Karibu kwenye makala ya tatu katika mfululizo kuhusu dashibodi mpya ya usimamizi wa ulinzi wa kompyuta ya kibinafsi kulingana na wingu - Jukwaa la Kusimamia Wakala wa Point Point SandBlast. Ngoja nikukumbushe hilo ndani tulifahamiana na Infinity Portal na kuunda huduma ya usimamizi wa wakala inayotegemea wingu, Huduma ya Usimamizi wa Endpoint. Katika Tulichunguza kiolesura cha kiweko cha usimamizi wa wavuti na kusakinisha wakala aliye na sera ya kawaida kwenye mashine ya mtumiaji. Leo tutaangalia maudhui ya sera ya kawaida ya usalama ya Kuzuia Tishio na kupima ufanisi wake katika kukabiliana na mashambulizi maarufu.
Sera ya Kawaida ya Kuzuia Tishio: Maelezo
Kielelezo kilicho hapo juu kinaonyesha kanuni ya kawaida ya sera ya Kuzuia Tishio, ambayo kwa chaguomsingi inatumika kwa shirika zima (mawakala wote waliosakinishwa) na inajumuisha vikundi vitatu vya kimantiki vya vipengele vya ulinzi: Ulinzi wa Wavuti na Faili, Ulinzi wa Tabia na Uchanganuzi na Urekebishaji. Wacha tuangalie kwa karibu kila moja ya vikundi.
Ulinzi wa Wavuti na Faili
Uchujaji wa URL
Uchujaji wa URL hukuruhusu kudhibiti ufikiaji wa mtumiaji kwa rasilimali za wavuti, kwa kutumia kategoria 5 za tovuti zilizofafanuliwa awali. Kila moja ya kategoria 5 ina vijamii kadhaa mahususi zaidi, vinavyokuruhusu kusanidi, kwa mfano, kuzuia ufikiaji wa kategoria ndogo ya Michezo na kuruhusu ufikiaji wa kitengo cha Ujumbe wa Papo Hapo, ambacho kimejumuishwa katika kitengo sawa cha Upotezaji wa Tija. URL zinazohusishwa na kategoria maalum hubainishwa na Check Point. Unaweza kuangalia kategoria ambayo URL mahususi ni mali yake au uombe kategoria kubatilisha rasilimali maalum .
Kitendo kinaweza kuwekwa kuwa Zuia, Gundua au Zima. Pia, wakati wa kuchagua kitendo cha Gundua, mipangilio huongezwa kiotomatiki ambayo inaruhusu watumiaji kuruka onyo la Kuchuja URL na kwenda kwenye nyenzo ya kuvutia. Ikiwa Zuia itatumika, mpangilio huu unaweza kuondolewa na mtumiaji hataweza kufikia tovuti iliyopigwa marufuku. Njia nyingine rahisi ya kudhibiti rasilimali zilizopigwa marufuku ni kusanidi Orodha ya Kuzuia, ambayo unaweza kubainisha vikoa, anwani za IP, au kupakia faili ya .csv yenye orodha ya vikoa vya kuzuia.
Katika sera ya kawaida ya Uchujaji wa URL, kitendo kimewekwa kuwa Tambua na aina moja imechaguliwa - Usalama, ambayo matukio yatatambuliwa. Aina hii inajumuisha watu mbalimbali wasiotambulisha majina, tovuti zilizo na kiwango cha hatari Muhimu/Juu/Kati, tovuti za kuhadaa ili kupata maelezo ya kibinafsi, barua taka na mengine mengi. Hata hivyo, watumiaji bado wataweza kufikia shukrani za nyenzo kwa "Ruhusu mtumiaji kuondoa arifa ya Kuchuja URL na kufikia mipangilio ya tovuti".
Pakua (wavuti) Ulinzi
Uigaji na Uchimbaji hukuruhusu kuiga faili zilizopakuliwa kwenye kisanduku cha mchanga cha Wingu cha Check Point na kusafisha hati popote pale, kuondoa maudhui yanayoweza kuwa hasidi, au kubadilisha hati kuwa PDF. Kuna njia tatu za uendeshaji:
- Kuzuia - hukuruhusu kupata nakala ya hati iliyosafishwa kabla ya uamuzi wa mwisho wa kuiga, au subiri uigaji ukamilike na kupakua faili asili mara moja;
- Tambua - hufanya uigaji kwa nyuma, bila kumzuia mtumiaji kupokea faili asili, bila kujali uamuzi;
- Off - faili zozote zinaruhusiwa kupakuliwa bila kuigwa na kusafishwa kwa vipengele vinavyoweza kuwa na nia mbaya.
