نئے کلاؤڈ بیسڈ پرسنل کمپیوٹر پروٹیکشن مینجمنٹ کنسول کے بارے میں سیریز کے تیسرے مضمون میں خوش آمدید - چیک پوائنٹ سینڈ بلاسٹ ایجنٹ مینجمنٹ پلیٹ فارم۔ میں آپ کو یاد دلاتا ہوں کہ میں ہم نے انفینٹی پورٹل سے واقفیت حاصل کی اور کلاؤڈ پر مبنی ایجنٹ مینجمنٹ سروس، اینڈ پوائنٹ مینجمنٹ سروس بنائی۔ میں ہم نے ویب مینجمنٹ کنسول انٹرفیس کا مطالعہ کیا اور صارف مشین پر معیاری پالیسی کے ساتھ ایک ایجنٹ انسٹال کیا۔ آج ہم معیاری خطرے سے بچاؤ کی حفاظتی پالیسی کے مندرجات کو دیکھیں گے اور مقبول حملوں کا مقابلہ کرنے میں اس کی تاثیر کو جانچیں گے۔
معیاری خطرے سے بچاؤ کی پالیسی: تفصیل
مندرجہ بالا اعداد و شمار خطرے سے بچاؤ کی ایک معیاری پالیسی کو ظاہر کرتا ہے، جو پہلے سے طے شدہ طور پر پوری تنظیم (تمام نصب شدہ ایجنٹوں) پر لاگو ہوتا ہے اور اس میں تحفظ کے اجزاء کے تین منطقی گروپ شامل ہیں: ویب اور فائلز پروٹیکشن، برتاؤ سے متعلق تحفظ اور تجزیہ اور تدارک۔ آئیے ہر ایک گروپ کو قریب سے دیکھیں۔
ویب اور فائلوں کا تحفظ
یو آر ایل فلٹرنگ
یو آر ایل فلٹرنگ آپ کو ویب وسائل تک صارف کی رسائی کو کنٹرول کرنے کی اجازت دیتی ہے، پہلے سے طے شدہ 5 کیٹیگریز سائٹس کا استعمال کرتے ہوئے۔ 5 زمروں میں سے ہر ایک میں کئی مزید مخصوص ذیلی زمرہ جات شامل ہیں، جو آپ کو ترتیب دینے کی اجازت دیتے ہیں، مثال کے طور پر، گیمز کے ذیلی زمرہ تک رسائی کو مسدود کرنا اور فوری پیغام رسانی کے ذیلی زمرے تک رسائی کی اجازت دینا، جو اسی پیداواری نقصان کے زمرے میں شامل ہیں۔ مخصوص ذیلی زمرہ جات سے وابستہ URLs کا تعین چیک پوائنٹ کے ذریعے کیا جاتا ہے۔ آپ اس زمرے کی جانچ کر سکتے ہیں جس سے ایک مخصوص URL تعلق رکھتا ہے یا کسی خاص وسائل پر زمرہ اوور رائیڈ کی درخواست کر سکتے ہیں۔ .
