anti bot checkpoint что это
Новый программный блейд Anti-Bot от Check Point
Компания Check Point сегодня объявила о выпуске нового программного блейда Anti-Bot, предназначенного для защиты от ботов и угроз целенаправленного взлома. Новый программный блейд Anti-Bot поможет клиентам распознавать ботов и предотвращать поражение системы, блокируя передачу данных между зараженным узлом и удаленными операторами. Производитель утверждает, что внедрение этого решения на всех шлюзах безопасности обеспечит в компаниях защиту от ботов, поддерживая при этом пропускную способность сети на уровне 40 Гбит/с и гарантируя безопасность каналов для бизнес-коммуникаций.
Боты в значительной мере способствуют распространению атак вредоносного ПО, приводящих к потере данных и материальному ущербу. Известны такие ботнеты, как Zeus и Mariposa, которые использовались Интернет-мошенниками для кражи банковских данных и совершения DoS-атак. О некоторых ботнетах пользователи хорошо осведомлены, но большинство атак не поддаются быстрому выявлению, распространяясь по сетям незаметно. Сегодня злоумышленники используют огромное количество скрытых методов конспирации, мешающих антивирусным программам распознавать ботов. Шифрование и альтернативные протоколы маскируют ботов под безопасные потоки информации. Боты часто используются для постоянных угроз целенаправленного взлома (APT); среди таких образцов вредоносного ПО можно назвать, например, Operation Aurora.
Anti-Bot призван предотвращать действия ботов с помощью технологий, позволяющих компаниям выявлять и устранять угрозы, а также препятствовать их появлению. Составной частью решения является Multi-tier ThreatSpect — средство распознавания, которое анализирует трафик на каждом шлюзе, выявляя миллионы типов атак и ботов по таким многочисленным факторам риска, как схожие с ботнетом свойства и удаленный режим управления. После того как бот выявлен, клиенты могут быстро проанализировать степень риска с помощью интуитивно-понятной информационной панели, отображающей ботов и потенциальный ущерб от их присутствия — например, потерю данных или забивание каналов спамом. Решение Check Point Anti-Bot обеспечивает администраторов информацией, необходимой для выявления особо опасных заражений системы. Оно помогает специалистам, отвечающим за безопасность, строить многоуровневую систему защиты и быстрее справляться с возникающими проблемами.
«О масштабах проблемы заставляет задуматься тот факт, что комплекс инструментов, применяемый хакерами для создания бота, стоит 500 долларов США, а убытки, которые несут компании из-за атак, исчисляются миллионами долларов США, — говорит Дорит Дор, вице-президент по продуктам компании Check Point Software Technologies. — Как видно из случаев с ботнетами Mariposa, TDL-4 и Zeus, эти программы являются скрытыми по своей сути и могут инфицировать миллионы компьютеров. Тысячи компаний уже стали жертвами ботов и постоянных угроз целенаправленного взлома (APT), поэтому им необходимо обратить внимание на проблему, чтобы прекратить распространение атак».
В дополнение к технологии распознавания, разработанной Check Point, программный блейд Anti-Bot предоставляет клиентам сложную систему защиты для каждого шлюза, интегрированную с существующими системами безопасности.
Как рассказали в компании, средство распознавания Multi-tier ThreatSpect анализирует трафик на каждом шлюзе безопасности, выявляя ботов по многочисленным факторам риска. Блейд Anti-Bot регулярно получает обновления из облачного хранилища ThreatCloud, что помогает компаниям быть начеку и усиливать систему защиты от постоянно совершенствующихся вредоносных программ.
SandBlast Agent — ответы на популярные вопросы (FAQ)
Что такое Check Point SandBlast Agent?
Песочница Check Point SandBlast Agent осуществляет защиту конечных точек, используя усовершенствованный контроль атак нулевого дня и экспертизу с автоматическим анализом угроз.
SandBlast Agent включает следующие элементы:
Threat Extraction
Активно препятствует попаданию пользовательского вредоносного файла благодаря быстрой реконструкции его копии, таким образом исходные файлы подвергаются проверке на наличие возможных угроз.
Threat Emulation
Обнаруживает атаки нулевого дня и неизвестные атаки. Файлы, которые копируются или загружаются в конечную точку, направляются в песочницу для эмуляции и обнаружения атак.
