Chào mừng bạn đến với bài viết thứ ba trong loạt bài về bảng điều khiển quản lý bảo vệ máy tính cá nhân dựa trên đám mây mới - Nền tảng quản lý tác nhân Check Point SandBlast. Hãy để tôi nhắc bạn rằng trong chúng tôi đã làm quen với Infinity Portal và tạo ra dịch vụ quản lý tác nhân dựa trên đám mây, Dịch vụ quản lý điểm cuối. TRONG Chúng tôi đã nghiên cứu giao diện bảng điều khiển quản lý web và cài đặt một tác nhân có chính sách tiêu chuẩn trên máy người dùng. Hôm nay chúng ta sẽ xem xét nội dung của chính sách bảo mật Ngăn chặn mối đe dọa tiêu chuẩn và kiểm tra tính hiệu quả của chính sách này trong việc chống lại các cuộc tấn công phổ biến.
Chính sách ngăn chặn mối đe dọa tiêu chuẩn: Mô tả
Hình trên cho thấy quy tắc chính sách Ngăn chặn mối đe dọa tiêu chuẩn, theo mặc định áp dụng cho toàn bộ tổ chức (tất cả các tác nhân được cài đặt) và bao gồm ba nhóm thành phần bảo vệ logic: Bảo vệ Web & Tệp, Bảo vệ Hành vi và Phân tích & Khắc phục. Chúng ta hãy xem xét kỹ hơn về từng nhóm.
Bảo vệ Web & Tệp
Lọc URL
Lọc URL cho phép bạn kiểm soát quyền truy cập của người dùng vào tài nguyên web, sử dụng 5 danh mục trang web được xác định trước. Mỗi danh mục trong số 5 danh mục đều chứa một số danh mục phụ cụ thể hơn, cho phép bạn định cấu hình, chẳng hạn như chặn quyền truy cập vào danh mục phụ Trò chơi và cho phép truy cập vào danh mục phụ Nhắn tin tức thời, được bao gồm trong cùng danh mục Mất năng suất. Các URL được liên kết với các danh mục phụ cụ thể được xác định bởi Điểm kiểm tra. Bạn có thể kiểm tra danh mục mà một URL cụ thể thuộc về hoặc yêu cầu ghi đè danh mục trên một tài nguyên đặc biệt .
Hành động này có thể được đặt thành Ngăn chặn, Phát hiện hoặc Tắt. Ngoài ra, khi chọn hành động Phát hiện, một cài đặt sẽ tự động được thêm vào cho phép người dùng bỏ qua cảnh báo Lọc URL và đi tới tài nguyên quan tâm. Nếu Ngăn chặn được sử dụng, cài đặt này có thể bị xóa và người dùng sẽ không thể truy cập trang web bị cấm. Một cách thuận tiện khác để kiểm soát các tài nguyên bị cấm là thiết lập Danh sách chặn, trong đó bạn có thể chỉ định tên miền, địa chỉ IP hoặc tải lên tệp .csv có danh sách các tên miền cần chặn.
Trong chính sách tiêu chuẩn cho Lọc URL, hành động được đặt thành Phát hiện và một danh mục được chọn - Bảo mật, những sự kiện sẽ được phát hiện. Danh mục này bao gồm nhiều trang ẩn danh khác nhau, các trang web có mức độ rủi ro Nghiêm trọng/Cao/Trung bình, các trang web lừa đảo, thư rác và nhiều hơn thế nữa. Tuy nhiên, người dùng vẫn có thể truy cập tài nguyên nhờ cài đặt “Cho phép người dùng loại bỏ cảnh báo Lọc URL và truy cập trang web”.
Bảo vệ tải xuống (web)
Mô phỏng & Trích xuất cho phép bạn mô phỏng các tệp đã tải xuống trong hộp cát đám mây Check Point và dọn dẹp tài liệu một cách nhanh chóng, xóa nội dung độc hại tiềm ẩn hoặc chuyển đổi tài liệu sang PDF. Có ba chế độ hoạt động:
- Ngăn chặn — cho phép bạn lấy bản sao của tài liệu đã được làm sạch trước khi đưa ra phán quyết mô phỏng cuối cùng hoặc đợi quá trình mô phỏng hoàn tất và tải xuống tệp gốc ngay lập tức;
- tìm ra — thực hiện mô phỏng ở chế độ nền mà không ngăn người dùng nhận tệp gốc, bất kể phán quyết như thế nào;
- tắt — mọi tệp đều được phép tải xuống mà không cần trải qua quá trình mô phỏng và dọn dẹp các thành phần độc hại tiềm ẩn.
