Maligayang pagdating sa ikatlong artikulo sa serye tungkol sa bagong cloud-based na personal computer protection management console - Check Point SandBlast Agent Management Platform. Hayaan akong ipaalala sa iyo na sa nakilala namin ang Infinity Portal at lumikha ng cloud-based na serbisyo sa pamamahala ng ahente, Endpoint Management Service. Sa Pinag-aralan namin ang interface ng web management console at nag-install ng ahente na may karaniwang patakaran sa user machine. Ngayon ay titingnan natin ang mga nilalaman ng karaniwang patakaran sa seguridad ng Pag-iwas sa Banta at susubukan ang pagiging epektibo nito sa pagkontra sa mga sikat na pag-atake.
Karaniwang Patakaran sa Pag-iwas sa Banta: Paglalarawan
Ang figure sa itaas ay nagpapakita ng karaniwang panuntunan sa patakaran sa Pag-iwas sa Banta, na bilang default ay nalalapat sa buong organisasyon (lahat ng mga naka-install na ahente) at may kasamang tatlong lohikal na grupo ng mga bahagi ng proteksyon: Proteksyon sa Web at Mga File, Proteksyon sa Pag-uugali at Pagsusuri at Pagwawasto. Tingnan natin ang bawat isa sa mga pangkat.
Proteksyon sa Web at Mga File
Pag-filter ng URL
Nagbibigay-daan sa iyo ang Pag-filter ng URL na kontrolin ang access ng user sa mga mapagkukunan ng web, gamit ang paunang-natukoy na 5 kategorya ng mga site. Ang bawat isa sa 5 kategorya ay naglalaman ng ilang mas partikular na subcategory, na nagbibigay-daan sa iyong i-configure, halimbawa, ang pag-block ng access sa subcategory ng Mga Laro at pagpapahintulot ng access sa Instant Messaging subcategory, na kasama sa parehong kategorya ng Pagkawala ng Produktibo. Ang mga URL na nauugnay sa mga partikular na subcategory ay tinutukoy ng Check Point. Maaari mong suriin ang kategorya kung saan kabilang ang isang partikular na URL o humiling ng pag-override ng kategorya sa isang espesyal na mapagkukunan .
Ang aksyon ay maaaring itakda sa Pigilan, I-detect o I-off. Gayundin, kapag pinipili ang Detect action, awtomatikong idaragdag ang isang setting na nagbibigay-daan sa mga user na laktawan ang babala sa Pag-filter ng URL at pumunta sa mapagkukunan ng interes. Kung gagamitin ang Prevent, maaaring alisin ang setting na ito at hindi maa-access ng user ang ipinagbabawal na site. Ang isa pang maginhawang paraan upang kontrolin ang mga ipinagbabawal na mapagkukunan ay ang pag-set up ng Block List, kung saan maaari mong tukuyin ang mga domain, IP address, o mag-upload ng .csv file na may listahan ng mga domain na haharangan.
Sa karaniwang patakaran para sa Pag-filter ng URL, nakatakda ang pagkilos sa Detect at isang kategorya ang pipiliin - Seguridad, kung saan matutukoy ang mga kaganapan. Kasama sa kategoryang ito ang iba't ibang anonymizer, mga site na may antas ng Kritikal/Mataas/Katamtamang panganib, mga phishing site, spam at marami pang iba. Gayunpaman, maa-access pa rin ng mga user ang mapagkukunan salamat sa setting na "Pahintulutan ang user na i-dismiss ang alerto sa Pag-filter ng URL at i-access ang website."
I-download (web) Proteksyon
Ang Emulation & Extraction ay nagbibigay-daan sa iyong tularan ang mga na-download na file sa Check Point cloud sandbox at linisin ang mga dokumento sa mabilisang pag-alis, pag-aalis ng potensyal na nakakahamak na nilalaman, o pag-convert ng dokumento sa PDF. Mayroong tatlong mga mode ng pagpapatakbo:
- Pigilan β nagbibigay-daan sa iyong makakuha ng kopya ng nalinis na dokumento bago ang huling hatol ng emulation, o maghintay para makumpleto ang emulation at ma-download kaagad ang orihinal na file;
- Makita β nagsasagawa ng emulation sa background, nang hindi pinipigilan ang user na matanggap ang orihinal na file, anuman ang hatol;
- Patay β anumang mga file ay pinapayagang ma-download nang hindi sumasailalim sa pagtulad at paglilinis ng mga potensyal na nakakahamak na bahagi.
Posible ring pumili ng aksyon para sa mga file na hindi sinusuportahan ng Check Point emulation at mga tool sa paglilinis - maaari mong payagan o tanggihan ang pag-download ng lahat ng hindi sinusuportahang file.
