7. Check Point на максимум. Sandboxing. Заключение

Добро пожаловать на 7 урок. Сразу хотелось бы предупредить, что данный урок последний. Последний для данного курса. В планах уже два новых курса, поэтому следите за обновлениями. А тема сегодняшнего урока — Sandboxing (т.е. песочница). И прежде чем начать рассказывать что это такое и чем полезно, мне бы хотелось подвести небольшой итог уже проделанной нами работы. Давайте еще раз пробежимся по пройденному материалу.

Access Control

В самом начале мы выдвинули тезис, что одним из ключевых элементов защиты сети является человеческий фактор. Как всегда все упирается в кадры. Грамотная настройка решает большинство проблем с безопасностью.
После этого мы начали обсуждать различные блейды, которые призваны усилить защиту. Главная цель — максимально сократить возможную площадь атаки. В этом процессе каждый блейд имеет важное значение и дополняет другие. К сожалению, я не рассмотрел особенности настройки всех блейдов, да это и невозможно наверно, запихнуть все в рамки одного курса.
По сути, все блейды Check Point-а можно разделить на две категории: Access Control и Threat Prevention. Давайте начнем с первой категории. Какие же блейды и функции входят в Access Control и как они позволяют сократить площадь атаки.

• Firewall — Думаю всем понятно, что фаервол должен “рубить” все лишнее. Здесь обязательно нужно использовать подход “Запрещено все, что не разрешено”. К примеру для юзеров, в большинстве случаев достаточно разрешить только 80 и 443 порт, и ничего лишнего!
• SSL inspection — думаю я смог вас убедить, что это очень важная штука и что без нее, мы имеем огромную дыру в нашей системе безопасности. Через 443 порт может пройти очень много интересного, если не исследовать этот трафик как полагается.
• URL Filtering — название говорит само за себя. С помощью этой функции мы должны закрыть все потенциально опасные ресурсы интернета. Безусловно все зависит от политики безопасности компании, но согласитесь, что есть некоторые категории сайтов, кот��рые однозначно должны быть закрыты. Многие ресурсы широко известны, как распространители вредоносов. Закрыв к ним доступ, мы сильно сокращаем площадь атаки.
• Identity Awareness — позволяет управлять доступом на основе учетных записей пользователей (а не IP-адресов). Это делает нашу политику безопасности более гибкой и мобильной. Она становится более персонализированной.
• Application Control — с помощью этого блейда мы можем заблокировать огромное количество потенциально опасных программ. TeamViewer, RDP, Tor, различные VPN приложения и многое другое. Очень часто, пользователь и сам не осознает, на сколько опасное приложение он устанавливает.
• Content Awareness — еще одна весьма полезная функция с помощью которой можно предотвратить скачивание (или же upload) определенной категории файлов. Как я уже говорил, не стоит вашим пользователям качать исполняемые файлы и надеяться, что антивирус вас спасет. Более того, иногда пользователь может даже не подозревать, что фоном началась скачка чего либо. Content Awareness в этом случае поможет.
• Geo Protection — еще одна функция, про которую я к сожалению не рассказал. Данная “фича” позволит заблокировать для вашей сети любой трафик (как входящий, так и исходящий) любой страны. Я почему-то уверен, что вашим пользователям не нужно посещать ресурсы Бангладеша или Конго. А ведь злоумышленники любят использовать сервера стран, где довольно слабо развито законодательство с точки зрения киберпреступности.

Threat Prevention

Продолжаем сокращать площадь атаки. Давайте рассмотрим блейды категории Threat Prevention. Это уже чисто «секьюрные» функции:

• Мы с вами уже рассмотрели важность правильной настройки Antivirus. Думаю лабораторная работа убедила вас.
• В двух прошлых уроках мы рассмотрели IPS. Как оказалось, данный блейд может не только сканировать сетевой трафик, но и вполне может “ловить” вирусные файлы.
• Anti-Bot. Его мы к сожалению не рассмотрели. Но смысл в нем довольно простой. Если каким-то образом один из ваших компьютеров заразился и пытается достучаться до командного центра (т.е. классический botnet), то Anti-Bot сумеет “увидеть” этот процесс, порвет сессию и оповестит администратора.

Что объединяет эти три блейда? Они работают только с известными угрозами. Это либо сигнатуры, либо список плохих ip-адресов или URL из чекпоинтовской глобальной базы Threat Cloud. На сколько это эффективно на сегодняшний день?
Согласно последним отчетам, такие традиционные, сигнатурные средства защиты способны отсекать порядка 70% существующих угроз. И то, этого показателя можно достичь только при грамотной настройке. Думаю всем очевидно, что этого катастрофически недостаточно. Что делать, если “прилетел” ранее неизвестный зловред и сигнатурные средства защиты облажались? Думаете это фантастика и маркетинговая выдумка? В видео ниже я подробно рассматриваю пример обхода антивируса с проверкой на VirusTotal. Первая часть теоретическая и дублирует текст выше, так что смело проматывайте до 6-ой минуты.

Sandbox

В этом же видео мы демонстрируем возможности песочницы Check Point. Понятие песочницы (Sandbox) появилось относительно недавно. И многие до сих пор относятся скептически к этому классу защиты (Вспомните историю про IPS ). В чем задача песочницы?



Как вы понимаете, такой способ проверки кардинально отличается от сигнатурного анализа. Конечно, все не так просто, как описывается в этом слайде. Современные песочницы (особенно песочницы Check Point) используют множество технологий по определению вирусов. Мы сейчас не будем концентрироваться на их описании. Цель данного урока показать, что у традиционного сигнатурного подхода есть недостатки и современная защита нуждается в дополнительном уровне защиты. Т.е. песочницу можно рассматривать как последний рубеж вашей защиты, когда вирус уже прошел межсетевой экран, IPS и Антивирус.

Что же особенного в песочнице Check Point? На самом деле особенностей очень много. Данная технология носит название Check Point SandBlast и включает в себя сразу несколько блейдов:



Это очень обширная тема, так что с вашего позволения, я расскажу об этом более подробно уже в рамках нового курса, который мы запустим в самое ближайшее время. Что же касается данного урока, то главный тезис:

Песочница — обязательный элемент комплексной защиты сети.

С этим нужно смириться и принять за факт. Тоже самое когда-то произошло с IPS.

Заключение

На этом мы пожалуй закончим наш курс. Большое спасибо всем кто досмотрел до конца, я искренне пытался поделиться чем-то полезным. Надеюсь эта информация кому-то пригодится. К сожалению рассказать абсолютно все в рамках такого мини курса просто невозможно. Поэтому если у вас вдруг остались вопросы, мы с радостью на них ответим. Можете писать на наш общий ящик, либо напрямую мне.



Также, пользуясь случаем, хотел бы выразить благодарность Алексею Белоглазову (компания Check Point), который постоянно помогал мне консультациями в течение всего курса. Алексей, спасибо еще раз :)

Кроме того, хотел бы еще рассказать, что мы совершенно бесплатно предоставляем услугу по аудиту security настроек Check Point. В рамках такого аудита мы проверим все что обсуждалось в этом курсе и дополнительные вещи, которые не вошли в уроки. Поэтому не стесняйтесь, обращайтесь, я или наши инженеры с удовольствием “покопаемся” в ваших настройках и выдадим рекомендации. Обращаться можно через сайт или по тем же почтовым ящикам.

Спасибо за внимание и жду вас уже на новом курсе!