Välkommen till den tredje artikeln i serien om den nya molnbaserade konsolen för skydd av persondatorer - Check Point SandBlast Agent Management Platform. Låt mig påminna dig om att i vi bekantade oss med Infinity Portal och skapade en molnbaserad agenthanteringstjänst, Endpoint Management Service. I Vi studerade webbhanteringskonsolens gränssnitt och installerade en agent med en standardpolicy på användarmaskinen. Idag ska vi titta på innehållet i standardsäkerhetspolicyn för hotförebyggande och testa dess effektivitet för att motverka populära attacker.
Standardpolicy för förebyggande av hot: Beskrivning
Figuren ovan visar en standardregel för hotförebyggande policy, som som standard gäller för hela organisationen (alla installerade agenter) och inkluderar tre logiska grupper av skyddskomponenter: Webb- och filskydd, Beteendeskydd och Analys och åtgärdande. Låt oss titta närmare på var och en av grupperna.
Webb- och filskydd
URL-filtrering
URL-filtrering låter dig kontrollera användaråtkomst till webbresurser med hjälp av fördefinierade 5 kategorier av webbplatser. Var och en av de 5 kategorierna innehåller flera mer specifika underkategorier, vilket gör att du kan konfigurera till exempel att blockera åtkomst till underkategorin Spel och tillåta åtkomst till underkategorin Instant Messaging, som ingår i samma kategori för produktivitetsförlust. Webbadresser associerade med specifika underkategorier bestäms av Check Point. Du kan kontrollera kategorin som en specifik URL tillhör eller begära att en kategori åsidosätts på en speciell resurs .
Åtgärden kan ställas in på Förhindra, Upptäck eller Av. När du väljer åtgärden Identifiera läggs också en inställning till automatiskt som tillåter användare att hoppa över URL-filtreringsvarningen och gå till resursen av intresse. Om Förhindra används kan den här inställningen tas bort och användaren kommer inte att kunna komma åt den förbjudna webbplatsen. Ett annat bekvämt sätt att kontrollera förbjudna resurser är att skapa en blockeringslista, där du kan ange domäner, IP-adresser eller ladda upp en .csv-fil med en lista över domäner som ska blockeras.
I standardpolicyn för URL-filtrering är åtgärden inställd på Identifiera och en kategori väljs - Säkerhet, för vilken händelser kommer att upptäckas. Den här kategorin inkluderar olika anonymiserare, webbplatser med en kritisk/hög/medelhög risknivå, nätfiskewebbplatser, spam och mycket mer. Användare kommer dock fortfarande att kunna komma åt resursen tack vare inställningen "Tillåt användare att avvisa URL-filtreringsvarningen och få tillgång till webbplatsen".
Ladda ner (webb) skydd
Med emulering och extrahering kan du emulera nedladdade filer i Check Points molnsandlåda och rensa upp dokument i farten, ta bort potentiellt skadligt innehåll eller konvertera dokumentet till PDF. Det finns tre driftlägen:
- Förhindra — låter dig få en kopia av det rensade dokumentet innan det slutliga emuleringsutslaget, eller vänta på att emuleringen ska slutföras och ladda ner originalfilen omedelbart;
- Upptäcka — utför emulering i bakgrunden utan att hindra användaren från att ta emot originalfilen, oavsett domen.
- off — alla filer tillåts laddas ner utan att genomgå emulering och rengöring av potentiellt skadliga komponenter.
Det är också möjligt att välja en åtgärd för filer som inte stöds av Check Point-emulerings- och rengöringsverktyg - du kan tillåta eller neka nedladdning av alla filer som inte stöds.
Standardpolicyn för nedladdningsskydd är inställd på Förhindra, vilket gör att du kan få en kopia av originaldokumentet som har rensats från potentiellt skadligt innehåll, samt tillåter nedladdning av filer som inte stöds av emulerings- och rengöringsverktyg.
Behörighetsskydd
Komponenten Credential Protection skyddar användaruppgifter och innehåller 2 komponenter: Noll nätfiske och lösenordsskydd. Noll nätfiske skyddar användare från att komma åt nätfiskeresurser, och Lösenordsskydd meddelar användaren om otillåtligheten av att använda företagsuppgifter utanför den skyddade domänen. Noll nätfiske kan ställas in på Förhindra, Upptäck eller Av. När åtgärden Förhindra är inställd är det möjligt att tillåta användare att ignorera varningen om en potentiell nätfiske-resurs och få åtkomst till resursen, eller att inaktivera det här alternativet och blockera åtkomst för alltid. Med en Upptäck-åtgärd har användarna alltid möjlighet att ignorera varningen och komma åt resursen. Lösenordsskydd låter dig välja skyddade domäner för vilka lösenord ska kontrolleras för överensstämmelse, och en av tre åtgärder: Upptäck och varna (meddelar användaren), Upptäck eller Av.
