Yeni bulut tabanlı kişisel bilgisayar koruma yönetim konsolu Check Point SandBlast Agent Yönetim Platformu hakkındaki serinin üçüncü makalesine hoş geldiniz. şunu hatırlatmama izin verin Infinity Portal ile tanıştık ve bulut tabanlı bir temsilci yönetim hizmeti olan Uç Nokta Yönetim Hizmeti'ni oluşturduk. İçinde Web yönetim konsolu arayüzünü inceledik ve kullanıcı makinesine standart politikaya sahip bir aracı kurduk. Bugün standart Tehdit Önleme güvenlik politikasının içeriğine bakacağız ve popüler saldırılara karşı koymadaki etkinliğini test edeceğiz.
Standart Tehdit Önleme Politikası: Açıklama
Yukarıdaki şekilde, varsayılan olarak tüm kuruluşa (kurulu tüm aracılar) uygulanan ve üç mantıksal koruma bileşeni grubunu içeren standart bir Tehdit Önleme ilkesi kuralı gösterilmektedir: Web ve Dosya Koruması, Davranışsal Koruma ve Analiz ve Düzeltme. Her bir gruba daha yakından bakalım.
Web ve Dosya Koruması
URL Filtreleme
URL Filtreleme, önceden tanımlanmış 5 site kategorisini kullanarak web kaynaklarına kullanıcı erişimini kontrol etmenize olanak tanır. 5 kategorinin her biri, örneğin Oyunlar alt kategorisine erişimin engellenmesi ve aynı Verimlilik Kaybı kategorisine dahil olan Anlık Mesajlaşma alt kategorisine erişime izin verilmesi gibi yapılandırmanıza olanak tanıyan birkaç spesifik alt kategori içerir. Belirli alt kategorilerle ilişkili URL'ler Check Point tarafından belirlenir. Belirli bir URL'nin ait olduğu kategoriyi kontrol edebilir veya özel bir kaynakta kategorinin geçersiz kılınmasını talep edebilirsiniz. .
Eylem Önleme, Algılama veya Kapalı olarak ayarlanabilir. Ayrıca Algıla eylemi seçildiğinde, kullanıcıların URL Filtreleme uyarısını atlayıp ilgilendikleri kaynağa gitmesine olanak tanıyan bir ayar otomatik olarak eklenir. Engelleme kullanılırsa bu ayar kaldırılabilir ve kullanıcı yasaklı siteye erişemeyecektir. Yasaklanmış kaynakları kontrol etmenin bir başka kullanışlı yolu da, etki alanlarını, IP adreslerini belirtebileceğiniz veya engellenecek etki alanlarının listesini içeren bir .csv dosyası yükleyebileceğiniz bir Engelleme Listesi oluşturmaktır.
URL Filtreleme için standart politikada, eylem Algıla olarak ayarlanmıştır ve olayların algılanacağı bir kategori (Güvenlik) seçilir. Bu kategori çeşitli anonimleştiricileri, Kritik/Yüksek/Orta risk düzeyine sahip siteleri, kimlik avı sitelerini, spam'ı ve çok daha fazlasını içerir. Ancak kullanıcılar, "Kullanıcının URL Filtreleme uyarısını kapatmasına ve web sitesine erişmesine izin ver" ayarı sayesinde kaynağa erişmeye devam edebilecektir.
İndirme (web) Koruması
Emülasyon ve Çıkarma, indirilen dosyaları Check Point bulut sanal alanında taklit etmenize ve belgeleri anında temizlemenize, potansiyel olarak kötü amaçlı içeriği kaldırmanıza veya belgeyi PDF'ye dönüştürmenize olanak tanır. Üç çalışma modu vardır:
- Önlemek — nihai öykünme kararından önce temizlenmiş belgenin bir kopyasını almanıza veya öykünmenin tamamlanmasını bekleyip orijinal dosyayı hemen indirmenize olanak tanır;
- belirlemek - karara bakılmaksızın kullanıcının orijinal dosyayı almasını engellemeden arka planda emülasyon gerçekleştirir;
- kapalı — olası kötü amaçlı bileşenlerin emülasyonuna ve temizliğine tabi tutulmadan tüm dosyaların indirilmesine izin verilir.
Check Point emülasyonu ve temizleme araçları tarafından desteklenmeyen dosyalar için de bir eylem seçmek mümkündür; desteklenmeyen tüm dosyaların indirilmesine izin verebilir veya reddedebilirsiniz.
