Русский
Русский
English
Статистика
Реклама

Endpoint protection

3. Check Point SandBlast Agent Management Platform. Политика Threat Prevention

06.08.2020 10:11:52 | Автор: admin
image

Добро пожаловать на третью статью цикла о новой облачной консоли управления защитой персональных компьютеров Check Point SandBlast Agent Management Platform. Напомню, что в первой статье мы познакомились с порталом Infinity Portal и создали облачный сервис управления агентами Endpoint Management Service. Во второй статье мы изучили интерфейс веб-консоли управления и установили агента со стандартной политикой на пользовательскую машину. Сегодня мы рассмотрим содержимое стандартной политики безопасности Threat Prevention и протестируем её эффективность противодействия популярным атакам.

Стандартная политика Threat Prevention: описание




На рисунке выше представлено стандартное правило политики Threat Prevention, которое по умолчанию распространяется на всю организацию (всех установленных агентов) и включает в себя три логические группы компонентов защиты: Web & Files Protection, Behavioral Protection и Analysis & Remediation. Рассмотрим подробнее каждую из групп.

Web & Files Protection


URL Filtering
URL Filtering позволяет контролировать доступ пользователей к веб-ресурсам, для чего используются предустановленные 5 категорий сайтов. Каждая из 5 категорий содержит несколько более специфических подкатегорий, что позволяет настроить, например, блокировку доступа к подкатегории Games и разрешить доступ к подкатегории Instant Messaging, входящих в одну категорию Productivity Loss. Адреса URL, относящиеся к конкретным подкатегориям, определяются компанией Check Point. Проверить категорию, к которой относится конкретный URL, или запросить переопределение категории можно на специальном ресурсе URL Categorization.
В качестве действия можно настроить Prevent, Detect или Off. Также при выборе действия Detect автоматически добавляется настройка, позволяющая пользователям пропустить предупреждение URL Filtering и перейти к интересующему ресурсу. В случае действия Prevent данную настройку можно убрать и пользователь не сможет получить доступ к запрещённому сайту. Также удобным способом контроля запрещённых ресурсов является настройка Block List, в котором можно указывать домены, IP-адреса или загружать файл формата .csv со списком доменов для блокировки.



В стандартной политике для URL Filtering установлено действие Detect и выбрана одна категория Security, для которой будет осуществляться детектирование событий. Данная категория включает в себя различные анонимайзеры, сайты с уровнем риска Critical/High/Medium, фишинговые сайты, спам и многое другое. При этом пользователи всё равно смогут получить доступ к ресурсу благодаря настройке Allow user to dismiss the URL Filtering alert and access the website.

Download (web) Protection
Emulation & Extraction позволяет проводить эмуляцию загружаемых файлов в облачной песочнице Check Point и осуществлять очистку документов на лету, удаляя потенциально зловредное содержимое, либо конвертируя документ в PDF. Существует три режима работы:

  • Prevent позволяет получить копию очищенного документа до окончательного вердикта эмуляции, либо дождаться завершения эмуляции и скачать сразу оригинальный файл;

  • Detect осуществляет эмуляцию в фоновом режиме, не препятствуя пользователю в получении оригинального файла, вне зависимости от вердикта;

  • Off любые файлы разрешены для загрузки без прохождения эмуляции и очищения потенциально зловредных компонентов.

Также есть возможность выбрать действие для файлов, которые не поддерживаются средствами эмуляции и очистки Check Point можно разрешить или запретить скачивание всех неподдерживаемых файлов.




В стандартной политике для Download Protection установлено действие Prevent с возможностью получить очищенную от потенциально вредоносного содержимого копию оригинального документа, а также разрешающая загрузку файлов, которые не поддерживаются средствами эмуляции и очистки.

Credential Protection
Компонент Credential Protection защищает учётные данные пользователей и включает в себя 2 составляющие: Zero Phishing и Password Protection. Zero Phishing защищает пользователей от доступа к фишинговым ресурсам, а Password Protection уведомляет пользователя о недопустимости использования корпоративных учётных данных за пределами защищаемого домена. Zero Phishing может быть настроен на Prevent, Detect или Off. При установленном действии Prevent есть возможность позволить пользователям пропустить предупреждение о потенциальном фишинговом ресурсе и получить доступ к ресурсу, либо запретить данную возможность и блокировать доступ всегда. При действии Detect у пользователей всегда есть возможность пропустить предупреждение и получить доступ к ресурсу. Password Protection позволяет выбрать защищаемые домены, для которых будет осуществляться проверка паролей на соответствие, и одно из трёх действий: Detect & Alert (уведомляющее пользователя), Detect или Off.



Стандартная политика для Credential Protection предусматривает Prevent для любых фишинговых ресурсов с невозможностью пользователям получить доступ к потенциально зловредному сайту. Также включена защита от использования корпоративных паролей, однако без указанных доменов данная функция не будет работать.

Files Protection
Files Protection отвечает за защиту файлов, которые хранятся на пользовательской машине, и включает в себя два компонента: Anti-Malware и Files Threat Emulation. Anti-Malware является средством, регулярно проводящим сканирование всех пользовательских и системных файлов с помощью сигнатурного анализа. В настройках данного компонента можно настроить параметры регулярного сканирования или случайного времени проведения сканирования, период обновления сигнатур, а также возможность пользователям отменять запланированное сканирование. Files Threat Emulation позволяет осуществлять эмуляцию хранимых на пользовательской машине файлов в облачной песочнице Check Point, однако данная функция безопасности работает только в режиме Detect.