Standardpolicyn för Credential Protection är att förhindra nätfiskeresurser från att hindra användare från att komma åt en potentiellt skadlig webbplats. Skydd mot användning av företagslösenord är också aktiverat, men utan de angivna domänerna kommer denna funktion inte att fungera.
Filskydd
Filskydd är ansvarigt för att skydda filer som lagras på användarens dator och inkluderar två komponenter: Anti-Malware och Files Threat Emulation. Anti-Malware är ett verktyg som regelbundet skannar alla användar- och systemfiler med hjälp av signaturanalys. I inställningarna för den här komponenten kan du konfigurera inställningarna för vanlig skanning eller slumpmässiga skanningstider, signaturuppdateringsperioden och möjligheten för användare att avbryta schemalagd skanning. Filer hotemulering låter dig emulera filer som är lagrade på användarens dator i Check Points molnsandlåda, men den här säkerhetsfunktionen fungerar bara i detektionsläge.
Standardpolicyn för filskydd inkluderar skydd med Anti-Malware och upptäckt av skadliga filer med Files Threat Emulation. Regelbunden skanning utförs varje månad, och signaturer på användarmaskinen uppdateras var 4:e timme. Samtidigt är användare konfigurerade för att kunna avbryta en schemalagd skanning, men senast 30 dagar från datumet för den senaste lyckade skanningen.
Beteendeskydd
Anti-Bot, Behavioral Guard & Anti-Ransomware, Anti-Exploit
Beteendeskyddsgruppen av skyddskomponenter inkluderar tre komponenter: Anti-Bot, Behavioral Guard & Anti-Ransomware och Anti-Exploit. Anti-Bot låter dig övervaka och blockera C&C-anslutningar med den ständigt uppdaterade Check Point ThreatCloud-databasen. Behavioral Guard & Anti-Ransomware övervakar ständigt aktivitet (filer, processer, nätverksinteraktioner) på användarmaskinen och låter dig förhindra ransomware-attacker i de inledande stadierna. Dessutom låter detta skyddselement dig återställa filer som redan har krypterats av skadlig programvara. Filer återställs till sina ursprungliga kataloger, eller så kan du ange en specifik sökväg där alla återställda filer kommer att lagras. Anti-exploatering låter dig upptäcka zero-day attacker. Alla Behavioral Protection-komponenter stöder tre driftslägen: Förhindra, Upptäck och Av.
Standardpolicyn för beteendeskydd tillhandahåller Prevent för komponenterna Anti-Bot och Behavioral Guard & Anti-Ransomware, med återställning av krypterade filer i deras ursprungliga kataloger. Anti-Exploit-komponenten är inaktiverad och används inte.
Analys & Sanering
Automatiserad attackanalys (kriminalteknik), sanering & svar
Två säkerhetskomponenter finns tillgängliga för analys och utredning av säkerhetsincidenter: Automatiserad attackanalys (Forensics) och Remediation & Response. Automatiserad attackanalys (kriminalteknik) låter dig generera rapporter om resultaten av avvisande attacker med en detaljerad beskrivning - ända ner till analys av processen för att exekvera skadlig programvara på användarens maskin. Det är också möjligt att använda funktionen Threat Hunting, som gör det möjligt att proaktivt söka efter anomalier och potentiellt skadligt beteende med hjälp av fördefinierade eller skapade filter. Åtgärd & svar låter dig konfigurera inställningar för återställning och karantän av filer efter en attack: användarinteraktion med karantänfiler är reglerad, och det är också möjligt att lagra filer i karantän i en katalog som anges av administratören.
Standardpolicyn för Analys & Remediation inkluderar skydd, som inkluderar automatiska åtgärder för återställning (avsluta processer, återställa filer, etc.), och alternativet att skicka filer till karantän är aktivt, och användare kan bara ta bort filer från karantän.
Standardpolicy för hotförebyggande: Testning
Check Point CheckMe Endpoint
Det snabbaste och enklaste sättet att kontrollera säkerheten på en användares maskin mot de mest populära typerna av attacker är att utföra ett test med hjälp av resursen , som utför ett antal typiska attacker av olika kategorier och låter dig få en rapport om testresultaten. I det här fallet användes alternativet Endpoint-testning, där en körbar fil laddas ner och startas på datorn, och sedan börjar verifieringsprocessen.