Pia inawezekana kuchagua kitendo kwa faili ambazo hazitumiwi na uigaji wa Uhakika na zana za kusafisha - unaweza kuruhusu au kukataa upakuaji wa faili zote ambazo hazitumiki.
Sera ya kawaida ya Ulinzi wa Upakuaji imewekwa ili Kuzuia, ambayo hukuruhusu kupata nakala ya hati asili ambayo imeondolewa maudhui yanayoweza kuwa ni hasidi, na pia kuruhusu upakuaji wa faili ambazo hazitumiwi na mwigo na zana za kusafisha.
Ulinzi wa Kitambulisho
Kipengele cha Ulinzi wa Kitambulisho hulinda kitambulisho cha mtumiaji na kinajumuisha vipengele 2: Kuhadaa Sifuri na Ulinzi wa Nenosiri. Sifuri Hadaa hulinda watumiaji dhidi ya kufikia rasilimali za hadaa, na password Ulinzi humjulisha mtumiaji kuhusu kutokubalika kwa kutumia vitambulisho vya shirika nje ya kikoa kilicholindwa. Kuhadaa Sifuri kunaweza kuwekwa kuwa Zuia, Tambua au Zima. Kitendo cha Kuzuia kinapowekwa, inawezekana kuruhusu watumiaji kupuuza onyo kuhusu nyenzo inayoweza kuhadaa ili kupata maelezo ya kibinafsi na kupata ufikiaji wa rasilimali hiyo, au kuzima chaguo hili na kuzuia ufikiaji milele. Kwa kitendo cha Kugundua, watumiaji daima wana chaguo la kupuuza onyo na kufikia rasilimali. Ulinzi wa Nenosiri hukuruhusu kuchagua vikoa vilivyolindwa ambavyo manenosiri yake yataangaliwa ili kuzingatiwa, na moja ya vitendo vitatu: Tambua na Arifa (kumjulisha mtumiaji), Tambua au Zima.
Sera ya kawaida ya Ulinzi wa Kitambulisho ni kuzuia nyenzo zozote za hadaa kuzuia watumiaji kufikia tovuti inayoweza kuwa mbaya. Ulinzi dhidi ya matumizi ya manenosiri ya shirika pia umewezeshwa, lakini bila vikoa vilivyobainishwa kipengele hiki hakitafanya kazi.
Ulinzi wa faili
Ulinzi wa Faili una jukumu la kulinda faili zilizohifadhiwa kwenye mashine ya mtumiaji na inajumuisha vipengele viwili: Kuzuia Programu hasidi na Uigaji wa Tishio la Faili. Anti-Malware ni zana ambayo huchanganua mara kwa mara faili zote za watumiaji na mfumo kwa kutumia uchanganuzi wa saini. Katika mipangilio ya kipengele hiki, unaweza kusanidi mipangilio ya utambazaji wa mara kwa mara au nyakati za kuchanganua bila mpangilio, kipindi cha kusasisha sahihi, na uwezo wa watumiaji kughairi utambazaji ulioratibiwa. Uigaji wa Faili Zinatishia hukuruhusu kuiga faili zilizohifadhiwa kwenye mashine ya mtumiaji kwenye sanduku la mchanga la wingu la Check Point, hata hivyo, kipengele hiki cha usalama hufanya kazi tu katika hali ya Tambua.
Sera ya kawaida ya Ulinzi wa Faili inajumuisha ulinzi kwa Kuzuia Programu hasidi na ugunduzi wa faili hasidi kwa Uigaji wa Tishio la Faili. Uchanganuzi wa mara kwa mara unafanywa kila mwezi, na saini kwenye mashine ya mtumiaji husasishwa kila baada ya saa 4. Wakati huo huo, watumiaji wamesanidiwa kuweza kughairi skanani iliyoratibiwa, lakini si zaidi ya siku 30 kutoka tarehe ya skanisho iliyofaulu mwisho.
Ulinzi wa Tabia
Anti-Bot, Walinzi wa Tabia & Anti-Ransomware, Anti-Exploit
Kikundi cha Ulinzi wa Tabia cha vipengele vya ulinzi kinajumuisha vipengele vitatu: Anti-Bot, Ulinzi wa Tabia & Anti-Ransomware na Anti-Exploit. Kupambana na Bot hukuruhusu kufuatilia na kuzuia miunganisho ya C&C kwa kutumia hifadhidata ya Check Point ThreatCloud iliyosasishwa kila mara. Walinzi wa Tabia & Anti-Ransomware hufuatilia kila wakati shughuli (faili, michakato, mwingiliano wa mtandao) kwenye mashine ya mtumiaji na hukuruhusu kuzuia shambulio la ukombozi katika hatua za awali. Kwa kuongeza, kipengele hiki cha ulinzi kinakuwezesha kurejesha faili ambazo tayari zimesimbwa na programu hasidi. Faili hurejeshwa kwa saraka zao asili, au unaweza kubainisha njia mahususi ambapo faili zote zilizorejeshwa zitahifadhiwa. Kupambana na Unyonyaji hukuruhusu kugundua mashambulizi ya siku sifuri. Vipengele vyote vya Ulinzi wa Tabia vinaunga mkono njia tatu za uendeshaji: Zuia, Tambua na Zima.