В стандартной политике для Files Protection включена защита с помощью Anti-Malware и обнаружение зловредных файлов с помощью Files Threat Emulation. Регулярное сканирование осуществляется каждый месяц, а сигнатуры на пользовательской машине обновляются каждые 4 часа. При этом настроена возможность пользователям отменить запланированное сканирование, но не позднее чем через 30 дней с момента последнего успешного сканирования.

Behavioral Protection


Anti-Bot, Behavioral Guard & Anti-Ransomware, Anti-Exploit
Группа компонентов защиты Behavioral Protection включает в себя три составляющие: Anti-Bot, Behavioral Guard & Anti-Ransomware и Anti-Exploit. Anti-Bot позволяет отслеживать и блокировать соединения C&C с помощью постоянно обновляемой базы Check Point ThreatCloud. Behavioral Guard & Anti-Ransomware постоянно отслеживает активность (файлы, процессы, сетевые взаимодействия) на пользовательской машине и позволяет предотвратить атаку шифровальщиков на начальных этапах. Помимо этого, данный элемент защиты позволяет восстанавливать файлы, которые успели зашифроваться зловредом. Файлы восстанавливаются в их исходных директориях, либо можно указать специфический путь, где будут храниться все восстановленные файлы. Anti-Exploit позволяет обнаруживать атаки нулевого дня. Для всех компонентов Behavioral Protection поддерживаются три режима работы: Prevent, Detect и Off.



Стандартная политика для Behavioral Protection предусматривает Prevent для компонентов Anti-Bot и Behavioral Guard & Anti-Ransomware, с восстановлением зашифрованных файлов в их исходных директориях. Компонент Anti-Exploit отключен и не используется.

Analysis & Remediation


Automated Attack Analysis (Forensics), Remediation & Response
Для анализа и расследований инцидентов безопасности доступны два компонента безопасности: Automated Attack Analysis (Forensics) и Remediation & Response. Automated Attack Analysis (Forensics) позволяет генерировать отчёты по результатам отражения атак с подробным описанием вплоть до разбора процесса выполнения вредоноса на пользовательской машине. Также есть возможность использовать функцию Threat Hunting, которая даёт возможность осуществлять проактивный поиск аномалий и потенциально вредоносного поведения с помощью предустановленных или создаваемых фильтров. Remediation & Response позволяет настраивать параметры восстановления и карантина файлов после проведения атаки: регулируется взаимодействие пользователей с карантинными файлами, а также есть возможность хранить файлы на карантине в указанной администратором директории.



В стандартной политике Analysis & Remediation включена защита, в которую входят автоматические действия для восстановления (завершение процессов, восстановление файлов и пр.), а также активна опция отправки файлов в карантин, причём пользователи могут только удалять файлы из карантина.

Стандартная политика Threat Prevention: тестирование


Check Point CheckMe Endpoint




Самый быстрый и простой способ проверить защищённость пользовательской машины от наиболее популярных типов атак провести тест с помощью ресурса Check Point CheckMe, который осуществляет ряд типовых атак различных категорий и позволяет получить отчёт по итогам тестирования. В данном случае использовался вариант тестирования Endpoint, при котором на компьютер скачивается и запускается исполняемый файл, и затем начинается процесс проверки.



В процессе проверки защищённости рабочего компьютера SandBlast Agent сигнализирует об идентифицированных и отражённых атаках на компьютере пользователя, например: блейд Anti-Bot сообщает об обнаружении заражения, блейд Anti-Malware обнаружил и удалил зловредный файл CP_AM.exe, а блейд Threat Emulation по результатам эмуляции установил, что файл CP_ZD.exe является вредоносным.



По итогам проведения тестирования с помощью CheckMe Endpoint имеем следующий результат: из 6 категорий атак стандартная политика Threat Prevention не справилась только с одной категорией Browser Exploit. Это объясняется тем, что стандартная политика Threat Prevention не включает в себя блейд Anti-Exploit. Стоит отметить, что без установленного SandBlast Agent пользовательский компьютер прошёл проверку только по категории Ransomware.



KnowBe4 RanSim


Для тестирования работы блейда Anti-Ransomware можно использовать бесплатное решение KnowBe4 RanSim, которое запускает ряд тестов на пользовательской машине: 18 сценариев заражения шифровальщиками и 1 сценарий заражения криптомайнером. Стоит отметить, что наличие в стандартной политике многих блейдов (Threat Emulation, Anti-Malware, Behavioral Guard) с действием Prevent не позволяет корректно запустить данный тест. Однако, даже со сниженным уровнем безопасности (Threat Emulation в режиме Off), тест блейда Anti-Ransomware показывает высокие результаты: 18 из 19 тестов успешно пройдены (1 не запустился).



Вредоносные файлы и документы


Показательной является проверка работы разных блейдов стандартной политики Threat Prevention с помощью зловредных файлов популярных форматов, загружаемых на пользовательскую машину. В данном тесте участвовали 66 файлов форматов PDF, DOC, DOCX, EXE, XLS, XLSX, CAB, RTF. Результаты теста показали, что SandBlast Agent смог заблокировать 64 зловредных файла из 66. Заражённые файлы были удалены после скачивания, либо очищены от вредоносного содержимого с помощью Threat Extraction и получены пользователем.



Рекомендации по улучшению политики Threat Prevention


1. URL Filtering




Первое, что необходимо исправить в стандартной политике для повышения уровня защищённости клиентской машины перевести блейд URL Filtering в Prevent и указать соответствующие категории для блокировки. В нашем случае были выбраны все категории, кроме General Use, так как они включают в себя большинство ресурсов, к которым необходимо ограничить доступ пользователям на рабочем месте. Также для подобных сайтов желательно убрать возможность пользователям пропускать предупредительное окно, сняв галочку с параметра Allow user to dismiss the URL Filtering alert and access the website.