I processen att kontrollera säkerheten för en fungerande dator, signalerar SandBlast Agent om identifierade och reflekterade attacker på användarens dator, till exempel: Anti-Bot-bladet rapporterar upptäckten av en infektion, Anti-Malware-bladet har upptäckt och tagit bort skadlig fil CP_AM.exe, och Threat Emulation-bladet har installerat att CP_ZD.exe-filen är skadlig.
Baserat på resultaten av tester med CheckMe Endpoint har vi följande resultat: av 6 attackkategorier klarade inte standardpolicyn för hotförebyggande bara en kategori - Browser Exploit. Detta beror på att standardpolicyn för hotförebyggande inte inkluderar Anti-Exploit-bladet. Det är värt att notera att utan SandBlast Agent installerat klarade användarens dator genomsökningen endast under kategorin Ransomware.
KnowBe4 RanSim
För att testa funktionen av Anti-Ransomware-bladet kan du använda en gratislösning , som kör en serie tester på användarens dator: 18 infektionsscenarier för ransomware och 1 cryptominer-infektionsscenario. Det är värt att notera att förekomsten av många blad i standardpolicyn (Threat Emulation, Anti-Malware, Behavioral Guard) med åtgärden Förhindra inte tillåter detta test att köras korrekt. Men även med en reducerad säkerhetsnivå (Threat Emulation i Off-läge) visar anti-Ransomware-bladtestet höga resultat: 18 av 19 tester klarade framgångsrikt (1 misslyckades att starta).
Skadliga filer och dokument
Det är vägledande att kontrollera funktionen hos olika blad i standardpolicyn för hotförebyggande med skadliga filer av populära format som laddas ner till användarens maskin. Detta test involverade 66 filer i formaten PDF, DOC, DOCX, EXE, XLS, XLSX, CAB, RTF. Testresultaten visade att SandBlast Agent kunde blockera 64 skadliga filer av 66. Infekterade filer raderades efter nedladdning eller rensades från skadligt innehåll med hjälp av Threat Extraction och togs emot av användaren.
Rekommendationer för att förbättra hotpreventionspolicyn
1. URL-filtrering
Det första som måste korrigeras i standardpolicyn för att öka säkerhetsnivån på klientdatorn är att byta URL-filtreringsbladet till Förhindra och ange lämpliga kategorier för blockering. I vårt fall valdes alla kategorier utom Allmän användning, eftersom de inkluderar de flesta av de resurser till vilka det är nödvändigt att begränsa åtkomsten till användare på arbetsplatsen. För sådana webbplatser är det också tillrådligt att ta bort möjligheten för användare att hoppa över varningsfönstret genom att avmarkera parametern "Tillåt användare att avvisa URL-filtreringsvarningen och komma åt webbplatsen".
2. Nedladdningsskydd
Det andra alternativet som är värt att uppmärksamma är möjligheten för användare att ladda ner filer som inte stöds av Check Point-emuleringen. Eftersom vi i det här avsnittet tittar på förbättringar av standardpolicyn för hotförebyggande ur ett säkerhetsperspektiv, skulle det bästa alternativet vara att blockera nedladdningen av filer som inte stöds.
3. Filskydd
Du måste också vara uppmärksam på inställningarna för att skydda filer - i synnerhet inställningarna för periodisk skanning och möjligheten för användaren att skjuta upp tvångsskanning. I det här fallet måste användarens tidsram beaktas, och ett bra alternativ ur säkerhets- och prestandasynpunkt är att konfigurera en påtvingad skanning att köras varje dag, med tiden vald slumpmässigt (från 00:00 till 8: 00), och användaren kan fördröja skanningen i högst en vecka.
4. Anti-exploatering
En betydande nackdel med standardpolicyn för hotförebyggande är att Anti-Exploit-bladet är inaktiverat. Det rekommenderas att aktivera det här bladet med åtgärden Förhindra för att skydda arbetsstationen från attacker med utnyttjande. Med denna korrigering slutförs CheckMe-omtestet framgångsrikt utan att upptäcka sårbarheter på användarens produktionsmaskin.
Slutsats
Låt oss sammanfatta: i den här artikeln bekantade vi oss med komponenterna i standardpolicyn för hotförebyggande, testade denna policy med olika metoder och verktyg och beskrev också rekommendationer för att förbättra inställningarna för standardpolicyn för att öka säkerhetsnivån på användarmaskinen . I nästa artikel i serien kommer vi att gå vidare till att studera dataskyddspolicyn och titta på de globala policyinställningarna.
. För att inte missa nästa publikationer om ämnet SandBlast Agent Management Platform, följ uppdateringarna på våra sociala nätverk (, , , , ).
Källa: will.com