歡迎閱讀本系列的第三篇文章,介紹基於雲端的全新個人電腦保護管理控制台 - Check Point SandBlast 代理管理平台。 讓我提醒你,在 我們熟悉了 Infinity Portal,並建立了基於雲端的代理管理服務 Endpoint Management Service。 在 我們研究了 Web 管理控制台介面,並在使用者電腦上安裝了具有標準策略的代理程式。 今天我們將了解標準威脅防禦安全策略的內容,並測試其在應對流行攻擊方面的有效性。
標準威脅防禦策略:說明
上圖顯示了標準威脅防護策略規則,預設情況下該規則適用於整個組織(所有已安裝的代理程式),並包含三個邏輯保護元件組:Web 和檔案保護、行為保護以及分析和修復。 讓我們仔細看看每個組。
網頁和文件保護
網址過濾
URL 過濾可讓您使用預先定義的 5 種網站類別來控制使用者對 Web 資源的存取。 5 個類別中的每一個都包含幾個更具體的子類別,例如,您可以透過這些子類別進行配置,阻止對「遊戲」子類別的存取並允許對「即時訊息」子類別的訪問,這些子類別都包含在同一「生產力損失」類別中。 與特定子類別關聯的 URL 由 Check Point 決定。 您可以檢查特定 URL 所屬的類別或請求特殊資源上的類別覆蓋 .
此操作可以設定為「預防」、「偵測」或「關閉」。 此外,當選擇「偵測」操作時,會自動新增一個設置,讓使用者跳過 URL 過濾警告並轉到感興趣的資源。 如果使用“封鎖”,則可以刪除此設置,使用者將無法存取禁止的站點。 控制禁止資源的另一種便捷方法是設定封鎖列表,您可以在其中指定網域、IP 位址,或上傳包含要封鎖的網域列表的 .csv 檔案。
在 URL 過濾的標準策略中,操作設定為“偵測”,並選擇一個類別 - 安全,將偵測該類別的事件。 此類別包括各種匿名程式、具有嚴重/高/中風險等級的網站、網路釣魚網站、垃圾郵件等等。 但是,由於「允許用戶忽略 URL 過濾警報並訪問網站」設置,用戶仍然能夠存取資源。
下載(網路)保護
模擬和擷取可讓您在 Check Point 雲端沙箱中模擬下載的文件,並動態清理文件、刪除潛在的惡意內容或將文件轉換為 PDF。 共有三種工作模式:
- 防止 — 允許您在最終仿真判決之前取得已清理文件的副本,或等待仿真完成並立即下載原始文件;
- 檢測 — 在背景進行模擬,無論結果如何,都不會阻止使用者接收原始檔案;
- 關閉 — 允許下載任何文件,無需進行模擬和潛在惡意組件的清理。
也可以為 Check Point 模擬和清理工具不支援的檔案選擇操作 - 您可以允許或拒絕下載所有不受支援的檔案。
下載保護的標準策略設定為“封鎖”,它允許您取得已清除潛在惡意內容的原始文件的副本,並允許下載模擬和清理工具不支援的文件。
憑證保護
憑證保護元件保護使用者憑證,包括 2 個元件:零網路釣魚和密碼保護。 零網路釣魚 保護用戶免受網路釣魚資源的訪問,以及 密碼保護 通知使用者不允許在受保護網域之外使用公司憑證。 零網路釣魚可以設定為「阻止」、「偵測」或「關閉」。 設定「封鎖」操作後,可以允許使用者忽略有關潛在網路釣魚資源的警告並獲得對該資源的存取權限,或停用此選項並永久阻止存取。 透過偵測操作,使用者始終可以選擇忽略警告並存取資源。 密碼保護可讓您選擇將檢查密碼合規性的受保護網域,以及以下三種操作之一:偵測和警報(通知使用者)、偵測或關閉。
憑證保護的標準策略是防止任何網路釣魚資源阻止使用者存取潛在的惡意網站。 也啟用了防止使用公司密碼的保護,但如果沒有指定的網域,此功能將無法運作。
文件保護
文件保護負責保護使用者電腦上儲存的文件,包括兩個元件:反惡意軟體和文件威脅模擬。 反惡意軟件 是一種使用簽章分析定期掃描所有使用者和系統檔案的工具。 在此組件的設定中,您可以設定定期掃描或隨機掃描次數、簽章更新週期以及使用者取消排程掃描的能力等設定。 檔案威脅模擬 允許您在 Check Point 雲端沙盒中模擬儲存在使用者電腦上的文件,但是,此安全功能僅在偵測模式下有效。
檔案保護的標準策略包括使用反惡意軟體進行保護以及使用檔案威脅模擬偵測惡意檔案。 每月進行一次定期掃描,使用者機器上的簽名每 4 小時更新一次。 同時,使用者被配置為能夠取消計劃的掃描,但不得遲於上次成功掃描之日起 30 天。
行為保護
反機器人、行為防護與反勒索軟體、反漏洞利用
保護組件的行為保護組包括三個組件:Anti-Bot、Behavioral Guard & Anti-Ransomware 和 Anti-Exploit。 反博特 允許您使用不斷更新的 Check Point ThreatCloud 資料庫來監控和阻止 C&C 連線。 行為防護和反勒索軟體 持續監控使用者電腦上的活動(檔案、進程、網路互動),並允許您在初始階段防止勒索軟體攻擊。 此外,此保護元素可讓您復原已被惡意軟體加密的檔案。 檔案將恢復到其原始目錄,或者您可以指定儲存所有復原檔案的特定路徑。 反滲透 允許您偵測零時差攻擊。 所有行為保護組件都支援三種操作模式:預防、偵測和關閉。
