Yangi bulutga asoslangan shaxsiy kompyuterni himoya qilishni boshqarish konsoli - Check Point SandBlast Agent boshqaruv platformasi haqidagi uchinchi maqolaga xush kelibsiz. Shuni eslatib o'taman biz Infinity Portal bilan tanishdik va bulutga asoslangan agentlarni boshqarish xizmatini yaratdik, Endpoint Management Service. In Biz veb boshqaruv konsoli interfeysini o'rganib chiqdik va foydalanuvchi mashinasida standart siyosatga ega agentni o'rnatdik. Bugun biz tahdidlarning oldini olish bo'yicha standart xavfsizlik siyosatining mazmunini ko'rib chiqamiz va uning mashhur hujumlarga qarshi kurashda samaradorligini sinab ko'ramiz.
Standart tahdidlarning oldini olish siyosati: Tavsif
Yuqoridagi rasmda standart tahdidlarning oldini olish siyosati qoidasi ko'rsatilgan bo'lib, u sukut bo'yicha butun tashkilotga (barcha o'rnatilgan agentlar) qo'llaniladi va himoya komponentlarining uchta mantiqiy guruhini o'z ichiga oladi: Veb va fayllarni himoya qilish, Xulq-atvorni himoya qilish va tahlil qilish va tuzatish. Keling, har bir guruhni batafsil ko'rib chiqaylik.
Veb va fayllarni himoya qilish
URL filtrlash
URL filtri oldindan belgilangan 5 toifadagi saytlardan foydalangan holda foydalanuvchining veb-resurslarga kirishini boshqarish imkonini beradi. 5 toifaning har birida yana bir nechta maxsus kichik toifalar mavjud bo'lib, ular, masalan, O'yinlar kichik toifasiga kirishni blokirovka qilish va bir xil mahsuldorlikni yo'qotish toifasiga kiritilgan Tezkor xabarlar kichik toifasiga kirishga ruxsat berishni sozlash imkonini beradi. Muayyan kichik toifalar bilan bog'langan URL manzillar Check Point tomonidan aniqlanadi. Siz ma'lum bir URL tegishli bo'lgan toifani tekshirishingiz yoki maxsus resursda toifani bekor qilishni so'rashingiz mumkin .
Amalni Oldini olish, Aniqlash yoki O'chirishga sozlash mumkin. Bundan tashqari, Aniqlash amalini tanlashda foydalanuvchilarga URL filtrlash ogohlantirishini o‘tkazib yuborish va qiziqish manbasiga o‘tish imkonini beruvchi sozlama avtomatik ravishda qo‘shiladi. Agar Prevent ishlatilsa, bu sozlamani olib tashlash mumkin va foydalanuvchi taqiqlangan saytga kira olmaydi. Taqiqlangan resurslarni boshqarishning yana bir qulay usuli - Bloklash ro'yxatini o'rnatish, unda siz domenlar, IP manzillarni belgilashingiz yoki bloklanadigan domenlar ro'yxati bilan .csv faylini yuklashingiz mumkin.
URL filtrlash boʻyicha standart siyosatda harakat “Aniqlash” ga oʻrnatiladi va bitta toifa tanlanadi – Xavfsizlik, bu hodisalar uchun hodisalar aniqlanadi. Ushbu turkumga turli xil anonimatorlar, Kritik/Yuqori/O'rta xavf darajasiga ega saytlar, fishing saytlari, spam va boshqalar kiradi. Biroq, “Foydalanuvchiga URL filtrlash ogohlantirishini o‘chirishga va veb-saytga kirishga ruxsat berish” sozlamasi tufayli foydalanuvchilar hali ham resursga kirishlari mumkin bo‘ladi.
Yuklab olish (veb) himoyasi
Emulation & Extraction sizga yuklab olingan fayllarni Check Point bulutli sinov muhitida taqlid qilish va hujjatlarni tezda tozalash, potentsial zararli tarkibni o'chirish yoki hujjatni PDF formatiga aylantirish imkonini beradi. Uchta ish rejimi mavjud:
- To'xtatish — yakuniy emulyatsiya hukmi chiqarilgunga qadar tozalangan hujjatning nusxasini olish yoki emulyatsiya tugashini kutish va darhol asl faylni yuklab olish imkonini beradi;
- aniqlash — sud qaroridan qatʼi nazar, foydalanuvchiga asl faylni olishiga toʻsqinlik qilmasdan, fonda emulyatsiyani amalga oshiradi;
- off — har qanday fayllarni emulyatsiyasiz va potentsial zararli komponentlarni tozalashsiz yuklab olishga ruxsat beriladi.
Shuningdek, Check Point emulyatsiyasi va tozalash vositalari tomonidan qo'llab-quvvatlanmaydigan fayllar uchun amalni tanlash mumkin - siz barcha qo'llab-quvvatlanmaydigan fayllarni yuklab olishga ruxsat berishingiz yoki rad etishingiz mumkin.
