Mirë se vini në artikullin e tretë të serisë në lidhje me konsolën e re të menaxhimit të mbrojtjes së kompjuterit personal të bazuar në renë kompjuterike - Check Point SandBlast Agent Management Platform. Më lejoni t'ju kujtoj se në u njohëm me Portalin Infinity dhe krijuam një shërbim të menaxhimit të agjentëve të bazuar në cloud, Shërbimi i Menaxhimit Endpoint. Në Ne studiuam ndërfaqen e konsolës së menaxhimit të uebit dhe instaluam një agjent me një politikë standarde në makinën e përdoruesit. Sot do të shikojmë përmbajtjen e politikës standarde të sigurisë për Parandalimin e Kërcënimeve dhe do të testojmë efektivitetin e saj në përballimin e sulmeve popullore.
Politika standarde e parandalimit të kërcënimit: Përshkrimi
Figura e mësipërme tregon një rregull standard të politikës së parandalimit të kërcënimit, i cili si parazgjedhje zbatohet për të gjithë organizatën (të gjithë agjentët e instaluar) dhe përfshin tre grupe logjike të komponentëve të mbrojtjes: Mbrojtja e Uebit dhe e Skedarëve, Mbrojtja e Sjelljes dhe Analiza dhe Riparimi. Le të hedhim një vështrim më të afërt në secilin prej grupeve.
Mbrojtja në ueb dhe skedarë
URL Filtrim
Filtrimi i URL-ve ju lejon të kontrolloni aksesin e përdoruesit në burimet e uebit, duke përdorur 5 kategori të paracaktuara faqesh. Secila nga 5 kategoritë përmban disa nënkategori më specifike, të cilat ju mundësojnë të konfiguroni, për shembull, bllokimin e aksesit në nënkategorinë e Lojërave dhe lejimin e hyrjes në nënkategorinë e Mesazheve të çastit, të cilat përfshihen në të njëjtën kategori Humbje produktiviteti. URL-të e lidhura me nënkategoritë specifike përcaktohen nga Check Point. Ju mund të kontrolloni kategorinë së cilës i përket një URL specifike ose të kërkoni një anulim të kategorisë në një burim të veçantë .
Veprimi mund të vendoset në Parandalimi, Zbulimi ose Joaktiv. Gjithashtu, kur zgjidhni veprimin "Zbulo", shtohet automatikisht një cilësim që i lejon përdoruesit të kapërcejnë paralajmërimin e Filtrimit të URL-së dhe të shkojnë te burimi i interesit. Nëse përdoret Parandalimi, ky cilësim mund të hiqet dhe përdoruesi nuk do të jetë në gjendje të hyjë në sajtin e ndaluar. Një mënyrë tjetër e përshtatshme për të kontrolluar burimet e ndaluara është të konfiguroni një Listë Blloqesh, në të cilën mund të specifikoni domenet, adresat IP ose të ngarkoni një skedar .csv me një listë domenesh për t'u bllokuar.
Në politikën standarde për Filtrimin e URL-ve, veprimi caktohet në "Zbulo" dhe zgjidhet një kategori - Siguria, për të cilën do të zbulohen ngjarjet. Kjo kategori përfshin anonimizues të ndryshëm, sajte me nivel rreziku kritik/i lartë/mesatar, faqe phishing, postë të padëshiruar dhe shumë më tepër. Megjithatë, përdoruesit do të jenë ende në gjendje të aksesojnë burimin falë cilësimit "Lejo përdoruesin të heqë sinjalizimin e filtrimit të URL-së dhe të hyjë në faqen e internetit".
Mbrojtja e shkarkimit (web).
Emulation & Extraction ju lejon të imitoni skedarët e shkarkuar në kutinë e resë së kontrollit Check Point dhe të pastroni dokumentet menjëherë, duke hequr përmbajtjen e mundshme me qëllim të keq ose duke e kthyer dokumentin në PDF. Ekzistojnë tre mënyra funksionimi:
- Parandaloj — ju lejon të merrni një kopje të dokumentit të pastruar përpara vendimit përfundimtar të emulimit, ose të prisni që emulimi të përfundojë dhe të shkarkoni menjëherë skedarin origjinal;
- zbuloj — kryen emulimin në sfond, pa e penguar përdoruesin të marrë skedarin origjinal, pavarësisht nga vendimi;
- Nga — çdo skedar lejohet të shkarkohet pa iu nënshtruar emulimit dhe pastrimit të komponentëve potencialisht me qëllim të keq.
