Ласкаво просимо на третю статтю циклу про нову хмарну консоль управління захистом персональних комп'ютерів - Check Point SandBlast Agent Management Platform. Нагадаю, що в ми познайомилися з порталом Infinity Portal і створили хмарний сервіс керування агентами Endpoint Management Service. У ми вивчили інтерфейс веб-консолі управління та встановили агента зі стандартною політикою на користувальницьку машину. Сьогодні ми розглянемо вміст стандартної політики безпеки Threat Prevention та протестуємо її ефективність протидії популярним атакам.
Стандартна політика Threat Prevention: опис
На малюнку вище представлено стандартне правило політики Threat Prevention, яке за умовчанням поширюється на всю організацію (всіх встановлених агентів) і включає три логічні групи компонентів захисту: Web & Files Protection, Behavioral Protection і Analysis & Remediation. Розглянемо докладніше кожну групу.
Web & Files Protection
URL-адреса фільтрації
URL Filtering дозволяє контролювати доступ користувачів до веб-ресурсів, для чого використовуються попередні 5 категорій сайтів. Кожна з 5 категорій містить декілька більш специфічних підкатегорій, що дозволяє налаштувати, наприклад, блокування доступу до підкатегорії Games та дозволити доступ до підкатегорії Instant Messaging, що входять до однієї категорії Productivity Loss. URL-адреси, що стосуються конкретних підкатегорій, визначаються компанією Check Point. Перевірити категорію, до якої належить конкретна URL-адреса, або запросити перевизначення категорії можна на спеціальному ресурсі .
Як дія можна налаштувати Prevent, Detect або Off. Також при виборі дії Detect автоматично додається налаштування, що дозволяє користувачам пропустити попередження URL Filtering і перейти до ресурсу. У випадку дії Prevent це налаштування можна прибрати, і користувач не зможе отримати доступ до забороненого сайту. Також зручним способом контролю заборонених ресурсів є налаштування Block List, де можна вказувати домени, IP-адреси або завантажувати файл формату .csv зі списком доменів для блокування.
У стандартній політиці для URL Filtering встановлено дію Detect та вибрано одну категорію — Security, для якої здійснюватиметься детектування подій. Ця категорія включає різні анонімайзери, сайти з рівнем ризику Critical/High/Medium, фішингові сайти, спам і багато іншого. При цьому користувачі все одно зможуть отримати доступ до ресурсу завдяки налаштуванню "Allow user to dismiss the URL Filtering alert and access the website".
Download (web) Protection
Emulation & Extraction дозволяє проводити емуляцію файлів, що завантажуються в хмарній пісочниці Check Point і здійснювати очищення документів «на льоту», видаляючи потенційно шкідливий вміст, або конвертуючи документ у PDF. Існує три режими роботи:
- Запобігати — дозволяє отримати копію очищеного документа до остаточного вердикту емуляції або дочекатися завершення емуляції та завантажити одразу оригінальний файл;
- Виявлення — здійснює емуляцію у фоновому режимі, не перешкоджаючи користувачу отримання оригінального файлу, незалежно від вердикту;
- від - будь-які файли дозволені для завантаження без проходження емуляції та очищення потенційно шкідливих компонентів.
Також можна вибрати дію для файлів, які не підтримуються засобами емуляції та очищення Check Point — можна дозволити або заборонити скачування всіх непідтримуваних файлів.
У стандартній політиці для Download Protection встановлено дію Prevent з можливістю отримати очищену від потенційно шкідливого вмісту копію оригінального документа, а також завантаження файлів, які не підтримуються засобами емуляції та очищення.
Credential Protection
Компонент Credential Protection захищає облікові дані користувачів і включає 2 складові: Zero Phishing і Password Protection. Zero Phishing захищає користувачів від доступу до фішингових ресурсів, а Захист паролем повідомляє користувача про неприпустимість використання корпоративних облікових даних за межами домену, що захищається. Zero Phishing може бути налаштований на Prevent, Detect або Off. При встановленій дії Prevent є можливість дозволити користувачам пропустити попередження про потенційний фішинговий ресурс та отримати доступ до ресурсу, або заборонити цю можливість та блокувати доступ завжди. При дії Detect у користувачів завжди є можливість пропустити попередження та отримати доступ до ресурсу. Password Protection дозволяє вибрати домени, що захищаються, для яких буде здійснюватися перевірка паролів на відповідність, і одна з трьох дій: Detect & Alert (повідомляє користувача), Detect або Off.