کارروائی کو روکنے، پتہ لگانے یا آف پر سیٹ کیا جا سکتا ہے۔ اس کے علاوہ، ڈیٹیکٹ ایکشن کو منتخب کرتے وقت، ایک سیٹنگ خود بخود شامل ہو جاتی ہے جو صارفین کو یو آر ایل فلٹرنگ وارننگ کو چھوڑنے اور دلچسپی کے وسائل پر جانے کی اجازت دیتی ہے۔ اگر Prevent استعمال کیا جاتا ہے، تو اس ترتیب کو ہٹایا جا سکتا ہے اور صارف ممنوعہ سائٹ تک رسائی حاصل نہیں کر سکے گا۔ ممنوعہ وسائل کو کنٹرول کرنے کا ایک اور آسان طریقہ یہ ہے کہ بلاک لسٹ ترتیب دی جائے، جس میں آپ ڈومینز، IP پتے بتا سکتے ہیں، یا بلاک کرنے کے لیے ڈومینز کی فہرست کے ساتھ .csv فائل اپ لوڈ کر سکتے ہیں۔
یو آر ایل فلٹرنگ کی معیاری پالیسی میں، کارروائی کا پتہ لگانے پر سیٹ کیا گیا ہے اور ایک زمرہ منتخب کیا گیا ہے - سیکیورٹی، جس کے لیے واقعات کا پتہ لگایا جائے گا۔ اس زمرے میں مختلف نام ظاہر کرنے والے، اہم/اعلی/درمیانے خطرے کی سطح والی سائٹس، فشنگ سائٹس، سپیم اور بہت کچھ شامل ہے۔ تاہم، "صارف کو URL فلٹرنگ الرٹ کو مسترد کرنے اور ویب سائٹ تک رسائی کی اجازت دیں" کی ترتیب کی بدولت صارفین اب بھی وسائل تک رسائی حاصل کر سکیں گے۔
ڈاؤن لوڈ (ویب) تحفظ
ایمولیشن اور ایکسٹریکشن آپ کو چیک پوائنٹ کلاؤڈ سینڈ باکس میں ڈاؤن لوڈ کی گئی فائلوں کی تقلید کرنے اور فلائی پر دستاویزات کو صاف کرنے، ممکنہ طور پر نقصان دہ مواد کو ہٹانے، یا دستاویز کو پی ڈی ایف میں تبدیل کرنے کی اجازت دیتا ہے۔ تین آپریٹنگ موڈ ہیں:
- کی روک تھام - آپ کو ایمولیشن کے حتمی فیصلے سے پہلے صاف شدہ دستاویز کی ایک کاپی حاصل کرنے کی اجازت دیتا ہے، یا ایمولیشن کے مکمل ہونے کا انتظار کرنے اور اصل فائل کو فوری طور پر ڈاؤن لوڈ کرنے کی اجازت دیتا ہے۔
- پتہ لگائیں - فیصلے سے قطع نظر صارف کو اصل فائل وصول کرنے سے روکے بغیر، پس منظر میں ایمولیشن کرتا ہے۔
- بند - کسی بھی فائل کو ممکنہ طور پر نقصان دہ اجزاء کی ایمولیشن اور صفائی کے بغیر ڈاؤن لوڈ کرنے کی اجازت ہے۔
ان فائلوں کے لیے ایک کارروائی کا انتخاب کرنا بھی ممکن ہے جو چیک پوائنٹ ایمولیشن اور کلیننگ ٹولز کے ذریعے تعاون یافتہ نہیں ہے - آپ تمام غیر تعاون یافتہ فائلوں کو ڈاؤن لوڈ کرنے کی اجازت یا انکار کر سکتے ہیں۔
ڈاؤن لوڈ پروٹیکشن کے لیے معیاری پالیسی کو روکنا پر سیٹ کیا گیا ہے، جو آپ کو اصل دستاویز کی ایک کاپی حاصل کرنے کی اجازت دیتی ہے جو ممکنہ طور پر بدنیتی پر مبنی مواد سے پاک ہو گئی ہے، اور ساتھ ہی ایسی فائلوں کو ڈاؤن لوڈ کرنے کی اجازت دیتی ہے جو ایمولیشن اور کلیننگ ٹولز سے تعاون یافتہ نہیں ہیں۔
اسناد کا تحفظ
