Добродошли у трећи чланак у низу о новој конзоли за управљање заштитом личног рачунара заснованој на облаку – Цхецк Поинт СандБласт Агент Манагемент Платформ. Дозволите ми да вас подсетим да у упознали смо се са Инфинити порталом и креирали услугу управљања агентима засновану на облаку, Ендпоинт Манагемент Сервице. У Проучили смо интерфејс конзоле за управљање вебом и инсталирали агента са стандардном политиком на корисничкој машини. Данас ћемо погледати садржај стандардне безбедносне политике за превенцију претњи и тестирати њену ефикасност у супротстављању популарним нападима.
Стандардна политика превенције претњи: Опис
Горња слика приказује стандардно правило политике превенције претњи, које се подразумевано примењује на целу организацију (сви инсталирани агенти) и укључује три логичке групе заштитних компоненти: заштиту веба и датотека, заштиту понашања и анализу и санацију. Хајде да детаљније погледамо сваку од група.
Заштита веба и датотека
Филтрирање УРЛ-ова
Филтрирање УРЛ адреса вам омогућава да контролишете приступ корисника веб ресурсима, користећи унапред дефинисаних 5 категорија сајтова. Свака од 5 категорија садржи још неколико специфичних поткатегорија, што вам омогућава да конфигуришете, на пример, блокирање приступа подкатегорији Игре и омогућавање приступа поткатегорији Инстант Мессагинг, које су укључене у исту категорију Губитак продуктивности. УРЛ-ове повезане са одређеним поткатегоријама одређује Цхецк Поинт. Можете да проверите категорију којој одређени УРЛ припада или да затражите замену категорије на посебном ресурсу .
Радња се може подесити на Превент, Детецт или Офф. Такође, када изаберете акцију Откриј, аутоматски се додаје поставка која омогућава корисницима да прескоче упозорење Филтрирање УРЛ-а и пређу на ресурс који нас занима. Ако се користи Превент, ово подешавање се може уклонити и корисник неће моћи да приступи забрањеној локацији. Још један згодан начин за контролу забрањених ресурса је постављање листе блокираних, у којој можете одредити домене, ИП адресе или отпремити .цсв датотеку са листом домена за блокирање.
У стандардној политици за УРЛ филтрирање, радња је подешена на Откриј и једна категорија је изабрана – Безбедност, за коју ће се открити догађаји. Ова категорија укључује разне анонимизаторе, сајтове са критичним/високим/средњим нивоом ризика, сајтове за крађу идентитета, нежељену пошту и још много тога. Међутим, корисници ће и даље моћи да приступе ресурсу захваљујући поставци „Дозволи кориснику да одбаци упозорење о филтрирању УРЛ-а и приступи веб локацији“.
Преузми (веб) заштита
Емулатион & Ектрацтион вам омогућава да емулирате преузете датотеке у Цхецк Поинт цлоуд сандбок-у и чистите документе у ходу, уклањајући потенцијално злонамерни садржај или претварајући документ у ПДФ. Постоје три режима рада:
- Спречити — омогућава вам да добијете копију очишћеног документа пре коначне пресуде о емулацији или да сачекате да се емулација заврши и одмах преузмете оригиналну датотеку;
- Открити — врши емулацију у позадини, не спречавајући корисника да прими оригинални фајл, без обзира на пресуду;
- Ван — било које датотеке су дозвољене за преузимање без емулације и чишћења потенцијално злонамерних компоненти.
Такође је могуће изабрати радњу за датотеке које не подржавају Цхецк Поинт алати за емулацију и чишћење – можете дозволити или одбити преузимање свих неподржаних датотека.
Стандардна политика за заштиту од преузимања је постављена на Превент, што вам омогућава да добијете копију оригиналног документа који је очишћен од потенцијално злонамерног садржаја, као и омогућава преузимање датотека које не подржавају алати за емулацију и чишћење.
Заштита акредитива
Компонента Заштита акредитива штити корисничке акредитиве и укључује 2 компоненте: Зеро Пхисхинг и Заштиту лозинком. Зеро Пхисхинг штити кориснике од приступа пхисхинг ресурсима, и Заштита лозинком обавештава корисника о недопустивости коришћења корпоративних акредитива ван заштићеног домена. Зеро Пхисхинг се може подесити на Превент, Детецт или Офф. Када је подешена радња Превент, могуће је дозволити корисницима да игноришу упозорење о потенцијалном пхисхинг ресурсу и добију приступ ресурсу, или да онемогуће ову опцију и блокирају приступ заувек. Са акцијом Детецт, корисници увек имају опцију да игноришу упозорење и приступе ресурсу. Заштита лозинком вам омогућава да изаберете заштићене домене за које ће се проверавати усклађеност лозинки и једну од три радње: Откриј и упозори (обавештава корисника), Откриј или Искључи.