Стандартна політика для Credential Protection передбачає Prevent для будь-яких фішингових ресурсів з неможливістю користувачам отримати доступ до потенційно шкідливого сайту. Також увімкнено захист від використання корпоративних паролів, проте без зазначених доменів ця функція не працюватиме.
Files Protection
Files Protection відповідає за захист файлів, які зберігаються на користувальницькій машині, і включає два компоненти: Anti-Malware і Files Threat Emulation. Anti-Malware є засобом, що регулярно проводить сканування всіх користувацьких та системних файлів за допомогою сигнатурного аналізу. У налаштуваннях цього компонента можна налаштувати параметри регулярного сканування або випадкового часу сканування, період оновлення сигнатур, а також можливість користувачам скасовувати заплановане сканування. Files Threat Emulation дозволяє здійснювати емуляцію файлів, що зберігаються на користувальницькій машині, в хмарній пісочниці Check Point, проте ця функція безпеки працює тільки в режимі Detect.
У стандартній політиці для Files Protection включений захист за допомогою Anti-Malware та виявлення шкідливих файлів за допомогою Files Threat Emulation. Регулярне сканування здійснюється щомісяця, а сигнатури на машині оновлюються кожні 4 години. При цьому настроєна можливість користувачам скасувати заплановане сканування, але не пізніше ніж через 30 днів з моменту останнього успішного сканування.
Behavioral Protection
Anti-Bot, Behavioral Guard & Anti-Ransomware, Anti-Exploit
Група компонентів захисту Behavioral Protection включає три складові: Anti-Bot, Behavioral Guard & Anti-Ransomware і Anti-Exploit. Антибот дозволяє відстежувати та блокувати з'єднання C&C за допомогою постійно оновлюваної бази Check Point ThreatCloud. Behavioral Guard & Anti-Ransomware постійно відстежує активність (файли, процеси, мережеві взаємодії) на машині користувача і дозволяє запобігти атакі шифрувальників на початкових етапах. Крім цього, цей елемент захисту дозволяє відновлювати файли, які встигли зашифруватися зловредом. Файли відновлюються в їх вихідних директоріях, або можна вказати специфічний шлях, де зберігатимуться всі відновлені файли. Анти-експлойт дозволяє виявляти атаки нульового дня. Для всіх компонентів Behavioral Protection підтримуються три режими роботи: Prevent, Detect та Off.
Стандартна політика для Behavioral Protection передбачає Prevent для компонентів Anti-Bot та Behavioral Guard & Anti-Ransomware з відновленням зашифрованих файлів у їх вихідних директоріях. Компонент Anti-Exploit вимкнено та не використовується.
Analysis & Remediation
Automated Attack Analysis (Forensics), Remediation & Response
Для аналізу та розслідувань інцидентів безпеки доступні два компоненти безпеки: Automated Attack Analysis (Forensics) та Remediation & Response. Automated Attack Analysis (Forensics) дозволяє генерувати звіти за результатами відображення атак з докладним описом - аж до розбору процесу виконання шкідливості на машині користувача. Також є можливість використовувати функцію Threat Hunting, яка дає можливість здійснювати проактивний пошук аномалій та потенційно шкідливої поведінки за допомогою встановлених або створюваних фільтрів. Remediation & Response дозволяє налаштовувати параметри відновлення та карантину файлів після проведення атаки: регулюється взаємодія користувачів з карантинними файлами, а також є можливість зберігати файли на карантині у зазначеній адміністратором директорії.
У стандартній політиці Analysis & Remediation включений захист, до якого входять автоматичні дії для відновлення (завершення процесів, відновлення файлів тощо), а також активна опція надсилання файлів до карантину, причому користувачі можуть лише видаляти файли з карантину.
Стандартна політика Threat Prevention: тестування
Check Point CheckMe Endpoint
Найшвидший і найпростіший спосіб перевірити захищеність користувальницької машини від найбільш популярних типів атак - провести тест за допомогою ресурсу , який здійснює ряд типових атак різних категорій та дозволяє отримати звіт за підсумками тестування. В даному випадку використовувався варіант тестування Endpoint, при якому на комп'ютер скачується і запускається файл, що виконується, і потім починається процес перевірки.
