Vitajte pri treťom článku zo série o novej cloudovej konzole na správu ochrany osobných počítačov – Check Point SandBlast Agent Management Platform. Dovoľte mi pripomenúť, že v zoznámili sme sa s Infinity Portal a vytvorili sme cloudovú službu správy agentov Endpoint Management Service. In Študovali sme rozhranie webovej konzoly na správu a nainštalovali sme agenta so štandardnou politikou na počítač používateľa. Dnes sa pozrieme na obsah štandardnej bezpečnostnej politiky Prevencia hrozieb a otestujeme jej účinnosť v boji proti populárnym útokom.
Štandardná politika prevencie hrozieb: Popis
Obrázok vyššie zobrazuje štandardné pravidlo politiky prevencie hrozieb, ktoré sa štandardne vzťahuje na celú organizáciu (všetkých nainštalovaných agentov) a zahŕňa tri logické skupiny komponentov ochrany: Web & Files Protection, Behavioral Protection a Analysis & Remediation. Pozrime sa bližšie na každú zo skupín.
Ochrana webu a súborov
Filtrovanie adries URL
Filtrovanie adries URL vám umožňuje riadiť prístup používateľov k webovým zdrojom pomocou preddefinovaných 5 kategórií stránok. Každá z 5 kategórií obsahuje niekoľko špecifickejších podkategórií, čo umožňuje konfigurovať napríklad blokovanie prístupu do podkategórie Hry a umožnenie prístupu do podkategórie Instant Messaging, ktoré sú zahrnuté v rovnakej kategórii Strata produktivity. Adresy URL spojené s konkrétnymi podkategóriami určuje Check Point. Môžete skontrolovať kategóriu, do ktorej patrí konkrétna adresa URL, alebo požiadať o prepísanie kategórie v špeciálnom zdroji .
Akciu je možné nastaviť na Zabrániť, Zistiť alebo Vypnúť. Pri výbere akcie Zistiť sa tiež automaticky pridá nastavenie, ktoré používateľom umožňuje preskočiť varovanie o filtrovaní adries URL a prejsť na zdroj záujmu. Ak sa použije Zabrániť, toto nastavenie možno odstrániť a používateľ nebude mať prístup na zakázanú stránku. Ďalším pohodlným spôsobom kontroly zakázaných zdrojov je nastavenie Zoznamu blokovania, v ktorom môžete špecifikovať domény, IP adresy alebo nahrať súbor .csv so zoznamom domén na blokovanie.
V štandardnej politike pre filtrovanie adries URL je akcia nastavená na Detekovať a je vybratá jedna kategória - Bezpečnosť, pre ktorú sa budú zisťovať udalosti. Táto kategória zahŕňa rôzne anonymizátory, stránky s kritickou/vysokou/strednou úrovňou rizika, phishingové stránky, spam a mnohé ďalšie. Používatelia však budú mať stále prístup k zdroju vďaka nastaveniu „Povoliť používateľovi zrušiť upozornenie na filtrovanie adries URL a pristupovať k webovej lokalite“.
Stiahnite si (web) Ochrana
Emulácia a extrakcia vám umožňuje emulovať stiahnuté súbory v karanténe cloudu Check Point a čistiť dokumenty za chodu, odstraňovať potenciálne škodlivý obsah alebo konvertovať dokument do formátu PDF. Existujú tri prevádzkové režimy:
- Zabrániť — umožňuje získať kópiu vyčisteného dokumentu pred konečným verdiktom emulácie alebo počkať na dokončenie emulácie a okamžite stiahnuť pôvodný súbor;
- odhaliť — vykonáva emuláciu na pozadí bez toho, aby zabránila používateľovi získať pôvodný súbor, bez ohľadu na verdikt;
- zľava — akékoľvek súbory je možné sťahovať bez toho, aby museli prejsť emuláciou a vyčistením od potenciálne škodlivých komponentov.
