ยินดีต้อนรับสู่บทความที่สามในชุดเกี่ยวกับคอนโซลการจัดการการป้องกันคอมพิวเตอร์ส่วนบุคคลบนคลาวด์ใหม่ - Check Point SandBlast Agent Management Platform ฉันขอเตือนคุณว่าใน
นโยบายการป้องกันภัยคุกคามมาตรฐาน: คำอธิบาย
รูปด้านบนแสดงกฎนโยบายการป้องกันภัยคุกคามมาตรฐาน ซึ่งตามค่าเริ่มต้นจะนำไปใช้กับทั้งองค์กร (เอเจนต์ที่ติดตั้งทั้งหมด) และประกอบด้วยกลุ่มองค์ประกอบการป้องกันแบบลอจิคัลสามกลุ่ม: การป้องกันเว็บและไฟล์ การป้องกันพฤติกรรม และการวิเคราะห์และการแก้ไข มาดูแต่ละกลุ่มกันดีกว่า
การป้องกันเว็บและไฟล์
การกรอง URL
การกรอง URL ช่วยให้คุณสามารถควบคุมการเข้าถึงทรัพยากรบนเว็บของผู้ใช้โดยใช้ไซต์ 5 หมวดหมู่ที่กำหนดไว้ล่วงหน้า แต่ละหมวดหมู่จาก 5 หมวดหมู่ประกอบด้วยหมวดหมู่ย่อยที่เฉพาะเจาะจงมากขึ้นหลายหมวดหมู่ ซึ่งช่วยให้คุณกำหนดค่าได้ เช่น บล็อกการเข้าถึงหมวดหมู่ย่อยของเกม และอนุญาตให้เข้าถึงหมวดหมู่ย่อยการส่งข้อความโต้ตอบแบบทันที ซึ่งรวมอยู่ในหมวดหมู่การสูญเสียประสิทธิภาพการทำงานเดียวกัน URL ที่เกี่ยวข้องกับหมวดหมู่ย่อยเฉพาะเจาะจงถูกกำหนดโดย Check Point คุณสามารถตรวจสอบหมวดหมู่ที่มี URL เฉพาะอยู่หรือขอให้มีการแทนที่หมวดหมู่ในทรัพยากรพิเศษ
การดำเนินการสามารถตั้งค่าเป็น ป้องกัน ตรวจจับ หรือ ปิด นอกจากนี้ เมื่อเลือกการดำเนินการตรวจหา การตั้งค่าจะถูกเพิ่มโดยอัตโนมัติเพื่อให้ผู้ใช้สามารถข้ามคำเตือนการกรอง URL และไปยังแหล่งข้อมูลที่สนใจได้ หากใช้การป้องกัน การตั้งค่านี้จะถูกลบออก และผู้ใช้จะไม่สามารถเข้าถึงไซต์ต้องห้ามได้ อีกวิธีที่สะดวกในการควบคุมทรัพยากรต้องห้ามคือการตั้งค่ารายการบล็อก ซึ่งคุณสามารถระบุโดเมน ที่อยู่ IP หรืออัปโหลดไฟล์ .csv พร้อมด้วยรายการโดเมนที่จะบล็อก
ในนโยบายมาตรฐานสำหรับการกรอง URL การดำเนินการจะถูกตั้งค่าเป็น ตรวจหา และเลือกหมวดหมู่หนึ่งไว้ - ความปลอดภัย ซึ่งระบบจะตรวจพบเหตุการณ์ หมวดหมู่นี้ประกอบด้วยผู้ไม่ระบุชื่อ ไซต์ที่มีระดับความเสี่ยงวิกฤต/สูง/ปานกลาง ไซต์ฟิชชิ่ง สแปม และอื่นๆ อีกมากมาย อย่างไรก็ตาม ผู้ใช้จะยังสามารถเข้าถึงทรัพยากรได้ด้วยการตั้งค่า "อนุญาตให้ผู้ใช้ปิดการแจ้งเตือนการกรอง URL และเข้าถึงเว็บไซต์"
ดาวน์โหลด (เว็บ) การป้องกัน
Emulation & Extraction ช่วยให้คุณสามารถจำลองไฟล์ที่ดาวน์โหลดในแซนด์บ็อกซ์คลาวด์ Check Point และล้างเอกสารได้ทันที ลบเนื้อหาที่อาจเป็นอันตราย หรือแปลงเอกสารเป็น PDF มีสามโหมดการทำงาน:
- ป้องกัน — อนุญาตให้คุณรับสำเนาของเอกสารที่ล้างแล้วก่อนที่จะตัดสินการจำลองขั้นสุดท้าย หรือรอให้การจำลองเสร็จสิ้นและดาวน์โหลดไฟล์ต้นฉบับทันที
- ตรวจจับ — ดำเนินการจำลองในพื้นหลังโดยไม่ป้องกันผู้ใช้จากการรับไฟล์ต้นฉบับโดยไม่คำนึงถึงคำตัดสิน
- Off — อนุญาตให้ดาวน์โหลดไฟล์ใดๆ ได้โดยไม่ต้องผ่านการจำลองและล้างส่วนประกอบที่อาจเป็นอันตราย
นอกจากนี้ยังสามารถเลือกการดำเนินการสำหรับไฟล์ที่ไม่รองรับการจำลอง Check Point และเครื่องมือทำความสะอาด - คุณสามารถอนุญาตหรือปฏิเสธการดาวน์โหลดไฟล์ที่ไม่รองรับทั้งหมดได้
นโยบายมาตรฐานสำหรับการป้องกันการดาวน์โหลดได้รับการตั้งค่าเป็นป้องกัน ซึ่งช่วยให้คุณได้รับสำเนาของเอกสารต้นฉบับที่ได้รับการล้างเนื้อหาที่อาจเป็นอันตรายแล้ว พร้อมทั้งอนุญาตให้ดาวน์โหลดไฟล์ที่ไม่ได้รับการสนับสนุนโดยเครื่องมือจำลองและทำความสะอาด
การป้องกันข้อมูลรับรอง
ส่วนประกอบ Credential Protection ปกป้องข้อมูลประจำตัวของผู้ใช้และประกอบด้วย 2 ส่วนประกอบ: Zero Phishing และการป้องกันด้วยรหัสผ่าน ฟิชชิ่งเป็นศูนย์ ปกป้องผู้ใช้จากการเข้าถึงทรัพยากรฟิชชิ่งและ การป้องกันรหัสผ่าน แจ้งให้ผู้ใช้ทราบเกี่ยวกับความไม่สามารถยอมรับได้ของการใช้ข้อมูลประจำตัวขององค์กรนอกโดเมนที่ได้รับการป้องกัน Zero Phishing สามารถตั้งค่าเป็นป้องกัน ตรวจจับ หรือปิดได้ เมื่อตั้งค่าการดำเนินการป้องกัน ผู้ใช้สามารถเพิกเฉยต่อคำเตือนเกี่ยวกับทรัพยากรที่อาจฟิชชิ่งและเข้าถึงทรัพยากรได้ หรือปิดใช้งานตัวเลือกนี้และบล็อกการเข้าถึงตลอดไป ด้วยการดำเนินการตรวจจับ ผู้ใช้จะมีตัวเลือกในการเพิกเฉยต่อคำเตือนและเข้าถึงทรัพยากรได้เสมอ การป้องกันด้วยรหัสผ่านทำให้คุณสามารถเลือกโดเมนที่ได้รับการป้องกันซึ่งรหัสผ่านจะถูกตรวจสอบความสอดคล้อง และหนึ่งในสามการดำเนินการ: ตรวจจับและแจ้งเตือน (แจ้งเตือนผู้ใช้) ตรวจจับ หรือปิด
นโยบายมาตรฐานสำหรับการปกป้องข้อมูลรับรองคือป้องกันไม่ให้ทรัพยากรฟิชชิ่งป้องกันไม่ให้ผู้ใช้เข้าถึงไซต์ที่อาจเป็นอันตราย การป้องกันการใช้รหัสผ่านองค์กรยังเปิดใช้งานอยู่ แต่หากไม่มีโดเมนที่ระบุ คุณลักษณะนี้จะไม่ทำงาน
การป้องกันไฟล์