اسناد کے تحفظ کا جزو صارف کی اسناد کی حفاظت کرتا ہے اور اس میں 2 اجزاء شامل ہیں: زیرو فشنگ اور پاس ورڈ کا تحفظ۔ زیرو فشنگ صارفین کو فشنگ وسائل تک رسائی سے بچاتا ہے، اور پاس ورڈ کے تحفظ صارف کو محفوظ ڈومین سے باہر کارپوریٹ اسناد کے استعمال کی ناقابل قبولیت کے بارے میں مطلع کرتا ہے۔ زیرو فشنگ کو روکنے، پتہ لگانے یا آف پر سیٹ کیا جا سکتا ہے۔ جب روک تھام کی کارروائی سیٹ کی جاتی ہے، تو یہ ممکن ہے کہ صارفین کو ممکنہ فشنگ وسیلہ کے بارے میں انتباہ کو نظر انداز کرنے اور وسائل تک رسائی حاصل کرنے، یا اس اختیار کو غیر فعال کرنے اور رسائی کو ہمیشہ کے لیے بلاک کرنے کی اجازت دی جائے۔ ڈیٹیکٹ ایکشن کے ساتھ، صارفین کے پاس ہمیشہ انتباہ کو نظر انداز کرنے اور وسائل تک رسائی کا اختیار ہوتا ہے۔ پاس ورڈ پروٹیکشن آپ کو ایسے محفوظ ڈومینز کو منتخب کرنے کی اجازت دیتا ہے جن کے لیے پاس ورڈز کی تعمیل کے لیے جانچ پڑتال کی جائے گی، اور تین میں سے ایک ایکشن: ڈیٹیکٹ اینڈ الرٹ (صارف کو مطلع کرنا)، ڈیٹیکٹ یا آف۔
اسناد کے تحفظ کی معیاری پالیسی کسی بھی فشنگ وسائل کو صارفین کو ممکنہ طور پر نقصان دہ سائٹ تک رسائی سے روکنے سے روکنا ہے۔ کارپوریٹ پاس ورڈز کے استعمال کے خلاف تحفظ بھی فعال ہے، لیکن مخصوص ڈومینز کے بغیر یہ فیچر کام نہیں کرے گا۔
فائلوں کا تحفظ
فائلز پروٹیکشن صارف کی مشین پر محفوظ فائلوں کی حفاظت کے لیے ذمہ دار ہے اور اس میں دو اجزاء شامل ہیں: اینٹی میلویئر اور فائلز تھریٹ ایمولیشن۔ اینٹی میلویئر ایک ایسا ٹول ہے جو دستخطی تجزیہ کا استعمال کرتے ہوئے تمام صارف اور سسٹم فائلوں کو باقاعدگی سے اسکین کرتا ہے۔ اس جزو کی ترتیبات میں، آپ باقاعدہ اسکیننگ یا بے ترتیب اسکیننگ کے اوقات، دستخطی اپ ڈیٹ کی مدت، اور صارفین کے لیے طے شدہ اسکیننگ کو منسوخ کرنے کی اہلیت کے لیے ترتیبات کو ترتیب دے سکتے ہیں۔ فائلز تھریٹ ایمولیشن آپ کو چیک پوائنٹ کلاؤڈ سینڈ باکس میں صارف کی مشین پر ذخیرہ شدہ فائلوں کی تقلید کرنے کی اجازت دیتا ہے، تاہم، یہ سیکیورٹی فیچر صرف ڈیٹیکٹ موڈ میں کام کرتا ہے۔
فائلز پروٹیکشن کی معیاری پالیسی میں اینٹی میلویئر کے ساتھ تحفظ اور فائلز تھریٹ ایمولیشن کے ساتھ نقصان دہ فائلوں کا پتہ لگانا شامل ہے۔ باقاعدگی سے اسکیننگ ہر ماہ کی جاتی ہے، اور صارف کی مشین پر دستخط ہر 4 گھنٹے بعد اپ ڈیٹ کیے جاتے ہیں۔ ایک ہی وقت میں، صارفین کو ترتیب دیا گیا ہے کہ وہ طے شدہ اسکین کو منسوخ کرنے کے قابل ہوں، لیکن آخری کامیاب اسکین کی تاریخ سے 30 دن کے بعد نہیں۔
طرز عمل سے تحفظ
اینٹی بوٹ، بیہیویورل گارڈ اور اینٹی رینسم ویئر، اینٹی ایکسپلائٹ