Cũng có thể chọn một hành động cho các tệp không được hỗ trợ bởi các công cụ mô phỏng và dọn dẹp Check Point - bạn có thể cho phép hoặc từ chối tải xuống tất cả các tệp không được hỗ trợ.
Chính sách tiêu chuẩn cho Bảo vệ tải xuống được đặt thành Ngăn chặn, cho phép bạn lấy bản sao của tài liệu gốc đã được xóa nội dung độc hại tiềm ẩn, cũng như cho phép tải xuống các tệp không được hỗ trợ bởi các công cụ mô phỏng và dọn dẹp.
Bảo vệ thông tin xác thực
Thành phần Bảo vệ thông tin xác thực bảo vệ thông tin xác thực của người dùng và bao gồm 2 thành phần: Không lừa đảo và Bảo vệ bằng mật khẩu. Không lừa đảo bảo vệ người dùng khỏi truy cập vào các tài nguyên lừa đảo và Bảo vệ mật khẩu thông báo cho người dùng về việc không được chấp nhận sử dụng thông tin xác thực của công ty bên ngoài miền được bảo vệ. Zero Phishing có thể được đặt thành Ngăn chặn, Phát hiện hoặc Tắt. Khi hành động Ngăn chặn được đặt, có thể cho phép người dùng bỏ qua cảnh báo về tài nguyên lừa đảo tiềm ẩn và có quyền truy cập vào tài nguyên hoặc tắt tùy chọn này và chặn quyền truy cập vĩnh viễn. Với hành động Phát hiện, người dùng luôn có tùy chọn bỏ qua cảnh báo và truy cập tài nguyên. Bảo vệ bằng mật khẩu cho phép bạn chọn các miền được bảo vệ để kiểm tra tính tuân thủ của mật khẩu và thực hiện một trong ba hành động: Phát hiện & Cảnh báo (thông báo cho người dùng), Phát hiện hoặc Tắt.
Chính sách tiêu chuẩn cho Bảo vệ thông tin xác thực là ngăn chặn mọi tài nguyên lừa đảo ngăn người dùng truy cập vào một trang web có khả năng độc hại. Tính năng bảo vệ chống lại việc sử dụng mật khẩu công ty cũng được bật nhưng nếu không có miền được chỉ định thì tính năng này sẽ không hoạt động.
Bảo vệ tập tin
Files Protection chịu trách nhiệm bảo vệ các tập tin được lưu trữ trên máy của người dùng và bao gồm hai thành phần: Chống phần mềm độc hại và Mô phỏng mối đe dọa tập tin. Anti-Malware là một công cụ thường xuyên quét tất cả các tệp người dùng và hệ thống bằng phân tích chữ ký. Trong cài đặt của thành phần này, bạn có thể định cấu hình cài đặt cho thời gian quét thông thường hoặc quét ngẫu nhiên, thời gian cập nhật chữ ký và khả năng người dùng hủy quét theo lịch. Mô phỏng mối đe dọa tập tin cho phép bạn mô phỏng các tệp được lưu trữ trên máy của người dùng trong hộp cát đám mây Check Point, tuy nhiên, tính năng bảo mật này chỉ hoạt động ở chế độ Phát hiện.
Chính sách tiêu chuẩn cho Bảo vệ tệp bao gồm bảo vệ bằng Chống phần mềm độc hại và phát hiện các tệp độc hại bằng Mô phỏng mối đe dọa tệp. Việc quét thường xuyên được thực hiện hàng tháng và chữ ký trên máy người dùng được cập nhật 4 giờ một lần. Đồng thời, người dùng được cấu hình để có thể hủy quá trình quét theo lịch nhưng không quá 30 ngày kể từ ngày quét thành công lần cuối.
Bảo vệ hành vi
Chống Bot, Bảo vệ hành vi & Chống ransomware, Chống khai thác
Nhóm các thành phần bảo vệ Bảo vệ hành vi bao gồm ba thành phần: Anti-Bot, Behavioral Guard & Anti-Ransomware và Anti-Exploit. Chống Bot cho phép bạn giám sát và chặn các kết nối C&C bằng cơ sở dữ liệu Check Point ThreatCloud được cập nhật liên tục. Bảo vệ hành vi & Chống ransomware liên tục giám sát hoạt động (tệp, quy trình, tương tác mạng) trên máy người dùng và cho phép bạn ngăn chặn các cuộc tấn công của ransomware ở giai đoạn đầu. Ngoài ra, yếu tố bảo vệ này cho phép bạn khôi phục các tệp đã bị phần mềm độc hại mã hóa. Các tệp được khôi phục về thư mục gốc hoặc bạn có thể chỉ định một đường dẫn cụ thể nơi tất cả các tệp đã khôi phục sẽ được lưu trữ. Chống khai thác cho phép bạn phát hiện các cuộc tấn công zero-day. Tất cả các thành phần Bảo vệ hành vi đều hỗ trợ ba chế độ hoạt động: Ngăn chặn, Phát hiện và Tắt.