2. Download Protection




Вторым параметром, на который стоит обратить внимание, является возможность пользователям скачивать файлы, которые не поддерживаются эмуляцией Check Point. Так как в данном разделе мы рассматриваем улучшения стандартной политики Threat Prevention с точки зрения безопасности, то лучшим вариантом будет запрет загрузки неподдерживаемых файлов.

3. Files Protection




Также необходимо обратить внимание на настройки для защиты файлов в частности на параметры периодического сканирования и возможности пользователю отложить принудительное сканирование. В данном случае необходимо учитывать временные рамки работы пользователя, и хорошим вариантом с точки зрения безопасности и производительности является настройка выполнения принудительного сканирования каждый день, причём время выбирается случайным образом (с 00:00 до 8:00), и пользователь может отложить сканирование максимум на одну неделю.

4. Anti-Exploit




Значительный недостаток стандартной политики Threat Prevention выключенный блейд Anti-Exploit. Рекомендуется включить данный блейд с действием Prevent, чтобы защитить рабочую станцию от атак с использованием эксплойтов. С данным исправлением повторный тест CheckMe успешно завершается без обнаружения уязвимых мест на рабочей машине пользователя.



Заключение


Подведём итоги: в данной статье мы познакомились с компонентами стандартной политики Threat Prevention, протестировали данную политику с помощью различных методов и средств, а также описали рекомендации по улучшению настроек стандартной политики для повышения уровня защищённости пользовательской машины. В следующей статье цикла мы перейдём к изучению политики Data Protection и рассмотрим настройки Global Policy Settings.

Большая подборка материалов по Check Point от TS Solution. Чтобы не пропустить следующие публикации по теме SandBlast Agent Management Platform следите за обновлениями в наших социальных сетях (Telegram, Facebook, VK, TS Solution Blog, Яндекс.Дзен).
Подробнее..

4. Check Point SandBlast Agent Management Platform. Политика Data Protection. Deployment и Global Policy Settings

19.08.2020 10:04:45 | Автор: admin
image

Добро пожаловать на четвёртую статью цикла о решении Check Point SandBlast Agent Management Platform. В предыдущих статьях (первая, вторая, третья) мы детально описали интерфейс и возможности веб-консоли управления, а также рассмотрели политику Threat Prevention и протестировали её на предмет противодействия различным угрозам. Данная статья посвящена второму компоненту безопасности политике Data Protection, отвечающей за защиту хранимых на пользовательской машине данных. Также в рамках данной статьи мы рассмотрим разделы Deployment и Global Policy Settings.

Политика Data Protection




Политика Data Protection позволяет настроить доступ к хранимым на рабочей машине данным только авторизованным пользователям, используя функции полного шифрования диска (Full Disk Encryption) и защиты процесса загрузки (Boot Protection). На текущий момент поддерживаются следующие варианты настройки шифрования диска: для Windows Check Point Encryption или BitLocker Encryption, для MacOS File Vault. Рассмотрим подробнее возможности и настройки каждого из вариантов.

Check Point Encryption


Check Point Encryption является стандартным методом шифрования диска в политике Data Protection и обеспечивает шифрование всех файлов системы (временные, системные, удалённые) в фоновом режиме без влияния на работоспособность пользовательской машины. После шифрования диск становится недоступным для неавторизованных пользователей.



Основной настройкой для Check Point Encryption является Enable Pre-boot, которая включает необходимость аутентификации пользователей до загрузки операционной системы. Данная опция рекомендуется к использованию, так как предотвращается возможность применения средств обхода аутентификации на уровне операционной системы. Также есть возможность настраивать параметры временного обхода для функции Pre-boot:

  • Allow OS login after temporary bypass отключение функции Pre-boot и переход к аутентификации в операционной системе;

  • Allow pre-boot bypass (Wake On LAN WOL) отключение функции pre-boot на компьютерах, которые подключены к серверу управления через Ethernet;

  • Allow bypass script позволяет настроить обход функции Pre-boot с указанием времени и даты начала работы скрипта и параметры окончания обхода Pre-boot;

  • Allow LAN bypass отключение функции pre-boot при подключении к локальной сети.

Вышеперечисленные опции временного обхода функции Pre-boot не рекомендуется использовать без явных причин (например, технические работы или поиск и устранение проблем) и лучшим решением с точки зрения безопасности является включение функции Pre-boot без указания временных правил обхода. В случае необходимости обходить Pre-boot рекомендуется устанавливать минимально необходимые временные рамки в параметрах временного обхода, чтобы не снижать уровень защиты на продолжительное время.



Также при использовании Check Point Encryption есть возможность настраивать расширенные настройки политики Data Protection, например, более гибко конфигурировать параметры шифрования, настраивать различные аспекты функции Pre-boot и аутентификации Windows.

BitLocker Encryption


BitLocker является частью операционной системы Windows и позволяет шифровать жёсткие диски и съёмные носители. Check Point BitLocker Management является компонентом служб Windows, автоматически запускается вместе с клиентом SandBlast Agent и использует API для управления технологией BitLocker.



При выборе BitLocker Encryption в качестве метода шифрования диска в политике Data Protection можно настроить следующие параметры:

  • Initial Encryption настройки первоначального шифрования, позволяют зашифровать весь диск (Encrypt entire drive), что рекомендуется для машин с уже имеющимися пользовательскими данными (файлы, документы и прочее), или зашифровать только данные (Encrypt used disk space only), что рекомендуется для новых инсталляций Windows;

  • Drives to encrypt выбор дисков/разделов для шифрования, позволяет зашифровать все диски (All drives) или только раздел с операционной системой (OS drive only);

  • Encryption algorithm выбор алгоритма шифрования, рекомендованным является вариант Windows Default, также есть возможность указать XTS-AES-128 или XTS-AES-256.