تحفظ کے اجزاء کے طرز عمل پروٹیکشن گروپ میں تین اجزاء شامل ہیں: اینٹی بوٹ، بیہیویورل گارڈ اور اینٹی رینسم ویئر اور اینٹی ایکسپلائٹ۔ اینٹی بوٹ آپ کو مسلسل اپ ڈیٹ کردہ چیک پوائنٹ تھریٹ کلاؤڈ ڈیٹا بیس کا استعمال کرتے ہوئے C&C کنکشن کی نگرانی اور بلاک کرنے کی اجازت دیتا ہے۔ طرز عمل گارڈ اور اینٹی رینسم ویئر صارف کی مشین پر سرگرمی (فائلوں، عمل، نیٹ ورک کے تعاملات) کی مسلسل نگرانی کرتا ہے اور آپ کو ابتدائی مراحل میں رینسم ویئر کے حملوں کو روکنے کی اجازت دیتا ہے۔ اس کے علاوہ، یہ حفاظتی عنصر آپ کو ان فائلوں کو بحال کرنے کی اجازت دیتا ہے جو پہلے سے ہی میلویئر کے ذریعے انکرپٹ ہو چکی ہیں۔ فائلوں کو ان کی اصل ڈائریکٹریوں میں بحال کیا جاتا ہے، یا آپ ایک مخصوص راستہ بتا سکتے ہیں جہاں تمام بازیافت شدہ فائلوں کو محفوظ کیا جائے گا۔ اینٹی ایکسپلائٹ آپ کو صفر دن کے حملوں کا پتہ لگانے کی اجازت دیتا ہے۔ رویے سے متعلق تحفظ کے تمام اجزاء تین آپریٹنگ طریقوں کی حمایت کرتے ہیں: روکنا، کھوج لگانا اور بند کرنا۔
طرز عمل کے تحفظ کے لیے معیاری پالیسی اینٹی بوٹ اور رویے کے محافظ اور اینٹی رینسم ویئر اجزاء کے لیے روک تھام فراہم کرتی ہے، ان کی اصل ڈائریکٹریز میں انکرپٹڈ فائلوں کی بحالی کے ساتھ۔ اینٹی ایکسپلائٹ جزو غیر فعال ہے اور استعمال نہیں کیا جاتا ہے۔
تجزیہ اور تدارک
خودکار حملے کا تجزیہ (فارنزکس)، تدارک اور رسپانس
سیکورٹی کے واقعات کے تجزیہ اور تفتیش کے لیے دو حفاظتی اجزاء دستیاب ہیں: خودکار حملے کا تجزیہ (فارنزکس) اور تدارک اور جواب۔ خودکار حملے کا تجزیہ (فارنزکس) آپ کو تفصیلی وضاحت کے ساتھ حملوں کو پسپا کرنے کے نتائج کے بارے میں رپورٹیں تیار کرنے کی اجازت دیتا ہے - بالکل نیچے صارف کی مشین پر میلویئر کو انجام دینے کے عمل کا تجزیہ کرنے کے لیے۔ تھریٹ ہنٹنگ فیچر کا استعمال کرنا بھی ممکن ہے، جو پہلے سے طے شدہ یا بنائے گئے فلٹرز کا استعمال کرتے ہوئے بے ضابطگیوں اور ممکنہ طور پر بدنیتی پر مبنی رویے کو فعال طور پر تلاش کرنا ممکن بناتا ہے۔ تدارک اور جواب آپ کو حملے کے بعد فائلوں کی بازیابی اور قرنطینہ کی ترتیبات کو ترتیب دینے کی اجازت دیتا ہے: قرنطینہ فائلوں کے ساتھ صارف کے تعامل کو منظم کیا جاتا ہے، اور یہ بھی ممکن ہے کہ منتظم کی طرف سے متعین کردہ ڈائرکٹری میں قرنطین فائلوں کو محفوظ کیا جائے۔
معیاری تجزیہ اور تدارک کی پالیسی میں تحفظ شامل ہے، جس میں ریکوری کے لیے خودکار کارروائیاں شامل ہیں (اختتام کے عمل، فائلوں کی بحالی وغیرہ)، اور فائلوں کو قرنطینہ میں بھیجنے کا آپشن فعال ہے، اور صارف صرف فائلوں کو قرنطینہ سے حذف کر سکتے ہیں۔
خطرے سے بچاؤ کی معیاری پالیسی: جانچ
چیک پوائنٹ چیک می اینڈ پوائنٹ
