7. Überprüfen Sie den Punkt auf das Maximum. Sandboxing. Fazit

  • Tutorial


Willkommen zu Lektion 7. Ich möchte sofort warnen, dass diese Lektion die letzte ist. Zuletzt für diesen Kurs. Die Pläne sind bereits zwei neue Kurse, also bleiben Sie dran. Und das Thema der heutigen Lektion ist Sandboxing (d. H. Die Sandbox). Und bevor ich darüber spreche, was es ist und was nützlich ist, möchte ich ein kleines Ergebnis der bereits von uns geleisteten Arbeit zusammenfassen. Lassen Sie uns noch einmal das behandelte Material durchgehen.

Zugangskontrolle


Ganz am Anfang haben wir die These aufgestellt, dass eines der Schlüsselelemente des Netzwerkschutzes der menschliche Faktor ist . Wie immer hängt alles von den Frames ab. Die richtige Einrichtung löst die meisten Sicherheitsprobleme.
Danach haben wir begonnen, verschiedene Klingen zu diskutieren, die den Schutz verbessern sollen. Das Hauptziel ist es, den möglichen Angriffsbereich zu minimieren . In diesem Prozess ist jede Klinge wichtig und ergänzt die anderen. Leider habe ich die Konfigurationsfunktionen aller Blades nicht berücksichtigt, und es ist unmöglich, wahrscheinlich alles in den Rahmen eines Kurses zu verschieben.
Tatsächlich können alle Check Point-Blades in zwei Kategorien unterteilt werden: Zugriffskontrolle und Bedrohungsprävention. Beginnen wir mit der ersten Kategorie. Welche Blades und Funktionen sind in der Zugriffskontrolle enthalten und wie können sie den Angriffsbereich reduzieren?



  • Firewall - Ich denke, jeder versteht, dass die Firewall alles Unnötige „hacken“ sollte. Hier müssen Sie auf jeden Fall den Ansatz verwenden: "Alles, was nicht erlaubt ist, ist verboten." Für Benutzer reicht es beispielsweise in den meisten Fällen aus, nur Port 80 und 443 zuzulassen, und nicht mehr!
  • SSL-Inspektion - Ich glaube, ich konnte Sie davon überzeugen, dass dies eine sehr wichtige Sache ist und dass wir ohne sie eine große Lücke in unserem Sicherheitssystem haben. Viele interessante Dinge können durch Port 443 gehen, wenn Sie diesen Verkehr nicht wie erwartet untersuchen.
  • Filtern der URL - spricht der Name für sich. Mit dieser Funktion müssen wir alle potenziell gefährlichen Internetressourcen schließen. Natürlich hängt alles von der Sicherheitsrichtlinie des Unternehmens ab, aber Sie müssen zugeben, dass es einige Kategorien von Websites gibt, die definitiv geschlossen werden sollten. Viele Ressourcen sind allgemein als Malware-Distributoren bekannt. Indem wir den Zugang zu ihnen schließen, reduzieren wir den Angriffsbereich erheblich.
  • Identitätsbewusstsein - Ermöglicht die Steuerung des Zugriffs anhand von Benutzerkonten (anstelle von IP-Adressen). Dies macht unsere Sicherheitsrichtlinien flexibler und mobiler. Sie wird persönlicher.
  • Anwendungssteuerung - Mit diesem Blade können wir eine Vielzahl potenziell gefährlicher Programme blockieren. TeamViewer, RDP, Tor, verschiedene VPN-Anwendungen und vieles mehr. Sehr oft erkennt der Benutzer selbst nicht, wie gefährlich die von ihm installierte Anwendung ist.
  • Content Awareness ist eine weitere sehr nützliche Funktion, mit der Sie das Herunterladen (oder Hochladen) einer bestimmten Dateikategorie verhindern können. Wie gesagt, Ihre Benutzer sollten keine ausführbaren Dateien herunterladen und hoffen, dass das Antivirenprogramm Sie rettet. Darüber hinaus kann der Benutzer manchmal nicht einmal vermuten, dass ein Hintergrund begonnen hat, etwas herunterzuladen. Content Awareness hilft in diesem Fall.
  • Geo Protection ist eine weitere Funktion, über die ich leider nicht gesprochen habe. Mit dieser „Funktion“ können Sie den eingehenden und ausgehenden Datenverkehr eines beliebigen Landes für Ihr Netzwerk blockieren. Aus irgendeinem Grund bin ich sicher, dass Ihre Benutzer die Ressourcen von Bangladesch oder Kongo nicht besuchen müssen. Aber die Angreifer nutzen gerne die Server von Ländern, in denen die Gesetzgebung in Bezug auf Cyberkriminalität eher schlecht entwickelt ist.

Bedrohungsprävention


Wir reduzieren den Angriffsbereich weiter. Schauen wir uns die Blades der Kategorie Threat Prevention an. Dies sind reine "Sicherheits" -Funktionen:



  • Wir haben bereits die Bedeutung der richtigen Setup diskutiert Antivirus . Ich denke, die Laborarbeit hat Sie überzeugt.
  • In zwei vergangenen Lektionen haben wir uns mit IPS befasst . Wie sich herausstellte, kann dieses Blade nicht nur den Netzwerkverkehr scannen, sondern auch Virendateien „abfangen“.
  • Anti-Bot . Leider haben wir das nicht berücksichtigt. Aber der Punkt ist ganz einfach. Wenn einer Ihrer Computer infiziert wird und versucht, die Kommandozentrale (dh das klassische Botnetz) zu erreichen, kann Anti-Bot diesen Vorgang „sehen“, die Sitzung unterbrechen und den Administrator benachrichtigen.

