neste caso, deve-se levar em consideração o intervalo de tempo do usuário, e uma boa opção do ponto de vista de segurança e desempenho é configurar uma varredura forçada para ser executada todos os dias, com horário selecionado aleatoriamente (das 00h00 às 8h: 00), podendo o usuário atrasar a verificação por no máximo uma semana.
4. Antiexploração
Uma desvantagem significativa da política padrão de Prevenção de Ameaças é que o blade Anti-Exploit está desabilitado. Recomenda-se habilitar esse blade com a ação Prevenir para proteger a estação de trabalho contra ataques que usam explorações. Com essa correção, o novo teste do CheckMe é concluído com êxito, sem detectar vulnerabilidades na máquina de produção do usuário.
Conclusão
Para resumir: neste artigo conhecemos os componentes da política padrão de Prevenção de Ameaças, testamos essa política usando vários métodos e ferramentas e também descrevemos recomendações para melhorar as configurações da política padrão para aumentar o nível de segurança da máquina do usuário . No próximo artigo da série, estudaremos a política de proteção de dados e examinaremos as configurações globais da política.
. Para não perder as próximas publicações sobre o tema SandBlast Agent Management Platform, acompanhe as atualizações em nossas redes sociais (, , , , ).
Fonte: habr.com