Sera ya kawaida ya Ulinzi wa Tabia hutoa Kinga kwa Kinga-Bot na Vipengee vya Ulinzi wa Tabia na Vipengee vya Anti-Ransomware, pamoja na urejeshaji wa faili zilizosimbwa kwa njia fiche katika saraka zao asili. Kipengele cha Anti-Exploit kimezimwa na hakitumiki.
Uchambuzi & Urekebishaji
Uchambuzi wa Mashambulizi ya Kiotomatiki (Forensics), Remediation & Response
Vipengele viwili vya usalama vinapatikana kwa uchambuzi na uchunguzi wa matukio ya usalama: Uchambuzi wa Mashambulizi ya Kiotomatiki (Uchunguzi wa Uchunguzi) na Urekebishaji na Majibu. Uchambuzi wa Mashambulizi ya Kiotomatiki (Forensics) hukuruhusu kutoa ripoti kuhusu matokeo ya kuzuia mashambulizi kwa maelezo ya kina - hadi kuchanganua mchakato wa kutekeleza programu hasidi kwenye mashine ya mtumiaji. Pia inawezekana kutumia kipengele cha Uwindaji wa Tishio, kinachowezesha kutafuta hitilafu na tabia inayoweza kuwa mbaya kwa kutumia vichujio vilivyobainishwa mapema au vilivyoundwa. Urekebishaji & Majibu hukuruhusu kusanidi mipangilio ya urejeshaji na karantini ya faili baada ya shambulio: mwingiliano wa mtumiaji na faili za karantini umewekwa, na inawezekana pia kuhifadhi faili zilizowekwa karantini kwenye saraka iliyoainishwa na msimamizi.
Sera ya kawaida ya Uchanganuzi na Urekebishaji inajumuisha ulinzi, unaojumuisha hatua za kiotomatiki za urejeshaji (kumaliza michakato, kurejesha faili, n.k.), na chaguo la kutuma faili kwa karantini linatumika, na watumiaji wanaweza tu kufuta faili kutoka kwa karantini.
Sera ya Kawaida ya Kuzuia Tishio: Majaribio
Check Point CheckMe Endpoint
Njia ya haraka na rahisi zaidi ya kuangalia usalama wa mashine ya mtumiaji dhidi ya aina maarufu za mashambulizi ni kufanya jaribio kwa kutumia rasilimali. , ambayo hufanya idadi ya mashambulizi ya kawaida ya makundi mbalimbali na inakuwezesha kupata ripoti juu ya matokeo ya kupima. Katika kesi hii, chaguo la upimaji wa Endpoint lilitumiwa, ambalo faili inayoweza kutekelezwa inapakuliwa na kuzinduliwa kwenye kompyuta, na kisha mchakato wa kuthibitisha huanza.
Katika mchakato wa kuangalia usalama wa kompyuta inayofanya kazi, Wakala wa SandBlast anaashiria kuhusu mashambulizi yaliyotambuliwa na yaliyoakisiwa kwenye kompyuta ya mtumiaji, kwa mfano: blade ya Anti-Bot inaripoti kugunduliwa kwa maambukizi, blade ya Kupambana na Malware imegundua na kufuta faili hasidi CP_AM.exe, na blade ya Uigaji wa Tishio imesakinisha kuwa faili ya CP_ZD.exe ni hasidi.
Kulingana na matokeo ya majaribio kwa kutumia CheckMe Endpoint, tuna matokeo yafuatayo: kati ya kategoria 6 za mashambulizi, sera ya kawaida ya Kuzuia Tishio imeshindwa kukabiliana na aina moja pekee - Browser Exploit. Hii ni kwa sababu sera ya kawaida ya Kuzuia Tishio haijumuishi blade ya Anti-Exploit. Inafaa kumbuka kuwa bila Wakala wa SandBlast kusakinishwa, kompyuta ya mtumiaji ilipitisha skanisho chini ya kitengo cha Ransomware.