File Vault


File Vault является стандартным средством шифрования от компании Apple и обеспечивает доступ к данным пользовательского компьютера только авторизованным пользователям. При установленном File Vault пользователю необходимо ввести пароль для запуска системы и получения доступа к зашифрованным файлам. Использование File Vault является единственным способом обеспечения защиты хранимых данных в политике Data Protection для пользователей операционной системы MacOS.



Для File Vault доступна настройка Enable automatic user acquisition, которая требует авторизации пользователя до начала процесса шифрования диска. В случае, если данная функция включена, есть возможность указать количество пользователей, которые должны авторизоваться, прежде чем SandBlast Agent применит функцию Pre-boot, или указать количество дней, по истечении которых функция Pre-boot будет внедрена автоматически для всех авторизованных пользователей, если за этот период хотя бы один пользователь авторизовался в системе.

Восстановление данных


В случае возникновения проблем с загрузкой системы можно воспользоваться различными методами восстановления данных. Администратор может инициировать процесс восстановления зашифрованных данных из раздела Computer Management Full Dick Encryption Actions. В случае использования Check Point Encryption можно расшифровать ранее зашифрованный диск и получить доступ ко всем хранимым файлам. После данной процедуры необходимо заново запускать процесс шифрования диска для работы политики Data Protection.



При выборе BitLocker в качестве метода шифрования диска для восстановления данных необходимо ввести Recovery Key ID проблемного компьютера для генерации Recovery Key, который должен быть введён пользователем для получения доступа к зашифрованному диску.



Для пользователей MacOS с использованием File Vault для защиты хранимой информации процесс восстановления заключается в генерации администратором Recovery Key на основе Serial Number проблемной машины и ввода данного ключа с последующим сбросом пароля.



Политика Deployment


С момента выхода второй статьи, в которой рассматривался интерфейс веб-консоли управления, Check Point успели внести некоторые изменения в раздел Deployment теперь в нём присутствуют подраздел Software Deployment, в котором настраивается конфигурация (включение/отключение блейдов) для уже установленных агентов, и подраздел Export Package, в котором можно создавать пакеты с предустановленными блейдами для дальнейшей установки на пользовательские машины, например, с помощью групповых политик Active Directory. Рассмотрим подраздел Software Deployment, в котором включаются все блейды SandBlast Agent.



Напомню, что в стандартной политике Deployment включены только блейды категории Threat Prevention. С учётом рассмотренной ранее политики Data Protection теперь можно включить данную категорию для установки и работы на клиентской машине с SandBlast Agent. Имеет смысл включить функцию Remote Access VPN, которая позволит пользователю подключаться, например, к корпоративной сети организации, а также категорию Access and Compliance, в которую входят функции Firewall & Application Control и проверка пользовательской машины на соответствие политике Compliance.



Export Package


Подраздел Export Packages предельно прост в использовании: для создания пакета конфигурации необходимо указать его название, выбрать операционную систему (для Windows также указать разрядность) и версию агента, после чего выбрать встраиваемые в пакет политики безопасности. Дополнительно можно указать виртуальную группу, в которую будут входить компьютеры с установленным пакетом, а также выбрать VPN Site с предустановленными адресом подключения и параметрами аутентификации (VPN Site настраиваются в разделе Export Packages Manage VPN Sites). Последний пункт особенно удобен, так как устраняет вероятность ошибки пользователя при конфигурации параметров подключения по VPN.



Global Policy Settings


В настройках Global Policy Settings настраивается один из самых важных параметров пароль для удаления SandBlast Agent с пользовательской машины. После установки агента пользователь не сможет удалить его без ввода пароля, которым по умолчанию является слово "secret" (без кавычек). Однако этот стандартный пароль легко найти в открытых источниках, и при внедрении решения SandBlast Agent рекомендуется сменить стандартный пароль для удаления агента. В Management Platform при стандартном пароле политику можно установить только 5 раз, так что смена пароля для удаления неизбежна.
Помимо этого, в Global Policy Settings настраиваются параметры данных, которые могут отправляться в Check Point для анализа и улучшения работы сервиса ThreatCloud.



Из Global Policy Settings также настраиваются некоторые параметры политики шифрования диска, а именно требования к паролю: сложность, длительность использования, возможность использовать ранее действующий пароль и прочее. В данном разделе можно загрузить собственные изображения вместо стандартных для Pre-boot или OneCheck.



Установка политики


Ознакомившись с возможностями политики Data Protection и настроив соответствующие параметры в разделе Deployment можно приступать к установке новой политики, включающей в себя шифрование диска с помощью Check Point Encryption и остальные блейды SandBlast Agent. После установки политики в Management Platform клиент получит сообщение о необходимости установить новую версию политики сейчас или перенести установку на другое время (максимум 2 дня).



Завершив скачивание и установку новой политики SandBlast Agent предложит пользователю перезагрузить компьютер для включения защиты Full Disk Encryption.



После перезагрузки пользователю необходимо будет ввести свои учётные данные в окне аутентификации Check Point Endpoint Security данное окно будет появляться каждый раз перед стартом операционной системы (Pre-boot). Есть возможность выбрать опцию Single Sign-On (SSO) для автоматического использования учётных данных при аутентификации в Windows.



В случае успешной аутентификации пользователь получает доступ к своей системе, а за кадром начинается процесс шифрования диска. Данная операция никак не влияет на работоспособность машины, хоть и может продолжаться длительное время (в зависимости от объёмов дискового пространства). По завершении процесса шифрования мы можем убедиться, что все блейды включены и функционируют, диск зашифрован, и пользовательская машина защищена.