Është gjithashtu e mundur të zgjidhni një veprim për skedarët që nuk mbështeten nga emulimi dhe mjetet e pastrimit të Check Point - mund të lejoni ose refuzoni shkarkimin e të gjithë skedarëve të pambështetur.
Politika standarde për Mbrojtjen e shkarkimit është vendosur në Parandalimin, e cila ju lejon të merrni një kopje të dokumentit origjinal që është pastruar nga përmbajtje potencialisht keqdashëse, si dhe të lejoni shkarkimin e skedarëve që nuk mbështeten nga mjetet e imitimit dhe pastrimit.
Mbrojtja e Kredencialeve
Komponenti i Mbrojtjes së Kredencialeve mbron kredencialet e përdoruesit dhe përfshin 2 komponentë: Zero Phishing dhe Mbrojtje me Fjalëkalim. Zero phishing mbron përdoruesit nga qasja në burimet e phishing, dhe Mbrojtja me fjalëkalim njofton përdoruesin për papranueshmërinë e përdorimit të kredencialeve të korporatës jashtë domenit të mbrojtur. Zero phishing mund të vendoset në Parandalimi, Zbulimi ose Çaktivizimi. Kur caktohet veprimi Parandalimi, është e mundur që përdoruesit të injorojnë paralajmërimin për një burim të mundshëm phishing dhe të fitojnë akses në burim, ose ta çaktivizojnë këtë opsion dhe të bllokojnë aksesin përgjithmonë. Me një veprim "Zbulo", përdoruesit kanë gjithmonë mundësinë për të injoruar paralajmërimin dhe për të hyrë në burim. Mbrojtja me fjalëkalim ju lejon të zgjidhni domenet e mbrojtura për të cilat fjalëkalimet do të kontrollohen për pajtueshmëri, dhe një nga tre veprimet: Zbulo & Alert (duke njoftuar përdoruesin), Zbulo ose Joaktiv.
Politika standarde për Mbrojtjen e Kredencialeve është të parandalojë çdo burim phishing që të parandalojë përdoruesit të hyjnë në një sajt potencialisht keqdashës. Mbrojtja kundër përdorimit të fjalëkalimeve të korporatës është gjithashtu e aktivizuar, por pa domenet e specifikuara kjo veçori nuk do të funksionojë.
Mbrojtja e skedarëve
Files Protection është përgjegjës për mbrojtjen e skedarëve të ruajtur në kompjuterin e përdoruesit dhe përfshin dy komponentë: Anti-Malware dhe Files Threat Emulation. Anti-malware është një mjet që skanon rregullisht të gjithë skedarët e përdoruesve dhe të sistemit duke përdorur analizën e nënshkrimit. Në cilësimet e këtij komponenti, mund të konfiguroni cilësimet për kohët e rregullta të skanimit ose të rastësishme të skanimit, periudhën e përditësimit të nënshkrimit dhe aftësinë që përdoruesit të anulojnë skanimin e planifikuar. Emulimi i kërcënimeve të skedarëve ju lejon të imitoni skedarët e ruajtur në makinën e përdoruesit në kutinë e resë së kontrollit të pikës së kontrollit, megjithatë, kjo veçori e sigurisë funksionon vetëm në modalitetin "Zbulimi".
Politika standarde për mbrojtjen e skedarëve përfshin mbrojtjen me Anti-Malware dhe zbulimin e skedarëve me qëllim të keq me Emulimin e Kërcënimit të Skedarëve. Skanimi i rregullt kryhet çdo muaj dhe nënshkrimet në makinën e përdoruesit përditësohen çdo 4 orë. Në të njëjtën kohë, përdoruesit janë konfiguruar që të mund të anulojnë një skanim të planifikuar, por jo më vonë se 30 ditë nga data e skanimit të fundit të suksesshëm.
Mbrojtja e sjelljes
Anti-Bot, Roje e Sjelljes & Anti-Ransomware, Anti-Exploit
Grupi i komponentëve të mbrojtjes së sjelljes përfshin tre komponentë: Anti-Bot, Behavioral Guard & Anti-Ransomware dhe Anti-Exploit. Anti-Bot ju lejon të monitoroni dhe bllokoni lidhjet C&C duke përdorur bazën e të dhënave Check Point ThreatCloud të përditësuar vazhdimisht. Garda e sjelljes dhe anti-Ransomware monitoron vazhdimisht aktivitetin (skedarët, proceset, ndërveprimet e rrjetit) në makinën e përdoruesit dhe ju lejon të parandaloni sulmet e ransomware në fazat fillestare. Përveç kësaj, ky element mbrojtës ju lejon të rivendosni skedarët që tashmë janë të koduar nga malware. Skedarët rikthehen në drejtoritë e tyre origjinale, ose mund të specifikoni një rrugë specifike ku do të ruhen të gjithë skedarët e rikuperuar. Anti-Eksploit ju lejon të zbuloni sulmet e ditës zero. Të gjithë komponentët e Mbrojtjes së Sjelljes mbështesin tre mënyra funksionimi: Parandalimi, Zbulimi dhe Çaktivizimi.