Je tiež možné vybrať akciu pre súbory, ktoré nie sú podporované nástrojmi na emuláciu a čistenie Check Point – môžete povoliť alebo zakázať sťahovanie všetkých nepodporovaných súborov.
Štandardná politika pre ochranu sťahovania je nastavená na Zabrániť, čo vám umožňuje získať kópiu pôvodného dokumentu, ktorý bol vyčistený od potenciálne škodlivého obsahu, a tiež umožňuje sťahovanie súborov, ktoré emulačné a čistiace nástroje nepodporujú.
Ochrana poverení
Komponent Credential Protection chráni poverenia používateľa a obsahuje 2 komponenty: Zero Phishing a Password Protection. Nulové phishing chráni používateľov pred prístupom k phishingovým zdrojom a Ochrana heslom upozorní používateľa na neprípustnosť používania firemných prihlasovacích údajov mimo chránenej domény. Zero Phishing je možné nastaviť na Zabrániť, Zistiť alebo Vypnúť. Keď je nastavená akcia Zabrániť, je možné povoliť používateľom ignorovať varovanie o potenciálnom phishingovom zdroji a získať prístup k zdroju, alebo túto možnosť zakázať a navždy zablokovať prístup. Pomocou akcie Zistiť majú používatelia vždy možnosť ignorovať varovanie a získať prístup k zdroju. Ochrana heslom vám umožňuje vybrať chránené domény, pre ktoré sa bude kontrolovať súlad hesiel, a jednu z troch akcií: Zistiť a upozorniť (upozorniť používateľa), Zistiť alebo Vypnúť.
Štandardnou politikou ochrany poverení je zabrániť akýmkoľvek phishingovým zdrojom zabrániť používateľom v prístupe na potenciálne škodlivú stránku. Povolená je aj ochrana proti používaniu podnikových hesiel, no bez uvedených domén táto funkcia nebude fungovať.
Ochrana súborov
Ochrana súborov je zodpovedná za ochranu súborov uložených na počítači používateľa a zahŕňa dve súčasti: Anti-Malware a Emuláciu hrozieb súborov. Anti-Malware je nástroj, ktorý pravidelne kontroluje všetky používateľské a systémové súbory pomocou analýzy podpisov. V nastaveniach tohto komponentu môžete nakonfigurovať nastavenia pre pravidelné kontroly alebo časy náhodných kontrol, dobu aktualizácie podpisov a možnosť používateľov zrušiť naplánovanú kontrolu. Emulácia hrozieb súborov umožňuje emulovať súbory uložené na počítači používateľa v cloudovej karanténe Check Point, táto bezpečnostná funkcia však funguje iba v režime Detect.
Štandardná politika pre Files Protection zahŕňa ochranu pomocou Anti-Malware a detekciu škodlivých súborov pomocou Files Threat Emulation. Pravidelné skenovanie sa vykonáva každý mesiac a podpisy na používateľskom zariadení sa aktualizujú každé 4 hodiny. Používatelia sú zároveň nakonfigurovaní tak, aby mohli naplánovanú kontrolu zrušiť, najneskôr však do 30 dní od dátumu poslednej úspešnej kontroly.
Ochrana správania
Anti-Bot, Behavioral Guard & Anti-Ransomware, Anti-Exploit
Skupina komponentov ochrany Behavioral Protection obsahuje tri komponenty: Anti-Bot, Behavioral Guard & Anti-Ransomware a Anti-Exploit. Anti-Bot umožňuje monitorovať a blokovať pripojenia C&C pomocou neustále aktualizovanej databázy Check Point ThreatCloud. Behaviorálna ochrana a anti-ransomvér neustále monitoruje aktivitu (súbory, procesy, sieťové interakcie) na počítači používateľa a umožňuje vám predchádzať útokom ransomvéru v počiatočných fázach. Okrem toho vám tento ochranný prvok umožňuje obnoviť súbory, ktoré už boli zašifrované malvérom. Súbory sa obnovia do pôvodných adresárov alebo môžete zadať konkrétnu cestu, kde budú uložené všetky obnovené súbory. Anti-Exploit umožňuje odhaliť zero-day útoky. Všetky komponenty Behavioral Protection podporujú tri prevádzkové režimy: Zabrániť, Zistiť a Vypnúť.