İndirme Koruması için standart politika Önleme olarak ayarlanmıştır; bu, orijinal belgenin potansiyel olarak kötü amaçlı içerikten arındırılmış bir kopyasını almanızın yanı sıra öykünme ve temizleme araçları tarafından desteklenmeyen dosyaların indirilmesine de olanak tanır.
Kimlik Bilgisi Koruması
Kimlik Bilgisi Koruması bileşeni, kullanıcı kimlik bilgilerini korur ve 2 bileşen içerir: Sıfır Kimlik Avı ve Parola Koruması. Sıfır Kimlik Avı Kullanıcıları kimlik avı kaynaklarına erişimden korur ve Şifre Koruması kullanıcıyı, kurumsal kimlik bilgilerinin korunan etki alanı dışında kullanılmasının kabul edilemezliği konusunda bilgilendirir. Sıfır Kimlik Avı Önleme, Algılama veya Kapalı olarak ayarlanabilir. Önleme eylemi ayarlandığında, kullanıcıların olası bir kimlik avı kaynağı hakkındaki uyarıyı göz ardı etmesine ve kaynağa erişim kazanmasına izin vermek veya bu seçeneği devre dışı bırakıp erişimi sonsuza kadar engellemek mümkündür. Tespit eylemiyle kullanıcılar her zaman uyarıyı yok sayma ve kaynağa erişme seçeneğine sahiptir. Parola Koruması, parolaların uyumluluk açısından kontrol edileceği korumalı etki alanlarını ve üç eylemden birini seçmenize olanak tanır: Algıla ve Uyar (kullanıcıyı bilgilendirir), Algıla veya Kapat.
Kimlik Bilgisi Korumasının standart politikası, kimlik avı kaynaklarının kullanıcıların potansiyel olarak kötü amaçlı bir siteye erişmesini engellemesini önlemektir. Kurumsal şifrelerin kullanımına karşı koruma da etkindir ancak belirtilen alanlar olmadan bu özellik çalışmaz.
Dosya Koruması
Dosya Koruması, kullanıcının makinesinde depolanan dosyaların korunmasından sorumludur ve iki bileşen içerir: Kötü Amaçlı Yazılımdan Koruma ve Dosya Tehdidi Emülasyonu. Anti-Malware imza analizini kullanarak tüm kullanıcı ve sistem dosyalarını düzenli olarak tarayan bir araçtır. Bu bileşenin ayarlarında, düzenli tarama veya rastgele tarama süreleri, imza güncelleme süresi ve kullanıcıların planlanmış taramayı iptal edebilmesi için ayarları yapılandırabilirsiniz. Dosya Tehdit Emülasyonu Check Point bulut sanal alanında kullanıcının makinesinde depolanan dosyaları taklit etmenize olanak tanır, ancak bu güvenlik özelliği yalnızca Algılama modunda çalışır.
Dosya Koruması için standart politika, Kötü Amaçlı Yazılımdan Koruma ile korumayı ve Dosya Tehdidi Emülasyonu ile kötü amaçlı dosyaların algılanmasını içerir. Her ay düzenli tarama yapılmakta ve kullanıcı makinesindeki imzalar 4 saatte bir güncellenmektedir. Aynı zamanda kullanıcılar, planlanmış bir taramayı, son başarılı tarama tarihinden itibaren en geç 30 gün içinde iptal edebilecek şekilde yapılandırılmıştır.
Davranışsal Koruma
Anti-Bot, Davranış Koruması ve Fidye Yazılımına Karşı Koruma, İstismar Önleme
Davranışsal Koruma koruma bileşenleri grubu üç bileşenden oluşur: Anti-Bot, Davranışsal Koruma ve Fidye Yazılımına Karşı Koruma ve İstismar Önleme. Anti-Bot Sürekli güncellenen Check Point ThreatCloud veritabanını kullanarak C&C bağlantılarını izlemenize ve engellemenize olanak tanır. Davranış Koruması ve Fidye Yazılımlarına Karşı Koruma Kullanıcı makinesindeki etkinlikleri (dosyalar, işlemler, ağ etkileşimleri) sürekli olarak izler ve fidye yazılımı saldırılarını ilk aşamalarda önlemenizi sağlar. Ayrıca bu koruma öğesi, kötü amaçlı yazılım tarafından zaten şifrelenmiş olan dosyaları geri yüklemenize olanak tanır. Dosyalar orijinal dizinlerine geri yüklenir veya kurtarılan tüm dosyaların depolanacağı belirli bir yol belirleyebilirsiniz. İstismar Karşıtı Sıfır gün saldırılarını tespit etmenizi sağlar. Tüm Davranış Koruması bileşenleri üç çalışma modunu destekler: Önleme, Algılama ve Kapatma.