Стандардна политика за заштиту акредитива је да спречи да било који пхисхинг ресурс спречи кориснике да приступе потенцијално злонамерном сајту. Заштита од употребе корпоративних лозинки је такође омогућена, али без наведених домена ова функција неће радити.
Заштита датотека
Заштита датотека је одговорна за заштиту датотека ускладиштених на машини корисника и укључује две компоненте: Анти-Малваре и Филес Тхреат Емулатион. Анти-Малваре је алатка која редовно скенира све корисничке и системске датотеке користећи анализу потписа. У подешавањима ове компоненте можете да конфигуришете подешавања за редовно скенирање или насумична времена скенирања, период ажурирања потписа и могућност да корисници откажу планирано скенирање. Филес Тхреат Емулатион омогућава вам да емулирате датотеке ускладиштене на машини корисника у Цхецк Поинт цлоуд сандбок-у, међутим, ова безбедносна функција ради само у режиму откривања.
Стандардна политика за заштиту датотека укључује заштиту помоћу Анти-Малваре-а и откривање злонамерних датотека помоћу Филес Тхреат Емулатион. Редовно скенирање се врши сваког месеца, а потписи на машини корисника се ажурирају свака 4 сата. Истовремено, корисници су конфигурисани да могу да откажу заказано скенирање, али најкасније 30 дана од датума последњег успешног скенирања.
Заштита понашања
Анти-Бот, Бехавиорал Гуард & Анти-Рансомваре, Анти-Екплоит
Група компоненти заштите за понашање укључује три компоненте: Анти-Бот, Бехавиорал Гуард & Анти-Рансомваре и Анти-Екплоит. Анти-Бот омогућава вам да надгледате и блокирате Ц&Ц везе користећи стално ажурирану базу података Цхецк Поинт ТхреатЦлоуд. Чувар понашања и анти-рансомвер стално прати активност (датотеке, процесе, мрежне интеракције) на корисничкој машини и омогућава вам да спречите нападе рансомваре-а у почетним фазама. Поред тога, овај заштитни елемент вам омогућава да вратите датотеке које су већ шифроване малвером. Датотеке се враћају у оригиналне директоријуме или можете одредити одређену путању на којој ће се чувати све опорављене датотеке. Анти-Екплоит омогућава вам да откријете нападе нултог дана. Све компоненте за заштиту понашања подржавају три режима рада: Превент, Детецт и Офф.
Стандардна политика за заштиту од понашања обезбеђује Превенцију за компоненте Анти-Бот и Бехавиорал Гуард и Анти-Рансомваре, уз обнављање шифрованих датотека у њиховим оригиналним директоријумима. Компонента Анти-Екплоит је онемогућена и не користи се.
Анализа и санација
Аутоматска анализа напада (форензика), санација и одговор
Две безбедносне компоненте су доступне за анализу и истрагу безбедносних инцидената: аутоматска анализа напада (форензика) и санација и одговор. Аутоматска анализа напада (форензика) омогућава вам да генеришете извештаје о резултатима одбијања напада са детаљним описом - све до анализе процеса извршавања малвера на машини корисника. Такође је могуће користити функцију Тхреат Хунтинг, која омогућава проактивну претрагу аномалија и потенцијално злонамерног понашања помоћу унапред дефинисаних или креираних филтера. Ремедијација и одговор омогућава вам да конфигуришете подешавања за опоравак и карантин датотека након напада: интеракција корисника са датотекама у карантину је регулисана, а такође је могуће чувати датотеке у карантину у директоријуму који одреди администратор.
Стандардна политика анализе и ремедијације укључује заштиту, која укључује аутоматске радње за опоравак (завршавање процеса, враћање датотека, итд.), а опција слања датотека у карантин је активна, а корисници могу само да бришу датотеке из карантина.
Стандардна политика превенције претњи: тестирање
Цхецк Поинт ЦхецкМе Ендпоинт
Најбржи и најлакши начин да проверите безбедност машине корисника од најпопуларнијих врста напада је да извршите тест користећи ресурс , који врши низ типичних напада различитих категорија и омогућава вам да добијете извештај о резултатима тестирања. У овом случају је коришћена опција Ендпоинт тестинг, у којој се извршна датотека преузима и покреће на рачунар, а затим почиње процес верификације.
