Wilujeng sumping di artikel katilu dina séri ngeunaan konsol manajemén panyalindungan komputer pribadi basis awan anyar - Check Point SandBlast Agent Management Platform. Hayu atuh ngingetan yén dina kami kenal sareng Infinity Portal sareng nyiptakeun jasa manajemén agén dumasar-awan, Layanan Manajemén Titik Akhir. Di Urang diajar panganteur konsol manajemén web tur masang agén jeung kawijakan baku dina mesin pamaké. Dinten ieu kami bakal ningali eusi kawijakan kaamanan Pencegahan Ancaman standar sareng nguji efektivitasna dina ngalawan serangan populér.
Kawijakan Pencegahan Ancaman Standar: Katerangan
Gambar di luhur nembongkeun aturan kawijakan Ancaman Standar, nu sacara standar lumaku pikeun sakabéh organisasi (sadayana agén dipasang) jeung ngawengku tilu grup logis komponén panyalindungan: Web & File Protection, Protection behavioral jeung Analisis & Remediation. Hayu urang nempo leuwih deukeut unggal grup.
Protéksi Wéb & Payil
Nyaring URL
Nyaring URL ngamungkinkeun anjeun ngadalikeun aksés pangguna kana sumber wéb, nganggo 5 kategori situs anu tos ditetepkeun. Tiap tina 5 kategori ngandung sababaraha subkategori leuwih spésifik, nu ngidinan Anjeun pikeun ngonpigurasikeun, Contona, blocking aksés ka subkategori Kaulinan sarta ngidinan aksés ka subkategori Talatah saharita, nu kaasup dina kategori Loss Produktivitas sarua. URL pakait sareng subkategori husus ditangtukeun ku Check Point. Anjeun tiasa pariksa kategori mana URL husus milik atawa menta hiji override kategori dina sumberdaya husus .
Peta bisa disetel ka Nyegah, Deteksi atawa Pareum. Ogé, nalika milih aksi Deteksi, setelan otomatis ditambahkeun anu ngamungkinkeun pamaké pikeun skip peringatan Nyaring URL tur buka sumberdaya dipikaresep. Upami Nyegah dianggo, setélan ieu tiasa dipupus sareng pangguna moal tiasa ngaksés situs anu dilarang. Cara séjén anu merenah pikeun ngadalikeun sumber anu dilarang nyaéta nyetél Daptar Blok, dimana anjeun tiasa netepkeun domain, alamat IP, atanapi unggah file .csv sareng daptar domain anu badé diblokir.
Dina kabijakan standar pikeun URL Filtering, tindakan disetel ka Deteksi sareng hiji kategori dipilih - Kaamanan, dimana acara bakal dideteksi. Kategori ieu kalebet rupa-rupa anonim, situs kalayan tingkat résiko Kritis / Tinggi / Sedeng, situs phishing, spam sareng seueur deui. Nanging, pangguna masih tiasa ngaksés sumberna berkat "Ngidinan pangguna pikeun ngaleungitkeun waspada Filter URL sareng ngaksés halaman wéb" setélan.
Ngundeur (web) Protection
Emulation & Extraction ngamungkinkeun anjeun niru file anu diunduh dina kotak pasir awan Check Point sareng ngabersihkeun dokumén dina laleur, ngaleungitkeun kontén anu berpotensi ngabahayakeun, atanapi ngarobih dokumén kana PDF. Aya tilu modeu operasi:
- Nyegah - ngidinan Anjeun pikeun meunangkeun salinan dokumén cleaned saméméh vonis emulation final, atawa ngadagoan emulation réngsé sarta ngundeur file aslina langsung;
- Detil - ngalaksanakeun emulation di latar tukang, tanpa nyegah pamaké tina narima file aslina, paduli vonis;
- Pareum - file naon waé anu diidinan diunduh tanpa ngalaman émulasi sareng beberesih komponén anu berpotensi ngabahayakeun.
Anjeun tiasa ogé milih tindakan pikeun file anu henteu dirojong ku émulasi Check Point sareng alat beberesih - anjeun tiasa ngijinkeun atanapi nampik undeuran sadaya file anu henteu didukung.
