Threat prevention что это
3. Check Point SandBlast Agent Management Platform. Политика Threat Prevention
Добро пожаловать на третью статью цикла о новой облачной консоли управления защитой персональных компьютеров — Check Point SandBlast Agent Management Platform. Напомню, что в первой статье мы познакомились с порталом Infinity Portal и создали облачный сервис управления агентами Endpoint Management Service. Во второй статье мы изучили интерфейс веб-консоли управления и установили агента со стандартной политикой на пользовательскую машину. Сегодня мы рассмотрим содержимое стандартной политики безопасности Threat Prevention и протестируем её эффективность противодействия популярным атакам.
Стандартная политика Threat Prevention: описание
На рисунке выше представлено стандартное правило политики Threat Prevention, которое по умолчанию распространяется на всю организацию (всех установленных агентов) и включает в себя три логические группы компонентов защиты: Web & Files Protection, Behavioral Protection и Analysis & Remediation. Рассмотрим подробнее каждую из групп.
Web & Files Protection
В стандартной политике для URL Filtering установлено действие Detect и выбрана одна категория — Security, для которой будет осуществляться детектирование событий. Данная категория включает в себя различные анонимайзеры, сайты с уровнем риска Critical/High/Medium, фишинговые сайты, спам и многое другое. При этом пользователи всё равно смогут получить доступ к ресурсу благодаря настройке «Allow user to dismiss the URL Filtering alert and access the website».
Emulation & Extraction позволяет проводить эмуляцию загружаемых файлов в облачной песочнице Check Point и осуществлять очистку документов «на лету», удаляя потенциально зловредное содержимое, либо конвертируя документ в PDF. Существует три режима работы:
В стандартной политике для Download Protection установлено действие Prevent с возможностью получить очищенную от потенциально вредоносного содержимого копию оригинального документа, а также разрешающая загрузку файлов, которые не поддерживаются средствами эмуляции и очистки.
Стандартная политика для Credential Protection предусматривает Prevent для любых фишинговых ресурсов с невозможностью пользователям получить доступ к потенциально зловредному сайту. Также включена защита от использования корпоративных паролей, однако без указанных доменов данная функция не будет работать.
В стандартной политике для Files Protection включена защита с помощью Anti-Malware и обнаружение зловредных файлов с помощью Files Threat Emulation. Регулярное сканирование осуществляется каждый месяц, а сигнатуры на пользовательской машине обновляются каждые 4 часа. При этом настроена возможность пользователям отменить запланированное сканирование, но не позднее чем через 30 дней с момента последнего успешного сканирования.
Behavioral Protection
Стандартная политика для Behavioral Protection предусматривает Prevent для компонентов Anti-Bot и Behavioral Guard & Anti-Ransomware, с восстановлением зашифрованных файлов в их исходных директориях. Компонент Anti-Exploit отключен и не используется.
Analysis & Remediation
В стандартной политике Analysis & Remediation включена защита, в которую входят автоматические действия для восстановления (завершение процессов, восстановление файлов и пр.), а также активна опция отправки файлов в карантин, причём пользователи могут только удалять файлы из карантина.
Стандартная политика Threat Prevention: тестирование
Check Point CheckMe Endpoint
Самый быстрый и простой способ проверить защищённость пользовательской машины от наиболее популярных типов атак — провести тест с помощью ресурса Check Point CheckMe, который осуществляет ряд типовых атак различных категорий и позволяет получить отчёт по итогам тестирования. В данном случае использовался вариант тестирования Endpoint, при котором на компьютер скачивается и запускается исполняемый файл, и затем начинается процесс проверки.
В процессе проверки защищённости рабочего компьютера SandBlast Agent сигнализирует об идентифицированных и отражённых атаках на компьютере пользователя, например: блейд Anti-Bot сообщает об обнаружении заражения, блейд Anti-Malware обнаружил и удалил зловредный файл CP_AM.exe, а блейд Threat Emulation по результатам эмуляции установил, что файл CP_ZD.exe является вредоносным.