行為保護的標準策略為反機器人、行為防護和反勒索軟體元件提供預防,並在其原始目錄中恢復加密檔案。 Anti-Exploit 元件已停用且未使用。
分析與修復
自動攻擊分析(取證)、修復與回應
有兩個安全元件可用於分析和調查安全事件:自動攻擊分析(取證)和修復與回應。 自動攻擊分析(取證) 允許您產生包含詳細描述的抵禦攻擊結果的報告 - 甚至分析在使用者電腦上執行惡意軟體的過程。 還可以使用威脅搜尋功能,從而可以使用預先定義或建立的過濾器主動搜尋異常和潛在的惡意行為。 補救與回應 允許您配置攻擊後恢復和隔離文件的設定:規範使用者與隔離文件的交互,並且還可以將隔離文件儲存在管理員指定的目錄中。
標準分析和修復策略包括保護,其中包括自動復原操作(結束進程、復原檔案等),並且將檔案傳送到隔離區的選項處於活動狀態,使用者只能從隔離區刪除檔案。
標準威脅防禦策略:測試
檢查點 CheckMe 端點
檢查使用者電腦針對最受歡迎類型的攻擊的安全性的最快、最簡單的方法是使用資源進行測試 ,它執行多種不同類別的典型攻擊,並允許您獲得測試結果報告。 在本例中,使用了端點測試選項,其中下載可執行檔並將其啟動到電腦上,然後開始驗證程序。
在檢查工作電腦的安全性的過程中,SandBlast Agent 會發出有關已識別和反映的對使用者電腦的攻擊的訊號,例如:Anti-Bot 刀片報告偵測到感染、Anti-Malware 刀片已偵測到並刪除了惡意檔案CP_AM.exe,並且威脅模擬刀片已安裝CP_ZD.exe 檔案是惡意的。
根據使用 CheckMe Endpoint 的測試結果,我們得到以下結果:在 6 種攻擊類別中,標準威脅防護策略僅無法應對一個類別 - 瀏覽器漏洞。 這是因為標準威脅防護策略不包括反漏洞利用刀片。 值得注意的是,在沒有安裝 SandBlast Agent 的情況下,使用者的電腦僅在勒索軟體類別下通過了掃描。
KnowBe4 RanSim
要測試反勒索軟體刀片的運作情況,您可以使用免費的解決方案 ,它在用戶的電腦上運行一系列測試:18 個勒索軟體感染場景和 1 個加密挖礦程式感染場景。 值得注意的是,標準策略(威脅模擬、反惡意軟體、行為防護)中存在許多具有預防操作的刀片不允許此測試正確運作。 然而,即使安全等級降低(關閉模式下的威脅模擬),反勒索軟體刀片測試也顯示出很高的結果:18 項測試中有 19 項成功通過(1 項未能啟動)。
惡意文件和文檔
這表示使用下載到使用者電腦的流行格式的惡意檔案來檢查標準威脅防禦策略的不同刀片的操作。 本次測試涉及PDF、DOC、DOCX、EXE、XLS、XLSX、CAB、RTF格式的66個檔案。 測試結果顯示,SandBlast Agent 能夠阻止 64 個惡意檔案中的 66 個。受感染的檔案在下載後被刪除,或使用威脅提取清除惡意內容並由使用者接收。
改進威脅防禦策略的建議
1. URL過濾
為了提高客戶端電腦的安全級別,需要在標準策略中修正的第一件事是將 URL 過濾刀片切換為「封鎖」並指定適當的封鎖類別。 在我們的案例中,選擇了除一般用途之外的所有類別,因為它們包括需要限制工作場所使用者存取的大部分資源。 此外,對於此類網站,建議透過取消選取「允許使用者關閉 URL 過濾警報並造訪網站」參數來取消使用者跳過警告視窗的功能。
2.下載保護
值得關注的第二個選項是使用者下載 Check Point 模擬不支援的檔案的能力。 由於在本節中,我們將從安全角度考慮標準威脅防禦策略的改進,因此最好的選擇是阻止下載不受支援的檔案。
3. 文件保護
您還需要注意保護文件的設定 - 特別是定期掃描的設定以及使用者推遲強制掃描的能力。 在這種情況下,必須考慮使用者的時間範圍,從安全性和效能角度來看,一個不錯的選擇是將強制掃描配置為每天運行,時間隨機選擇(從 00:00 到 8:00)。XNUMX) ,使用者最多可以延遲一週掃描。
4. 反漏洞利用
標準威脅防禦策略的一個顯著缺點是反漏洞刀片被停用。 建議透過阻止操作啟用此刀片,以保護工作站免受利用漏洞的攻擊。 透過此修復,CheckMe 重新測試可以成功完成,而不會偵測到使用者生產電腦上的漏洞。
結論
讓我們總結一下:在本文中,我們熟悉了標準威脅防護策略的組成部分,使用各種方法和工具測試了該策略,並描述了改進標準策略設定以提高使用者電腦安全等級的建議。 在本系列的下一篇文章中,我們將繼續研究資料保護策略並查看全域策略設定。
。 為了不錯過有關 SandBlast 代理管理平台主題的下一篇出版物,請關注我們社交網路上的更新 (, , , , ).
來源: www.habr.com