Bine ați venit la al treilea articol din serie despre noua consolă de gestionare a protecției computerelor personale bazată pe cloud - Check Point SandBlast Agent Management Platform. Permiteți-mi să vă reamintesc că în ne-am familiarizat cu Portalul Infinity și am creat un serviciu de management al agenților bazat pe cloud, Endpoint Management Service. În Am studiat interfața consolei de administrare web și am instalat un agent cu o politică standard pe mașina utilizatorului. Astăzi ne vom uita la conținutul politicii standard de securitate pentru prevenirea amenințărilor și vom testa eficacitatea acesteia în combaterea atacurilor populare.
Politica standard de prevenire a amenințărilor: Descriere
Figura de mai sus prezintă o regulă standard de politică de prevenire a amenințărilor, care se aplică în mod implicit întregii organizații (toți agenții instalați) și include trei grupuri logice de componente de protecție: Protecție web și fișiere, Protecție comportamentală și Analiză și remediere. Să aruncăm o privire mai atentă la fiecare dintre grupuri.
Protecție web și fișiere
Filtrare URL
Filtrarea URL vă permite să controlați accesul utilizatorilor la resursele web, folosind 5 categorii predefinite de site-uri. Fiecare dintre cele 5 categorii conține mai multe subcategorii specifice, ceea ce vă permite să configurați, de exemplu, blocarea accesului la subcategoria Jocuri și permiterea accesului la subcategoria Mesaje instant, care sunt incluse în aceeași categorie Pierdere productivitate. Adresele URL asociate cu anumite subcategorii sunt determinate de Check Point. Puteți verifica categoria căreia îi aparține o anumită adresă URL sau puteți solicita o modificare a categoriei pe o resursă specială .
Acțiunea poate fi setată la Prevenire, Detectare sau Dezactivare. De asemenea, atunci când selectați acțiunea Detectare, se adaugă automat o setare care permite utilizatorilor să omite avertismentul de filtrare URL și să meargă la resursa de interes. Dacă se folosește Prevent, această setare poate fi eliminată și utilizatorul nu va putea accesa site-ul interzis. O altă modalitate convenabilă de a controla resursele interzise este să configurați o Listă de blocare, în care puteți specifica domenii, adrese IP sau puteți încărca un fișier .csv cu o listă de domenii de blocat.
În politica standard pentru filtrarea URL, acțiunea este setată la Detect și este selectată o categorie - Securitate, pentru care vor fi detectate evenimente. Această categorie include diverse aplicații de anonimizare, site-uri cu un nivel de risc Critic/Ridicat/Mediu, site-uri de phishing, spam și multe altele. Cu toate acestea, utilizatorii vor putea în continuare să acceseze resursa datorită setării „Permiteți utilizatorului să respingă alerta de filtrare URL și să acceseze site-ul web”.
Protecție pentru descărcare (web).
Emularea și extragerea vă permite să emulați fișierele descărcate în sandbox-ul din cloud Check Point și să curățați documentele din mers, eliminând conținutul potențial rău intenționat sau convertind documentul în PDF. Există trei moduri de funcționare:
- Prevent — vă permite să obțineți o copie a documentului curățat înainte de verdictul final al emulării sau să așteptați ca emularea să se finalizeze și să descărcați imediat fișierul original;
- detecta — realizează emulare în fundal, fără a împiedica utilizatorul să primească dosarul original, indiferent de verdict;
- de pe — oricăror fișiere pot fi descărcate fără a fi supuse emulării și curățării componentelor potențial rău intenționate.
De asemenea, este posibil să selectați o acțiune pentru fișierele care nu sunt acceptate de instrumentele de emulare și curățare Check Point - puteți permite sau refuza descărcarea tuturor fișierelor neacceptate.
Politica standard pentru Protecția la descărcare este setată la Prevenire, ceea ce vă permite să obțineți o copie a documentului original care a fost șters de conținut potențial rău intenționat, precum și să permiteți descărcarea fișierelor care nu sunt acceptate de instrumente de emulare și curățare.
Protecția acreditării
Componenta Credential Protection protejează acreditările utilizatorului și include 2 componente: Zero Phishing și Protecție cu parolă. Zero Phishing protejează utilizatorii de accesarea resurselor de phishing și Protecția parolei informează utilizatorul despre inadmisibilitatea utilizării acreditărilor corporative în afara domeniului protejat. Zero Phishing poate fi setat la Prevenire, Detectare sau Dezactivare. Când acțiunea Prevenire este setată, este posibil să le permiteți utilizatorilor să ignore avertismentul despre o potențială resursă de phishing și să obțină acces la resursă sau să dezactiveze această opțiune și să blocheze pentru totdeauna accesul. Cu o acțiune Detect, utilizatorii au întotdeauna opțiunea de a ignora avertismentul și de a accesa resursa. Protecția cu parolă vă permite să selectați domenii protejate pentru care parolele vor fi verificate pentru conformitate și una dintre cele trei acțiuni: Detectare și alertă (notificarea utilizatorului), Detectare sau Dezactivare.