Chính sách tiêu chuẩn cho Bảo vệ hành vi cung cấp tính năng Ngăn chặn cho các thành phần Anti-Bot và Behavioral Guard & Anti-Ransomware, đồng thời khôi phục các tệp được mã hóa trong thư mục gốc của chúng. Thành phần Chống khai thác bị vô hiệu hóa và không được sử dụng.
Phân tích & Khắc phục
Phân tích tấn công tự động (Pháp y), Khắc phục & Ứng phó
Hai thành phần bảo mật có sẵn để phân tích và điều tra các sự cố bảo mật: Phân tích tấn công tự động (Pháp y) và Khắc phục & ứng phó. Phân tích tấn công tự động (Pháp y) cho phép bạn tạo báo cáo về kết quả đẩy lùi các cuộc tấn công với mô tả chi tiết - ngay đến việc phân tích quá trình thực thi phần mềm độc hại trên máy của người dùng. Cũng có thể sử dụng tính năng Săn bắt mối đe dọa, tính năng này giúp chủ động tìm kiếm các điểm bất thường và hành vi nguy hiểm tiềm ẩn bằng cách sử dụng các bộ lọc được xác định trước hoặc được tạo. Khắc phục & Ứng phó cho phép bạn định cấu hình cài đặt để khôi phục và cách ly các tệp sau một cuộc tấn công: sự tương tác của người dùng với các tệp cách ly được quy định và cũng có thể lưu trữ các tệp đã cách ly trong một thư mục do quản trị viên chỉ định.
Chính sách Phân tích & Khắc phục tiêu chuẩn bao gồm bảo vệ, bao gồm các hành động tự động để khôi phục (kết thúc quá trình, khôi phục tệp, v.v.) và tùy chọn gửi tệp để cách ly đang hoạt động và người dùng chỉ có thể xóa tệp khỏi vùng cách ly.
Chính sách ngăn chặn mối đe dọa tiêu chuẩn: Kiểm tra
Điểm kiểm tra Điểm cuối CheckMe
Cách nhanh nhất và dễ nhất để kiểm tra tính bảo mật của máy người dùng trước các kiểu tấn công phổ biến nhất là tiến hành kiểm tra bằng cách sử dụng tài nguyên , thực hiện một số cuộc tấn công điển hình thuộc nhiều loại khác nhau và cho phép bạn nhận báo cáo về kết quả thử nghiệm. Trong trường hợp này, tùy chọn Kiểm tra điểm cuối đã được sử dụng, trong đó tệp thực thi được tải xuống và khởi chạy trên máy tính, sau đó quá trình xác minh bắt đầu.
Trong quá trình kiểm tra tính bảo mật của một máy tính đang hoạt động, SandBlast Agent báo hiệu về các cuộc tấn công đã được xác định và phản ánh trên máy tính của người dùng, ví dụ: lưỡi Anti-Bot báo cáo phát hiện sự lây nhiễm, lưỡi Anti-Malware đã phát hiện và xóa các phần mềm độc hại. tệp độc hại CP_AM.exe và lưỡi mô phỏng mối đe dọa đã cài đặt rằng tệp CP_ZD.exe là độc hại.
Dựa trên kết quả thử nghiệm bằng CheckMe Endpoint, chúng tôi có kết quả như sau: trong số 6 loại tấn công, chính sách Ngăn chặn mối đe dọa tiêu chuẩn chỉ không thể xử lý được một danh mục - Khai thác trình duyệt. Điều này là do chính sách Ngăn chặn mối đe dọa tiêu chuẩn không bao gồm lưỡi Chống khai thác. Điều đáng chú ý là nếu không cài đặt SandBlast Agent, máy tính của người dùng chỉ vượt qua quá trình quét trong danh mục Ransomware.