Anti-Bot
Мониторинг конечной точки для постоянного управления и контроля позволяет администраторам предупреждать заражение устройств, даже если конечная точка находится за NAT и блокирует C&C коммуникацию.
Automated Incident Analysis / Автоматический анализ угроз
Ускоряет процесс распознавания полного жизненного цикла атаки для максимизации производительности рабочих групп реагирования и минимизации вредоносного воздействия. Этот анализ также обеспечивает реальные аналитические отчеты об инциденте, основанные на непрерывном сборе данных, внутреннем анализе атаки, анализе повреждений и заражений.
Если я использую Check Point SandBlast в своей сети, есть ли необходимость в использовании Check Point SandBlast Agent?
Да. Check Point SandBlast Agent расширяет защиту корпоративной сети от атак нулевого дня, обеспечивая прямую защиту конечных точек и автоматический анализ данных.
SandBlast Agent защищает от некоторых видов атак, которые обычно не распознаются. Например, когда конечные точки находятся за пределами сети или при копировании файлов непосредственно в конечную точку через внешние устройства хранения данных.
Если у меня нет шлюза безопасности Check Point, должен ли я использовать SandBlast Agent?
Да, конечно. SandBlast Agent является независимым передовым решением безопасности для конечных точек. Его можно развернуть на любом шлюзе безопасности в корпоративной сети, используя все его возможности.
Если в моей сети уже обеспечена защита конечных точек / AV решение, нужен ли мне SandBlast Agent?
Да. SandBlast Agent улучшит существующее решение следующим образом:
В чём разница между SandBlast Agent и Capsule Cloud?
И SandBlast Agent, и Capsule Cloud предназначены для защит конечных точек, но они отличаются между собой.
Кому больше подходит SandBlast Agent:
а) пользователям, желающим расширить защиту конечных точек от угроз нулевого дня защиты и обеспечить немедленное восстановление документов, даже за пределами корпоративной сети;
б) пользователям, которые хотят получить доступ к анализу атак и ускорить их обнаружение и предотвращение.
Кому больше подходит Capsule Cloud:
а) пользователям, которые хотят расширить возможности сетевых средств защиты динамичных конечных точек;
б) пользователям, которые хотят перенести некоторые функции по обеспечению безопасности из шлюза в облако.
Может ли SandBlast Agent защитить себя и свои данные от воздействия вредоносных программ?
Да. SandBlast Agent имеет возможность самозащиты благодаря использованию самых современных драйверов блокировки и сокрытию своих данных, предотвращая несанкционированный доступ или внешнее воздействие.
3. Check Point SandBlast Agent Management Platform. Политика Threat Prevention
Добро пожаловать на третью статью цикла о новой облачной консоли управления защитой персональных компьютеров — Check Point SandBlast Agent Management Platform. Напомню, что в первой статье мы познакомились с порталом Infinity Portal и создали облачный сервис управления агентами Endpoint Management Service. Во второй статье мы изучили интерфейс веб-консоли управления и установили агента со стандартной политикой на пользовательскую машину. Сегодня мы рассмотрим содержимое стандартной политики безопасности Threat Prevention и протестируем её эффективность противодействия популярным атакам.
Стандартная политика Threat Prevention: описание
На рисунке выше представлено стандартное правило политики Threat Prevention, которое по умолчанию распространяется на всю организацию (всех установленных агентов) и включает в себя три логические группы компонентов защиты: Web & Files Protection, Behavioral Protection и Analysis & Remediation. Рассмотрим подробнее каждую из групп.
Web & Files Protection
В стандартной политике для URL Filtering установлено действие Detect и выбрана одна категория — Security, для которой будет осуществляться детектирование событий. Данная категория включает в себя различные анонимайзеры, сайты с уровнем риска Critical/High/Medium, фишинговые сайты, спам и многое другое. При этом пользователи всё равно смогут получить доступ к ресурсу благодаря настройке «Allow user to dismiss the URL Filtering alert and access the website».
Emulation & Extraction позволяет проводить эмуляцию загружаемых файлов в облачной песочнице Check Point и осуществлять очистку документов «на лету», удаляя потенциально зловредное содержимое, либо конвертируя документ в PDF. Существует три режима работы:
В стандартной политике для Download Protection установлено действие Prevent с возможностью получить очищенную от потенциально вредоносного содержимого копию оригинального документа, а также разрешающая загрузку файлов, которые не поддерживаются средствами эмуляции и очистки.