По итогам проведения тестирования с помощью CheckMe Endpoint имеем следующий результат: из 6 категорий атак стандартная политика Threat Prevention не справилась только с одной категорией — Browser Exploit. Это объясняется тем, что стандартная политика Threat Prevention не включает в себя блейд Anti-Exploit. Стоит отметить, что без установленного SandBlast Agent пользовательский компьютер прошёл проверку только по категории Ransomware.
KnowBe4 RanSim
Для тестирования работы блейда Anti-Ransomware можно использовать бесплатное решение KnowBe4 RanSim, которое запускает ряд тестов на пользовательской машине: 18 сценариев заражения шифровальщиками и 1 сценарий заражения криптомайнером. Стоит отметить, что наличие в стандартной политике многих блейдов (Threat Emulation, Anti-Malware, Behavioral Guard) с действием Prevent не позволяет корректно запустить данный тест. Однако, даже со сниженным уровнем безопасности (Threat Emulation в режиме Off), тест блейда Anti-Ransomware показывает высокие результаты: 18 из 19 тестов успешно пройдены (1 не запустился).
Вредоносные файлы и документы
Показательной является проверка работы разных блейдов стандартной политики Threat Prevention с помощью зловредных файлов популярных форматов, загружаемых на пользовательскую машину. В данном тесте участвовали 66 файлов форматов PDF, DOC, DOCX, EXE, XLS, XLSX, CAB, RTF. Результаты теста показали, что SandBlast Agent смог заблокировать 64 зловредных файла из 66. Заражённые файлы были удалены после скачивания, либо очищены от вредоносного содержимого с помощью Threat Extraction и получены пользователем.
Рекомендации по улучшению политики Threat Prevention
1. URL Filtering
Первое, что необходимо исправить в стандартной политике для повышения уровня защищённости клиентской машины — перевести блейд URL Filtering в Prevent и указать соответствующие категории для блокировки. В нашем случае были выбраны все категории, кроме General Use, так как они включают в себя большинство ресурсов, к которым необходимо ограничить доступ пользователям на рабочем месте. Также для подобных сайтов желательно убрать возможность пользователям пропускать предупредительное окно, сняв галочку с параметра «Allow user to dismiss the URL Filtering alert and access the website».
2. Download Protection
Вторым параметром, на который стоит обратить внимание, является возможность пользователям скачивать файлы, которые не поддерживаются эмуляцией Check Point. Так как в данном разделе мы рассматриваем улучшения стандартной политики Threat Prevention с точки зрения безопасности, то лучшим вариантом будет запрет загрузки неподдерживаемых файлов.
3. Files Protection
Также необходимо обратить внимание на настройки для защиты файлов — в частности на параметры периодического сканирования и возможности пользователю отложить принудительное сканирование. В данном случае необходимо учитывать временные рамки работы пользователя, и хорошим вариантом с точки зрения безопасности и производительности является настройка выполнения принудительного сканирования каждый день, причём время выбирается случайным образом (с 00:00 до 8:00), и пользователь может отложить сканирование максимум на одну неделю.
4. Anti-Exploit
Значительный недостаток стандартной политики Threat Prevention — выключенный блейд Anti-Exploit. Рекомендуется включить данный блейд с действием Prevent, чтобы защитить рабочую станцию от атак с использованием эксплойтов. С данным исправлением повторный тест CheckMe успешно завершается без обнаружения уязвимых мест на рабочей машине пользователя.
Заключение
Подведём итоги: в данной статье мы познакомились с компонентами стандартной политики Threat Prevention, протестировали данную политику с помощью различных методов и средств, а также описали рекомендации по улучшению настроек стандартной политики для повышения уровня защищённости пользовательской машины. В следующей статье цикла мы перейдём к изучению политики Data Protection и рассмотрим настройки Global Policy Settings.
Большая подборка материалов по Check Point от TS Solution. Чтобы не пропустить следующие публикации по теме SandBlast Agent Management Platform — следите за обновлениями в наших социальных сетях (Telegram, Facebook, VK, TS Solution Blog, Яндекс.Дзен).
Сетевые системы обнаружения атак — принцип действия
Системы для обнаружения и предотвращения вторжений (IPS/IDS intrusion detection and prevention systems) — программно-аппаратные решения, детектирующие и предотвращающие попытки нелегального доступа в корпоративную инфраструктуру.
