Dobrodošli v tretjem članku v seriji o novi upravljalni konzoli za zaščito osebnih računalnikov v oblaku – platformi za upravljanje agentov Check Point SandBlast. Naj vas spomnim, da v smo se seznanili s portalom Infinity Portal in izdelali storitev za upravljanje agentov v oblaku Endpoint Management Service. notri Preučili smo vmesnik spletne konzole za upravljanje in na uporabniško napravo namestili agenta s standardno politiko. Danes si bomo ogledali vsebino standardne varnostne politike za preprečevanje groženj in preizkusili njeno učinkovitost pri boju proti priljubljenim napadom.
Standardni pravilnik o preprečevanju groženj: Opis
Zgornja slika prikazuje standardno pravilo pravilnika o preprečevanju groženj, ki privzeto velja za celotno organizacijo (vse nameščene agente) in vključuje tri logične skupine zaščitnih komponent: Zaščita spleta in datotek, Zaščita vedenja ter Analiza in popravljanje. Oglejmo si podrobneje vsako od skupin.
Zaščita spleta in datotek
Filtriranje URL-jev
Filtriranje URL-jev vam omogoča nadzor dostopa uporabnikov do spletnih virov z uporabo 5 vnaprej določenih kategorij spletnih mest. Vsaka od 5 kategorij vsebuje več bolj specifičnih podkategorij, ki vam omogočajo, da konfigurirate na primer blokiranje dostopa do podkategorije Igre in omogočanje dostopa do podkategorije Neposredno sporočanje, ki sta vključeni v isto kategorijo Izguba produktivnosti. URL-je, povezane z določenimi podkategorijami, določi Check Point. Preverite lahko kategorijo, ki ji pripada določen URL, ali zahtevate preglasitev kategorije na posebnem viru .
Dejanje lahko nastavite na Prevent, Detect ali Off. Poleg tega se ob izbiri dejanja Zaznaj samodejno doda nastavitev, ki uporabnikom omogoča, da preskočijo opozorilo o filtriranju URL-jev in odprejo vir, ki ga zanima. Če uporabite Prepreči, lahko to nastavitev odstranite in uporabnik ne bo mogel dostopati do prepovedanega mesta. Drug priročen način za nadzor nad prepovedanimi viri je nastavitev seznama blokiranih, v katerem lahko določite domene, naslove IP ali naložite datoteko .csv s seznamom domen, ki jih želite blokirati.
V standardnem pravilniku za filtriranje URL-jev je dejanje nastavljeno na Zaznaj in izbrana je ena kategorija – Varnost, za katero bodo dogodki zaznani. Ta kategorija vključuje različne anonimizatorje, spletna mesta s kritično/visoko/srednjo stopnjo tveganja, lažna spletna mesta, vsiljeno pošto in še veliko več. Vendar pa bodo uporabniki še vedno lahko dostopali do vira zahvaljujoč nastavitvi »Dovoli uporabniku, da opusti opozorilo o filtriranju URL-jev in dostopa do spletnega mesta«.
Prenos (splet) Zaščita
Emulation & Extraction vam omogoča posnemanje prenesenih datotek v oblačnem peskovniku Check Point in sprotno čiščenje dokumentov, odstranjevanje potencialno zlonamerne vsebine ali pretvorbo dokumenta v PDF. Obstajajo trije načini delovanja:
- Prevent — vam omogoča, da dobite kopijo očiščenega dokumenta pred končno razsodbo emulacije ali počakate, da se emulacija zaključi, in takoj prenesete izvirno datoteko;
- Odkrijte — izvaja emulacijo v ozadju, ne da bi uporabniku preprečil prejem izvirne datoteke, ne glede na razsodbo;
- off — vse datoteke je dovoljeno prenesti brez emulacije in čiščenja potencialno zlonamernih komponent.