Стандартная политика для Credential Protection предусматривает Prevent для любых фишинговых ресурсов с невозможностью пользователям получить доступ к потенциально зловредному сайту. Также включена защита от использования корпоративных паролей, однако без указанных доменов данная функция не будет работать.
В стандартной политике для Files Protection включена защита с помощью Anti-Malware и обнаружение зловредных файлов с помощью Files Threat Emulation. Регулярное сканирование осуществляется каждый месяц, а сигнатуры на пользовательской машине обновляются каждые 4 часа. При этом настроена возможность пользователям отменить запланированное сканирование, но не позднее чем через 30 дней с момента последнего успешного сканирования.
Behavioral Protection
Стандартная политика для Behavioral Protection предусматривает Prevent для компонентов Anti-Bot и Behavioral Guard & Anti-Ransomware, с восстановлением зашифрованных файлов в их исходных директориях. Компонент Anti-Exploit отключен и не используется.
Analysis & Remediation
В стандартной политике Analysis & Remediation включена защита, в которую входят автоматические действия для восстановления (завершение процессов, восстановление файлов и пр.), а также активна опция отправки файлов в карантин, причём пользователи могут только удалять файлы из карантина.
Стандартная политика Threat Prevention: тестирование
Check Point CheckMe Endpoint
Самый быстрый и простой способ проверить защищённость пользовательской машины от наиболее популярных типов атак — провести тест с помощью ресурса Check Point CheckMe, который осуществляет ряд типовых атак различных категорий и позволяет получить отчёт по итогам тестирования. В данном случае использовался вариант тестирования Endpoint, при котором на компьютер скачивается и запускается исполняемый файл, и затем начинается процесс проверки.
В процессе проверки защищённости рабочего компьютера SandBlast Agent сигнализирует об идентифицированных и отражённых атаках на компьютере пользователя, например: блейд Anti-Bot сообщает об обнаружении заражения, блейд Anti-Malware обнаружил и удалил зловредный файл CP_AM.exe, а блейд Threat Emulation по результатам эмуляции установил, что файл CP_ZD.exe является вредоносным.
По итогам проведения тестирования с помощью CheckMe Endpoint имеем следующий результат: из 6 категорий атак стандартная политика Threat Prevention не справилась только с одной категорией — Browser Exploit. Это объясняется тем, что стандартная политика Threat Prevention не включает в себя блейд Anti-Exploit. Стоит отметить, что без установленного SandBlast Agent пользовательский компьютер прошёл проверку только по категории Ransomware.
KnowBe4 RanSim
Для тестирования работы блейда Anti-Ransomware можно использовать бесплатное решение KnowBe4 RanSim, которое запускает ряд тестов на пользовательской машине: 18 сценариев заражения шифровальщиками и 1 сценарий заражения криптомайнером. Стоит отметить, что наличие в стандартной политике многих блейдов (Threat Emulation, Anti-Malware, Behavioral Guard) с действием Prevent не позволяет корректно запустить данный тест. Однако, даже со сниженным уровнем безопасности (Threat Emulation в режиме Off), тест блейда Anti-Ransomware показывает высокие результаты: 18 из 19 тестов успешно пройдены (1 не запустился).
Вредоносные файлы и документы
Показательной является проверка работы разных блейдов стандартной политики Threat Prevention с помощью зловредных файлов популярных форматов, загружаемых на пользовательскую машину. В данном тесте участвовали 66 файлов форматов PDF, DOC, DOCX, EXE, XLS, XLSX, CAB, RTF. Результаты теста показали, что SandBlast Agent смог заблокировать 64 зловредных файла из 66. Заражённые файлы были удалены после скачивания, либо очищены от вредоносного содержимого с помощью Threat Extraction и получены пользователем.