سب سے زیادہ مقبول قسم کے حملوں کے خلاف صارف کی مشین کی حفاظت کو چیک کرنے کا تیز ترین اور آسان طریقہ وسائل کا استعمال کرتے ہوئے ٹیسٹ کروانا ہے۔ ، جو مختلف زمروں کے متعدد عام حملے کرتا ہے اور آپ کو جانچ کے نتائج پر رپورٹ حاصل کرنے کی اجازت دیتا ہے۔ اس معاملے میں، اینڈ پوائنٹ ٹیسٹنگ کا آپشن استعمال کیا گیا، جس میں ایک قابل عمل فائل کو ڈاؤن لوڈ کرکے کمپیوٹر پر لانچ کیا جاتا ہے، اور پھر تصدیق کا عمل شروع ہوتا ہے۔
کام کرنے والے کمپیوٹر کی سیکیورٹی کو چیک کرنے کے عمل میں، SandBlast ایجنٹ صارف کے کمپیوٹر پر شناخت شدہ اور عکاس حملوں کے بارے میں سگنل دیتا ہے، مثال کے طور پر: اینٹی بوٹ بلیڈ کسی انفیکشن کی نشاندہی کی اطلاع دیتا ہے، اینٹی میلویئر بلیڈ نے اس کا پتہ لگا کر اسے حذف کر دیا ہے۔ نقصان دہ فائل CP_AM.exe، اور Threat Emulation بلیڈ نے انسٹال کیا ہے کہ CP_ZD.exe فائل نقصان دہ ہے۔
CheckMe Endpoint کا استعمال کرتے ہوئے جانچ کے نتائج کی بنیاد پر، ہمارے پاس درج ذیل نتیجہ ہے: حملے کے 6 زمروں میں سے، خطرے سے بچاؤ کی معیاری پالیسی صرف ایک زمرے - Browser Exploit سے نمٹنے میں ناکام رہی۔ اس کی وجہ یہ ہے کہ خطرے سے بچاؤ کی معیاری پالیسی میں اینٹی ایکسپلائٹ بلیڈ شامل نہیں ہے۔ یہ بات قابل غور ہے کہ سینڈ بلاسٹ ایجنٹ انسٹال کیے بغیر، صارف کے کمپیوٹر نے صرف رینسم ویئر کے زمرے میں اسکین پاس کیا۔
KnowBe4 RanSim
اینٹی رینسم ویئر بلیڈ کے آپریشن کو جانچنے کے لیے، آپ مفت حل استعمال کر سکتے ہیں۔ ، جو صارف کی مشین پر ٹیسٹوں کا ایک سلسلہ چلاتا ہے: 18 ransomware انفیکشن کے منظرنامے اور 1 cryptominer انفیکشن کا منظر۔ یہ بات قابل غور ہے کہ پریونٹ ایکشن کے ساتھ معیاری پالیسی (تھریٹ ایمولیشن، اینٹی میلویئر، بیہیویورل گارڈ) میں بہت سے بلیڈز کی موجودگی اس ٹیسٹ کو صحیح طریقے سے چلنے کی اجازت نہیں دیتی۔ تاہم، حفاظتی سطح میں کمی کے ساتھ بھی (Threat Emulation in off mode)، اینٹی رینسم ویئر بلیڈ ٹیسٹ اعلیٰ نتائج دکھاتا ہے: 18 میں سے 19 ٹیسٹ کامیابی سے پاس ہو گئے (1 شروع ہونے میں ناکام ہو گیا)۔
بدنیتی پر مبنی فائلیں اور دستاویزات
صارف کی مشین پر ڈاؤن لوڈ کی گئی مقبول فارمیٹس کی بدنیتی پر مبنی فائلوں کا استعمال کرتے ہوئے خطرے سے بچاؤ کی معیاری پالیسی کے مختلف بلیڈز کے آپریشن کو چیک کرنا اشارہ ہے۔ اس ٹیسٹ میں PDF، DOC، DOCX، EXE، XLS، XLSX، CAB، RTF فارمیٹس میں 66 فائلیں شامل تھیں۔ ٹیسٹ کے نتائج سے پتہ چلتا ہے کہ SandBlast ایجنٹ 64 میں سے 66 نقصان دہ فائلوں کو بلاک کرنے کے قابل تھا۔ متاثرہ فائلوں کو ڈاؤن لوڈ کرنے کے بعد حذف کر دیا گیا، یا Threat Extraction کا استعمال کرتے ہوئے نقصان دہ مواد سے صاف کیا گیا اور صارف کو موصول ہوا۔
خطرے سے بچاؤ کی پالیسی کو بہتر بنانے کے لیے سفارشات
1. یو آر ایل فلٹرنگ