KnowBe4 RanSim
Ili kupima uendeshaji wa blade ya Anti-Ransomware, unaweza kutumia suluhisho la bure , ambayo huendesha mfululizo wa majaribio kwenye mashine ya mtumiaji: matukio 18 ya maambukizi ya ransomware na 1 tukio la maambukizi ya cryptominer. Inafaa kumbuka kuwa uwepo wa vile vile vingi katika sera ya kawaida (Uigaji wa Tishio, Anti-Malware, Walinzi wa Tabia) na Kitendo cha Kuzuia hairuhusu jaribio hili kufanya kazi kwa usahihi. Hata hivyo, hata kwa kiwango cha usalama kilichopunguzwa (Uigaji wa Tishio katika hali ya Off), mtihani wa blade ya Anti-Ransomware unaonyesha matokeo ya juu: majaribio 18 kati ya 19 yamefaulu (1 imeshindwa kuanza).
Faili na hati mbaya
Ni kiashirio kuangalia utendakazi wa blade tofauti za sera ya kawaida ya Kuzuia Tishio kwa kutumia faili hasidi za umbizo maarufu zilizopakuliwa kwa mashine ya mtumiaji. Jaribio hili lilihusisha faili 66 katika muundo wa PDF, DOC, DOCX, EXE, XLS, XLSX, CAB, RTF. Matokeo ya jaribio yalionyesha kuwa SandBlast Agent aliweza kuzuia faili hasidi 64 kati ya 66. Faili zilizoambukizwa zilifutwa baada ya kupakua, au kuondolewa kwa maudhui hasidi kwa kutumia Threat Extraction na kupokelewa na mtumiaji.
Mapendekezo ya kuboresha sera ya Kuzuia Vitisho
1. Uchujaji wa URL
Jambo la kwanza linalohitaji kurekebishwa katika sera ya kawaida ili kuongeza kiwango cha usalama cha mashine ya mteja ni kubadili blade ya Kuchuja URL ili Kuzuia na kubainisha kategoria zinazofaa za kuzuia. Kwa upande wetu, kategoria zote zilichaguliwa isipokuwa Matumizi ya Jumla, kwani zinajumuisha rasilimali nyingi ambazo ni muhimu kuzuia ufikiaji wa watumiaji mahali pa kazi. Pia, kwa tovuti kama hizo, inashauriwa kuondoa uwezo wa watumiaji kuruka dirisha la onyo kwa kubatilisha uteuzi wa kigezo cha "Ruhusu mtumiaji kuondoa arifa ya Kuchuja URL na kufikia tovuti".
2.Pakua Ulinzi
Chaguo la pili linalostahili kuzingatiwa ni uwezo wa watumiaji kupakua faili ambazo hazihimiliwi na uigaji wa Check Point. Kwa kuwa katika sehemu hii tunaangalia uboreshaji wa sera ya kawaida ya Kuzuia Tishio kutoka kwa mtazamo wa usalama, chaguo bora itakuwa kuzuia upakuaji wa faili zisizotumika.
3. Ulinzi wa faili
Pia unahitaji kuzingatia mipangilio ya kulinda faili - haswa, mipangilio ya skanning mara kwa mara na uwezo wa mtumiaji kuahirisha skanning ya kulazimishwa. Katika kesi hii, muda wa mtumiaji lazima uzingatiwe, na chaguo nzuri kutoka kwa mtazamo wa usalama na utendaji ni kusanidi skanning ya kulazimishwa kufanya kazi kila siku, na wakati uliochaguliwa kwa nasibu (kutoka 00:00 hadi 8:00). XNUMX), na mtumiaji anaweza kuchelewesha uchanganuzi kwa muda usiozidi wiki moja.
4. Kupinga Unyonyaji
Upungufu mkubwa wa sera ya kawaida ya Kuzuia Tishio ni kwamba blade ya Kupambana na Unyonyaji imezimwa. Inapendekezwa kuwasha blade hii na hatua ya Zuia ili kulinda kituo cha kazi kutokana na mashambulizi kwa kutumia ushujaa. Kwa marekebisho haya, jaribio la kuangalia upya la CheckMe hukamilika kwa mafanikio bila kutambua udhaifu kwenye mashine ya utayarishaji ya mtumiaji.
Hitimisho
Wacha tufanye muhtasari: katika nakala hii tulifahamiana na vipengele vya sera ya kawaida ya Kuzuia Tishio, tulijaribu sera hii kwa kutumia mbinu na zana mbalimbali, na pia tulielezea mapendekezo ya kuboresha mipangilio ya sera ya kawaida ili kuongeza kiwango cha usalama wa mashine ya mtumiaji. . Katika makala inayofuata katika mfululizo huu, tutaendelea na kujifunza sera ya Ulinzi wa Data na kuangalia Mipangilio ya Sera ya Kimataifa.
. Ili usikose machapisho yanayofuata kwenye mada Jukwaa la Usimamizi wa Wakala wa SandBlast, fuata sasisho kwenye mitandao yetu ya kijamii (, , , , ).
Chanzo: mapenzi.com