Davranışsal Korumaya yönelik standart politika, Şifrelenmiş dosyaların orijinal dizinlerine geri yüklenmesiyle birlikte Anti-Bot ve Davranışsal Koruma ve Anti-Ransomware bileşenlerini Önleme sağlar. Anti-Exploit bileşeni devre dışı bırakılır ve kullanılmaz.
Analiz ve Düzeltme
Otomatik Saldırı Analizi (Adli Tıp), İyileştirme ve Müdahale
Güvenlik olaylarının analizi ve araştırılması için iki güvenlik bileşeni mevcuttur: Otomatik Saldırı Analizi (Adli Bilim) ve İyileştirme ve Yanıt. Otomatik Saldırı Analizi (Adli Bilimler) kötü amaçlı yazılımın kullanıcının makinesinde çalıştırılma sürecini analiz etmeye kadar ayrıntılı bir açıklama içeren saldırıları engellemenin sonuçları hakkında raporlar oluşturmanıza olanak tanır. Önceden tanımlanmış veya oluşturulmuş filtreler kullanılarak anormallikleri ve potansiyel olarak kötü niyetli davranışları proaktif olarak aramayı mümkün kılan Tehdit Avcılığı özelliğini kullanmak da mümkündür. İyileştirme ve Yanıt Bir saldırı sonrasında dosyaların kurtarılması ve karantinaya alınmasına ilişkin ayarları yapılandırmanıza olanak tanır: Karantina dosyalarıyla kullanıcı etkileşimi düzenlenir ve ayrıca karantinaya alınan dosyaların yönetici tarafından belirtilen bir dizinde saklanması da mümkündür.
Standart Analiz ve Düzeltme politikası, kurtarma için otomatik eylemleri (işlemleri sonlandırma, dosyaları geri yükleme vb.) içeren korumayı içerir ve dosyaları karantinaya gönderme seçeneği etkindir ve kullanıcılar yalnızca karantinadaki dosyaları silebilir.
Standart Tehdit Önleme Politikası: Test Etme
Kontrol Noktası CheckMe Uç Noktası
Bir kullanıcının makinesinin güvenliğini en popüler saldırı türlerine karşı kontrol etmenin en hızlı ve en kolay yolu, kaynağı kullanarak bir test yapmaktır. Çeşitli kategorilerde bir dizi tipik saldırı gerçekleştiren ve test sonuçları hakkında bir rapor almanızı sağlayan. Bu durumda, yürütülebilir bir dosyanın indirilip bilgisayara başlatıldığı ve ardından doğrulama sürecinin başladığı Uç Nokta testi seçeneği kullanıldı.
Çalışan bir bilgisayarın güvenliğini kontrol etme sürecinde SandBlast Agent, kullanıcının bilgisayarına yönelik tanımlanmış ve yansıtılmış saldırılar hakkında sinyal verir, örneğin: Anti-Bot blade bir enfeksiyonun tespit edildiğini bildirir, Kötü Amaçlı Yazılımdan Koruma blade'i tespit etti ve sildi. kötü amaçlı dosya CP_AM.exe ve Tehdit Emülasyon dikey penceresi CP_ZD.exe dosyasının kötü amaçlı olduğunu yükledi.
CheckMe Endpoint kullanılarak yapılan testlerin sonuçlarına göre şu sonuca ulaştık: 6 saldırı kategorisinden standart Tehdit Önleme politikası yalnızca bir kategoriyle - Tarayıcı İstismarıyla - başa çıkamadı. Bunun nedeni, standart Tehdit Önleme politikasının İstismar Önleme dikey penceresini içermemesidir. SandBlast Agent kurulmadan kullanıcının bilgisayarının taramayı yalnızca Fidye Yazılımı kategorisinde geçtiğini belirtmekte fayda var.