Politika standarde për Mbrojtjen e Sjelljes ofron Parandalimin për komponentët Anti-Bot dhe Behavioral Guard & Anti-Ransomware, me rivendosjen e skedarëve të koduar në drejtoritë e tyre origjinale. Komponenti Anti-Exploit është i çaktivizuar dhe nuk përdoret.
Analiza & Riparimi
Analiza e Automatizuar e Sulmit (Forenzik), Riparimi dhe Reagimi
Dy komponentë sigurie janë të disponueshme për analizën dhe hetimin e incidenteve të sigurisë: Analiza e Automatizuar e Sulmit (Forensika) dhe Riparimi dhe Përgjigja. Analiza e automatizuar e sulmeve (Forenzika) ju lejon të gjeneroni raporte mbi rezultatet e zmbrapsjes së sulmeve me një përshkrim të hollësishëm - deri në analizimin e procesit të ekzekutimit të malware në makinën e përdoruesit. Është gjithashtu e mundur të përdoret funksioni Threat Hunting, i cili bën të mundur kërkimin në mënyrë proaktive për anomali dhe sjellje potencialisht keqdashëse duke përdorur filtra të paracaktuar ose të krijuar. Riparimi & Përgjigja ju lejon të konfiguroni cilësimet për rikuperimin dhe karantinimin e skedarëve pas një sulmi: ndërveprimi i përdoruesit me skedarët e karantinës është i rregulluar, dhe është gjithashtu e mundur të ruani skedarët e karantinuar në një drejtori të specifikuar nga administratori.
Politika standarde e analizës dhe riparimit përfshin mbrojtjen, e cila përfshin veprime automatike për rikuperim (përfundimi i proceseve, rivendosja e skedarëve, etj.) dhe opsioni për të dërguar skedarë në karantinë është aktiv dhe përdoruesit mund të fshijnë skedarët vetëm nga karantina.
Politika standarde e parandalimit të kërcënimit: Testimi
Check Point CheckMe Endpoint
Mënyra më e shpejtë dhe më e lehtë për të kontrolluar sigurinë e makinës së një përdoruesi ndaj llojeve më të njohura të sulmeve është të kryeni një test duke përdorur burimin , i cili kryen një numër sulmesh tipike të kategorive të ndryshme dhe ju lejon të merrni një raport mbi rezultatet e testimit. Në këtë rast, është përdorur opsioni i testimit të pikës së fundit, në të cilin një skedar i ekzekutueshëm shkarkohet dhe lëshohet në kompjuter dhe më pas fillon procesi i verifikimit.
Në procesin e kontrollit të sigurisë së një kompjuteri që punon, SandBlast Agent sinjalizon për sulmet e identifikuara dhe të pasqyruara në kompjuterin e përdoruesit, për shembull: tehu Anti-Bot raporton zbulimin e një infeksioni, tehu Anti-Malware ka zbuluar dhe fshirë skedari me qëllim të keq CP_AM.exe dhe blade Emulation Threat ka instaluar se skedari CP_ZD.exe është me qëllim të keq.
Bazuar në rezultatet e testimit duke përdorur CheckMe Endpoint, kemi rezultatin e mëposhtëm: nga 6 kategori sulmesh, politika standarde e Parandalimit të Kërcënimeve nuk arriti të përballonte vetëm një kategori - Shfrytëzimi i shfletuesit. Kjo për shkak se politika standarde e Parandalimit të Kërcënimeve nuk përfshin tehun Anti-Exploit. Vlen të përmendet se pa instaluar SandBlast Agent, kompjuteri i përdoruesit e kaloi skanimin vetëm nën kategorinë Ransomware.
KnowBe4 RanSim
Për të testuar funksionimin e tehut Anti-Ransomware, mund të përdorni një zgjidhje falas , i cili kryen një seri testesh në makinën e përdoruesit: 18 skenarë infeksioni me ransomware dhe 1 skenar infeksioni me kriptominer. Vlen të përmendet se prania e shumë teheve në politikën standarde (Emulimi i kërcënimit, Anti-Malware, Mbrojtja e sjelljes) me veprimin Parandalimi nuk lejon që ky test të funksionojë siç duhet. Megjithatë, edhe me një nivel të reduktuar sigurie (Emulimi i kërcënimit në modalitetin Off), testi i tehut Anti-Ransomware tregon rezultate të larta: 18 nga 19 teste kaluan me sukses (1 dështoi në fillim).