Yuklab olishdan himoya qilish bo‘yicha standart siyosat Prevent ga o‘rnatiladi, bu sizga potentsial zararli kontentdan tozalangan asl hujjat nusxasini olish imkonini beradi, shuningdek, emulyatsiya va tozalash vositalari tomonidan qo‘llab-quvvatlanmaydigan fayllarni yuklab olishga ruxsat beradi.
Hisob ma'lumotlarini himoya qilish
Hisob ma'lumotlarini himoya qilish komponenti foydalanuvchi hisob ma'lumotlarini himoya qiladi va ikkita komponentni o'z ichiga oladi: Nolinchi fishing va parolni himoya qilish. Nolinchi fishing foydalanuvchilarni fishing resurslariga kirishdan himoya qiladi va Parol himoyasi foydalanuvchini himoyalangan domendan tashqarida korporativ hisobga olish ma'lumotlaridan foydalanishga yo'l qo'yilmasligi to'g'risida xabardor qiladi. Nolinchi fishingni oldini olish, aniqlash yoki o‘chirishga sozlash mumkin. Oldini olish amali oʻrnatilganda, foydalanuvchilarga potentsial fishing resursi haqidagi ogohlantirishni eʼtiborsiz qoldirish va manbaga kirish huquqini qoʻyish yoki bu opsiyani oʻchirib qoʻyish va kirishni abadiy bloklash imkonini berish mumkin. Aniqlash harakati bilan foydalanuvchilar har doim ogohlantirishni e'tiborsiz qoldirish va manbaga kirish imkoniyatiga ega. Parolni himoya qilish parollar muvofiqligi tekshiriladigan himoyalangan domenlarni tanlash imkonini beradi va uchta amaldan birini: Aniqlash va ogohlantirish (foydalanuvchini xabardor qilish), Aniqlash yoki O'chirish.
Hisob ma'lumotlarini himoya qilish bo'yicha standart siyosat har qanday fishing resurslarining foydalanuvchilarning potentsial zararli saytga kirishiga to'sqinlik qilishdan iborat. Korporativ parollardan foydalanishga qarshi himoya ham yoqilgan, ammo belgilangan domenlarsiz bu funksiya ishlamaydi.
Fayllarni himoya qilish
Fayllarni himoya qilish foydalanuvchining mashinasida saqlangan fayllarni himoya qilish uchun javobgardir va ikkita komponentni o'z ichiga oladi: Anti-Malware va Files Threat Emulation. Anti-zararli dastur imzo tahlili yordamida barcha foydalanuvchi va tizim fayllarini muntazam skanerlaydigan vositadir. Ushbu komponentning sozlamalarida siz muntazam skanerlash yoki tasodifiy skanerlash vaqtlari, imzoni yangilash davri va foydalanuvchilarning rejalashtirilgan skanerlashni bekor qilish imkoniyati uchun sozlamalarni sozlashingiz mumkin. Fayllar tahdidining emulyatsiyasi Check Point bulutli sandboxda foydalanuvchi mashinasida saqlangan fayllarga taqlid qilish imkonini beradi, ammo bu xavfsizlik funksiyasi faqat Aniqlash rejimida ishlaydi.
Fayllarni himoya qilishning standart siyosati zararli dasturlarga qarshi himoya va Files Threat Emulation yordamida zararli fayllarni aniqlashni o'z ichiga oladi. Muntazam skanerlash har oy amalga oshiriladi va foydalanuvchi mashinasidagi imzolar har 4 soatda yangilanadi. Shu bilan birga, foydalanuvchilar rejalashtirilgan skanerlashni bekor qilishlari uchun tuzilgan, lekin oxirgi muvaffaqiyatli skanerlash sanasidan boshlab 30 kundan kechiktirmay.
Xulq-atvorni himoya qilish
Anti-Bot, Behavior Guard & Anti-Ransomware, Anti-Exploit
Xulq-atvorni himoya qilish komponentlari guruhi uchta komponentni o'z ichiga oladi: Anti-Bot, Behavioral Guard & Anti-Ransomware va Anti-Exploit. Botga qarshi doimiy yangilanadigan Check Point ThreatCloud ma'lumotlar bazasidan foydalangan holda C&C ulanishlarini kuzatish va blokirovka qilish imkonini beradi. Behavioral Guard & Anti-Ransomware foydalanuvchi mashinasidagi faollikni (fayllar, jarayonlar, tarmoq o'zaro ta'siri) doimiy ravishda kuzatib boradi va dastlabki bosqichlarda ransomware hujumlarining oldini olishga imkon beradi. Bundan tashqari, ushbu himoya elementi zararli dastur tomonidan allaqachon shifrlangan fayllarni qayta tiklashga imkon beradi. Fayllar asl kataloglariga tiklanadi yoki siz barcha tiklangan fayllar saqlanadigan maxsus yo'lni belgilashingiz mumkin. Ekspluatatsiyaga qarshi nol kunlik hujumlarni aniqlash imkonini beradi. Xulq-atvorni himoya qilishning barcha komponentlari uchta ish rejimini qo'llab-quvvatlaydi: Oldini olish, Aniqlash va O'chirish.