Заключение


Подведём итоги: в данной статье мы рассмотрели возможности SandBlast Agent по защите хранимой на пользовательской машине информации с помощью шифрования диска в политике Data Protection, изучили настройки распространения политик и агентов через раздел Deployment и установили новую политику с правилами шифрования диска и дополнительными блейдами на машину пользователя. В следующей статье цикла мы детально рассмотрим возможности логирования и отчётности в Management Platform и клиенте SandBlast Agent.

Большая подборка материалов по Check Point от TS Solution. Чтобы не пропустить следующие публикации по теме SandBlast Agent Management Platform следите за обновлениями в наших социальных сетях (Telegram, Facebook, VK, TS Solution Blog, Яндекс.Дзен).
Подробнее..

5. Check Point SandBlast Agent Management Platform. Logs, Reports amp Forensics. Threat Hunting

26.08.2020 10:09:33 | Автор: admin
image

Добро пожаловать на пятую статью цикла о решении Check Point SandBlast Agent Management Platform. С предыдущими статьями можно ознакомиться, перейдя по соответствующей ссылке: первая, вторая, третья, четвёртая. Сегодня мы рассмотрим возможности мониторинга в Management Platform, а именно работу с логами, интерактивными дашбордами (View) и отчётами. Также затронем тему Threat Hunting для выявления актуальных угроз и аномальных событий на машине пользователя.

Logs


Основным источником информации для мониторинга событий безопасности является раздел Logs, который отображает подробную информацию по каждому инциденту, а также позволяет использовать удобные фильтры для уточнения критериев поиска. Например, при нажатии правой кнопкой мыши на параметр (Blade, Action, Severity и пр.) интересующего лога, данный параметр может быть отфильтрован как Filter: Parameter или Filter Out: Parameter. Также для параметра Source может быть выбрана опция IP Tools, в которой можно запустить ping до данного IP-адреса/имени или выполнить nslookup для получения IP-адреса источника по имени.



В разделе Logs для фильтрации событий есть подраздел Statistics, в котором отображается статистика по всем параметрам: временная диаграмма с количеством логов, а также процентные показатели по каждому из параметров. Из данного подраздела можно легко отфильтровать логи без обращения к поисковой строке и написания выражений фильтрации достаточно выбрать интересующие параметры и новый список логов сразу отобразится.



Подробная информация по каждому логу доступна в правой панели раздела Logs, однако более удобным является открытие лога двойным щелчком для анализа содержимого. Ниже приведён пример лога (картинка кликабельна), в котором отображена подробная информация по срабатыванию действия Prevent блейда Threat Emulation на заражённый файл ".docx". Лог имеет несколько подразделов, которые отображают детали события безопасности: сработавшие политика и защита, подробности форензики, информация о клиенте и трафике. Особого внимания заслуживают доступные из лога отчёты Threat Emulation Report и Forensics Report. Данные отчёты также можно открыть из клиента SandBlast Agent.



Threat Emulation Report




При использовании блейда Threat Emulation после осуществления эмуляции в облаке Check Point в соответствующем логе появляется ссылка на подробный отчёт о результатах эмуляции Threat Emulation Report. Содержимое такого отчёта подробно описано в нашей статье про анализ зловредов с помощью форензики Check Point SandBlast Network. Стоит отметить, что данный отчёт является интерактивным и позволяет проваливаться в подробности по каждому из разделов. Также есть возможность просмотреть запись процесса эмуляции в виртуальной машине, скачать оригинальный зловредный файл или получить его хэш, а также обратиться в Check Point Incident Response Team.



Forensics Report


Практически для любого события безопасности генерируется отчёт Forensics Report, который включает в себя подробную информацию о зловредном файле: его характеристики, действия, точку входа в систему и влияние на важные активы компании. Структура отчёта подробно рассматривалась нами в статье про анализ зловредов с помощью форензики Check Point SandBlast Agent. Подобный отчёт является важным источником информации при расследовании событий безопасности, и в случае необходимости можно сразу отправить содержимое отчёта в Check Point Incident Response Team.



SmartView


Check Point SmartView представляет собой удобное средство построения и просмотра динамических дашбордов (View) и отчётов в формате PDF. Из SmartView можно также просматривать пользовательские логи и события аудита для администраторов. На рисунке ниже приведены наиболее полезные отчёты и дашборды для работы с SandBlast Agent.



Отчёты в SmartView представляют собой документы со статистической информацией о событиях за определённый промежуток времени. Поддерживается выгрузка отчётов в формате PDF на машину, где открыт SmartView, а также регулярная выгрузка в PDF/Excel на электронную почту администратора. Помимо этого, поддерживается импорт/экспорт шаблонов отчётов, создание собственных отчётов и возможность скрывать имена пользователей в отчётах. На рисунке ниже представлен пример встроенного отчёта Threat Prevention.



Дашборды (View) в SmartView позволяют администратору получить доступ к логам по соответствующему событию достаточно лишь два раза нажать на интересующий объект, будь то столбец диаграммы или название вредоносного файла. Как и в случае с отчётами можно создавать собственные дашборды и скрывать данные пользователей. Для дашбордов также поддерживается импорт/экспорт шаблонов, регулярная выгрузка в PDF/Excel на электронную почту администратора и автоматическое обновление данных для мониторинга событий безопасности в режиме реального времени.