Štandardná politika pre Behavioral Protection poskytuje Prevent pre komponenty Anti-Bot a Behavioral Guard & Anti-Ransomware s obnovou zašifrovaných súborov v ich pôvodných adresároch. Komponent Anti-Exploit je vypnutý a nepoužíva sa.
Analýza a náprava
Automatizovaná analýza útokov (forenzná), náprava a odozva
Na analýzu a vyšetrovanie bezpečnostných incidentov sú k dispozícii dva bezpečnostné komponenty: automatizovaná analýza útokov (forenzná) a náprava a odozva. Automatizovaná analýza útokov (forenzná analýza) umožňuje generovať správy o výsledkoch odrazenia útokov s podrobným popisom - až po analýzu procesu spustenia malvéru na počítači používateľa. Taktiež je možné využiť funkciu Threat Hunting, ktorá umožňuje proaktívne vyhľadávať anomálie a potenciálne škodlivé správanie pomocou preddefinovaných alebo vytvorených filtrov. Náprava a odozva umožňuje konfigurovať nastavenia obnovy a karantény súborov po útoku: interakcia používateľa so súbormi v karanténe je regulovaná a tiež je možné ukladať súbory v karanténe do adresára určeného správcom.
Štandardná politika analýzy a nápravy zahŕňa ochranu, ktorá zahŕňa automatické akcie na obnovu (ukončenie procesov, obnovenie súborov atď.), aktívna je možnosť odosielania súborov do karantény a používatelia môžu z karantény iba odstraňovať súbory.
Štandardná politika prevencie hrozieb: testovanie
Check Point CheckMe Endpoint
Najrýchlejším a najjednoduchším spôsobom, ako skontrolovať bezpečnosť počítača používateľa proti najpopulárnejším typom útokov, je vykonať test pomocou zdroja , ktorá vykonáva množstvo typických útokov rôznych kategórií a umožňuje získať správu o výsledkoch testovania. V tomto prípade bola použitá možnosť Testovanie koncového bodu, pri ktorej sa stiahne spustiteľný súbor a spustí sa do počítača a potom sa začne proces overovania.
V procese kontroly zabezpečenia fungujúceho počítača SandBlast Agent signalizuje identifikované a odrazené útoky na počítač používateľa, napríklad: čepeľ Anti-Bot hlási detekciu infekcie, čepeľ Anti-Malware detekovala a vymazala škodlivý súbor CP_AM.exe a čepeľ Threat Emulation nainštalovala, že súbor CP_ZD.exe je škodlivý.
Na základe výsledkov testovania pomocou CheckMe Endpoint máme tento výsledok: zo 6 kategórií útokov si štandardná politika prevencie hrozieb neporadila len s jednou kategóriou – Browser Exploit. Je to preto, že štandardná politika prevencie hrozieb nezahŕňa čepeľ Anti-Exploit. Stojí za zmienku, že bez nainštalovaného agenta SandBlast prešiel počítač používateľa kontrolou iba v kategórii Ransomware.
KnowBe4 RanSim
Na otestovanie činnosti čepele Anti-Ransomware môžete použiť bezplatné riešenie , ktorá spúšťa sériu testov na počítači používateľa: 18 scenárov infekcie ransomware a 1 scenár infekcie kryptominerom. Stojí za zmienku, že prítomnosť mnohých blade serverov v štandardnej politike (Emulace hrozieb, Anti-Malware, Behavioral Guard) s akciou Zabrániť neumožňuje správne spustenie tohto testu. Avšak aj pri zníženej úrovni zabezpečenia (emulácia hrozieb vo vypnutom režime) vykazuje test blade Anti-Ransomware vysoké výsledky: 18 z 19 testov úspešne prešlo (1 sa nepodarilo spustiť).