การป้องกันไฟล์มีหน้าที่ในการปกป้องไฟล์ที่จัดเก็บไว้ในเครื่องของผู้ใช้และประกอบด้วยสององค์ประกอบ: การป้องกันมัลแวร์และการจำลองภัยคุกคามไฟล์ ป้องกันมัลแวร์ เป็นเครื่องมือที่สแกนไฟล์ผู้ใช้และไฟล์ระบบทั้งหมดเป็นประจำโดยใช้การวิเคราะห์ลายเซ็น ในการตั้งค่าของส่วนประกอบนี้ คุณสามารถกำหนดการตั้งค่าสำหรับการสแกนปกติหรือการสแกนแบบสุ่ม ระยะเวลาการอัปเดตลายเซ็น และความสามารถสำหรับผู้ใช้ในการยกเลิกการสแกนตามกำหนดเวลา ไฟล์การจำลองภัยคุกคาม ช่วยให้คุณสามารถจำลองไฟล์ที่จัดเก็บไว้ในเครื่องของผู้ใช้ในแซนด์บ็อกซ์คลาวด์ Check Point ได้ อย่างไรก็ตาม คุณลักษณะความปลอดภัยนี้จะใช้งานได้ในโหมดตรวจจับเท่านั้น
นโยบายมาตรฐานสำหรับการป้องกันไฟล์ประกอบด้วยการป้องกันด้วยโปรแกรมป้องกันมัลแวร์และการตรวจหาไฟล์ที่เป็นอันตรายด้วยโปรแกรมจำลองภัยคุกคามไฟล์ การสแกนเป็นประจำจะดำเนินการทุกเดือน และลายเซ็นบนเครื่องของผู้ใช้จะได้รับการอัปเดตทุกๆ 4 ชั่วโมง ในเวลาเดียวกัน ผู้ใช้จะได้รับการกำหนดค่าให้สามารถยกเลิกการสแกนตามกำหนดเวลาได้ แต่ต้องไม่เกิน 30 วันนับจากวันที่สแกนสำเร็จครั้งล่าสุด
การคุ้มครองพฤติกรรม
Anti-Bot, Behavioral Guard และ Anti-Ransomware, Anti-Exploit
กลุ่มการป้องกันพฤติกรรมขององค์ประกอบการป้องกันประกอบด้วยสามองค์ประกอบ: Anti-Bot, Behavioral Guard & Anti-Ransomware และ Anti-Exploit anti-Bot ช่วยให้คุณสามารถตรวจสอบและบล็อกการเชื่อมต่อ C&C โดยใช้ฐานข้อมูล Check Point ThreatCloud ที่อัปเดตอยู่ตลอดเวลา การป้องกันพฤติกรรมและแอนตี้แรนซัมแวร์ ติดตามกิจกรรม (ไฟล์ กระบวนการ การโต้ตอบของเครือข่าย) บนเครื่องของผู้ใช้อย่างต่อเนื่อง และช่วยให้คุณสามารถป้องกันการโจมตีแรนซัมแวร์ในระยะเริ่มแรกได้ นอกจากนี้ องค์ประกอบการป้องกันนี้ยังช่วยให้คุณสามารถกู้คืนไฟล์ที่มัลแวร์เข้ารหัสไว้แล้วได้ ไฟล์จะถูกกู้คืนไปยังไดเร็กทอรีดั้งเดิม หรือคุณสามารถระบุเส้นทางเฉพาะที่จะจัดเก็บไฟล์ที่กู้คืนทั้งหมดได้ ป้องกันการใช้ประโยชน์ ช่วยให้คุณตรวจจับการโจมตีแบบซีโร่เดย์ ส่วนประกอบการป้องกันพฤติกรรมทั้งหมดรองรับโหมดการทำงานสามโหมด: ป้องกัน ตรวจจับ และปิด
นโยบายมาตรฐานสำหรับการป้องกันพฤติกรรมให้การป้องกันสำหรับส่วนประกอบ Anti-Bot และ Behavioral Guard และ Anti-Ransomware พร้อมการกู้คืนไฟล์ที่เข้ารหัสในไดเร็กทอรีดั้งเดิม ส่วนประกอบ Anti-Exploit ถูกปิดใช้งานและไม่ได้ใช้งาน
การวิเคราะห์และการแก้ไข
การวิเคราะห์การโจมตีอัตโนมัติ (นิติเวช) การแก้ไขและการตอบสนอง
