欢迎阅读本系列的第三篇文章,介绍基于云的全新个人计算机保护管理控制台 - Check Point SandBlast 代理管理平台。 让我提醒你,在 我们熟悉了 Infinity Portal,并创建了基于云的代理管理服务 Endpoint Management Service。 在 我们研究了 Web 管理控制台界面,并在用户计算机上安装了具有标准策略的代理。 今天我们将了解标准威胁防御安全策略的内容,并测试其在应对流行攻击方面的有效性。
标准威胁防御策略:说明
上图显示了标准威胁防护策略规则,默认情况下该规则适用于整个组织(所有已安装的代理),并包括三个逻辑保护组件组:Web 和文件保护、行为保护以及分析和修复。 让我们仔细看看每个组。
网页和文件保护
网址过滤
URL 过滤允许您使用预定义的 5 种站点类别来控制用户对 Web 资源的访问。 5 个类别中的每一个都包含几个更具体的子类别,例如,您可以通过这些子类别进行配置,阻止对“游戏”子类别的访问并允许对“即时消息”子类别的访问,这些子类别都包含在同一“生产力损失”类别中。 与特定子类别关联的 URL 由 Check Point 确定。 您可以检查特定 URL 所属的类别或请求特殊资源上的类别覆盖 .
该操作可以设置为“预防”、“检测”或“关闭”。 此外,当选择“检测”操作时,会自动添加一个设置,允许用户跳过 URL 过滤警告并转到感兴趣的资源。 如果使用“阻止”,则可以删除此设置,用户将无法访问禁止的站点。 控制禁止资源的另一种便捷方法是设置阻止列表,您可以在其中指定域、IP 地址,或上传包含要阻止的域列表的 .csv 文件。
在 URL 过滤的标准策略中,操作设置为“检测”,并选择一个类别 - 安全,将检测该类别的事件。 此类别包括各种匿名程序、具有严重/高/中风险级别的网站、网络钓鱼网站、垃圾邮件等等。 但是,由于“允许用户忽略 URL 过滤警报并访问网站”设置,用户仍然能够访问资源。
下载(网络)保护
模拟和提取允许您在 Check Point 云沙箱中模拟下载的文件,并动态清理文档、删除潜在的恶意内容或将文档转换为 PDF。 共有三种工作模式:
- 防止 — 允许您在最终仿真判决之前获取已清理文档的副本,或等待仿真完成并立即下载原始文件;
- 检测 — 在后台进行模拟,无论结果如何,都不会阻止用户接收原始文件;
- 关闭 — 允许下载任何文件,无需进行模拟和潜在恶意组件的清理。
还可以为 Check Point 模拟和清理工具不支持的文件选择操作 - 您可以允许或拒绝下载所有不受支持的文件。
下载保护的标准策略设置为“阻止”,它允许您获取已清除潜在恶意内容的原始文档的副本,并允许下载模拟和清理工具不支持的文件。
凭证保护
凭据保护组件保护用户凭据,包括 2 个组件:零网络钓鱼和密码保护。 零网络钓鱼 保护用户免遭网络钓鱼资源的访问,以及 密码保护 通知用户不允许在受保护域之外使用公司凭据。 零网络钓鱼可以设置为“阻止”、“检测”或“关闭”。 设置“阻止”操作后,可以允许用户忽略有关潜在网络钓鱼资源的警告并获得对该资源的访问权限,或者禁用此选项并永久阻止访问。 通过检测操作,用户始终可以选择忽略警告并访问资源。 密码保护允许您选择将检查密码合规性的受保护域,以及以下三种操作之一:检测和警报(通知用户)、检测或关闭。
凭据保护的标准策略是防止任何网络钓鱼资源阻止用户访问潜在的恶意站点。 还启用了防止使用公司密码的保护,但如果没有指定的域,此功能将无法工作。
文件保护
文件保护负责保护用户计算机上存储的文件,包括两个组件:反恶意软件和文件威胁模拟。 反恶意软件 是一种使用签名分析定期扫描所有用户和系统文件的工具。 在此组件的设置中,您可以配置定期扫描或随机扫描次数、签名更新周期以及用户取消计划扫描的能力等设置。 文件威胁模拟 允许您在 Check Point 云沙盒中模拟存储在用户计算机上的文件,但是,此安全功能仅在检测模式下有效。
文件保护的标准策略包括使用反恶意软件进行保护以及使用文件威胁模拟检测恶意文件。 每月进行一次定期扫描,用户机器上的签名每 4 小时更新一次。 同时,用户被配置为能够取消计划的扫描,但不得迟于上次成功扫描之日起 30 天。
行为保护
反机器人、行为防护和反勒索软件、反漏洞利用
保护组件的行为保护组包括三个组件:Anti-Bot、Behavioral Guard & Anti-Ransomware 和 Anti-Exploit。 反博特 允许您使用不断更新的 Check Point ThreatCloud 数据库来监控和阻止 C&C 连接。 行为防护和反勒索软件 持续监控用户计算机上的活动(文件、进程、网络交互),并允许您在初始阶段防止勒索软件攻击。 此外,此保护元素允许您恢复已被恶意软件加密的文件。 文件将恢复到其原始目录,或者您可以指定存储所有恢复文件的特定路径。 反渗透 允许您检测零日攻击。 所有行为保护组件都支持三种操作模式:预防、检测和关闭。