کلائنٹ مشین کی سیکیورٹی کی سطح کو بڑھانے کے لیے معیاری پالیسی میں سب سے پہلے جس چیز کو درست کرنے کی ضرورت ہے وہ ہے یو آر ایل فلٹرنگ بلیڈ کو روکنا اور بلاک کرنے کے لیے مناسب زمروں کی وضاحت کرنا۔ ہمارے معاملے میں، عام استعمال کے علاوہ تمام زمروں کا انتخاب کیا گیا تھا، کیونکہ ان میں زیادہ تر وسائل شامل ہیں جن تک کام کی جگہ پر صارفین تک رسائی کو محدود کرنا ضروری ہے۔ اس کے علاوہ، ایسی سائٹس کے لیے، یہ مشورہ دیا جاتا ہے کہ "صارف کو یو آر ایل فلٹرنگ الرٹ کو برخاست کرنے اور ویب سائٹ تک رسائی حاصل کرنے کی اجازت دیں" پیرامیٹر کو غیر نشان زد کرکے انتباہی ونڈو کو چھوڑنے کی اہلیت کو ہٹا دیں۔
2. پروٹیکشن ڈاؤن لوڈ کریں۔
دوسرا آپشن جس پر توجہ دینے کے قابل ہے وہ ہے صارفین کے لیے ان فائلوں کو ڈاؤن لوڈ کرنے کی اہلیت جو چیک پوائنٹ ایمولیشن سے تعاون یافتہ نہیں ہیں۔ چونکہ اس سیکشن میں ہم حفاظتی نقطہ نظر سے خطرے سے بچاؤ کی معیاری پالیسی میں بہتری کو دیکھ رہے ہیں، اس لیے بہترین آپشن یہ ہوگا کہ غیر تعاون یافتہ فائلوں کے ڈاؤن لوڈ کو روکا جائے۔
3. فائلوں کا تحفظ
آپ کو فائلوں کی حفاظت کے لیے ترتیبات پر بھی توجہ دینے کی ضرورت ہے - خاص طور پر، متواتر اسکیننگ کی ترتیبات اور صارف کے لیے جبری اسکیننگ کو ملتوی کرنے کی صلاحیت۔ اس معاملے میں، صارف کے ٹائم فریم کو مدنظر رکھا جانا چاہیے، اور سیکورٹی اور کارکردگی کے نقطہ نظر سے ایک اچھا اختیار یہ ہے کہ ہر روز چلانے کے لیے ایک زبردستی اسکین ترتیب دیا جائے، جس میں تصادفی طور پر منتخب کیے گئے وقت کے ساتھ (00:00 سے 8 تک: 00)، اور صارف اسکین میں زیادہ سے زیادہ ایک ہفتے تک تاخیر کر سکتا ہے۔
4. اینٹی ایکسپلائیٹ
خطرے کی روک تھام کی معیاری پالیسی کی ایک اہم خرابی یہ ہے کہ اینٹی ایکسپلائٹ بلیڈ غیر فعال ہے۔ اس بلیڈ کو روک تھام کی کارروائی کے ساتھ فعال کرنے کی سفارش کی جاتی ہے تاکہ کارناموں کا استعمال کرتے ہوئے حملوں سے ورک سٹیشن کی حفاظت کی جا سکے۔ اس فکس کے ساتھ، CheckMe دوبارہ ٹیسٹ صارف کی پروڈکشن مشین پر کمزوریوں کا پتہ لگائے بغیر کامیابی سے مکمل ہو جاتا ہے۔
حاصل يہ ہوا
آئیے خلاصہ کرتے ہیں: اس مضمون میں ہم نے خطرے سے بچاؤ کی معیاری پالیسی کے اجزاء سے واقفیت حاصل کی، مختلف طریقوں اور ٹولز کا استعمال کرتے ہوئے اس پالیسی کا تجربہ کیا، اور صارف مشین کی حفاظت کی سطح کو بڑھانے کے لیے معیاری پالیسی کی ترتیبات کو بہتر بنانے کے لیے سفارشات بھی بیان کیں۔ . سیریز کے اگلے مضمون میں، ہم ڈیٹا پروٹیکشن پالیسی کا مطالعہ کرنے کے لیے آگے بڑھیں گے اور عالمی پالیسی کی ترتیبات کو دیکھیں گے۔
. سینڈ بلاسٹ ایجنٹ مینجمنٹ پلیٹ فارم کے موضوع پر اگلی اشاعتوں سے محروم نہ ہونے کے لیے، ہمارے سوشل نیٹ ورکس پر اپ ڈیٹس پر عمل کریں (, , , , ).
ماخذ: www.habr.com