У процесу провере безбедности радног рачунара, СандБласт Агент сигнализира о идентификованим и рефлектованим нападима на рачунар корисника, на пример: Анти-Бот блејд пријављује откривање инфекције, Анти-Малваре блејд је открио и избрисао злонамерна датотека ЦП_АМ.еке, а блејд емулације претње је инсталирао да је датотека ЦП_ЗД.еке злонамерна.
На основу резултата тестирања користећи ЦхецкМе Ендпоинт, имамо следећи резултат: од 6 категорија напада, стандардна политика превенције претњи није успела да се носи са само једном категоријом – експлоатацијом претраживача. То је зато што стандардна политика превенције претњи не укључује анти-Екплоит бладе. Вреди напоменути да је без инсталираног СандБласт Агент-а, рачунар корисника прошао скенирање само у категорији Рансомваре.
КновБе4 РанСим
Да бисте тестирали рад алата Анти-Рансомваре, можете користити бесплатно решење , који покреће серију тестова на машини корисника: 18 сценарија инфекције рансомвером и 1 сценарио инфекције криптомајнером. Вреди напоменути да присуство великог броја блејдова у стандардној политици (Емулација претње, Анти-Малваре, Бехавиорал Гуард) са акцијом Превент не дозвољава да се овај тест исправно покрене. Међутим, чак и са смањеним безбедносним нивоом (Емулација претње у искљученом режиму), блејд тест Анти-Рансомваре-а показује високе резултате: 18 од 19 тестова је успешно прошло (1 није успео да се покрене).
Злонамерни фајлови и документи
Индикативно је да проверите рад различитих блејдова стандардне политике превенције претњи помоћу злонамерних датотека популарних формата преузетих на машину корисника. Овај тест је укључивао 66 датотека у ПДФ, ДОЦ, ДОЦКС, ЕКСЕ, КСЛС, КСЛСКС, ЦАБ, РТФ форматима. Резултати теста су показали да је СандБласт Агент успео да блокира 64 злонамерне датотеке од 66. Заражене датотеке су обрисане након преузимања или очишћене од злонамерног садржаја коришћењем Тхреат Ектрацтион и примљене од стране корисника.
Препоруке за унапређење политике превенције претњи
1. Филтрирање УРЛ-а
Прва ствар коју треба исправити у стандардној политици да би се повећао ниво безбедности клијентске машине је да пребаците оштрицу УРЛ Филтеринг на Превент и наведете одговарајуће категорије за блокирање. У нашем случају изабране су све категорије осим Опште употребе, јер обухватају већину ресурса којима је потребно ограничити приступ корисницима на радном месту. Такође, за такве сајтове, препоручљиво је да се уклони могућност да корисници прескоче прозор упозорења тако што ће поништити избор параметра „Дозволи кориснику да одбаци упозорење о УРЛ филтрирању и приступи веб локацији“.
2.Довнлоад Протецтион
Друга опција на коју вреди обратити пажњу је могућност да корисници преузимају датотеке које Цхецк Поинт емулација не подржава. Пошто у овом одељку разматрамо побољшања стандардне политике превенције претњи из безбедносне перспективе, најбоља опција би била блокирање преузимања неподржаних датотека.
3. Заштита датотека
Такође треба да обратите пажњу на подешавања за заштиту датотека – посебно на подешавања за периодично скенирање и могућност да корисник одложи принудно скенирање. У овом случају, временски оквир корисника мора бити узет у обзир, а добра опција са становишта безбедности и перформанси је конфигурисање принудног скенирања да се покреће сваки дан, са насумичним избором времена (од 00:00 до 8: 00), а корисник може да одложи скенирање за највише недељу дана.
4. Анти-Екплоит
Значајан недостатак стандардне политике превенције претњи је то што је блејд Анти-Екплоит онемогућен. Препоручује се да овај блејд омогућите акцијом Превент да бисте заштитили радну станицу од напада коришћењем експлоатације. Са овом исправком, ЦхецкМе поновно тестирање се успешно завршава без откривања рањивости на производној машини корисника.
Закључак
Да резимирамо: у овом чланку смо се упознали са компонентама стандардне политике превенције претњи, тестирали ову политику користећи различите методе и алате, а такође смо описали препоруке за побољшање подешавања стандардне политике како бисмо повећали ниво безбедности корисничке машине . У следећем чланку из серије, прећи ћемо на проучавање политике заштите података и погледати подешавања глобалне политике.
. Да не бисте пропустили следеће публикације на тему СандБласт Агент Манагемент Платформ, пратите ажурирања на нашим друштвеним мрежама (, , , , ).
Извор: ввв.хабр.цом