Дополнительные разделы мониторинга


Описание средств мониторинга в Management Platform будет неполным без упоминания разделов Overview, Computer Management, Endpoint Settings и Push Operations. Данные разделы были подробно описаны во второй статье, однако полезным будет рассмотреть их возможности для решения задач мониторинга. Начнём с Overview, состоящего из двух подразделов Operational Overview и Security Overview, которые представляют собой дашборды с информацией о состоянии защищаемых пользовательских машин и событиях безопасности. Как и при взаимодействии с любым другим дашбордом, подразделы Operational Overview и Security Overview при двойном щелчке по интересующему параметру позволяют попасть в раздел Computer Management с выбранным фильтром (например, Desktops или Pre-Boot Status: Enabled), либо в раздел Logs по конкретному событию. Подраздел Security Overview представляет собой дашборд Cyber Attack View Endpoint, который можно настроить под себя и установить автоматическое обновление данных.



Из раздела Computer Management можно отслеживать состояние агента на пользовательских машинах, статус обновления базы данных Anti-Malware, этапы шифрования диска и многое другое. Все данные обновляются в автоматическом режиме, и для каждого из фильтров отображается процентный показатель подходящих пользовательских машин. Также поддерживается экспорт данных о компьютерах в формате CSV.



Важным аспектом мониторинга защищённости рабочих станций является настройка уведомлений о критичных событиях (Alerts) и экспорта логов (Export Events) для хранения на лог-сервере компании. Обе настройки выполняются в разделе Endpoint Settings, и для Alerts существует возможность подключить почтовый сервер для отправки уведомлений о событиях администратору и сконфигурировать пороговые значения срабатывания/отключения уведомлений в зависимости от процента/количества устройств, подходящих под критерии события. Export Events позволяет настроить пересылку логов из Management Platform на лог-сервер компании для дальнейшей обработки. Поддерживаются форматы SYSLOG, CEF, LEEF, SPLUNK, протоколы TCP/UDP, любые SIEM-системы с работающим syslog-агентом, использование шифрования TLS/SSL и аутентификация syslog-клиента.



Для глубокого анализа событий на агенте или в случае обращения в техническую поддержку можно оперативно собрать логи с клиента SandBlast Agent с помощью принудительной операции в разделе Push Operations. Можно настроить пересылку сформированного архива с логами на серверы Check Point или на корпоративные серверы, также архив с логами сохраняется на пользовательской машине в директории C:\Users\username\CPInfo. Поддерживается запуск процесса сбора логов в указанное время и возможность отложить операцию пользователем.



Threat Hunting


Метод Threat Hunting используется для проактивного поиска зловредных действий и аномального поведения в системе для дальнейшего расследования потенциального события безопасности. Раздел Threat Hunting в Management Platform позволяет осуществлять поиск событий с заданными параметрами в данных пользовательской машины.



Инструмент Threat Hunting имеет несколько предустановленных запросов, например: для классификации зловредных доменов или файлов, отслеживания редких обращений к некоторым IP-адресам (относительно общей статистики). Структура запроса состоит из трёх параметров: индикатор (сетевой протокол, идентификатор процесса, тип файла и пр.), оператор (является, не является, включает в себя, один из и пр.) и тело запроса. В теле запроса можно использовать регулярные выражения, поддерживается использование нескольких фильтров одновременно в строке поиска.



После выбора фильтра и завершения обработки запроса появляется доступ ко всем подходящим событиям, с возможностью просмотреть подробную информацию о событии, поместить объект запроса в карантин или сгенерировать подробный отчёт Forensics Report с описанием события. На текущий момент данный инструмент находится в бета-версии и в дальнейшем планируется расширение набора возможностей, например, добавление информации о событии в виде матрицы Mitre Att&ck.



Заключение


Подведём итоги: в данной статье мы рассмотрели возможности мониторинга событий безопасности в SandBlast Agent Management Platform, изучили новый инструмент для проактивного поиска зловредных действий и аномалий на пользовательских машинах Threat Hunting. Следующая статья станет завершающей в данном цикле и в ней мы рассмотрим наиболее частые вопросы по решению Management Platform и расскажем про возможности тестирования данного продукта.

Большая подборка материалов по Check Point от TS Solution. Чтобы не пропустить следующие публикации по теме SandBlast Agent Management Platform следите за обновлениями в наших социальных сетях (Telegram, Facebook, VK, TS Solution Blog, Яндекс.Дзен).
Подробнее..

6. Check Point SandBlast Agent Management Platform. FAQ. Бесплатное тестирование

31.08.2020 08:22:38 | Автор: admin
image

Добро пожаловать на шестую статью, завершающую цикл материалов о решении Check Point SandBlast Agent Management Platform. В рамках цикла мы рассмотрели основные аспекты разворачивания и администрирования SandBlast Agent с помощью Management Platform. В данной статье мы постараемся ответить на наиболее популярные вопросы, связанные с решением Management Platform, и расскажем о том, как протестировать SandBlast Agent Management Platform с нашей помощью совершенно бесплатно.


FAQ


На текущий момент существует не так много источников информации о SandBlast Agent Management Platform, основными из которых являются: официальный гайд, разделы Infinity Portal и SandBlast Agent на CheckMates. Поэтому мы решили ответить на наиболее популярные вопросы о SandBlast Agent Management Platform, которые интересуют администраторов при рассмотрении данного продукта в качестве решения по защите персональных рабочих мест сотрудников. Также очень подробный FAQ по SandBlast Agent есть в нашем блоге.

1. В чём разница между SandBlast Agent Management Platform и SandBlast Agent Cloud Management?


Решение SandBlast Agent Cloud Management является предшественником Management Platform и позволяет развернуть облачный сервер управления агентами в инфраструктуре Check Point для дальнейшего администрирования с помощью SmartConsole. Это удобный вариант, не требующий затрат ресурсов организации на разворачивание виртуального сервера управления или установки физического устройства, однако ограничением является использование SmartConsole, предусматривающей установку на компьютер администратора и доступной исключительно для Windows. На текущий момент Check Point рекомендуют именно SandBlast Agent Management Platform в качестве основного решения для облачного администрирования агентов, о чём свидетельствует информационное сообщение при попытке создать приложение SandBlast Agent Cloud Management на Infinity Portal.