Skedarët dhe dokumentet me qëllim të keq
Është indikative të kontrolloni funksionimin e teheve të ndryshme të politikës standarde të Parandalimit të Kërcënimeve duke përdorur skedarë me qëllim të keq të formateve të njohura të shkarkuara në makinën e përdoruesit. Ky test përfshiu 66 skedarë në formatet PDF, DOC, DOCX, EXE, XLS, XLSX, CAB, RTF. Rezultatet e testit treguan se SandBlast Agent ishte në gjendje të bllokonte 64 skedarë me qëllim të keq nga 66. Skedarët e infektuar u fshinë pas shkarkimit, ose u pastruan nga përmbajtja me qëllim të keq duke përdorur Threat Extraction dhe u morën nga përdoruesi.
Rekomandime për përmirësimin e politikës së parandalimit të kërcënimeve
1. Filtrimi i URL-së
Gjëja e parë që duhet korrigjuar në politikën standarde për të rritur nivelin e sigurisë së makinës së klientit është kalimi i tehut të filtrimit të URL-së në Parandalimi dhe specifikimi i kategorive të përshtatshme për bllokim. Në rastin tonë, të gjitha kategoritë u zgjodhën përveç Përdorimit të Përgjithshëm, pasi ato përfshijnë shumicën e burimeve në të cilat është e nevojshme të kufizohet aksesi i përdoruesve në vendin e punës. Gjithashtu, për faqe të tilla, këshillohet që të hiqet mundësia e përdoruesve për të kapërcyer dritaren e paralajmërimit duke hequr zgjedhjen e parametrit "Lejo përdoruesin të heqë sinjalizimin e Filtrimit të URL-së dhe të hyjë në faqen e internetit".
2. Mbrojtja e shkarkimit
Opsioni i dytë që ia vlen t'i kushtohet vëmendje është aftësia që përdoruesit të shkarkojnë skedarë që nuk mbështeten nga emulimi Check Point. Meqenëse në këtë seksion po shikojmë përmirësime në politikën standarde të Parandalimit të Kërcënimeve nga një këndvështrim sigurie, alternativa më e mirë do të ishte bllokimi i shkarkimit të skedarëve të pambështetur.
3. Mbrojtja e skedarëve
Ju gjithashtu duhet t'i kushtoni vëmendje cilësimeve për mbrojtjen e skedarëve - në veçanti, cilësimet për skanimin periodik dhe aftësinë që përdoruesi të shtyjë skanimin e detyruar. Në këtë rast, duhet të merret parasysh afati kohor i përdoruesit dhe një opsion i mirë nga pikëpamja e sigurisë dhe performancës është konfigurimi i një skanimi të detyruar për të ekzekutuar çdo ditë, me kohën e zgjedhur në mënyrë rastësore (nga ora 00:00 deri në 8: 00), dhe përdoruesi mund ta shtyjë skanimin për një maksimum prej një jave.
4. Anti-Eksploit
Një pengesë e rëndësishme e politikës standarde të Parandalimit të Kërcënimeve është se tehu Anti-Exploit është i çaktivizuar. Rekomandohet të aktivizoni këtë teh me veprimin Parandaloni për të mbrojtur stacionin e punës nga sulmet duke përdorur shfrytëzime. Me këtë rregullim, ritestimi i CheckMe përfundon me sukses pa zbuluar dobësi në makinën e prodhimit të përdoruesit.
Përfundim
Le të përmbledhim: në këtë artikull u njohëm me përbërësit e politikës standarde të Parandalimit të Kërcënimeve, testuam këtë politikë duke përdorur metoda dhe mjete të ndryshme, si dhe përshkruam rekomandime për përmirësimin e cilësimeve të politikës standarde për të rritur nivelin e sigurisë së makinës së përdoruesit. . Në artikullin tjetër të serisë, ne do të kalojmë në studimin e politikës së Mbrojtjes së të Dhënave dhe do të shohim Cilësimet e Politikave Globale.
. Për të mos humbur publikimet e radhës mbi temën Platforma e Menaxhimit të Agjentit SandBlast, ndiqni përditësimet në rrjetet tona sociale (, , , , ).
Burimi: www.habr.com