Politica standard pentru Protecția acreditărilor este de a împiedica orice resurse de phishing să împiedice utilizatorii să acceseze un site potențial rău intenționat. Protecția împotriva utilizării parolelor corporative este, de asemenea, activată, dar fără domeniile specificate această caracteristică nu va funcționa.
Protecția fișierelor
Files Protection este responsabilă pentru protejarea fișierelor stocate pe computerul utilizatorului și include două componente: Anti-Malware și Files Threat Emulation. Anti-malware este un instrument care scanează în mod regulat toate fișierele utilizator și de sistem utilizând analiza semnăturii. În setările acestei componente, puteți configura setările pentru scanarea obișnuită sau timpii de scanare aleatorie, perioada de actualizare a semnăturii și capacitatea utilizatorilor de a anula scanarea programată. Emularea amenințării fișierelor vă permite să emulați fișierele stocate pe computerul utilizatorului în sandbox-ul din cloud Check Point, cu toate acestea, această caracteristică de securitate funcționează numai în modul Detect.
Politica standard pentru Files Protection include protecție cu Anti-Malware și detectarea fișierelor rău intenționate cu Files Threat Emulation. Scanarea regulată este efectuată în fiecare lună, iar semnăturile de pe computerul utilizatorului sunt actualizate la fiecare 4 ore. În același timp, utilizatorii sunt configurați să poată anula o scanare programată, dar nu mai târziu de 30 de zile de la data ultimei scanări reușite.
Protecția comportamentală
Anti-Bot, Behavioral Guard & Anti-Ransomware, Anti-Exploit
Grupul de componente de protecție Behavioral Protection include trei componente: Anti-Bot, Behavioral Guard și Anti-Ransomware și Anti-Exploit. Anti-Bot vă permite să monitorizați și să blocați conexiunile C&C folosind baza de date actualizată constant Check Point ThreatCloud. Garda comportamentală și anti-ransomware monitorizează în mod constant activitatea (fișiere, procese, interacțiuni cu rețeaua) pe computerul utilizatorului și vă permite să preveniți atacurile ransomware în etapele inițiale. În plus, acest element de protecție vă permite să restaurați fișierele care au fost deja criptate de malware. Fișierele sunt restaurate în directoarele lor originale sau puteți specifica o cale specifică în care vor fi stocate toate fișierele recuperate. Anti-exploatare vă permite să detectați atacuri zero-day. Toate componentele de protecție comportamentală acceptă trei moduri de funcționare: Prevenire, Detectare și Oprire.
Politica standard pentru Protecția comportamentală oferă componente Prevent pentru Anti-Bot și Behavioral Guard și Anti-Ransomware, cu restaurarea fișierelor criptate în directoarele lor originale. Componenta Anti-Exploit este dezactivată și nu este utilizată.
Analiză și remediere
Analiză automată a atacurilor ( criminalistică ), remediere și răspuns
Două componente de securitate sunt disponibile pentru analiza și investigarea incidentelor de securitate: Analiza automată a atacurilor (medicale criminalistice) și Remediere și răspuns. Analiza automată a atacurilor ( criminalistică ) vă permite să generați rapoarte privind rezultatele respingerii atacurilor cu o descriere detaliată - până la analiza procesului de executare a malware-ului pe computerul utilizatorului. De asemenea, este posibilă utilizarea funcției Threat Hunting, care face posibilă căutarea proactivă a anomaliilor și a comportamentului potențial rău intenționat folosind filtre predefinite sau create. Remediere și răspuns vă permite să configurați setări pentru recuperarea și carantina fișierelor după un atac: interacțiunea utilizatorului cu fișierele de carantină este reglementată și este, de asemenea, posibilă stocarea fișierelor puse în carantină într-un director specificat de administrator.
Politica standard de analiză și remediere include protecție, care include acțiuni automate pentru recuperare (încheierea proceselor, restaurarea fișierelor etc.), iar opțiunea de a trimite fișiere în carantină este activă, iar utilizatorii pot șterge doar fișiere din carantină.
Politica standard de prevenire a amenințărilor: testare
Punct de verificare CheckMe Endpoint
Cea mai rapidă și ușoară modalitate de a verifica securitatea mașinii unui utilizator față de cele mai populare tipuri de atacuri este de a efectua un test folosind resursa , care efectuează o serie de atacuri tipice de diferite categorii și vă permite să obțineți un raport privind rezultatele testării. În acest caz, a fost folosită opțiunea de testare Endpoint, în care un fișier executabil este descărcat și lansat pe computer, iar apoi începe procesul de verificare.