Ang karaniwang patakaran para sa Proteksyon sa Pag-download ay nakatakda sa Prevent, na nagbibigay-daan sa iyong makakuha ng kopya ng orihinal na dokumento na na-clear sa potensyal na nakakahamak na nilalaman, pati na rin ang pagpapahintulot sa pag-download ng mga file na hindi sinusuportahan ng mga tool sa pagtulad at paglilinis.
Proteksyon ng Kredensyal
Pinoprotektahan ng component ng Credential Protection ang mga kredensyal ng user at may kasamang 2 bahagi: Zero Phishing at Password Protection. Zero Phishing pinoprotektahan ang mga user mula sa pag-access ng mga mapagkukunan ng phishing, at Proteksiyon ng Password Inaabisuhan ang user tungkol sa hindi pagtanggap sa paggamit ng mga kredensyal ng kumpanya sa labas ng protektadong domain. Maaaring itakda ang Zero Phishing sa Prevent, Detect o Off. Kapag itinakda ang pagkilos na Pigilan, posibleng payagan ang mga user na huwag pansinin ang babala tungkol sa isang potensyal na mapagkukunan ng phishing at makakuha ng access sa mapagkukunan, o upang huwag paganahin ang opsyong ito at i-block ang access nang tuluyan. Sa isang Detect action, palaging may opsyon ang mga user na huwag pansinin ang babala at i-access ang resource. Nagbibigay-daan sa iyo ang Proteksyon ng Password na pumili ng mga protektadong domain kung saan susuriin ang mga password para sa pagsunod, at isa sa tatlong pagkilos: Detect & Alert (nag-aabiso sa user), Detect o Off.
Ang karaniwang patakaran para sa Proteksyon ng Kredensyal ay upang pigilan ang anumang mga mapagkukunan ng phishing sa pagpigil sa mga user na ma-access ang isang potensyal na nakakahamak na site. Ang proteksyon laban sa paggamit ng mga corporate password ay pinagana rin, ngunit kung wala ang mga tinukoy na domain ay hindi gagana ang feature na ito.
Proteksyon ng mga File
Ang Files Protection ay may pananagutan sa pagprotekta sa mga file na nakaimbak sa machine ng user at may kasamang dalawang bahagi: Anti-Malware at Files Threat Emulation. Anti-malware ay isang tool na regular na ini-scan ang lahat ng user at system file gamit ang signature analysis. Sa mga setting ng bahaging ito, maaari mong i-configure ang mga setting para sa regular na pag-scan o random na oras ng pag-scan, ang panahon ng pag-update ng lagda, at ang kakayahan para sa mga user na kanselahin ang nakaiskedyul na pag-scan. Pagtulad sa Pagbabanta ng mga File ay nagbibigay-daan sa iyong tularan ang mga file na nakaimbak sa machine ng user sa Check Point cloud sandbox, gayunpaman, gumagana lang ang feature na ito ng seguridad sa Detect mode.
Kasama sa karaniwang patakaran para sa Files Protection ang proteksyon sa Anti-Malware at pagtuklas ng mga nakakahamak na file gamit ang Files Threat Emulation. Ang regular na pag-scan ay isinasagawa bawat buwan, at ang mga lagda sa user machine ay ina-update tuwing 4 na oras. Kasabay nito, ang mga user ay naka-configure upang makapagkansela ng nakaiskedyul na pag-scan, ngunit hindi lalampas sa 30 araw mula sa petsa ng huling matagumpay na pag-scan.
Proteksyon sa Pag-uugali
Anti-Bot, Behavioral Guard at Anti-Ransomware, Anti-Exploit
Kasama sa pangkat ng Proteksyon sa Pag-uugali ang tatlong bahagi: Anti-Bot, Behavioral Guard at Anti-Ransomware at Anti-Exploit. Anti-Bot nagbibigay-daan sa iyo na subaybayan at harangan ang mga koneksyon sa C&C gamit ang patuloy na ina-update na Check Point ThreatCloud database. Behavioral Guard at Anti-Ransomware patuloy na sinusubaybayan ang aktibidad (mga file, proseso, pakikipag-ugnayan sa network) sa makina ng gumagamit at pinapayagan kang maiwasan ang mga pag-atake ng ransomware sa mga unang yugto. Bilang karagdagan, pinapayagan ka ng elementong ito ng proteksyon na ibalik ang mga file na na-encrypt na ng malware. Ibinabalik ang mga file sa kanilang orihinal na mga direktoryo, o maaari mong tukuyin ang isang partikular na landas kung saan maiimbak ang lahat ng na-recover na file. Anti-Exploit nagbibigay-daan sa iyo na makakita ng mga zero-day attack. Sinusuportahan ng lahat ng bahagi ng Proteksyon sa Pag-uugali ang tatlong mga operating mode: Pigilan, I-detect at I-off.