Это по сути два отдельных класса систем с разными функциональными возможностями, которые нередко объединяют при разработке программно-аппаратных комплексов по сетевой безопасности:
системы по обнаружению вторжений (СОВ или в зарубежной терминологии IDS);
системы по предотвращению вторжений (СПВ или IPS).
К основным функциям систем IDS относятся:
выявление вторжений и сетевых атак;
запись всех событий;
распознавание источника атаки: инсайд или взлом;
информирование служб ИБ об инциденте в реальном времени;
Система обнаружения вторжений собирает и анализирует полученные данные, хранит события с момента подключения к сетевой инфраструктуре и формирует отчеты и управляется из консоли администратора.
Функциональные особенности решений IPS не позволяют детектировать как внешние, так и внутренние атаки в режиме реального времени. Именно поэтому такие решения отлично дополняют программы IDS и работают единовременно.
Система IPS, как правило, предотвращает наиболее популярные сетевые атаки, заданные предустановленными политиками безопасности или проанализированные как отклонение от нормального поведения пользователей и систем. К примеру, предотвращает атаки, нацеленные на повышение прав и получение неавторизованного доступа к конфиденциальной информации, атаки на уязвимые компоненты информационных систем, и блокирует внедрение вредоносных программ, таких как трояны или вирусы в сети компаний.
Технологий IPS работают по следующим методам:
Сигнатура — это шаблон, по которому определяется атака через сравнение с возможным инцидентом. Например:
Email с вложением формата freepics.exe в корпоративной почте;
Лог операционной системы с кодом 645, который обозначает отключение аудита хоста.
Рабочая методика при обнаружении известных угроз, но при неизвестных атаках, где нет шаблона — бесполезен.
Основа технологии в сравнении нормальной активности людей и программ с активностью, отклоняющийся от нормального уровня. В IPS, наделенных модулем UBA (User behaviour analytics) есть «профили», отражающие нормальное поведение пользователей, сетевых узлов, соединений, приложений и трафика. Эти профили формируются с помощью машинного обучения в течение некоторого времени. Например, норма филиала — повышение веб-трафика на 17% в рабочие дни. При значительном превышении этого порога офицеру безопасности приходит соответствующее сообщение. Такой метод позволяет блокировать вторжения, которые были ранее неизвестны, по первым признакам аномалий.
К ключевым функциям IPS относятся:
блокировка атак — прекращение доступа к хостам, обрыв сессии сотрудника, нелегитимно обращающегося к данным;
изменение конфигурации устройств в сети компании для предотвращения атаки;
замена содержания атаки — удаление или фильтрация инфицированных файлов перед отправкой пользователям на уровне сетевых пакетов.
Риск применения IPS в том, что бывают как ложноположительные срабатывания, так и ложноотрицательные. Анализ систем обнаружения вторжений показал, что для оптимальной и своевременной защиты от вторжений важно применять решения, объединяющие в себе функции IDS и все методы подавления атак IPS.
Когда применяются системы обнаружения сетевых атак?
Как показывает практика — сетевые системы обнаружения вторжений должны работать непрерывно. Те компании, которые пренебрегают решениями для детектирования и подавления атак, несут максимальные убытки. Вспомним нашумевшие вирусы-шифровальщики Petya и Wanna Cry — они вскрыли все «болевые» точки и буквально парализовали деятельность организаций. Так как уровень атак с каждым годом только возрастает — решения по их обнаружению должны быть на шаг впереди, чтобы иметь возможность не только расследовать инциденты, но и предотвратить их уже по первым признакам в режиме реального времени.
Основные виды систем обнаружения вторжений
Выбирая систему IPS/IDS для организации важно учитывать их виды, отличающиеся расположением, механизмами работы аналитических модулей. Они могут быть:
Сетевыми (NIDS) — для проверки сетевого трафика с коммутатора. В основе лежит протокол СОВ (PIDS) — мониторит трафик по HTTP и HTTPS-протоколами.
Основанные на прикладных протоколах СОВ (APIDS) — для проверки специализированных прикладных протоколов.
Узловые или Host-Based (HIDS) — анализируют журналы приложений, состояние хостов, системные вызовы.