行为保护的标准策略为反机器人、行为防护和反勒索软件组件提供预防,并在其原始目录中恢复加密文件。 Anti-Exploit 组件已禁用且未使用。
分析与修复
自动攻击分析(取证)、修复和响应
有两个安全组件可用于分析和调查安全事件:自动攻击分析(取证)和修复与响应。 自动攻击分析(取证) 允许您生成包含详细描述的抵御攻击结果的报告 - 甚至分析在用户计算机上执行恶意软件的过程。 还可以使用威胁搜寻功能,从而可以使用预定义或创建的过滤器主动搜索异常和潜在的恶意行为。 补救与响应 允许您配置攻击后恢复和隔离文件的设置:规范用户与隔离文件的交互,并且还可以将隔离文件存储在管理员指定的目录中。
标准分析和修复策略包括保护,其中包括自动恢复操作(结束进程、恢复文件等),并且将文件发送到隔离区的选项处于活动状态,用户只能从隔离区删除文件。
标准威胁防御策略:测试
检查点 CheckMe 端点
检查用户计算机针对最流行类型的攻击的安全性的最快、最简单的方法是使用资源进行测试 ,它执行多种不同类别的典型攻击,并允许您获得测试结果报告。 在本例中,使用了端点测试选项,其中下载可执行文件并将其启动到计算机上,然后开始验证过程。
在检查工作计算机的安全性的过程中,SandBlast Agent 会发出有关已识别和反映的对用户计算机的攻击的信号,例如:Anti-Bot 刀片报告检测到感染、Anti-Malware 刀片已检测到并删除了恶意文件 CP_AM.exe,并且威胁仿真刀片已安装 CP_ZD.exe 文件是恶意的。
根据使用 CheckMe Endpoint 的测试结果,我们得到以下结果:在 6 种攻击类别中,标准威胁防护策略仅无法应对一种类别 - 浏览器漏洞利用。 这是因为标准威胁防护策略不包括反漏洞利用刀片。 值得注意的是,在没有安装 SandBlast Agent 的情况下,用户的计算机仅在勒索软件类别下通过了扫描。
KnowBe4 RanSim
要测试反勒索软件刀片的运行情况,您可以使用免费的解决方案 ,它在用户的计算机上运行一系列测试:18 个勒索软件感染场景和 1 个加密挖矿程序感染场景。 值得注意的是,标准策略(威胁仿真、反恶意软件、行为防护)中存在许多具有预防操作的刀片不允许此测试正确运行。 然而,即使安全级别降低(关闭模式下的威胁模拟),反勒索软件刀片测试也显示出很高的结果:18 项测试中有 19 项成功通过(1 项未能启动)。
恶意文件和文档
这表明使用下载到用户计算机的流行格式的恶意文件来检查标准威胁防御策略的不同刀片的操作。 本次测试涉及PDF、DOC、DOCX、EXE、XLS、XLSX、CAB、RTF格式的66个文件。 测试结果显示,SandBlast Agent 能够阻止 64 个恶意文件中的 66 个。受感染的文件在下载后被删除,或者使用威胁提取清除恶意内容并由用户接收。
改进威胁防御策略的建议
1. URL过滤
为了提高客户端计算机的安全级别,需要在标准策略中纠正的第一件事是将 URL 过滤刀片切换为“阻止”并指定适当的阻止类别。 在我们的案例中,选择了除一般用途之外的所有类别,因为它们包括需要限制工作场所用户访问的大部分资源。 此外,对于此类网站,建议通过取消选中“允许用户关闭 URL 过滤警报并访问网站”参数来取消用户跳过警告窗口的功能。
2.下载保护
值得关注的第二个选项是用户下载 Check Point 模拟不支持的文件的能力。 由于在本节中,我们将从安全角度考虑对标准威胁防御策略的改进,因此最好的选择是阻止下载不受支持的文件。
3. 文件保护
您还需要注意保护文件的设置 - 特别是定期扫描的设置以及用户推迟强制扫描的能力。 在这种情况下,必须考虑用户的时间范围,从安全和性能角度来看,一个不错的选择是将强制扫描配置为每天运行,时间随机选择(从 00:00 到 8:00)。 XNUMX),用户最多可以延迟一周扫描。
4. 反漏洞利用
标准威胁防御策略的一个显着缺点是反漏洞刀片被禁用。 建议通过阻止操作启用此刀片,以保护工作站免受利用漏洞的攻击。 通过此修复,CheckMe 重新测试可以成功完成,而不会检测到用户生产计算机上的漏洞。
结论
让我们总结一下:在本文中,我们熟悉了标准威胁防护策略的组成部分,使用各种方法和工具测试了该策略,并描述了改进标准策略设置以提高用户计算机安全级别的建议。 在本系列的下一篇文章中,我们将继续研究数据保护策略并查看全局策略设置。
。 为了不错过有关 SandBlast 代理管理平台主题的下一篇出版物,请关注我们社交网络上的更新 (, , , , ).
来源: habr.com