มีองค์ประกอบความปลอดภัยสององค์ประกอบสำหรับการวิเคราะห์และตรวจสอบเหตุการณ์ด้านความปลอดภัย: การวิเคราะห์การโจมตีอัตโนมัติ (นิติเวช) และการแก้ไขและการตอบสนอง การวิเคราะห์การโจมตีอัตโนมัติ (นิติเวช) ช่วยให้คุณสร้างรายงานเกี่ยวกับผลลัพธ์ของการต่อต้านการโจมตีพร้อมคำอธิบายโดยละเอียด ไปจนถึงการวิเคราะห์กระบวนการดำเนินการมัลแวร์บนเครื่องของผู้ใช้ นอกจากนี้ยังสามารถใช้คุณสมบัติ Threat Hunting ซึ่งทำให้สามารถค้นหาความผิดปกติและพฤติกรรมที่อาจเป็นอันตรายได้ในเชิงรุกโดยใช้ตัวกรองที่กำหนดไว้ล่วงหน้าหรือที่สร้างขึ้น การแก้ไขและการตอบสนอง ช่วยให้คุณสามารถกำหนดการตั้งค่าสำหรับการกู้คืนและการกักกันไฟล์หลังการโจมตี: การโต้ตอบของผู้ใช้กับไฟล์กักกันได้รับการควบคุม และยังสามารถจัดเก็บไฟล์ที่ถูกกักกันไว้ในไดเร็กทอรีที่ระบุโดยผู้ดูแลระบบ
นโยบายการวิเคราะห์และการแก้ไขมาตรฐานประกอบด้วยการป้องกัน ซึ่งรวมถึงการดำเนินการอัตโนมัติสำหรับการกู้คืน (การสิ้นสุดกระบวนการ การกู้คืนไฟล์ ฯลฯ) และตัวเลือกในการส่งไฟล์ไปยังการกักกันนั้นเปิดใช้งานอยู่ และผู้ใช้สามารถลบได้เฉพาะไฟล์จากการกักกันเท่านั้น
นโยบายการป้องกันภัยคุกคามมาตรฐาน: การทดสอบ
จุดตรวจสอบ จุดสิ้นสุด CheckMe
วิธีที่เร็วและง่ายที่สุดในการตรวจสอบความปลอดภัยของเครื่องของผู้ใช้จากการโจมตีประเภทที่ได้รับความนิยมสูงสุดคือทำการทดสอบโดยใช้ทรัพยากร
ในกระบวนการตรวจสอบความปลอดภัยของคอมพิวเตอร์ที่ใช้งานได้ SandBlast Agent จะส่งสัญญาณเกี่ยวกับการระบุและสะท้อนการโจมตีบนคอมพิวเตอร์ของผู้ใช้ ตัวอย่างเช่น เบลด Anti-Bot รายงานการตรวจจับการติดไวรัส เบลด Anti-Malware ได้ตรวจพบและลบ ไฟล์ที่เป็นอันตราย CP_AM.exe และเบลดการจำลองภัยคุกคามได้ติดตั้งว่าไฟล์ CP_ZD.exe เป็นอันตราย
จากผลการทดสอบโดยใช้ CheckMe Endpoint เราได้ผลลัพธ์ดังต่อไปนี้: จากหมวดหมู่การโจมตี 6 หมวดหมู่ นโยบายการป้องกันภัยคุกคามมาตรฐานไม่สามารถรับมือกับหมวดหมู่เดียวเท่านั้น - Browser Exploit เนื่องจากนโยบายการป้องกันภัยคุกคามมาตรฐานไม่รวมเบลด Anti-Exploit เป็นที่น่าสังเกตว่าหากไม่มีการติดตั้ง SandBlast Agent คอมพิวเตอร์ของผู้ใช้จะผ่านการสแกนภายใต้หมวดหมู่ Ransomware เท่านั้น
KnowBe4 RanSim
หากต้องการทดสอบการทำงานของเบลด Anti-Ransomware คุณสามารถใช้วิธีแก้ปัญหาฟรีได้
ไฟล์และเอกสารที่เป็นอันตราย
เป็นการบ่งชี้ให้ตรวจสอบการทำงานของเบลดต่างๆ ของนโยบายการป้องกันภัยคุกคามมาตรฐาน โดยใช้ไฟล์ที่เป็นอันตรายในรูปแบบยอดนิยมที่ดาวน์โหลดลงในเครื่องของผู้ใช้ การทดสอบนี้เกี่ยวข้องกับไฟล์ 66 ไฟล์ในรูปแบบ PDF, DOC, DOCX, EXE, XLS, XLSX, CAB, RTF ผลการทดสอบพบว่า SandBlast Agent สามารถบล็อกไฟล์ที่เป็นอันตรายได้ 64 ไฟล์จากทั้งหมด 66 ไฟล์ ไฟล์ที่ติดไวรัสจะถูกลบหลังจากดาวน์โหลด หรือล้างเนื้อหาที่เป็นอันตรายโดยใช้ Threat Extraction และได้รับจากผู้ใช้