Možno je tudi izbrati dejanje za datoteke, ki jih orodja za emulacijo in čiščenje Check Point ne podpirajo – lahko dovolite ali zavrnete prenos vseh nepodprtih datotek.
Standardni pravilnik za zaščito pred prenosi je nastavljen na Prepreči, kar vam omogoča, da pridobite kopijo izvirnega dokumenta, ki je bil očiščen morebitne zlonamerne vsebine, prav tako pa omogoča prenos datotek, ki jih orodja za emulacijo in čiščenje ne podpirajo.
Zaščita poverilnic
Komponenta Credential Protection ščiti uporabniške poverilnice in vključuje 2 komponenti: Zero Phishing in Password Protection. Brez lažnega predstavljanja ščiti uporabnike pred dostopom do lažnih virov in Zaščita z geslom uporabnika obvesti o nesprejemljivosti uporabe korporativnih poverilnic izven zaščitene domene. Zero Phishing lahko nastavite na Prevent, Detect ali Off. Ko je nastavljeno dejanje Prepreči, je mogoče dovoliti uporabnikom, da prezrejo opozorilo o potencialnem viru lažnega predstavljanja in pridobijo dostop do vira, ali pa onemogočiti to možnost in za vedno blokirati dostop. Z dejanjem Zaznaj imajo uporabniki vedno možnost, da prezrejo opozorilo in dostopajo do vira. Zaščita z geslom vam omogoča, da izberete zaščitene domene, za katere bo preverjena skladnost gesel, in eno od treh dejanj: Zaznaj in opozori (obvesti uporabnika), Zaznaj ali Izklopi.
Standardna politika za zaščito poverilnic je preprečiti, da bi kakršni koli viri lažnega predstavljanja preprečili uporabnikom dostop do potencialno zlonamernega mesta. Omogočena je tudi zaščita pred uporabo gesel podjetij, vendar brez navedenih domen ta funkcija ne bo delovala.
Zaščita datotek
Zaščita datotek je odgovorna za zaščito datotek, shranjenih na uporabnikovem računalniku, in vključuje dve komponenti: zaščito pred zlonamerno programsko opremo in emulacijo groženj datotek. Anti-Malware je orodje, ki redno pregleduje vse uporabniške in sistemske datoteke z analizo podpisov. V nastavitvah te komponente lahko konfigurirate nastavitve za redne ali naključne čase skeniranja, obdobje posodobitve podpisa in možnost, da uporabniki prekličejo načrtovano skeniranje. Emulacija groženj datotek omogoča posnemanje datotek, shranjenih na uporabnikovem računalniku v oblaku peskovnika Check Point, vendar ta varnostna funkcija deluje samo v načinu zaznavanja.
Standardni pravilnik za zaščito datotek vključuje zaščito s programom za zaščito pred zlonamerno programsko opremo in zaznavanje zlonamernih datotek z emulacijo groženj datotek. Redno skeniranje se izvaja vsak mesec, podpisi na uporabniškem računalniku pa se posodabljajo vsake 4 ure. Hkrati so uporabniki konfigurirani tako, da lahko prekličejo načrtovani pregled, vendar najkasneje v 30 dneh od datuma zadnjega uspešnega skeniranja.
Vedenjska zaščita
Anti-Bot, Behavioral Guard & Anti-Ransomware, Anti-Exploit
Skupina zaščitnih komponent Behavioral Protection vključuje tri komponente: Anti-Bot, Behavioral Guard & Anti-Ransomware in Anti-Exploit. Anti-Bot vam omogoča spremljanje in blokiranje povezav C&C z uporabo baze podatkov Check Point ThreatCloud, ki se nenehno posodablja. Vedenjska zaščita in protiizsiljevalska programska oprema nenehno spremlja aktivnost (datoteke, procese, omrežne interakcije) na uporabniškem računalniku in vam omogoča preprečevanje napadov izsiljevalske programske opreme v začetnih fazah. Poleg tega ta zaščitni element omogoča obnovitev datotek, ki jih je zlonamerna programska oprema že šifrirala. Datoteke se obnovijo v prvotne imenike ali pa določite določeno pot, kamor bodo shranjene vse obnovljene datoteke. Anti-Exploit omogoča odkrivanje napadov ničelnega dne. Vse komponente Behavioral Protection podpirajo tri načine delovanja: Prevent, Detect in Off.