Kabijakan standar pikeun Perlindungan Undeuran disetel ka Nyegah, anu ngamungkinkeun anjeun kéngingkeun salinan dokumén asli anu parantos dibersihkeun tina eusi anu berpotensi ngabahayakeun, ogé ngamungkinkeun undeuran file anu henteu dirojong ku émulasi sareng alat beberesih.
Perlindungan Kapercayaan
Komponén Perlindungan Kapercayaan ngajagi kapercayaan pangguna sareng kalebet 2 komponén: Zero Phishing sareng Perlindungan Sandi. Nol Phishing ngajaga pamaké tina ngakses sumberdaya phishing, jeung Protection sandi ngabéjaan pamaké ngeunaan inadmissibility ngagunakeun credentials perusahaan di luar domain nu ditangtayungan. Zero Phishing tiasa disetel ka Nyegah, Deteksi atanapi Pareum. Nalika aksi Nyegah diatur, kasebut nyaéta dimungkinkeun pikeun ngidinan pamaké pikeun malire peringatan ngeunaan sumberdaya phishing poténsi sarta meunang aksés ka sumberdaya nu, atawa mareuman pilihan ieu sarta meungpeuk aksés salawasna. Kalayan tindakan Deteksi, pangguna sok gaduh pilihan pikeun malire peringatan sareng ngaksés sumberna. Protéksi Sandi ngamungkinkeun anjeun milih domain anu ditangtayungan anu sandi bakal dipariksa pikeun minuhan, sareng salah sahiji tina tilu tindakan: Deteksi & Waspada (ngabéjaan ka pangguna), Deteksi atanapi Pareum.
Kabijakan standar pikeun Perlindungan Kapercayaan nyaéta pikeun nyegah sumber daya phishing pikeun nyegah pangguna pikeun ngakses situs anu berpotensi jahat. Perlindungan tina pamakean kecap akses perusahaan ogé diaktipkeun, tapi tanpa domain anu ditangtukeun fitur ieu moal jalan.
Perlindungan file
Perlindungan File tanggung jawab pikeun ngajagi file anu disimpen dina mesin pangguna sareng kalebet dua komponén: Anti-Malware sareng File Threat Emulation. Anti Malware mangrupikeun alat anu rutin nyeken sadaya file pangguna sareng sistem nganggo analisis tanda tangan. Dina setélan komponén ieu, anjeun tiasa ngonpigurasikeun setélan pikeun scanning biasa atanapi waktos scanning acak, periode update signature, sarta kamampuhan pikeun pamaké pikeun ngabolaykeun scanning dijadwalkeun. Emulasi Ancaman File ngamungkinkeun anjeun niru file anu disimpen dina mesin pangguna dina kotak pasir awan Check Point, tapi fitur kaamanan ieu ngan ukur tiasa dianggo dina modeu Deteksi.
Kabijakan standar pikeun Perlindungan File kalebet panyalindungan sareng Anti-Malware sareng deteksi file jahat sareng Files Threat Emulation. Scanning rutin dilaksanakeun unggal bulan, sareng tanda tangan dina mesin pangguna diropéa unggal 4 jam. Dina waktos anu sami, pangguna dikonpigurasikeun pikeun ngabatalkeun scan anu dijadwalkeun, tapi henteu langkung ti 30 dinten ti tanggal scan anu suksés terakhir.
Protection kabiasaan
Anti-Bot, Hansip Paripolah & Anti-Ransomware, Anti-Eksploitasi
Grup panyalindungan paripolah komponén panyalindungan ngawengku tilu komponén: Anti-Bot, Behavioral Guard & Anti-Ransomware jeung Anti-Eksploitasi. Anti Botol ngamungkinkeun anjeun ngawas sareng meungpeuk sambungan C&C nganggo pangkalan data Check Point ThreatCloud anu terus diropéa. Hansip Paripolah & Anti Ransomware terus ngawas aktivitas (file, prosés, interaksi jaringan) dina mesin pamaké sarta ngidinan Anjeun pikeun nyegah serangan ransomware dina tahap awal. Salaku tambahan, unsur panyalindungan ieu ngamungkinkeun anjeun pikeun mulangkeun file anu parantos énkripsi ku malware. File disimpen deui ka diréktori aslina, atanapi anjeun tiasa netepkeun jalur khusus dimana sadaya file anu pulih bakal disimpen. Anti Eksploitasi позволяет обнаруживать атаки нулевого дня. Для всех компонентов Behavioral Protection поддерживаются три режима работы: Prevent, Detect и Off.
Kabijakan standar pikeun Perlindungan Perilaku nyayogikeun komponén Cegah pikeun Anti-Bot sareng Paripolah Guard & Anti-Ransomware, kalayan restorasi file énkripsi dina diréktori aslina. Komponén Anti-Eksploitasi ditumpurkeun sareng henteu dianggo.
Analisis & Remediation
Analisis Serangan Otomatis (Forensics), Remediation & Tanggapan
Dua komponén kaamanan sadia pikeun analisis jeung panalungtikan kajadian kaamanan: Analisis Serangan Otomatis (Forensics) jeung Remediation & Tanggapan. Analisis Serangan Otomatis (Forensik) ngidinan Anjeun pikeun ngahasilkeun laporan ngeunaan hasil ngusir serangan kalayan katerangan lengkep - nepi ka nganalisa prosés executing malware dina mesin pamaké. Ieu oge mungkin ngagunakeun fitur Ancaman Hunting, nu ngamungkinkeun pikeun proactively neangan anomali jeung kabiasaan berpotensi jahat maké saringan tos siap pake atawa dijieun. Remediation & Tanggapan ngamungkinkeun anjeun pikeun ngonpigurasikeun setélan pikeun pamulihan sareng karantina file saatos serangan: interaksi pangguna sareng file karantina diatur, sareng anjeun ogé tiasa nyimpen file anu dikarantina dina diréktori anu ditangtukeun ku administrator.
В стандартной политике Analysis & Remediation включена защита, в которую входят автоматические действия для восстановления (завершение процессов, восстановление файлов и пр.), а также активна опция отправки файлов в карантин, причём пользователи могут только удалять файлы из карантина.
Kawijakan Pencegahan Ancaman Standar: Nguji
Check Point CheckMe Endpoint
Cara panggancangna sareng panggampangna pikeun mariksa kaamanan mesin pangguna ngalawan jinis serangan anu paling populér nyaéta ngalaksanakeun tés nganggo sumber daya. , anu ngalaksanakeun sababaraha serangan has tina sababaraha kategori sareng ngamungkinkeun anjeun kéngingkeun laporan hasil tés. Dina hal ieu, pilihan tés Endpoint dianggo, dimana file anu tiasa dieksekusi diunduh sareng diluncurkeun kana komputer, teras prosés verifikasi dimimitian.
Dina prosés mariksa kaamanan komputer anu tiasa dianggo, SandBlast Agent masihan sinyal ngeunaan serangan anu diidentifikasi sareng dicerminkeun dina komputer pangguna, contona: bilah Anti-Bot ngalaporkeun deteksi inféksi, bilah Anti-Malware parantos ngadeteksi sareng ngahapus. file jahat CP_AM.exe, sarta sabeulah Threat Emulation geus dipasang yén file CP_ZD.exe téh jahat.
Dumasar kana hasil tés nganggo CheckMe Endpoint, kami ngagaduhan hasil ieu: tina 6 kategori serangan, kawijakan Pencegahan Ancaman standar gagal ngan ukur hiji kategori - Browser Exploit. Ieu kusabab kawijakan Pencegahan Ancaman standar henteu kalebet sabeulah Anti-Eksploitasi. Perlu dicatet yén tanpa SandBlast Agent dipasang, komputer pangguna ngan ukur lulus scan dina kategori Ransomware.
KnowBe4 RanSim
Pikeun nguji operasi sabeulah Anti-Ransomware, anjeun tiasa nganggo solusi gratis , nu ngajalankeun runtuyan tés dina mesin pamaké: 18 skenario inféksi ransomware jeung 1 skenario inféksi cryptominer. Eta sia noting yén ayana loba wilah dina kawijakan baku (Anceman Emulation, Anti-Malware, Behavioral Guard) kalawan aksi Nyegah teu ngidinan test ieu ngajalankeun leres. Sanajan kitu, sanajan kalawan tingkat kaamanan ngurangan (Anceman Emulation dina mode Pareum), tes sabeulah Anti-Ransomware nembongkeun hasil luhur: 18 ti 19 tés lulus hasil (1 gagal pikeun ngamimitian).
Dokumén sareng file jahat
Ieu indicative mariksa operasi wilah béda tina kawijakan Pencegahan Ancaman baku ngagunakeun file jahat tina format populér diundeur ka mesin pamaké. Tés ieu ngalibatkeun 66 file dina format PDF, DOC, DOCX, EXE, XLS, XLSX, CAB, RTF. Hasil tés némbongkeun yén SandBlast Agent éta bisa meungpeuk 64 file jahat kaluar tina 66. File kainféksi dihapus sanggeus diundeur, atawa diberesihan tina eusi jahat maké ékstraksi Ancaman jeung narima ku pamaké.
Рекомендации по улучшению политики Threat Prevention
1. Nyaring URL
Hal kahiji anu kedah dilereskeun dina kawijakan standar pikeun ningkatkeun tingkat kaamanan mesin klien nyaéta ngalihkeun sabeulah URL Filtering pikeun Nyegah sareng nangtukeun kategori anu cocog pikeun meungpeuk. Dina kasus urang, sadaya kategori dipilih kecuali Pamakéan Umum, sabab kalebet seueur sumber daya anu diperyogikeun pikeun ngawatesan aksés ka pangguna di tempat kerja. Ogé, pikeun situs-situs sapertos kitu, disarankeun pikeun ngahapus kamampuan pangguna pikeun ngalangkungan jandela peringatan ku ngahapus centang "Ngidinan pangguna pikeun ngilangkeun waspada Filter URL sareng ngaksés halaman wéb" parameter.
2.Download Protection
Pilihan kadua patut nengetan nyaéta kamampuhan pikeun pamaké pikeun ngundeur file nu teu dirojong ku Check Point emulation. Kusabab dina bagian ieu kami ningali perbaikan kabijakan Pencegahan Ancaman standar tina sudut pandang kaamanan, pilihan anu pangsaéna nyaéta pikeun meungpeuk undeuran file anu henteu didukung.
3. Protéksi File
Anjeun ogé kedah nengetan setélan pikeun ngajagi file - khususna, setélan panyeken périodik sareng kamampuan pangguna pikeun nunda scanning paksa. Dina hal ieu, pigura waktos pangguna kedah dipertimbangkeun, sareng pilihan anu saé tina sudut pandang kaamanan sareng kinerja nyaéta ngonpigurasikeun scan paksa pikeun ngajalankeun unggal dinten, kalayan waktos dipilih sacara acak (tina 00:00 dugi ka 8: 00), sareng pangguna tiasa ngalambatkeun scan salami maksimal saminggu.
4. Anti Eksploitasi
Kelemahan anu signifikan tina kawijakan Pencegahan Ancaman standar nyaéta bilah Anti-Eksploitasi ditumpurkeun. Disarankeun pikeun ngaktipkeun sabeulah ieu kalawan aksi Nyegah ngajaga workstation tina serangan ngagunakeun exploits. Kalayan perbaikan ieu, tes ulang CheckMe parantos suksés tanpa ngadeteksi kerentanan dina mesin produksi pangguna.
kacindekan
Hayu urang nyimpulkeun: dina tulisan ieu kami kenal sareng komponén kawijakan Pencegahan Ancaman standar, nguji kawijakan ieu nganggo sababaraha metode sareng alat, sareng ogé ngajelaskeun rekomendasi pikeun ningkatkeun setélan kawijakan standar pikeun ningkatkeun tingkat kaamanan mesin pangguna. . Dina artikel salajengna dina séri, urang bakal ngaléngkah ka diajar kawijakan Perlindungan Data sareng ningali Setélan Kabijakan Global.
. Supados teu kantun publikasi salajengna ngeunaan topik SandBlast Agent Management Platform, turutan apdet dina jaringan sosial kami (, , , , ).
sumber: www.habr.com