În procesul de verificare a securității unui computer care funcționează, SandBlast Agent semnalează atacurile identificate și reflectate asupra computerului utilizatorului, de exemplu: blade Anti-Bot raportează detectarea unei infecții, blade Anti-Malware a detectat și șters fișier rău intenționat CP_AM.exe și blade Emulare amenințări a instalat că fișierul CP_ZD.exe este rău intenționat.
Pe baza rezultatelor testării utilizând CheckMe Endpoint, avem următorul rezultat: din 6 categorii de atac, politica standard de prevenire a amenințărilor nu a reușit să facă față doar unei singure categorii - Exploit browser. Acest lucru se datorează faptului că politica standard de prevenire a amenințărilor nu include bladele Anti-Exploit. Este de remarcat faptul că, fără SandBlast Agent instalat, computerul utilizatorului a trecut scanarea numai în categoria Ransomware.
KnowBe4 RanSim
Pentru a testa funcționarea bladei Anti-Ransomware, puteți utiliza o soluție gratuită , care rulează o serie de teste pe computerul utilizatorului: 18 scenarii de infecție cu ransomware și 1 scenariu de infecție cu cryptominer. Este de remarcat faptul că prezența multor blade în politica standard (Threat Emulation, Anti-Malware, Behavioral Guard) cu acțiunea Prevent nu permite acestui test să ruleze corect. Cu toate acestea, chiar și cu un nivel de securitate redus (Emularea amenințărilor în modul Off), testul blade Anti-Ransomware arată rezultate ridicate: 18 din 19 teste au trecut cu succes (1 nu a pornit).
Fișiere și documente rău intenționate
Este indicativ să verificați funcționarea diferitelor lame ale politicii standard de prevenire a amenințărilor folosind fișiere rău intenționate de formate populare descărcate pe computerul utilizatorului. Acest test a implicat 66 de fișiere în formate PDF, DOC, DOCX, EXE, XLS, XLSX, CAB, RTF. Rezultatele testului au arătat că SandBlast Agent a reușit să blocheze 64 de fișiere rău intenționate din 66. Fișierele infectate au fost șterse după descărcare sau șterse de conținut rău intenționat folosind Threat Extraction și primite de utilizator.
Recomandări pentru îmbunătățirea politicii de prevenire a amenințărilor
1. Filtrare URL
Primul lucru care trebuie corectat în politica standard pentru a crește nivelul de securitate al mașinii client este să comutați lama de filtrare URL la Prevent și să specificați categoriile adecvate pentru blocare. În cazul nostru, toate categoriile au fost selectate, cu excepția Uzului general, deoarece acestea includ majoritatea resurselor la care este necesar să se restricționeze accesul utilizatorilor la locul de muncă. De asemenea, pentru astfel de site-uri, este recomandabil să eliminați posibilitatea utilizatorilor de a sări peste fereastra de avertizare prin debifarea parametrului „Permiteți utilizatorului să respingă alerta de filtrare URL și să acceseze site-ul web”.
2.Download Protection
A doua opțiune la care merită să acordați atenție este capacitatea utilizatorilor de a descărca fișiere care nu sunt acceptate de emularea Check Point. Deoarece în această secțiune analizăm îmbunătățirile aduse politicii standard de prevenire a amenințărilor din punct de vedere al securității, cea mai bună opțiune ar fi să blocăm descărcarea fișierelor neacceptate.
3. Protecția fișierelor
De asemenea, trebuie să acordați atenție setărilor pentru protejarea fișierelor - în special, setărilor pentru scanarea periodică și capacitatea utilizatorului de a amâna scanarea forțată. În acest caz, trebuie să se țină cont de intervalul de timp al utilizatorului, iar o opțiune bună din punct de vedere al securității și performanței este configurarea unei scanări forțate să ruleze în fiecare zi, cu ora selectată aleatoriu (de la 00:00 la 8: 00), iar utilizatorul poate amâna scanarea cu maximum o săptămână.
4. Anti-Exploit
Un dezavantaj semnificativ al politicii standard de prevenire a amenințărilor este că bladele Anti-Exploit este dezactivată. Este recomandat să activați această lamă cu acțiunea Prevenire pentru a proteja stația de lucru de atacuri care folosesc exploit-uri. Cu această remediere, retestarea CheckMe se finalizează cu succes fără a detecta vulnerabilități pe mașina de producție a utilizatorului.
Concluzie
Să rezumam: în acest articol ne-am familiarizat cu componentele politicii standard de prevenire a amenințărilor, am testat această politică folosind diverse metode și instrumente și am descris, de asemenea, recomandări pentru îmbunătățirea setărilor politicii standard pentru a crește nivelul de securitate al mașinii utilizatorului. . În următorul articol din serie, vom trece la studiul politicii de protecție a datelor și vom analiza setările politicii globale.
. Pentru a nu rata următoarele publicații pe tema SandBlast Agent Management Platform, urmăriți actualizările de pe rețelele noastre sociale (, , , , ).
Sursa: www.habr.com