KnowBe4 RanSim
Để kiểm tra hoạt động của lưỡi Anti-Ransomware, bạn có thể sử dụng giải pháp miễn phí , chạy một loạt thử nghiệm trên máy của người dùng: 18 tình huống lây nhiễm ransomware và 1 tình huống lây nhiễm tiền điện tử. Điều đáng lưu ý là sự hiện diện của nhiều lưỡi dao trong chính sách tiêu chuẩn (Mô phỏng mối đe dọa, Chống phần mềm độc hại, Bảo vệ hành vi) với hành động Ngăn chặn không cho phép thử nghiệm này chạy chính xác. Tuy nhiên, ngay cả khi mức độ bảo mật bị giảm (Mô phỏng mối đe dọa ở chế độ Tắt), thử nghiệm lưỡi Anti-Ransomware cho kết quả cao: 18 trong số 19 thử nghiệm đã vượt qua thành công (1 thử nghiệm không khởi động được).
Các tập tin và tài liệu độc hại
Bạn nên kiểm tra hoạt động của các phần khác nhau của chính sách Ngăn chặn mối đe dọa tiêu chuẩn bằng cách sử dụng các tệp độc hại có định dạng phổ biến được tải xuống máy của người dùng. Thử nghiệm này bao gồm 66 tệp ở định dạng PDF, DOC, DOCX, EXE, XLS, XLSX, CAB, RTF. Kết quả thử nghiệm cho thấy SandBlast Agent có thể chặn 64 tệp độc hại trong số 66 tệp. Các tệp bị nhiễm đã bị xóa sau khi tải xuống hoặc xóa nội dung độc hại bằng cách sử dụng Threat Extraction và được người dùng nhận được.
Đề xuất cải thiện chính sách Ngăn chặn mối đe dọa
1. Lọc URL
Điều đầu tiên cần được sửa trong chính sách tiêu chuẩn để tăng mức độ bảo mật cho máy khách là chuyển thanh Lọc URL sang Ngăn chặn và chỉ định các danh mục thích hợp để chặn. Trong trường hợp của chúng tôi, tất cả các danh mục đã được chọn ngoại trừ Sử dụng chung, vì chúng bao gồm hầu hết các tài nguyên cần thiết để hạn chế quyền truy cập của người dùng tại nơi làm việc. Ngoài ra, đối với những trang web như vậy, nên loại bỏ khả năng người dùng bỏ qua cửa sổ cảnh báo bằng cách bỏ chọn tham số “Cho phép người dùng loại bỏ cảnh báo Lọc URL và truy cập trang web”.
2.Bảo vệ tải xuống
Tùy chọn thứ hai đáng chú ý là khả năng người dùng tải xuống các tệp không được mô phỏng Check Point hỗ trợ. Vì trong phần này, chúng tôi đang xem xét các cải tiến đối với chính sách Ngăn chặn mối đe dọa tiêu chuẩn từ góc độ bảo mật, nên tùy chọn tốt nhất sẽ là chặn tải xuống các tệp không được hỗ trợ.
3. Bảo vệ tập tin
Bạn cũng cần chú ý đến các cài đặt để bảo vệ tệp - đặc biệt là cài đặt quét định kỳ và khả năng người dùng trì hoãn việc quét bắt buộc. Trong trường hợp này, khung thời gian của người dùng phải được tính đến và một tùy chọn tốt từ quan điểm bảo mật và hiệu suất là định cấu hình quét bắt buộc để chạy hàng ngày, với thời gian được chọn ngẫu nhiên (từ 00:00 đến 8: 00) và người dùng có thể trì hoãn quá trình quét tối đa một tuần.
4. Chống khai thác
Một nhược điểm đáng kể của chính sách Ngăn chặn mối đe dọa tiêu chuẩn là lưỡi Chống khai thác bị vô hiệu hóa. Bạn nên kích hoạt lưỡi này bằng hành động Ngăn chặn để bảo vệ máy trạm khỏi các cuộc tấn công bằng cách khai thác. Với bản sửa lỗi này, quá trình kiểm tra lại CheckMe hoàn tất thành công mà không phát hiện lỗ hổng trên máy sản xuất của người dùng.
Kết luận
Hãy tóm tắt: trong bài viết này, chúng tôi đã làm quen với các thành phần của chính sách Ngăn chặn mối đe dọa tiêu chuẩn, đã thử nghiệm chính sách này bằng nhiều phương pháp và công cụ khác nhau, đồng thời mô tả các đề xuất để cải thiện cài đặt của chính sách tiêu chuẩn nhằm tăng mức độ bảo mật của máy người dùng . Trong bài viết tiếp theo của loạt bài này, chúng ta sẽ chuyển sang nghiên cứu chính sách Bảo vệ dữ liệu và xem xét Cài đặt chính sách chung.
. Để không bỏ lỡ các ấn phẩm tiếp theo về chủ đề Nền tảng quản lý đại lý SandBlast, hãy theo dõi các cập nhật trên mạng xã hội của chúng tôi (, , , , ).
Nguồn: www.habr.com