Требования к IDS/IPS системам
В России требования к системам обнаружения вторжений появились в 2011 году. ФСТЭК России выделила шесть классов защиты СОВ. Отличия между ними в уровне информационных систем и самой информации, подлежащей обработке (персональные данные, конфиденциальная информация, гостайна). Соответствие требованиям регулятора — важный фактор при выборе решений для защиты от вторжений. Поэтому для гарантированного результата в виде отсутствия санкций относительно выбора ПО — стоит обратить внимание на системы обнаружения вторжений, сертифицированные ФСТЭК.
Решение для комплексной сетевой защиты, обнаружения и подавления сетевых атак
Разработчик систем информационной безопасности «Гарда Технологии» выпустил решение «Гарда Монитор», сертифицированное ФСТЭК, как аппаратно-программный комплекс по расследованию сетевых инцидентов на уровне пакетов трафика, позволяющий находить уязвимости в сетевой инфраструктуре компании. Его принцип строился на записи и декодировании всех событий, происходящих в сети организации. Но главная задача безопасности — это не только найти виновных в инциденте, а его предотвратить. Поэтому следующие версии системы получили технологические обновления в виде функций анализа сетевого трафика и разбора содержания пакетов трафика, внедрения модуля поведенческой аналитики для оповещения службы информационной безопасности и обнаружение попыток вторжений в сетевую инфраструктуру в реальном времени.
В качестве системы классов IDS и IPS «Гарда Монитор» осуществляет обнаружение сетевых атак и попытки эксплуатации уязвимостей и работы вредоносного ПО (вирусов, троянов и пр.) на основе сигнатурного и поведенческого анализа. Детектирует факты обращений к командным центрам бот-сетей.
Одно решение, которое отлично масштабируется на территориально-распределенные сети, позволяет защитить сетевую инфраструктуру комплексно, видеть все, что происходит в сети в реальном времени, выявляя все виды вторжений и мгновенно предотвращая атаки. Все это возможно благодаря непрерывному анализу событий и обнаружений отклонений от нормального поведения пользователей и систем в сети.
Узнать как работает «Гарда Монитор» на практике — можно с помощью внедрения пилотного проекта — бесплатно в течение месяца. После чего можно купить систему обнаружения и предотвращения вторжений и адаптировать под все особенности сетевой инфраструктуры.
1. NGFW для малого бизнеса. Новая линейка CheckPoint 1500 Security Gateway
После публикации статьи прошло уже более двух лет, модели 1400 серии на сегодняшний день убраны из продажи. Пришло время для изменений и новшеств, эту задачу CheckPoint постарался реализовать в 1500 серии. В статье мы рассмотрим модели для защиты небольших офисов или филиалов компании, будут представлены технические характеристики, особенности поставки (лицензирование, схемы управления и администрирования), коснемся новых технологий и опций.
Модельный ряд
В качестве новых SMB моделей представлены: 1530, 1550, 1570, 1570R. Ознакомиться с продуктами возможно на странице портала CheckPoint. Логически мы разделим их на три группы: офисный шлюз безопасности с поддержкой WIFI (1530, 1550), офисный шлюз безопасности с поддержкой WIFI + 4G/LTE (1570, 1550), шлюз безопасности для промышленности (1570R).
Cерия 1530, 1550
Модели имеют 5 сетевых интерфейсов для локальный сети и 1 интерфейс для выхода в Интернет, их пропускная способность 1 ГБ. Также в наличие USB-C Сonsole. Что касается технических характеристик, то DataSheet к этим моделям предлагает большое количество измеряемых параметров, мы же остановимся на наиболее важных ( по нашему мнению).
| Характеристики | 1530 | 1550 |
| Максимальное количество соединений в сек | 10 500 | 14 000 |
| Максимальное количество конкурентных соединений | 500 000 | 500 000 |
| Пропускная способность при Firewall + Threat Prevention (Мбит/C) | 340 | 450 |
| Пропускная способность при Firewall + IPS (Мбит/C) | 600 | 800 |
| Пропускная способность Firewall (Мбит/C) | 1000 | 1000 |
* Под Threat Prevention подразумеваются следующие запущенные блейды: Firewall, Application Control и IPS.