Ang karaniwang patakaran para sa Proteksyon sa Pag-uugali ay nagbibigay ng Prevent para sa mga bahagi ng Anti-Bot at Behavioral Guard at Anti-Ransomware, kasama ang pagpapanumbalik ng mga naka-encrypt na file sa kanilang orihinal na mga direktoryo. Ang bahagi ng Anti-Exploit ay hindi pinagana at hindi ginagamit.
Pagsusuri at Remediation
Automated Attack Analysis (Forensics), Remediation at Tugon
Dalawang bahagi ng seguridad ang magagamit para sa pagsusuri at pagsisiyasat ng mga insidente ng seguridad: Automated Attack Analysis (Forensics) at Remediation & Response. Automated Attack Analysis (Forensics) nagbibigay-daan sa iyo na bumuo ng mga ulat sa mga resulta ng pagtataboy ng mga pag-atake na may detalyadong paglalarawan - hanggang sa pagsusuri sa proseso ng pagsasagawa ng malware sa makina ng user. Posible rin na gamitin ang feature na Threat Hunting, na ginagawang posible na maagap na maghanap ng mga anomalya at potensyal na malisyosong pag-uugali gamit ang mga paunang natukoy o nilikha na mga filter. Remediation at Tugon ay nagbibigay-daan sa iyo upang i-configure ang mga setting para sa pagbawi at quarantine ng mga file pagkatapos ng isang pag-atake: ang pakikipag-ugnayan ng user sa mga quarantine file ay kinokontrol, at posible ring mag-imbak ng mga naka-quarantine na file sa isang direktoryo na tinukoy ng administrator.
Kasama sa karaniwang patakaran sa Pagsusuri at Remediation ang proteksyon, na kinabibilangan ng mga awtomatikong pagkilos para sa pagbawi (pagtatapos sa mga proseso, pagpapanumbalik ng mga file, atbp.), at aktibo ang opsyong magpadala ng mga file sa quarantine, at ang mga user ay makakapag-delete lang ng mga file mula sa quarantine.
Karaniwang Patakaran sa Pag-iwas sa Banta: Pagsubok
Check Point CheckMe Endpoint
Ang pinakamabilis at pinakamadaling paraan upang suriin ang seguridad ng makina ng isang user laban sa mga pinakasikat na uri ng pag-atake ay ang pagsasagawa ng pagsubok gamit ang mapagkukunan. , na nagsasagawa ng ilang karaniwang pag-atake ng iba't ibang kategorya at nagbibigay-daan sa iyong makakuha ng ulat sa mga resulta ng pagsubok. Sa kasong ito, ginamit ang opsyon sa Endpoint testing, kung saan ang isang executable file ay dina-download at inilulunsad sa computer, at pagkatapos ay magsisimula ang proseso ng pag-verify.
Sa proseso ng pagsuri sa seguridad ng isang gumaganang computer, ang SandBlast Agent ay nagbibigay ng senyales tungkol sa mga natukoy at naipakitang pag-atake sa computer ng user, halimbawa: ang Anti-Bot blade ay nag-uulat ng pagtuklas ng isang impeksiyon, ang Anti-Malware blade ay nakakita at nagtanggal ng malisyosong file na CP_AM.exe, at na-install ng Threat Emulation blade na nakakahamak ang CP_ZD.exe file.
Batay sa mga resulta ng pagsubok gamit ang CheckMe Endpoint, mayroon kaming sumusunod na resulta: sa 6 na kategorya ng pag-atake, ang karaniwang patakaran sa Pag-iwas sa Banta ay nabigong makayanan ang isang kategorya lamang - Pagsasamantala ng Browser. Ito ay dahil hindi kasama sa karaniwang patakaran sa Pag-iwas sa Banta ang Anti-Exploit blade. Kapansin-pansin na nang walang naka-install na SandBlast Agent, naipasa lamang ng computer ng user ang pag-scan sa ilalim ng kategoryang Ransomware.
KnowBe4 RanSim
Upang subukan ang pagpapatakbo ng Anti-Ransomware blade, maaari kang gumamit ng libreng solusyon , na nagpapatakbo ng serye ng mga pagsubok sa makina ng user: 18 ransomware infection scenario at 1 cryptominer infection scenario. Kapansin-pansin na ang pagkakaroon ng maraming blades sa karaniwang patakaran (Threat Emulation, Anti-Malware, Behavioral Guard) na may aksyong Prevent ay hindi nagpapahintulot sa pagsubok na ito na tumakbo nang tama. Gayunpaman, kahit na may pinababang antas ng seguridad (Threat Emulation sa Off mode), ang Anti-Ransomware blade test ay nagpapakita ng matataas na resulta: 18 sa 19 na pagsubok ang matagumpay na naipasa (1 ang nabigong magsimula).