Xulq-atvorni himoya qilish bo'yicha standart siyosat Anti-Bot va Behavioral Guard va Anti-Ransomware komponentlarini oldini olishni, shifrlangan fayllarni asl kataloglarida tiklashni ta'minlaydi. Anti-Exploit komponenti o'chirilgan va ishlatilmaydi.
Tahlil va tuzatish
Avtomatlashtirilgan hujum tahlili (sud-tibbiyot ekspertizasi), tuzatish va javob
Xavfsizlik hodisalarini tahlil qilish va tekshirish uchun ikkita xavfsizlik komponenti mavjud: avtomatlashtirilgan hujum tahlili (sud-tibbiyot ekspertizasi) va tuzatish va javob. Avtomatlashtirilgan hujum tahlili (sud-tibbiyot ekspertizasi) sizga hujumlarni qaytarish natijalari to'g'risida batafsil tavsif bilan hisobotlarni yaratishga imkon beradi - foydalanuvchi mashinasida zararli dasturni bajarish jarayonini tahlil qilishgacha. Bundan tashqari, oldindan belgilangan yoki yaratilgan filtrlar yordamida anomaliyalar va potentsial zararli xatti-harakatlarni faol ravishda izlash imkonini beruvchi Threat Hunting xususiyatidan foydalanish mumkin. Tuzatish va javob hujumdan keyin fayllarni tiklash va karantinga qo'yish sozlamalarini sozlash imkonini beradi: foydalanuvchining karantin fayllari bilan o'zaro munosabati tartibga solinadi, shuningdek, karantinga olingan fayllarni administrator tomonidan belgilangan katalogda saqlash ham mumkin.
Standart Tahlil va tuzatish siyosati himoyani o‘z ichiga oladi, u qayta tiklash bo‘yicha avtomatik harakatlarni (jarayonlarni tugatish, fayllarni tiklash va h.k.) o‘z ichiga oladi va fayllarni karantinga yuborish opsiyasi faol va foydalanuvchilar faqat karantindan fayllarni o‘chirib tashlashi mumkin.
Standart tahdidlarning oldini olish siyosati: Sinov
Check Point CheckMe Endpoint
Eng mashhur hujum turlaridan foydalanuvchi mashinasi xavfsizligini tekshirishning eng tez va eng oson usuli bu resurs yordamida test o'tkazishdir. , bu turli toifadagi bir qator tipik hujumlarni amalga oshiradi va test natijalari bo'yicha hisobot olish imkonini beradi. Bunday holda, bajariladigan fayl yuklab olinadi va kompyuterga ishga tushiriladigan Endpoint testing opsiyasi ishlatilgan, shundan so'ng tekshirish jarayoni boshlanadi.
Ishlayotgan kompyuterning xavfsizligini tekshirish jarayonida SandBlast Agent foydalanuvchining kompyuteriga aniqlangan va aks ettirilgan hujumlar haqida signal beradi, masalan: Anti-Bot blade infektsiya aniqlanganligi haqida xabar beradi, Anti-Malware blade aniqlangan va o'chirilgan. CP_AM.exe zararli fayli va CP_ZD.exe fayli zararli ekanligini tahdid emulyatsiyasi paneli o'rnatdi.
CheckMe Endpoint-dan foydalangan holda sinov natijalariga ko'ra, biz quyidagi natijaga erishdik: 6 ta hujum toifasidan standart Tahdidlarni oldini olish siyosati faqat bitta toifaga - Brauzer Exploitiga dosh bera olmadi. Buning sababi, tahdidlarning oldini olish bo'yicha standart siyosatda Anti-Exploit blade mavjud emas. Shuni ta'kidlash kerakki, SandBlast Agent o'rnatilmagan holda, foydalanuvchi kompyuteri faqat Ransomware toifasi ostida skanerdan o'tdi.
KnowBe4 RanSim
Anti-Ransomware blade ishlashini tekshirish uchun siz bepul yechimdan foydalanishingiz mumkin , bu foydalanuvchi mashinasida bir qator testlarni o'tkazadi: 18 ta to'lov dasturi infektsiyasi stsenariysi va 1 kriptominer infektsiyasi stsenariysi. Ta'kidlash joizki, standart siyosatda (Threat Emulation, Anti-Malware, Behavioral Guard) Oldini olish harakati bilan ko'plab pichoqlarning mavjudligi ushbu testni to'g'ri bajarishga imkon bermaydi. Biroq, xavfsizlik darajasi pasaygan bo'lsa ham (O'chirish rejimida tahdid emulyatsiyasi), Anti-Ransomware blade testi yuqori natijalarni ko'rsatadi: 18 ta testdan 19 tasi muvaffaqiyatli o'tdi (1 tasi boshlanmadi).