KnowBe4 RanSim
Anti-Ransomware blade'in çalışmasını test etmek için ücretsiz bir çözüm kullanabilirsiniz. , kullanıcının makinesinde bir dizi test çalıştırır: 18 fidye yazılımı bulaşma senaryosu ve 1 kripto madenci bulaşma senaryosu. Standart politikada Önleme eylemiyle birlikte çok sayıda blade'in (Tehdit Emülasyonu, Kötü Amaçlı Yazılımdan Koruma, Davranışsal Koruma) bulunmasının bu testin doğru şekilde çalışmasına izin vermediğini belirtmekte fayda var. Ancak, azaltılmış güvenlik düzeyiyle bile (Kapalı modda Tehdit Emülasyonu), Fidye Yazılımından Koruma blade testi yüksek sonuçlar gösteriyor: 18 testten 19'i başarıyla geçti (1'i başlatılamadı).
Kötü amaçlı dosyalar ve belgeler
Kullanıcının makinesine indirilen popüler formatlardaki kötü amaçlı dosyaları kullanarak standart Tehdit Önleme politikasının farklı kanatlarının çalışmasını kontrol etmek gösterge niteliğindedir. Bu test PDF, DOC, DOCX, EXE, XLS, XLSX, CAB, RTF formatlarında 66 dosyayı içeriyordu. Test sonuçları, SandBlast Agent'ın 64 kötü amaçlı dosyadan 66'ünü engelleyebildiğini gösterdi. Etkilenen dosyalar indirildikten sonra silindi veya Tehdit Çıkarma kullanılarak kötü amaçlı içerikten temizlendi ve kullanıcı tarafından alındı.
Tehdit Önleme politikasının iyileştirilmesine yönelik öneriler
1. URL Filtreleme
İstemci makinenin güvenlik düzeyini artırmak için standart politikada düzeltilmesi gereken ilk şey, URL Filtreleme dikey penceresini Önleme olarak değiştirmek ve engelleme için uygun kategorileri belirtmektir. Bizim durumumuzda, genel kullanım dışındaki tüm kategoriler, işyerindeki kullanıcılara erişimin kısıtlanması gereken kaynakların çoğunu içerdikleri için seçilmiştir. Ayrıca bu tür siteler için, "Kullanıcının URL Filtreleme uyarısını kapatmasına ve web sitesine erişmesine izin ver" parametresinin işaretini kaldırarak kullanıcıların uyarı penceresini atlama yeteneğinin kaldırılması önerilir.
2.İndirme Koruması
Dikkat edilmesi gereken ikinci seçenek, kullanıcıların Check Point emülasyonu tarafından desteklenmeyen dosyaları indirme yeteneğidir. Bu bölümde standart Tehdit Önleme politikasındaki iyileştirmelere güvenlik açısından baktığımız için en iyi seçenek, desteklenmeyen dosyaların indirilmesini engellemek olacaktır.
3. Dosya Koruması
Ayrıca dosyaları koruma ayarlarına da dikkat etmeniz gerekir; özellikle periyodik tarama ayarlarına ve kullanıcının zorunlu taramayı erteleme yeteneğine. Bu durumda, kullanıcının zaman çerçevesi dikkate alınmalıdır ve güvenlik ve performans açısından iyi bir seçenek, zorunlu taramayı her gün çalışacak şekilde ve rastgele seçilen zamanla (00:00'dan 8:00'e kadar) yapılandırmaktır. XNUMX) ve kullanıcı taramayı en fazla bir hafta geciktirebilir.
4. İstismarın Önlenmesi
Standart Tehdit Önleme politikasının önemli bir dezavantajı, İstismar Önleme blade'inin devre dışı olmasıdır. İş istasyonunu açıklardan yararlanan saldırılara karşı korumak için bu blade'in Önleme eylemiyle etkinleştirilmesi önerilir. Bu düzeltmeyle CheckMe yeniden testi, kullanıcının üretim makinesindeki güvenlik açıklarını tespit etmeden başarıyla tamamlanıyor.
Sonuç
Özetleyelim: Bu makalede standart Tehdit Önleme politikasının bileşenlerini tanıdık, bu politikayı çeşitli yöntemler ve araçlar kullanarak test ettik ve ayrıca kullanıcı makinesinin güvenlik düzeyini artırmak için standart politikanın ayarlarını iyileştirmeye yönelik önerileri anlattık. . Serinin bir sonraki makalesinde Veri Koruma politikasını incelemeye geçip Global Politika Ayarlarına bakacağız.
. SandBlast Ajan Yönetim Platformu konusuna ilişkin bundan sonraki yayınları kaçırmamak için sosyal ağlarımızdan güncellemeleri takip edin (, , , , ).
Kaynak: habr.com