Standardni pravilnik za vedenjsko zaščito zagotavlja Prevent za komponente Anti-Bot in Behavioral Guard & Anti-Ransomware z obnovitvijo šifriranih datotek v njihovih izvirnih imenikih. Komponenta Anti-Exploit je onemogočena in se ne uporablja.
Analiza in sanacija
Avtomatizirana analiza napadov (forenzika), sanacija in odziv
Za analizo in preiskavo varnostnih incidentov sta na voljo dve varnostni komponenti: avtomatizirana analiza napadov (forenzika) in odprava in odziv. Avtomatizirana analiza napadov (forenzika) vam omogoča ustvarjanje poročil o rezultatih odbijanja napadov s podrobnim opisom - vse do analize postopka izvajanja zlonamerne programske opreme na uporabnikovem računalniku. Možna je tudi uporaba funkcije Threat Hunting, ki omogoča proaktivno iskanje anomalij in potencialno zlonamernega vedenja z vnaprej določenimi ali ustvarjenimi filtri. Sanacija in odziv vam omogoča, da konfigurirate nastavitve za obnovitev in karanteno datotek po napadu: interakcija uporabnika z datotekami v karanteni je regulirana, prav tako je mogoče shraniti datoteke v karanteno v imenik, ki ga določi skrbnik.
Standardna politika Analysis & Remediation vključuje zaščito, ki vključuje samodejna dejanja za obnovitev (končanje procesov, obnavljanje datotek itd.), aktivna pa je tudi možnost pošiljanja datotek v karanteno, uporabniki pa lahko datoteke samo brišejo iz karantene.
Standardni pravilnik o preprečevanju groženj: testiranje
Check Point CheckMe Endpoint
Najhitrejši in najpreprostejši način za preverjanje varnosti uporabnikovega računalnika pred najbolj priljubljenimi vrstami napadov je izvedba testa z uporabo vira , ki izvaja številne tipične napade različnih kategorij in vam omogoča, da dobite poročilo o rezultatih testiranja. V tem primeru je bila uporabljena možnost testiranja Endpoint, pri kateri se izvedljiva datoteka prenese in zažene v računalnik, nato pa se začne postopek preverjanja.
V procesu preverjanja varnosti delujočega računalnika SandBlast Agent signalizira o prepoznanih in odraženih napadih na uporabnikov računalnik, na primer: rezilo Anti-Bot poroča o zaznavi okužbe, rezilo Anti-Malware je zaznalo in izbrisalo zlonamerno datoteko CP_AM.exe in rezilo za emulacijo groženj je namestilo, da je datoteka CP_ZD.exe zlonamerna.
Na podlagi rezultatov testiranja z uporabo CheckMe Endpoint imamo naslednji rezultat: od 6 kategorij napadov standardna politika preprečevanja groženj ni uspela obvladati le ene kategorije – Browser Exploit. To je zato, ker standardni pravilnik o preprečevanju groženj ne vključuje rezila Anti-Exploit. Omeniti velja, da brez nameščenega agenta SandBlast Agent uporabnikov računalnik prestane pregled samo v kategoriji Ransomware.
KnowBe4 RanSim
Za preizkus delovanja rezila Anti-Ransomware lahko uporabite brezplačno rešitev , ki izvaja niz testov na uporabnikovem računalniku: 18 scenarijev okužbe z izsiljevalsko programsko opremo in 1 scenarij okužbe s kriptominerjem. Treba je omeniti, da prisotnost številnih rezin v standardnem pravilniku (Emulacija groženj, Zaščita pred zlonamerno programsko opremo, Varovanje vedenja) z dejanjem Prepreči ne omogoča pravilnega izvajanja tega preizkusa. Kljub zmanjšani stopnji varnosti (emulacija groženj v načinu izklopa) test rezine proti izsiljevalski programski opremi kaže visoke rezultate: 18 od 19 testov je uspešno prestalo (1 se ni zagnal).