2. Как лицензируется SandBlast Agent Management Platform?


Для использования SandBlast Agent Management Platform не требуется лицензия, возможность развернуть приложение в Infinity Portal для управления агентами даётся даже при покупке лицензии на одного SandBlast Agent. Также стоит отметить, что при регистрации аккаунта в Infinity Portal предоставляется временная лицензия на 30 дней, после чего необходимо использовать действующую лицензию для SandBlast Agent. Проверка действующей лицензии осуществляется автоматически без участия администратора достаточно привязать аккаунт Check Point к Infinity Portal в разделе Global Settings Contracts Associated Accounts.



3. Как лицензируется SandBlast Agent?


Существует несколько спецификаций SandBlast Agent, отличающихся набором блейдов, подходящих для разных задач защиты пользовательских машин. Ниже приведена таблица с официального сайта Check Point, демонстрирующая различия актуальных спецификаций SandBlast Agent. После выбора подходящей спецификации лицензирование осуществляется на необходимое количество конечных устройств.



4. Какие операционные системы поддерживаются для установки SandBlast Agent?


На текущий момент последняя версия SandBlast Agent доступна для Windows (7, 8, 10), Windows Server (2008 R2, 2012 R2, 2012, 2016, 2019), macOS (10.14, 10.15). Также совсем недавно Check Point анонсировали выход бета-версии под Linux, о чём мы рассказывали в соответствующей статье. Актуальную информацию о текущих релизах SandBlast Agent всегда можно найти в sk117536 Endpoint Security Homepage. Помимо этого, следить за расписанием состоявшихся и будущих релизов SandBlast Agent можно в sk115192 Check Point Endpoint Security Client Support Schedule for New Operating Systems.

5. Можно ли управлять агентами с помощью Management Platform и SmartEndpoint?


При разворачивании агентов через сервис Management Platform поддерживается также и управление с помощью классической консоли SmartEndpoint её можно скачать из раздела Service Management. Однако на текущий момент отсутствует полная обратная совместимость между настройками Management Platform и SmartEndpoint, и при одновременном администрировании агентов с помощью обоих консолей могут возникать конфликты. В первую очередь это связано с использованием единой политики Threat Prevention (так называемая Unified Policy) в Management Platform, где все компоненты безопасности объединены в единую политику. В Management Platform можно установить отображение настроек, совместимое с SmartEndpoint для этого необходимо в разделе Endpoint Settings Policy Operation Mode выбрать User based Policy. В версии Gaia R81 будет веб-интерфейс, который идентичен Management Platform, но на текущий момент рекомендуется использовать одно средство управления агентами во избежание конфликтов настроек.



Как протестировать SandBlast Agent Management Platform?


Протестировать решение SandBlast Agent Management Platform можно самостоятельно либо обратившись к партнёру для проведения полноценного пилотного проекта. При самостоятельном тестировании достаточно зарегистрироваться на Infinity Portal по инструкции из нашей первой статьи цикла, при этом автоматически создастся временная лицензия на месяц для администрирования 100 пользовательских машин.

Вторым вариантом является разворачивание и тестирование SandBlast Agent Management Platform в рамках пилотного проекта, проводимого совместно с инженером компании-партнёра Check Point. Пилотный проект является абсолютно бесплатным и нацелен на демонстрацию работы продукта с возможностью консультаций у квалифицированных специалистов. По вопросу проведения пилотного проекта SandBlast Agent Management Platform можно обратиться к нам по ссылке.

Вместо заключения


В рамках цикла статей по SandBlast Agent Management Platform мы постарались осветить основные возможности решения и на конкретных примерах продемонстрировать настройку важных компонентов безопасности. Будем рады ответить на любые вопросы о продукте в комментариях.

Большая подборка материалов по Check Point от TS Solution. Чтобы не пропустить новые публикации следите за обновлениями в наших социальных сетях (Telegram, Facebook, VK, TS Solution Blog, Яндекс.Дзен).
Подробнее..

Что нужно для самовосстановления удаленных рабочих мест?

25.03.2021 14:07:14 | Автор: admin
How close is the reality of self-repairing endpoints?How close is the reality of self-repairing endpoints?

По мере того, как рабочие места во всех странах планомерно переехали из офисов в домашние сети, проблема простоев и восстановления после сбоев стала намного более острой. В этом посте мы поговорим о том, какие технологии позволяют обеспечить возможность самовосстановления рабочего места, а также о преимуществах интегрированных решений для конечных точек.

Хотим мы этого или нет, но мир постепенно двигается к действительно распределенным инфраструктурам. Если до 2020 года речь шла о мобильных устройствах и BYOD, то с началом пандемии лидерами по подключению к корпоративным сетям стали домашние компьютеры.

В одном из прошлых постов (ссылка) мы говорили о результатах исследования Acronis Cyber Readiness Report. Отчет показал, что более трети всех компаний в мире столкнулись с проблемой подключения и управления новыми устройствами. И проблема обеспечения надежной защиты данных на этих часто вообще никак не сконфигурированных для рабочих процессов компьютеров, является не единственной. Оказалось, что обеспечить постоянную доступность удаленного рабочего места тоже непросто особенно с учетом явного смещения фокуса внимания киберпреступности на удаленных работников.

