18 Сентября, 2018

7. Check Point на максимум. Sandboxing. Заключение

Евгений Ольков


Добро пожаловать на 7 урок. Сразу хотелось бы предупредить, что данный урок последний. Последний для данного курса. В планах уже два новых курса, поэтому следите за обновлениями. А тема сегодняшнего урока — Sandboxing (т.е. песочница). И прежде чем начать рассказывать что это такое и чем полезно, мне бы хотелось подвести небольшой итог уже проделанной нами работы. Давайте еще раз пробежимся по пройденному материалу.

Access Control


В самом начале мы выдвинули тезис, что одним из ключевых элементов защиты сети является человеческий фактор. Как всегда все упирается в кадры. Грамотная настройка решает большинство проблем с безопасностью.
После этого мы начали обсуждать различные блейды, которые призваны усилить защиту. Главная цель — максимально сократить возможную площадь атаки. В этом процессе каждый блейд имеет важное значение и дополняет другие. К сожалению, я не рассмотрел особенности настройки всех блейдов, да это и невозможно наверно, запихнуть все в рамки одного курса.
По сути, все блейды Check Point-а можно разделить на две категории: Access Control и Threat Prevention. Давайте начнем с первой категории. Какие же блейды и функции входят в Access Control и как они позволяют сократить площадь атаки.



  • Firewall — Думаю всем понятно, что фаервол должен “рубить” все лишнее. Здесь обязательно нужно использовать подход “Запрещено все, что не разрешено”. К примеру для юзеров, в большинстве случаев достаточно разрешить только 80 и 443 порт, и ничего лишнего!
  • SSL inspection — думаю я смог вас убедить, что это очень важная штука и что без нее, мы имеем огромную дыру в нашей системе безопасности. Через 443 порт может пройти очень много интересного, если не исследовать этот трафик как полагается.
  • URL Filtering — название говорит само за себя. С помощью этой функции мы должны закрыть все потенциально опасные ресурсы интернета. Безусловно все зависит от политики безопасности компании, но согласитесь, что есть некоторые категории сайтов, которые однозначно должны быть закрыты. Многие ресурсы широко известны, как распространители вредоносов. Закрыв к ним доступ, мы сильно сокращаем площадь атаки.
  • Identity Awareness — позволяет управлять доступом на основе учетных записей пользователей (а не IP-адресов). Это делает нашу политику безопасности более гибкой и мобильной. Она становится более персонализированной.
  • Application Control — с помощью этого блейда мы можем заблокировать огромное количество потенциально опасных программ. TeamViewer, RDP, Tor, различные VPN приложения и многое другое. Очень часто, пользователь и сам не осознает, на сколько опасное приложение он устанавливает.
  • Content Awareness — еще одна весьма полезная функция с помощью которой можно предотвратить скачивание (или же upload) определенной категории файлов. Как я уже говорил, не стоит вашим пользователям качать исполняемые файлы и надеяться, что антивирус вас спасет. Более того, иногда пользователь может даже не подозревать, что фоном началась скачка чего либо. Content Awareness в этом случае поможет.
  • Geo Protection — еще одна функция, про которую я к сожалению не рассказал. Данная “фича” позволит заблокировать для вашей сети любой трафик (как входящий, так и исходящий) любой страны. Я почему-то уверен, что вашим пользователям не нужно посещать ресурсы Бангладеша или Конго. А ведь злоумышленники любят использовать сервера стран, где довольно слабо развито законодательство с точки зрения киберпреступности.

Threat Prevention


Продолжаем сокращать площадь атаки. Давайте рассмотрим блейды категории Threat Prevention. Это уже чисто «секьюрные» функции:



  • Мы с вами уже рассмотрели важность правильной настройки Antivirus. Думаю лабораторная работа убедила вас.
  • В двух прошлых уроках мы рассмотрели IPS. Как оказалось, данный блейд может не только сканировать сетевой трафик, но и вполне может “ловить” вирусные файлы.
  • Anti-Bot. Его мы к сожалению не рассмотрели. Но смысл в нем довольно простой. Если каким-то образом один из ваших компьютеров заразился и пытается достучаться до командного центра (т.е. классический botnet), то Anti-Bot сумеет “увидеть” этот процесс, порвет сессию и оповестит администратора.

Что объединяет эти три блейда? Они работают только с известными угрозами. Это либо сигнатуры, либо список плохих ip-адресов или URL из чекпоинтовской глобальной базы Threat Cloud. На сколько это эффективно на сегодняшний день?
Согласно последним отчетам, такие традиционные, сигнатурные средства защиты способны отсекать порядка 70% существующих угроз. И то, этого показателя можно достичь только при грамотной настройке. Думаю всем очевидно, что этого катастрофически недостаточно. Что делать, если “прилетел” ранее неизвестный зловред и сигнатурные средства защиты облажались? Думаете это фантастика и маркетинговая выдумка? В видео ниже я подробно рассматриваю пример обхода антивируса с проверкой на VirusTotal. Первая часть теоретическая и дублирует текст выше, так что смело проматывайте до 6-ой минуты.




Sandbox


В этом же видео мы демонстрируем возможности песочницы Check Point. Понятие песочницы (Sandbox) появилось относительно недавно. И многие до сих пор относятся скептически к этому классу защиты (Вспомните историю про IPS ). В чем задача песочницы?



Как вы понимаете, такой способ проверки кардинально отличается от сигнатурного анализа. Конечно, все не так просто, как описывается в этом слайде. Современные песочницы (особенно песочницы Check Point) используют множество технологий по определению вирусов. Мы сейчас не будем концентрироваться на их описании. Цель данного урока показать, что у традиционного сигнатурного подхода есть недостатки и современная защита нуждается в дополнительном уровне защиты. Т.е. песочницу можно рассматривать как последний рубеж вашей защиты, когда вирус уже прошел межсетевой экран, IPS и Антивирус.

Что же особенного в песочнице Check Point? На самом деле особенностей очень много. Данная технология носит название Check Point SandBlast и включает в себя сразу несколько блейдов:



Это очень обширная тема, так что с вашего позволения, я расскажу об этом более подробно уже в рамках нового курса, который мы запустим в самое ближайшее время. Что же касается данного урока, то главный тезис:

Песочница — обязательный элемент комплексной защиты сети.

С этим нужно смириться и принять за факт. Тоже самое когда-то произошло с IPS.

Заключение


На этом мы пожалуй закончим наш курс. Большое спасибо всем кто досмотрел до конца, я искренне пытался поделиться чем-то полезным. Надеюсь эта информация кому-то пригодится. К сожалению рассказать абсолютно все в рамках такого мини курса просто невозможно. Поэтому если у вас вдруг остались вопросы, мы с радостью на них ответим. Можете писать на наш общий ящик, либо напрямую мне.



Также, пользуясь случаем, хотел бы выразить благодарность Алексею Белоглазову (компания Check Point), который постоянно помогал мне консультациями в течение всего курса. Алексей, спасибо еще раз :)

Кроме того, хотел бы еще рассказать, что мы совершенно бесплатно предоставляем услугу по аудиту security настроек Check Point . В рамках такого аудита мы проверим все что обсуждалось в этом курсе и дополнительные вещи, которые не вошли в уроки. Поэтому не стесняйтесь, обращайтесь, я или наши инженеры с удовольствием “покопаемся” в ваших настройках и выдадим рекомендации. Обращаться можно через сайт или по тем же почтовым ящикам.

Спасибо за внимание и жду вас уже на новом курсе!

Только зарегистрированные пользователи могут участвовать в опросе. Войдите , пожалуйста.

Используете ли вы решения класса «Песочница»?