Рекомендации по улучшению политики Threat Prevention
1. URL Filtering
Первое, что необходимо исправить в стандартной политике для повышения уровня защищённости клиентской машины — перевести блейд URL Filtering в Prevent и указать соответствующие категории для блокировки. В нашем случае были выбраны все категории, кроме General Use, так как они включают в себя большинство ресурсов, к которым необходимо ограничить доступ пользователям на рабочем месте. Также для подобных сайтов желательно убрать возможность пользователям пропускать предупредительное окно, сняв галочку с параметра «Allow user to dismiss the URL Filtering alert and access the website».
2. Download Protection
Вторым параметром, на который стоит обратить внимание, является возможность пользователям скачивать файлы, которые не поддерживаются эмуляцией Check Point. Так как в данном разделе мы рассматриваем улучшения стандартной политики Threat Prevention с точки зрения безопасности, то лучшим вариантом будет запрет загрузки неподдерживаемых файлов.
3. Files Protection
Также необходимо обратить внимание на настройки для защиты файлов — в частности на параметры периодического сканирования и возможности пользователю отложить принудительное сканирование. В данном случае необходимо учитывать временные рамки работы пользователя, и хорошим вариантом с точки зрения безопасности и производительности является настройка выполнения принудительного сканирования каждый день, причём время выбирается случайным образом (с 00:00 до 8:00), и пользователь может отложить сканирование максимум на одну неделю.
4. Anti-Exploit
Значительный недостаток стандартной политики Threat Prevention — выключенный блейд Anti-Exploit. Рекомендуется включить данный блейд с действием Prevent, чтобы защитить рабочую станцию от атак с использованием эксплойтов. С данным исправлением повторный тест CheckMe успешно завершается без обнаружения уязвимых мест на рабочей машине пользователя.
Заключение
Подведём итоги: в данной статье мы познакомились с компонентами стандартной политики Threat Prevention, протестировали данную политику с помощью различных методов и средств, а также описали рекомендации по улучшению настроек стандартной политики для повышения уровня защищённости пользовательской машины. В следующей статье цикла мы перейдём к изучению политики Data Protection и рассмотрим настройки Global Policy Settings.
Большая подборка материалов по Check Point от TS Solution. Чтобы не пропустить следующие публикации по теме SandBlast Agent Management Platform — следите за обновлениями в наших социальных сетях (Telegram, Facebook, VK, TS Solution Blog, Яндекс.Дзен).
1. Check Point SandBlast Agent Management Platform
Добро пожаловать на новый цикл статей, посвящённый защите персональных рабочих мест с помощью решения Check Point SandBlast Agent и новой облачной системе управления — SandBlast Agent Management Platform. SandBlast Agent рассматривался нами в статьях об анализе зловредов и описании функций новой версии E83.10, и мы давно обещали опубликовать полноценный курс статей по разворачиванию и администрированию агентов. А представленная Check Point облачная система управления агентами Management Platform в рамках Infinity Portal подходит для этого лучше всего — от момента регистрации на портале до запуска сканирования рабочей станции агентом и обнаружения зловредной активности пройдет всего несколько минут.
Почему SandBlast Agent?
Согласно последнему тесту 2020 NSS Labs Advanced Endpoint Protection (AEP) Market Test продукт Check Point SandBlast Agent получил рейтинг «АА» и статус «рекомендовано» со следующими результатами тестов:
SandBlast Agent обеспечивает высокий уровень защищённости рабочих станций пользователей с помощью совместной работы нескольких компонентов, именуемых «блейдами» в терминологии Check Point. Краткое описание блейдов, использующихся в SandBlast Agent:
Помимо перечисленных возможностей, SandBlast Agent позволяет производить полное шифрование диска, а также шифрование съёмных носителей и защиту портов компьютера, имеет встроенный клиент VPN, сигнатурный и эвристический модули защиты от вредоносных программ. Более детально возможности всех компонентов SandBlast Agent будут рассмотрены в последующих статьях, а сейчас пришло время познакомиться с активно развивающейся платформой — Check Point Infinity.
Check Point Infinity: защита от угроз V поколения
Компания Check Point с 2017 года развивает и продвигает единую консолидированную архитектуру безопасности Check Point Infinity, позволяющую успешно защищать все составляющие современной IT-инфраструктуры: сетевую и облачную инфраструктуры, рабочие станции, мобильные устройства. Основная идея — возможность управлять средствами защиты различных категорий из единой браузерной консоли управления.