Mga nakakahamak na file at dokumento
Ito ay nagpapahiwatig na suriin ang pagpapatakbo ng iba't ibang blades ng karaniwang patakaran sa Pag-iwas sa Banta gamit ang mga nakakahamak na file ng mga sikat na format na na-download sa makina ng user. Kasama sa pagsubok na ito ang 66 na file sa PDF, DOC, DOCX, EXE, XLS, XLSX, CAB, RTF na mga format. Ipinakita ng mga resulta ng pagsubok na nagawang i-block ng SandBlast Agent ang 64 na nakakahamak na file sa 66. Ang mga nahawaang file ay tinanggal pagkatapos mag-download, o na-clear ng nakakahamak na nilalaman gamit ang Threat Extraction at natanggap ng user.
Mga rekomendasyon para sa pagpapabuti ng patakaran sa Pag-iwas sa Banta
1. Pag-filter ng URL
Ang unang bagay na kailangang itama sa karaniwang patakaran upang mapataas ang antas ng seguridad ng makina ng kliyente ay ang ilipat ang talim ng Pag-filter ng URL sa Pigilan at tukuyin ang mga naaangkop na kategorya para sa pagharang. Sa aming kaso, ang lahat ng mga kategorya ay pinili maliban sa Pangkalahatang Paggamit, dahil kasama sa mga ito ang karamihan sa mga mapagkukunan kung saan kinakailangan upang paghigpitan ang pag-access sa mga user sa lugar ng trabaho. Gayundin, para sa mga naturang site, ipinapayong alisin ang kakayahan ng mga user na laktawan ang window ng babala sa pamamagitan ng pag-alis ng check sa parameter na "Pahintulutan ang user na i-dismiss ang alerto sa Pag-filter ng URL at i-access ang website."
2.Proteksyon sa Pag-download
Ang pangalawang opsyon na dapat bigyang pansin ay ang kakayahan ng mga user na mag-download ng mga file na hindi suportado ng Check Point emulation. Dahil sa seksyong ito ay tinitingnan namin ang mga pagpapabuti sa karaniwang patakaran sa Pag-iwas sa Banta mula sa isang pananaw sa seguridad, ang pinakamagandang opsyon ay ang harangan ang pag-download ng mga hindi sinusuportahang file.
3. Proteksyon ng mga File
Kailangan mo ring bigyang pansin ang mga setting para sa pagprotekta sa mga file - lalo na, ang mga setting para sa pana-panahong pag-scan at ang kakayahan ng user na ipagpaliban ang sapilitang pag-scan. Sa kasong ito, dapat isaalang-alang ang time frame ng user, at ang isang magandang opsyon mula sa punto ng seguridad at performance ay ang pag-configure ng sapilitang pag-scan upang tumakbo araw-araw, na ang oras ay pinili nang random (mula 00:00 hanggang 8: 00), at maaaring maantala ng user ang pag-scan nang hanggang isang linggo.
4. Anti-Exploit
Ang isang makabuluhang disbentaha ng karaniwang patakaran sa Pag-iwas sa Banta ay ang Anti-Exploit blade ay hindi pinagana. Inirerekomenda na paganahin ang blade na ito gamit ang pagkilos na Pigilan upang protektahan ang workstation mula sa mga pag-atake gamit ang mga pagsasamantala. Sa pag-aayos na ito, matagumpay na nakumpleto ang pagsusuri muli ng CheckMe nang hindi nakakakita ng mga kahinaan sa makina ng produksyon ng user.
Konklusyon
Ibuod natin: sa artikulong ito nakilala namin ang mga bahagi ng karaniwang patakaran sa Pag-iwas sa Banta, sinubukan ang patakarang ito gamit ang iba't ibang pamamaraan at tool, at inilarawan din ang mga rekomendasyon para sa pagpapabuti ng mga setting ng karaniwang patakaran upang mapataas ang antas ng seguridad ng makina ng gumagamit . Sa susunod na artikulo sa serye, magpapatuloy tayo sa pag-aaral ng patakaran sa Proteksyon ng Data at titingnan ang Mga Setting ng Pandaigdigang Patakaran.
. Upang hindi makaligtaan ang mga susunod na publikasyon sa paksang SandBlast Agent Management Platform, sundin ang mga update sa aming mga social network (, , , , ).
Pinagmulan: www.habr.com