По данным исследования Acronis Cyber Threats 2020 (ссылка), За прошлый год 31% компаний были атакованы каждый день, причем версии вредоносного ПО постоянно обновлялись среднее время жизни одного экземпляра не превышало 4 дня. Подобное положение дел создает реальный риск взлома хотя бы одной системы из корпоративного периметра (который давно уже не периметр, а решето). При этом аналитики из Aberdeen сообщают, что стоимость простоя рабочих мест на протяжении часа даже для СМБ может составлять до $8,600 в час. В случае с крупным бизнесом все еще хуже при неудачном стечении обстоятельств, простой может обойтись в сотни тысяч долларов в час по мнению аналитиков Gartner.

Что с этим делать, если рабочие места теперь физически разбросаны по миру? В идеале хотелось бы, чтобы компьютеры могли самостоятельно привести себя в порядок. Для этого нужно, чтобы на конечном устройстве уже было установлено ПО, которое способно отразить атаку, восстановиться и не допустить повторения инцидента. Может показаться, что все это из разряда фантастики, но на самом деле уже сегодня подобные модели киберзащиты реализованы на практике.

Интеграция компонентов играет ключевую роль

Сама идея автономной киберзащиты с возможностью самовосстановления включает в себя интеграцию компонентов систем безопасности, в том числе использующих искусственный интеллект. Например, корпоративные системы кибербезопасности могут работать вместе со средствами защиты конечных точек. Что интересно, при этом каждый из защитных компонентов помогает повысить эффективность другого.

Самый простой пример интеграция между системой резервного копирования и средствами киберзащиты на базе ИИ. Если в компании регулярно создаются резервные копии, значит искусственному интеллекту можно предложить огромное количество примеров рабочего места или сервера, который находится в нормальном состоянии. Применив к этому набору данных методику машинного обучения, мы можем повысить эффективность обнаружения вредоносной активности, а также лучше распознавать многократно проверенные процессы то есть снизить уровень ложных срабатываний. Такой подход помогает сэкономить время специалистов и сократить время простоя систем.

С другой стороны, восстановление рабочего места из резервной копии в ручном режиме это достаточно затратная по времени задача. Более того, иногда сотрудники, находящиеся в удаленном режиме работы, не могут сделать это самостоятельно, и тогда приходится говорить о дополнительном времени простоя, подключении ИТ-специалистов и так далее.

Но в случае отлаженной интеграции между системой резервного копирования и противодействия вредоносной активности помогает ускорить и упростить этот процесс. Например, после атаки на рабочее место можно автоматически распознать поврежденные файлы и запустить их фоновое восстановление. Также полезно оказывается сканировать уже созданные резервные копии на предмет наличия вредоносных файлов, чтобы не получить сюрприз после восстановления. Учитывая, что скорость генерации новых версий вредоносного ПО растет в геометрической прогрессии, такая проверка может выявить недавно полученные заражения.

Патчи и самовосстановление

Однако восстановление это еще не все. Например, корпоративные пользователи решений Acronis много раз жаловались на то, что восстановить рабочее место в зараженном окружении оказывается невозможно. При попытке удаленно развернуть полнодисковый образ ОС, они почти сразу получали зараженную машину, потому что вирус, червь или троян использовал незакрытую в этом образе уязвимость.

Поэтому, если мы говорим о реальной устойчивости систем к атакам, к потребностям восстановления хочется добавить еще один аспект установку патчей. Это позволяет дополнительно снизить потенциальное время простоя, исключая возможность повторной атаки через те же самые бреши. Сейчас в большинстве случаев этим занимается ИТ-департамент. И существует целый ряд причин, по которым патчинг происходит нерегулярно. Однако при интеграции в общий контур киберзащиты системы патч-менеджмента мы можем автоматизировать этот процесс.

В общем-то именно это стало причиной нашего стремления встроить систему патч-менеджмента в единый контур киберзащиты. На практике все это работает очень просто в случае обнаружения атаки соответствующий модуль проверяет, не появилось ли обновлений безопасности для определенной ОС или ПО, а далее автоматически загружает и устанавливает их.

Как это будет работать на практике?

На самом деле постепенное внедрение комплексных средств киберзащиты приводит к тому, что такой подход уже работает. В числе результатов минимизация простоев, более надежная защита корпоративных данных и, что немаловажно, освобождение ресурсов ИТ-персонала. Ведь если у клиента система сама обнаружила атаку, сама нашла патч и сама восстановилась, тикет в службу поддержки вообще не заводится, а сотрудник просто продолжает работать, когда все действия модулей защиты будут завершены. Если же атака не повлияла на работоспособность системы в целом, то процессы восстановления вообще могут проходить в фоновом режиме.

Расскажите, доводилось ли вам сталкиваться на практике со сложностью восстановления рабочих мест удаленных сотрудников? Есть ли у вас мысли по организации самовосстановления эндпоинтов или, быть может, в вашей компании уже используется такая практика? Поделитесь своими мыслями в комментариях.

Подробнее..

Категории

Последние комментарии

  • Имя: Макс
    24.08.2022 | 11:28
    Я разраб в IT компании, работаю на арбитражную команду. Мы работаем с приламы и сайтами, при работе замечаются постоянные баны и лаги. Пацаны посоветовали сервис по анализу исходного кода,https://app Подробнее..
  • Имя: 9055410337
    20.08.2022 | 17:41
    поможем пишите в телеграм Подробнее..
  • Имя: sabbat
    17.08.2022 | 20:42
    Охренеть.. это просто шикарная статья, феноменально круто. Большое спасибо за разбор! Надеюсь как-нибудь с тобой связаться для обсуждений чего-либо) Подробнее..
  • Имя: Мария
    09.08.2022 | 14:44
    Добрый день. Если обладаете такой информацией, то подскажите, пожалуйста, где можно найти много-много материала по Yggdrasil и его уязвимостях для написания диплома? Благодарю. Подробнее..
© 2006-2024, personeltest.ru