Škodlivé súbory a dokumenty
Je indikatívne skontrolovať fungovanie rôznych čepelí štandardnej politiky prevencie hrozieb pomocou škodlivých súborov populárnych formátov stiahnutých do počítača používateľa. Tento test zahŕňal 66 súborov vo formátoch PDF, DOC, DOCX, EXE, XLS, XLSX, CAB, RTF. Výsledky testov ukázali, že SandBlast Agent dokázal zablokovať 64 škodlivých súborov zo 66. Infikované súbory boli po stiahnutí vymazané, alebo boli zbavené škodlivého obsahu pomocou Threat Extraction a prijaté používateľom.
Odporúčania na zlepšenie politiky prevencie hrozieb
1. Filtrovanie adries URL
Prvá vec, ktorú je potrebné v štandardnej politike opraviť, aby sa zvýšila úroveň zabezpečenia klientskeho počítača, je prepnutie čepele filtrovania adries URL na možnosť Zabrániť a špecifikovať vhodné kategórie na blokovanie. V našom prípade boli vybrané všetky kategórie okrem Všeobecného použitia, keďže zahŕňajú väčšinu zdrojov, ku ktorým je potrebné obmedziť prístup používateľov na pracovisku. Pre takéto stránky je tiež vhodné odstrániť možnosť používateľov preskočiť okno s upozornením zrušením začiarknutia parametra „Povoliť používateľovi zrušiť upozornenie na filtrovanie adries URL a pristupovať na webovú stránku“.
2. Ochrana pri sťahovaní
Druhou možnosťou, ktorá stojí za pozornosť, je možnosť pre používateľov sťahovať súbory, ktoré emulácia Check Point nepodporuje. Keďže sa v tejto časti zaoberáme vylepšeniami štandardnej politiky prevencie hrozieb z hľadiska bezpečnosti, najlepšou možnosťou by bolo zablokovať sťahovanie nepodporovaných súborov.
3. Ochrana súborov
Pozornosť je potrebné venovať aj nastaveniam ochrany súborov – najmä nastaveniam periodickej kontroly a možnosti používateľa odložiť nútenú kontrolu. V tomto prípade je potrebné vziať do úvahy časový rámec používateľa a dobrou možnosťou z hľadiska bezpečnosti a výkonu je nakonfigurovať vynútenú kontrolu na spustenie každý deň s náhodne vybraným časom (od 00:00 do 8:00: XNUMX) a používateľ môže skenovanie odložiť maximálne o jeden týždeň.
4. Anti-Exploit
Významnou nevýhodou štandardnej politiky prevencie hrozieb je, že čepeľ Anti-Exploit je zakázaná. Odporúča sa povoliť tento blade pomocou akcie Zabrániť na ochranu pracovnej stanice pred útokmi pomocou exploitov. Vďaka tejto oprave sa opätovný test CheckMe úspešne dokončí bez zistenia zraniteľností na produkčnom stroji používateľa.
Záver
Zhrňme si to: v tomto článku sme sa oboznámili s komponentmi štandardnej politiky Prevencia hrozieb, otestovali sme túto politiku pomocou rôznych metód a nástrojov a popísali sme aj odporúčania na zlepšenie nastavení štandardnej politiky na zvýšenie úrovne bezpečnosti používateľského počítača. . V ďalšom článku zo série prejdeme k preštudovaniu zásad ochrany údajov a pozrieme sa na nastavenia globálnych zásad.
. Aby ste nezmeškali ďalšie publikácie na tému SandBlast Agent Management Platform, sledujte aktualizácie na našich sociálnych sieťach (, , , , ).
Zdroj: hab.com