คำแนะนำในการปรับปรุงนโยบายการป้องกันภัยคุกคาม
1. การกรอง URL
สิ่งแรกที่ต้องแก้ไขในนโยบายมาตรฐานเพื่อเพิ่มระดับความปลอดภัยของเครื่องไคลเอนต์คือการสลับเบลดการกรอง URL เป็น ป้องกัน และระบุหมวดหมู่ที่เหมาะสมสำหรับการบล็อก ในกรณีของเรา หมวดหมู่ทั้งหมดจะถูกเลือกยกเว้นการใช้งานทั่วไป เนื่องจากมีทรัพยากรส่วนใหญ่ที่จำเป็นในการจำกัดการเข้าถึงของผู้ใช้ในที่ทำงาน นอกจากนี้ สำหรับไซต์ดังกล่าว ขอแนะนำให้ลบความสามารถสำหรับผู้ใช้ในการข้ามหน้าต่างคำเตือนโดยยกเลิกการเลือกพารามิเตอร์ “อนุญาตให้ผู้ใช้ปิดการแจ้งเตือนการกรอง URL และเข้าถึงเว็บไซต์”
2.ดาวน์โหลดการป้องกัน
ตัวเลือกที่สองที่ควรคำนึงถึงคือความสามารถสำหรับผู้ใช้ในการดาวน์โหลดไฟล์ที่ไม่รองรับการจำลอง Check Point เนื่องจากในส่วนนี้ เรากำลังดูการปรับปรุงนโยบายการป้องกันภัยคุกคามมาตรฐานจากมุมมองด้านความปลอดภัย ตัวเลือกที่ดีที่สุดคือการบล็อกการดาวน์โหลดไฟล์ที่ไม่รองรับ
3. การป้องกันไฟล์
คุณต้องใส่ใจกับการตั้งค่าสำหรับการปกป้องไฟล์โดยเฉพาะการตั้งค่าสำหรับการสแกนเป็นระยะและความสามารถสำหรับผู้ใช้ในการเลื่อนการสแกนแบบบังคับ ในกรณีนี้ ต้องคำนึงถึงกรอบเวลาของผู้ใช้ และตัวเลือกที่ดีจากมุมมองด้านความปลอดภัยและประสิทธิภาพคือการกำหนดค่าการสแกนแบบบังคับให้ทำงานทุกวัน โดยเลือกเวลาแบบสุ่ม (ตั้งแต่ 00:00 ถึง 8: 00) และผู้ใช้สามารถเลื่อนการสแกนออกไปได้สูงสุดหนึ่งสัปดาห์
4. การต่อต้านการเอารัดเอาเปรียบ
ข้อเสียเปรียบที่สำคัญของนโยบายการป้องกันภัยคุกคามมาตรฐานคือ Anti-Exploit blade ถูกปิดใช้งาน ขอแนะนำให้เปิดใช้งานเบลดนี้ด้วยการดำเนินการป้องกันเพื่อปกป้องเวิร์กสเตชันจากการโจมตีโดยใช้ช่องโหว่ ด้วยการแก้ไขนี้ การทดสอบซ้ำของ CheckMe จะเสร็จสมบูรณ์โดยไม่ตรวจพบช่องโหว่ในเครื่องที่ใช้งานจริงของผู้ใช้
ข้อสรุป
สรุป: ในบทความนี้เราได้ทำความคุ้นเคยกับส่วนประกอบของนโยบายการป้องกันภัยคุกคามมาตรฐาน ทดสอบนโยบายนี้โดยใช้วิธีการและเครื่องมือต่างๆ และยังอธิบายคำแนะนำในการปรับปรุงการตั้งค่านโยบายมาตรฐานเพื่อเพิ่มระดับความปลอดภัยของเครื่องผู้ใช้ . ในบทความถัดไปในชุดนี้ เราจะไปศึกษานโยบายการปกป้องข้อมูลและดูที่การตั้งค่านโยบายสากล
ที่มา: will.com