На текущий момент архитектура Check Point Infinity позволяет администрировать решения по защите облаков — CloudGuard SaaS, сетевой безопасности — CloudGuard Connect, Smart-1 Cloud, Infinity SOC, а также по защите пользовательских устройств с помощью SandBlast Agent Management Platform, SandBlast Agent Cloud Management и SandBlast Web Dashboard.
Данный цикл статей будет посвящён решению SandBlast Agent Management Platform (пока что Beta-версия), которое позволяет в считанные минуты развернуть облачный сервер управления, настроить политику безопасности и распространить агенты на пользовательские компьютеры.
Infinity Portal & SandBlast Agent Management Platform: начало работы
Процесс разворачивания SandBlast Agent с помощью Management Platform состоит из 5 этапов:
1. Регистрация на портале Infinity Portal
В первую очередь необходимо перейти на сайт Infinity Portal и заполнить форму регистрации, указав название компании, контактные данные и согласиться с правилами пользования сервисом и политикой конфиденциальности портала, а также пройти reCAPTCHA. Стоит отметить, что при регистрации можно выбрать страну, в дата-центре которой будут храниться данные, собираемые порталом в соответствии с правилами пользования сервисом и политикой конфиденциальности. Вариантов всего два: Ирландия и США. Для этого необходимо установить галочку «Use specific data residency region» и выбрать страну.
При успешной регистрации на портале на указанную Вами почту придёт письмо, подтверждающее наличие доступа к Infinity Portal и предлагающее залогиниться на портале. Стоит отметить, что при первом входе в портал может потребоваться выбор опции сброса пароля для дальнейшей успешной аутентификации.
2. Регистрация приложения SandBlast Agent Management Platform
После аутентификации на портале и нажатия значка «Menu» (шаг 1 на изображении ниже) Вам будет предложено зарегистрировать приложение из списка доступных по следующим категориям: Cloud Protection, Network Protection и Endpoint Protection. Каждое приложение заслуживает отдельного курса ознакомительных статей, поэтому не будем останавливаться подробнее на них и выбираем в категории Endpoint Protection приложение SandBlast Agent Management Platform (шаг 2 на изображении ниже).
Выбрав приложение, далее необходимо согласиться с правилами пользования сервисом и политикой конфиденциальности портала, и после нажатия кнопки «TRY NOW» открывается доступ к интерфейсу создания сервисов Endpoint Management.
3. Создание нового Endpoint Management Service
Последним этапом является создание нового сервиса для Endpoint Management, который и представляет собой веб-интерфейс для управления агентами. Процесс, как и ранее, предельно прост: выбираем опцию «New Endpoint Management Service» (как показано на рисунке ниже), заполняем данные Вашего нового сервиса (идентификатор, регион хостинга и пароль) и нажимаем кнопку «CREATE».
После окончания процесса создания сервиса на Вашу почту придёт письмо с параметрами, которые Вы можете использовать для подключения к облачному серверу управления с помощью стандартной консоли Check Point для администрирования агентов — SmartEndpoint версии R80.40. Мы не будем рассматривать управление с помощью стандартной консоли, так как данный цикл статей нацелен на демонстрацию возможностей облачной системы управления агентами SandBlast.
На этом процесс регистрации облачного сервиса для управления средством защиты персональных компьютеров SandBlast Agent можно считать успешно завершённым. Перед нами появляется веб-интерфейс платформы администрирования агентов, который будет детально рассмотрен в следующей нашей статье из цикла «Check Point SandBlast Agent Management Platform».
Заключение
Самое время подвести итоги проделанной работы: мы с Вами успешно зарегистрировались на портале Infinity Portal, зарегистрировали приложение SandBlast Agent Management Platform на портале и создали новый облачный сервис управления Endpoint Management Service.
В следующей нашей статье цикла мы детально рассмотрим интерфейс управления агентами — ни одна вкладка не останется без внимания, что позволит нам с Вами без проблем в дальнейшем создать политику безопасности и отслеживать состояние пользовательских машин с помощью логов и отчётов.
Большая подборка материалов по Check Point от TS Solution. Чтобы не пропустить следующие публикации по теме SandBlast Agent Management Platform — следите за обновлениями в наших социальных сетях (Telegram, Facebook, VK, TS Solution Blog, Яндекс.Дзен).