У процесі перевірки захищеності робочого комп'ютера SandBlast Agent сигналізує про ідентифіковані та відбиті атаки на комп'ютері користувача, наприклад: блейд Anti-Bot повідомляє про виявлення зараження, блейд Anti-Malware виявив і видалив шкідливий файл CP_AM.exe, а блейд Threat Emulation за результатами , що файл CP_ZD.exe є шкідливим.
За підсумками проведення тестування за допомогою CheckMe Endpoint маємо наступний результат: із 6 категорій атак стандартна політика Threat Prevention не впоралася лише з однією категорією – Browser Exploit. Це пояснюється тим, що стандартна політика Threat Prevention не включає блейд Anti-Exploit. Варто зазначити, що без встановленого SandBlast Agent комп'ютер пройшов перевірку тільки за категорією Ransomware.
KnowBe4 RanSim
Для тестування роботи блейду Anti-Ransomware можна використовувати безкоштовне рішення , яке запускає ряд тестів на машині: 18 сценаріїв зараження шифрувальниками і 1 сценарій зараження криптомайнером. Варто зазначити, що наявність у стандартній політиці багатьох блейдів (Threat Emulation, Anti-Malware, Behavioral Guard) з дією Prevent не дозволяє коректно запустити цей тест. Проте, навіть зі зниженим рівнем безпеки (Threat Emulation у режимі Off), тест блейду Anti-Ransomware показує високі результати: 18 із 19 тестів успішно пройдено (1 не запустився).
Шкідливі файли та документи
Показовою є перевірка роботи різних блейдів стандартної політики Threat Prevention за допомогою шкідливих файлів популярних форматів, що завантажуються на машину. У цьому тесті брали участь 66 файлів форматів PDF, DOC, DOCX, EXE, XLS, XLSX, CAB, RTF. Результати тесту показали, що SandBlast Agent зміг заблокувати 64 шкідливих файлів з 66. Заражені файли були видалені після завантаження, або очищені від шкідливого вмісту за допомогою Threat Extraction і отримані користувачем.
Рекомендації щодо покращення політики Threat Prevention
1. URL Filtering
Перше, що необхідно виправити в стандартній політиці для підвищення рівня захищеності клієнтської машини, - перевести блейд URL Filtering в Prevent і вказати відповідні категорії для блокування. У нашому випадку були обрані всі категорії, крім General Use, оскільки вони включають більшість ресурсів, до яких необхідно обмежити доступ користувачам на робочому місці. Також для подібних сайтів бажано усунути можливість користувачам пропускати попереджувальне вікно, знявши галочку з параметра "Allow user to dismiss the URL Filtering alert and access the website".
2. Download Protection
Другим параметром, який варто звернути увагу, є можливість користувачам завантажувати файли, які не підтримуються емуляцією Check Point. Оскільки в цьому розділі ми розглядаємо покращення стандартної політики Threat Prevention з точки зору безпеки, то найкращим варіантом буде заборона завантаження непідтримуваних файлів.
3. Files Protection
Також необхідно звернути увагу на налаштування захисту файлів — зокрема на параметри періодичного сканування і можливості користувачеві відкласти примусове сканування. В даному випадку необхідно враховувати часові рамки роботи користувача, і хорошим варіантом з точки зору безпеки та продуктивності є налаштування виконання примусового сканування щодня, причому час вибирається випадковим чином (з 00:00 до 8:00), і користувач може відкласти сканування максимум на один тиждень.
4. Anti-Exploit
Значний недолік стандартної політики Threat Prevention – вимкнений блейд Anti-Exploit. Рекомендується увімкнути цей блейд із дією Prevent, щоб захистити робочу станцію від атак з використанням експлойтів. З цим виправленням повторний тест CheckMe успішно завершується без виявлення вразливих місць на робочій машині користувача.
Висновок
Підіб'ємо підсумки: у цій статті ми познайомилися з компонентами стандартної політики Threat Prevention, протестували цю політику за допомогою різних методів та засобів, а також описали рекомендації щодо покращення налаштувань стандартної політики для підвищення рівня захищеності користувальницької машини. У наступній статті циклу ми перейдемо до вивчення політики Data Protection та розглянемо налаштування Global Policy Settings.
. Щоб не пропустити наступні публікації на тему SandBlast Agent Management Platform — стежте за оновленнями в наших соціальних мережах (, , , , ).
Джерело: habr.com