Was verbindet diese drei Klingen? Sie arbeiten nur mit bekannten Bedrohungen . Dies ist entweder eine Signatur oder eine Liste fehlerhafter IP-Adressen oder URLs von der globalen Basis des Threat Cloud-Checkpoints. Wie effektiv ist es heute?
Jüngsten Berichten zufolge können solche traditionellen Signaturverteidigungen etwa 70% der bestehenden Bedrohungen abwehren. Und dann kann dieser Indikator nur mit der richtigen Konfiguration erreicht werden. Ich denke, es ist für alle offensichtlich, dass dies katastrophal unzureichend ist. Was tun, wenn eine bisher unbekannte Malware "fliegt" und Signaturschutzmittel vermasselt werden? Denken Sie, dass dies Fiktion und Marketing-Fiktion ist? Im folgenden Video betrachte ich ausführlich ein Beispiel für die Umgehung eines Antivirenprogramms beim Scannen nach VirusTotal. Der erste Teil ist theoretisch und dupliziert den obigen TextScrollen Sie bis zur 6. Minute .



Sandkasten


Im selben Video zeigen wir die Funktionen der Check Point-Sandbox. Das Konzept einer Sandbox (Sandbox) erschien vor relativ kurzer Zeit. Und viele stehen dieser Schutzklasse immer noch skeptisch gegenüber (erinnern Sie sich an die Geschichte über IPS). Was ist die Aufgabe des Sandkastens?



Wie Sie wissen, unterscheidet sich diese Überprüfungsmethode grundlegend von der Signaturanalyse. Natürlich ist nicht alles so einfach wie auf dieser Folie beschrieben. Moderne Sandkästen (insbesondere Check Point-Sandkästen) verwenden viele Technologien, um Viren zu erkennen. Wir werden uns jetzt nicht auf ihre Beschreibung konzentrieren. Der Zweck dieser Lektion ist es zu zeigen, dass der traditionelle Signaturansatz Schwächen aufweist und der moderne Schutz ein zusätzliches Schutzniveau benötigt.. Das heißt, Die Sandbox kann als letzte Grenze Ihres Schutzes betrachtet werden, wenn der Virus bereits die Firewall, IPS und Anti-Virus passiert hat.

Was ist das Besondere an der Check Point Sandbox? In der Tat gibt es viele Funktionen. Diese Technologie heißt Check Point SandBlast und umfasst mehrere Blades gleichzeitig:



Dies ist ein sehr umfangreiches Thema. Mit Ihrer Erlaubnis werde ich im Rahmen eines neuen Kurses , den wir in naher Zukunft starten werden, ausführlicher darauf eingehen . In dieser Lektion lautet die Hauptthese:

Die Sandbox ist ein unverzichtbares Element eines umfassenden Netzwerkschutzes.

Sie müssen sich damit abfinden und es für eine Tatsache halten. Das gleiche passierte einmal mit IPS.

Fazit


Damit werden wir wahrscheinlich unseren Kurs beenden. Vielen Dank an alle, die bis zum Ende zugesehen haben. Ich habe aufrichtig versucht, etwas Nützliches zu teilen. Ich hoffe, diese Informationen sind für jemanden nützlich. Leider ist es einfach unmöglich, im Rahmen eines solchen Minikurses absolut alles zu erzählen. Wenn Sie plötzlich Fragen haben, beantworten wir diese gerne. Sie können in unser freigegebenes Postfach oder direkt an mich schreiben.



Bei dieser Gelegenheit möchte ich mich auch bei Alexei Beloglazov (Check Point Company) bedanken, der mir während des gesamten Kurses ständig bei den Beratungen geholfen hat. Alexey, nochmals vielen Dank :)

Außerdem möchte ich Ihnen sagen, dass wir einen völlig kostenlosen Audit-Service für Check Point für Sicherheitseinstellungen anbieten. Im Rahmen dieses Audits werden wir alles überprüfen, was in diesem Kurs besprochen wurde, sowie zusätzliche Dinge, die nicht im Unterricht enthalten waren. Seien Sie deshalb nicht schüchtern, wenden Sie sich bitte an mich oder unsere Ingenieure, die sich gerne mit Ihren Einstellungen befassen und Empfehlungen geben. Sie können über die Site oder über dieselben Postfächer Kontakt aufnehmen .

Vielen Dank für Ihre Aufmerksamkeit und ich warte auf Sie auf einem neuen Kurs!

Nur registrierte Benutzer können an der Umfrage teilnehmen. Bitte komm rein .

Verwenden Sie Sandbox-Klassenlösungen?

  • 33,3% Nein und ich plane nicht 3
  • 33,3% Nein, aber ich plane 3
  • 33,3% Ja, ich benutze 3

Jetzt auch beliebt: