VÀlkommen till den tredje artikeln i serien om den nya molnbaserade konsolen för skydd av persondatorer - Check Point SandBlast Agent Management Platform. LÄt mig pÄminna dig om att i vi bekantade oss med Infinity Portal och skapade en molnbaserad agenthanteringstjÀnst, Endpoint Management Service. I Vi studerade webbhanteringskonsolens grÀnssnitt och installerade en agent med en standardpolicy pÄ anvÀndarmaskinen. Idag ska vi titta pÄ innehÄllet i standardsÀkerhetspolicyn för hotförebyggande och testa dess effektivitet för att motverka populÀra attacker.
Standardpolicy för förebyggande av hot: Beskrivning
Figuren ovan visar en standardregel för hotförebyggande policy, som som standard gÀller för hela organisationen (alla installerade agenter) och inkluderar tre logiska grupper av skyddskomponenter: Webb- och filskydd, Beteendeskydd och Analys och ÄtgÀrdande. LÄt oss titta nÀrmare pÄ var och en av grupperna.
Webb- och filskydd
URL-filtrering
URL-filtrering lÄter dig kontrollera anvÀndarÄtkomst till webbresurser med hjÀlp av fördefinierade 5 kategorier av webbplatser. Var och en av de 5 kategorierna innehÄller flera mer specifika underkategorier, vilket gör att du kan konfigurera till exempel att blockera Ätkomst till underkategorin Spel och tillÄta Ätkomst till underkategorin Instant Messaging, som ingÄr i samma kategori för produktivitetsförlust. Webbadresser associerade med specifika underkategorier bestÀms av Check Point. Du kan kontrollera kategorin som en specifik URL tillhör eller begÀra att en kategori ÄsidosÀtts pÄ en speciell resurs .
Ă
tgÀrden kan stÀllas in pÄ Förhindra, UpptÀck eller Av. NÀr du vÀljer ÄtgÀrden Identifiera lÀggs ocksÄ en instÀllning till automatiskt som tillÄter anvÀndare att hoppa över URL-filtreringsvarningen och gÄ till resursen av intresse. Om Förhindra anvÀnds kan den hÀr instÀllningen tas bort och anvÀndaren kommer inte att kunna komma Ät den förbjudna webbplatsen. Ett annat bekvÀmt sÀtt att kontrollera förbjudna resurser Àr att skapa en blockeringslista, dÀr du kan ange domÀner, IP-adresser eller ladda upp en .csv-fil med en lista över domÀner som ska blockeras.
I standardpolicyn för URL-filtrering Àr ÄtgÀrden instÀlld pÄ Identifiera och en kategori vÀljs - SÀkerhet, för vilken hÀndelser kommer att upptÀckas. Den hÀr kategorin inkluderar olika anonymiserare, webbplatser med en kritisk/hög/medelhög risknivÄ, nÀtfiskewebbplatser, spam och mycket mer. AnvÀndare kommer dock fortfarande att kunna komma Ät resursen tack vare instÀllningen "TillÄt anvÀndare att avvisa URL-filtreringsvarningen och fÄ tillgÄng till webbplatsen".
Ladda ner (webb) skydd
Med emulering och extrahering kan du emulera nedladdade filer i Check Points molnsandlÄda och rensa upp dokument i farten, ta bort potentiellt skadligt innehÄll eller konvertera dokumentet till PDF. Det finns tre driftlÀgen:
- Förhindra â lĂ„ter dig fĂ„ en kopia av det rensade dokumentet innan det slutliga emuleringsutslaget, eller vĂ€nta pĂ„ att emuleringen ska slutföras och ladda ner originalfilen omedelbart;
- UpptĂ€cka â utför emulering i bakgrunden utan att hindra anvĂ€ndaren frĂ„n att ta emot originalfilen, oavsett domen.
- off â alla filer tillĂ„ts laddas ner utan att genomgĂ„ emulering och rengöring av potentiellt skadliga komponenter.
Det Àr ocksÄ möjligt att vÀlja en ÄtgÀrd för filer som inte stöds av Check Point-emulerings- och rengöringsverktyg - du kan tillÄta eller neka nedladdning av alla filer som inte stöds.
Standardpolicyn för nedladdningsskydd Àr instÀlld pÄ Förhindra, vilket gör att du kan fÄ en kopia av originaldokumentet som har rensats frÄn potentiellt skadligt innehÄll, samt tillÄter nedladdning av filer som inte stöds av emulerings- och rengöringsverktyg.
Behörighetsskydd
Komponenten Credential Protection skyddar anvÀndaruppgifter och innehÄller 2 komponenter: Noll nÀtfiske och lösenordsskydd. Noll nÀtfiske skyddar anvÀndare frÄn att komma Ät nÀtfiskeresurser, och Lösenordsskydd meddelar anvÀndaren om otillÄtligheten av att anvÀnda företagsuppgifter utanför den skyddade domÀnen. Noll nÀtfiske kan stÀllas in pÄ Förhindra, UpptÀck eller Av. NÀr ÄtgÀrden Förhindra Àr instÀlld Àr det möjligt att tillÄta anvÀndare att ignorera varningen om en potentiell nÀtfiske-resurs och fÄ Ätkomst till resursen, eller att inaktivera det hÀr alternativet och blockera Ätkomst för alltid. Med en UpptÀck-ÄtgÀrd har anvÀndarna alltid möjlighet att ignorera varningen och komma Ät resursen. Lösenordsskydd lÄter dig vÀlja skyddade domÀner för vilka lösenord ska kontrolleras för överensstÀmmelse, och en av tre ÄtgÀrder: UpptÀck och varna (meddelar anvÀndaren), UpptÀck eller Av.
Standardpolicyn för Credential Protection Àr att förhindra nÀtfiskeresurser frÄn att hindra anvÀndare frÄn att komma Ät en potentiellt skadlig webbplats. Skydd mot anvÀndning av företagslösenord Àr ocksÄ aktiverat, men utan de angivna domÀnerna kommer denna funktion inte att fungera.
Filskydd
Filskydd Àr ansvarigt för att skydda filer som lagras pÄ anvÀndarens dator och inkluderar tvÄ komponenter: Anti-Malware och Files Threat Emulation. Anti-Malware Àr ett verktyg som regelbundet skannar alla anvÀndar- och systemfiler med hjÀlp av signaturanalys. I instÀllningarna för den hÀr komponenten kan du konfigurera instÀllningarna för vanlig skanning eller slumpmÀssiga skanningstider, signaturuppdateringsperioden och möjligheten för anvÀndare att avbryta schemalagd skanning. Filer hotemulering lÄter dig emulera filer som Àr lagrade pÄ anvÀndarens dator i Check Points molnsandlÄda, men den hÀr sÀkerhetsfunktionen fungerar bara i detektionslÀge.
Standardpolicyn för filskydd inkluderar skydd med Anti-Malware och upptÀckt av skadliga filer med Files Threat Emulation. Regelbunden skanning utförs varje mÄnad, och signaturer pÄ anvÀndarmaskinen uppdateras var 4:e timme. Samtidigt Àr anvÀndare konfigurerade för att kunna avbryta en schemalagd skanning, men senast 30 dagar frÄn datumet för den senaste lyckade skanningen.
Beteendeskydd
Anti-Bot, Behavioral Guard & Anti-Ransomware, Anti-Exploit
Beteendeskyddsgruppen av skyddskomponenter inkluderar tre komponenter: Anti-Bot, Behavioral Guard & Anti-Ransomware och Anti-Exploit. Anti-Bot lÄter dig övervaka och blockera C&C-anslutningar med den stÀndigt uppdaterade Check Point ThreatCloud-databasen. Behavioral Guard & Anti-Ransomware övervakar stÀndigt aktivitet (filer, processer, nÀtverksinteraktioner) pÄ anvÀndarmaskinen och lÄter dig förhindra ransomware-attacker i de inledande stadierna. Dessutom lÄter detta skyddselement dig ÄterstÀlla filer som redan har krypterats av skadlig programvara. Filer ÄterstÀlls till sina ursprungliga kataloger, eller sÄ kan du ange en specifik sökvÀg dÀr alla ÄterstÀllda filer kommer att lagras. Anti-exploatering lÄter dig upptÀcka zero-day attacker. Alla Behavioral Protection-komponenter stöder tre driftslÀgen: Förhindra, UpptÀck och Av.
Standardpolicyn för beteendeskydd tillhandahÄller Prevent för komponenterna Anti-Bot och Behavioral Guard & Anti-Ransomware, med ÄterstÀllning av krypterade filer i deras ursprungliga kataloger. Anti-Exploit-komponenten Àr inaktiverad och anvÀnds inte.
Analys & Sanering
Automatiserad attackanalys (kriminalteknik), sanering & svar
TvĂ„ sĂ€kerhetskomponenter finns tillgĂ€ngliga för analys och utredning av sĂ€kerhetsincidenter: Automatiserad attackanalys (Forensics) och Remediation & Response. Automatiserad attackanalys (kriminalteknik) lĂ„ter dig generera rapporter om resultaten av avvisande attacker med en detaljerad beskrivning - Ă€nda ner till analys av processen för att exekvera skadlig programvara pĂ„ anvĂ€ndarens maskin. Det Ă€r ocksĂ„ möjligt att anvĂ€nda funktionen Threat Hunting, som gör det möjligt att proaktivt söka efter anomalier och potentiellt skadligt beteende med hjĂ€lp av fördefinierade eller skapade filter. Ă
tgÀrd & svar lÄter dig konfigurera instÀllningar för ÄterstÀllning och karantÀn av filer efter en attack: anvÀndarinteraktion med karantÀnfiler Àr reglerad, och det Àr ocksÄ möjligt att lagra filer i karantÀn i en katalog som anges av administratören.
Standardpolicyn för Analys & Remediation inkluderar skydd, som inkluderar automatiska ÄtgÀrder för ÄterstÀllning (avsluta processer, ÄterstÀlla filer, etc.), och alternativet att skicka filer till karantÀn Àr aktivt, och anvÀndare kan bara ta bort filer frÄn karantÀn.
Standardpolicy för hotförebyggande: Testning
Check Point CheckMe Endpoint
Det snabbaste och enklaste sÀttet att kontrollera sÀkerheten pÄ en anvÀndares maskin mot de mest populÀra typerna av attacker Àr att utföra ett test med hjÀlp av resursen , som utför ett antal typiska attacker av olika kategorier och lÄter dig fÄ en rapport om testresultaten. I det hÀr fallet anvÀndes alternativet Endpoint-testning, dÀr en körbar fil laddas ner och startas pÄ datorn, och sedan börjar verifieringsprocessen.
I processen att kontrollera sÀkerheten för en fungerande dator, signalerar SandBlast Agent om identifierade och reflekterade attacker pÄ anvÀndarens dator, till exempel: Anti-Bot-bladet rapporterar upptÀckten av en infektion, Anti-Malware-bladet har upptÀckt och tagit bort skadlig fil CP_AM.exe, och Threat Emulation-bladet har installerat att CP_ZD.exe-filen Àr skadlig.
Baserat pÄ resultaten av tester med CheckMe Endpoint har vi följande resultat: av 6 attackkategorier klarade inte standardpolicyn för hotförebyggande bara en kategori - Browser Exploit. Detta beror pÄ att standardpolicyn för hotförebyggande inte inkluderar Anti-Exploit-bladet. Det Àr vÀrt att notera att utan SandBlast Agent installerat klarade anvÀndarens dator genomsökningen endast under kategorin Ransomware.
KnowBe4 RanSim
För att testa funktionen av Anti-Ransomware-bladet kan du anvÀnda en gratislösning , som kör en serie tester pÄ anvÀndarens dator: 18 infektionsscenarier för ransomware och 1 cryptominer-infektionsscenario. Det Àr vÀrt att notera att förekomsten av mÄnga blad i standardpolicyn (Threat Emulation, Anti-Malware, Behavioral Guard) med ÄtgÀrden Förhindra inte tillÄter detta test att köras korrekt. Men Àven med en reducerad sÀkerhetsnivÄ (Threat Emulation i Off-lÀge) visar anti-Ransomware-bladtestet höga resultat: 18 av 19 tester klarade framgÄngsrikt (1 misslyckades att starta).
Skadliga filer och dokument
Det Àr vÀgledande att kontrollera funktionen hos olika blad i standardpolicyn för hotförebyggande med skadliga filer av populÀra format som laddas ner till anvÀndarens maskin. Detta test involverade 66 filer i formaten PDF, DOC, DOCX, EXE, XLS, XLSX, CAB, RTF. Testresultaten visade att SandBlast Agent kunde blockera 64 skadliga filer av 66. Infekterade filer raderades efter nedladdning eller rensades frÄn skadligt innehÄll med hjÀlp av Threat Extraction och togs emot av anvÀndaren.
Rekommendationer för att förbÀttra hotpreventionspolicyn
1. URL-filtrering
Det första som mÄste korrigeras i standardpolicyn för att öka sÀkerhetsnivÄn pÄ klientdatorn Àr att byta URL-filtreringsbladet till Förhindra och ange lÀmpliga kategorier för blockering. I vÄrt fall valdes alla kategorier utom AllmÀn anvÀndning, eftersom de inkluderar de flesta av de resurser till vilka det Àr nödvÀndigt att begrÀnsa Ätkomsten till anvÀndare pÄ arbetsplatsen. För sÄdana webbplatser Àr det ocksÄ tillrÄdligt att ta bort möjligheten för anvÀndare att hoppa över varningsfönstret genom att avmarkera parametern "TillÄt anvÀndare att avvisa URL-filtreringsvarningen och komma Ät webbplatsen".
2. Nedladdningsskydd
Det andra alternativet som Àr vÀrt att uppmÀrksamma Àr möjligheten för anvÀndare att ladda ner filer som inte stöds av Check Point-emuleringen. Eftersom vi i det hÀr avsnittet tittar pÄ förbÀttringar av standardpolicyn för hotförebyggande ur ett sÀkerhetsperspektiv, skulle det bÀsta alternativet vara att blockera nedladdningen av filer som inte stöds.
3. Filskydd
Du mÄste ocksÄ vara uppmÀrksam pÄ instÀllningarna för att skydda filer - i synnerhet instÀllningarna för periodisk skanning och möjligheten för anvÀndaren att skjuta upp tvÄngsskanning. I det hÀr fallet mÄste anvÀndarens tidsram beaktas, och ett bra alternativ ur sÀkerhets- och prestandasynpunkt Àr att konfigurera en pÄtvingad skanning att köras varje dag, med tiden vald slumpmÀssigt (frÄn 00:00 till 8: 00), och anvÀndaren kan fördröja skanningen i högst en vecka.
4. Anti-exploatering
En betydande nackdel med standardpolicyn för hotförebyggande Àr att Anti-Exploit-bladet Àr inaktiverat. Det rekommenderas att aktivera det hÀr bladet med ÄtgÀrden Förhindra för att skydda arbetsstationen frÄn attacker med utnyttjande. Med denna korrigering slutförs CheckMe-omtestet framgÄngsrikt utan att upptÀcka sÄrbarheter pÄ anvÀndarens produktionsmaskin.
Slutsats
LÄt oss sammanfatta: i den hÀr artikeln bekantade vi oss med komponenterna i standardpolicyn för hotförebyggande, testade denna policy med olika metoder och verktyg och beskrev ocksÄ rekommendationer för att förbÀttra instÀllningarna för standardpolicyn för att öka sÀkerhetsnivÄn pÄ anvÀndarmaskinen . I nÀsta artikel i serien kommer vi att gÄ vidare till att studera dataskyddspolicyn och titta pÄ de globala policyinstÀllningarna.
. För att inte missa nÀsta publikationer om Àmnet SandBlast Agent Management Platform, följ uppdateringarna pÄ vÄra sociala nÀtverk (, , , , ).
KĂ€lla: will.com