Zararli fayllar va hujjatlar
Bu foydalanuvchi mashinasiga yuklab olingan mashhur formatdagi zararli fayllardan foydalangan holda standart tahdidlarning oldini olish siyosatining turli pichoqlarining ishlashini tekshirishdan dalolat beradi. Ushbu test PDF, DOC, DOCX, EXE, XLS, XLSX, CAB, RTF formatidagi 66 ta faylni qamrab oldi. Sinov natijalari shuni ko'rsatdiki, SandBlast Agent 64 ta zararli fayldan 66 tasini bloklay oldi. Yuklab olingandan so'ng zararlangan fayllar o'chirildi yoki Threat Extraction yordamida zararli kontentdan tozalandi va foydalanuvchi tomonidan qabul qilindi.
Tahdidlarni oldini olish siyosatini takomillashtirish bo'yicha tavsiyalar
1. URL filtrlash
Mijoz mashinasining xavfsizlik darajasini oshirish uchun standart siyosatda tuzatilishi kerak bo'lgan birinchi narsa URL filtrlash panelini Oldini olish ga o'tkazish va blokirovka qilish uchun tegishli toifalarni belgilashdir. Bizning holatda, umumiy foydalanishdan tashqari barcha toifalar tanlangan, chunki ular ish joyidagi foydalanuvchilarga kirishni cheklash kerak bo'lgan ko'pgina resurslarni o'z ichiga oladi. Shuningdek, bunday saytlar uchun “Foydalanuvchiga URL filtrlash ogohlantirishini o‘chirishga va veb-saytga kirishga ruxsat berish” parametridan belgini olib tashlash orqali foydalanuvchilarning ogohlantirish oynasini o‘tkazib yuborish imkoniyatini olib tashlash tavsiya etiladi.
2.Yuklab olish himoyasi
E'tibor berishga arziydigan ikkinchi variant - bu foydalanuvchilar uchun Check Point emulyatsiyasi tomonidan qo'llab-quvvatlanmaydigan fayllarni yuklab olish qobiliyati. Ushbu bo'limda biz xavfsizlik nuqtai nazaridan standart tahdidlarning oldini olish siyosatini yaxshilashni ko'rib chiqayotganimiz sababli, eng yaxshi variant qo'llab-quvvatlanmaydigan fayllarni yuklab olishni bloklash bo'ladi.
3. Fayllarni himoya qilish
Shuningdek, siz fayllarni himoya qilish sozlamalariga, xususan, davriy skanerlash sozlamalariga va foydalanuvchining majburiy skanerlashni kechiktirish qobiliyatiga e'tibor qaratishingiz kerak. Bunday holda, foydalanuvchining vaqt doirasini hisobga olish kerak va xavfsizlik va ishlash nuqtai nazaridan yaxshi variant - har kuni tasodifiy tanlangan vaqt bilan majburiy skanerlashni sozlash (00:00 dan 8 gacha: 00) va foydalanuvchi skanerlashni maksimal bir haftaga kechiktirishi mumkin.
4. Ekspluatatsiyaga qarshi
Standart Tahdidni oldini olish siyosatining muhim kamchiligi shundaki, Anti-Exploit blade o'chirilgan. Ish stantsiyasini ekspluatatsiyalar yordamida hujumlardan himoya qilish uchun ushbu pichoqni Oldini olish harakati bilan yoqish tavsiya etiladi. Ushbu tuzatish yordamida CheckMe qayta testi foydalanuvchining ishlab chiqarish mashinasida zaifliklarni aniqlamasdan muvaffaqiyatli yakunlanadi.
xulosa
Xulosa qilaylik: ushbu maqolada biz tahdidlarning oldini olish bo'yicha standart siyosatning tarkibiy qismlari bilan tanishdik, ushbu siyosatni turli usullar va vositalar yordamida sinab ko'rdik, shuningdek, foydalanuvchi mashinasining xavfsizlik darajasini oshirish uchun standart siyosat sozlamalarini takomillashtirish bo'yicha tavsiyalarni bayon qildik. . Seriyaning keyingi maqolasida biz ma'lumotlarni himoya qilish siyosatini o'rganishga o'tamiz va Global siyosat sozlamalarini ko'rib chiqamiz.
. "SandBlast Agent Management Platform" mavzusidagi keyingi nashrlarni o'tkazib yubormaslik uchun bizning ijtimoiy tarmoqlarimizdagi yangilanishlarni kuzatib boring (, , , , ).
Manba: www.habr.com