Модели 1530, 1550 имеют ряд функциональных возможностей:
Cерия 1570, 1590
Старшие модели в линейке 1500 серии обладают 8 интерфейсами для локальных подключений, 1 интерфейсов для DMZ и 1 интерфейсом для соединения Интернет (пропускная способность всех портов 1 ГБ/c). Также в наличие USB 3.0 Port и USB-C Console. Модели идут с поддержкой 4G/LTE модемов. Включена поддержка Micro-SD карт для расширения внутренней памяти устройства.
Технические характеристики представлены ниже:
| Характеристики | 1570 | 1590 |
| Максимальное количество соединений в сек | 15 750 | 21 000 |
| Максимальное количество конкурентных соединений | 500 000 | 500 000 |
| Пропускная способность при Threat Prevention (Мбит/C) | 500 | 660 |
| Пропускная способность при Firewall + IPS (Мбит/C) | 970 | 1300 |
| Пропускная способность Firewall (Мбит/C) | 2800 | 2800 |
Модели 1570, 1590 имеют ряд функциональных возможностей:
Для сравнения показатели предыдущих моделей:
| Характеристики | 1470 | 1490 |
| Пропускная способность при Threat Prevention + Firewall (Мбит/C) | 500 | 550 |
| Пропускная способность при Firewall + IPS (Мбит/C) | 625 | 800 |
1570R
Отдельного внимания заслуживает NGFW 1570R СheckPoint. Она разработана специально для промышленной индустрии и будет интересна компаниям работающим в сфере: транспортировка, добыча полезных ресурсов (нефть, газ и т.д), производство различных продуктов.
1570R спроектирована с учетом особенностей и условий ее использования:
| Характеристики NGFW | 1570 Rugged |
| Максимальное количество соединений в сек | 13 500 |
| Максимальное количество конкурентных соединений | 500 000 |
| Пропускная способность при Threat Prevention (Мбит/C) | 400 |
| Пропускная способность при Firewall + IPS (Мбит/C) | 700 |
| Пропускная способность Firewall (Мбит/C) | 1900 |
| Рабочие условия применения | -40ºC |
+167ºF)
Кроме этого выделим отдельно ряд функциональных возможностей 1570R:
Управление 1500 серией
Рассмотрев технические характеристики и возможности новых устройств семейства SMB, стоит отметить что существуют различные подходы в части их управления и администрирования. Существуют следующие типовые схемы:
Оно как правило используется в компаниях малого бизнеса, где существует несколько офисов и отсутствует централизованное управление за инфраструктурой. К плюсам можно отнести: доступное развертывание и администрирование NGFW, возможность взаимодействовать с устройствами локально. К минусам относятся ограничения, связанные с возможностями Gaia: отсутствие уровня разделения правил, ограниченные средства мониторинга, отсутствие централизованного хранения логов.
Threat prevention что это
Поставка и внедрение Check Point Next Generation Firewall.
Заказчик: «Государственный специализированный проектный институт» — проектирование объектов международного масштаба.
Год выполнения: 2020
Интеграция и настройка IP-телефонии Asterisk.
Заказчик: производственная компания «СПАРК» — производство и услуги волочения сварочной и нержавеющей проволоки.
Год выполнения: 2020
Проведение СП и СИ технических средств.
Заказчик: «Центр Сетевой Безопасности» — подбор решений и реализация проектов в области информационной безопасности.
Год выполнения: 2020
Отзывы клиентов
Ганин А.В., руководитель логистической и информационной службы Philipp Plein.
Русавский Р.Е., исполнительный директор по информационным технологиям АО «СОГАЗ».
Дополнительная информация
«Каждый из нас имеет право на свободу выбора. Правильно подобранный комплекс ИТ-решений — это инструмент, который позволяет нам самостоятельно выбирать образ жизни, включая дислокацию рабочего места, дресс-код и даже круг общения».
Елена Гуцало,
генеральный директор «Азон».
Вместе с образовательным порталом GeekBrains запустили факультатив про защиту персональных данных, в котором понятным языком структурировали информацию о том, что такое ПДн, где и в каком виде они могут находится, и как на практике обеспечить их защиту. Подробнее.