Zlonamerne datoteke in dokumenti
Priporočljivo je preveriti delovanje različnih rezin standardnega pravilnika o preprečevanju groženj z uporabo zlonamernih datotek priljubljenih formatov, prenesenih na uporabnikovo napravo. Ta preizkus je vključeval 66 datotek v formatih PDF, DOC, DOCX, EXE, XLS, XLSX, CAB, RTF. Rezultati testa so pokazali, da je SandBlast Agent uspel blokirati 64 zlonamernih datotek od 66. Okužene datoteke so bile izbrisane po prenosu ali očiščene zlonamerne vsebine z uporabo Threat Extraction in jih je uporabnik prejel.
Priporočila za izboljšanje politike preprečevanja groženj
1. Filtriranje URL-jev
Prva stvar, ki jo je treba popraviti v standardnem pravilniku za povečanje ravni varnosti odjemalskega stroja, je preklop rezila za filtriranje URL-jev na Preprečitev in določitev ustreznih kategorij za blokiranje. V našem primeru so bile izbrane vse kategorije razen Splošna uporaba, saj zajemajo večino virov, do katerih je treba uporabnikom na delovnem mestu omejiti dostop. Prav tako je za taka spletna mesta priporočljivo odstraniti možnost, da uporabniki preskočijo okno z opozorilom, tako da počistite polje »Dovoli uporabniku, da opusti opozorilo o filtriranju URL-jev in dostopa do spletnega mesta«.
2. Zaščita pred prenosom
Druga možnost, na katero je vredno biti pozoren, je možnost, da uporabniki prenesejo datoteke, ki jih emulacija Check Point ne podpira. Ker v tem razdelku obravnavamo izboljšave standardnega pravilnika o preprečevanju groženj z varnostnega vidika, bi bila najboljša možnost blokiranje prenosa nepodprtih datotek.
3. Zaščita datotek
Prav tako morate biti pozorni na nastavitve za zaščito datotek - zlasti na nastavitve za periodično skeniranje in možnost, da uporabnik odloži prisilno skeniranje. V tem primeru je treba upoštevati časovni okvir uporabnika, dobra možnost z vidika varnosti in zmogljivosti pa je konfiguracija vsiljenega skeniranja za vsak dan, pri čemer je čas izbran naključno (od 00:00 do 8:00: XNUMX), uporabnik pa lahko skeniranje odloži za največ en teden.
4. Proti izkoriščanju
Pomembna pomanjkljivost standardnega pravilnika o preprečevanju groženj je, da je rezilo Anti-Exploit onemogočeno. Priporočljivo je, da to rezino omogočite z dejanjem Prepreči, da zaščitite delovno postajo pred napadi z izkoriščanji. S tem popravkom se ponovni preizkus CheckMe uspešno zaključi, ne da bi zaznal ranljivosti na uporabnikovem proizvodnem stroju.
Zaključek
Povzemimo: v tem članku smo se seznanili s komponentami standardnega pravilnika o preprečevanju groženj, preizkusili ta pravilnik z različnimi metodami in orodji ter opisali priporočila za izboljšanje nastavitev standardnega pravilnika za povečanje ravni varnosti uporabniškega računalnika. . V naslednjem članku v seriji bomo prešli na preučevanje pravilnika o varstvu podatkov in pogledali globalne nastavitve pravilnika.
. Da ne bi zamudili naslednjih publikacij na temo SandBlast Agent Management Platform, spremljajte posodobitve na naših družbenih omrežjih (, , , , ).
Vir: www.habr.com