Llegamos al último producto de nuestra serie de artículos de
Check Point Forensics. Esta vez hablaremos sobre la protección de la nube. Es difícil imaginar una empresa que no utilice servicios en la nube (el llamado SaaS). Office 365, GSuite, Slack, Dropbox, etc. Y de mayor interés aquí es el correo electrónico basado en la nube y el almacenamiento de archivos basado en la nube. Lo que usan nuestros empleados todos los días. Sin embargo, los servicios en la nube se encuentran fuera de nuestra red y no hay un perímetro para ellos, como tal. Esto, a su vez, aumenta en gran medida la probabilidad de un ataque contra nuestros usuarios. No hay muchas opciones de seguridad para aplicaciones en la nube. A continuación,
analizamos la solución SaaS de Check Point CloudGuard , contra qué protege y, lo que es más importante, qué análisis forense e informes proporciona. Esto puede ser de interés para aquellos que desean realizar una
auditoría de seguridad de sus servicios en la nube .
Punto de verificación CloudGuard SaaS
El principio de funcionamiento de CloudGuard SaaS es bastante simple. El servicio es una plataforma en la nube que se integra a través de la API con otros servicios SaaS (office365, GSuite, box, dropbox, etc.).
En esencia, CloudGuard SaaS es una capa entre el servicio en la nube y el usuario. Todos los motores CheckPoint verifican todas las cartas o archivos antes de que lleguen al usuario. La plataforma en sí está integrada naturalmente con Check Point ThreatCloud y SandBlast Cloud Sandbox. También puede configurar la integración con varios servicios de autenticación de usuarios (Centryfy, okta, Azure AD, etc.) para verificar completamente los dispositivos de conexión. Todo el control se lleva a cabo a través de una interfaz web intuitiva.
Características clave de Check Point CloudGuard SaaS:
- Protección contra amenazas de día cero
- Protección contra phishing
- Protección de la identidad
- Prevención de fuga de datos
- SaaS Shadow IT Discovery
- Gestión intuitiva de la nube
Puede encontrar más detalles sobre estas funciones en el excelente seminario web de Alexey Beloglazov (compañía de Check Point):
Inmediatamente procederemos al forense.
CloudGuard forense SaaS
Comenzaremos como de costumbre con el panel principal de CloudGuard SaaS, esto es lo primero que verá cuando ingrese a la plataforma. El número total de amenazas por virus, phishing, anomalías, DLP, etc. Allí verá un mapa de incidentes, el número total de usuarios y servicios:
Lo más interesante es la pestaña Eventos, donde puede ver estadísticas sobre incidentes, así como su lista general con la capacidad de filtrar por categoría, reacción, etc.
Al hacer clic en un incidente específico, podemos "fallar" en detalles, por ejemplo, análisis en una dirección de correo electrónico específica de un atacante:
O una descripción de la actividad de phishing en sí:
En la pestaña Eventos, puede filtrar eventos por amenazas como Malware:
y ver análisis de virus detallados:
Como puede ver en nuestro ejemplo, había un archivo adjunto (archivo .xlam) en la carta. Al hacer clic en él, veremos un informe al respecto:
Hay dos puntos interesantes aquí. En primer lugar, puede ver inmediatamente los análisis de este archivo en VirusTotal (busque este hash en VirusTotal). A veces esta información es muy interesante. En nuestro ejemplo, solo 3 antivirus lo identificaron como viral:
Allí puede ver qué puede hacer exactamente este archivo:
Incluso hay un gráfico de relaciones:
La segunda oportunidad interesante es ver el informe de sandbox (Ver informe). Y aquí veremos un tipo de informe que ya nos es familiar:
Como en el caso de
SandBlast Network, también existe la oportunidad de ver el video (presentación de diapositivas) del lanzamiento de este archivo en el sandbox.
Además del informe clásico, podemos ver análisis generales por correo, compartir archivos, etc.
Al mismo tiempo, podemos generar nuestros propios informes de acuerdo con las plantillas preparadas:
con posibilidad de muestreo muy fino y filtrado por varios campos:
Y, por supuesto, el sistema contiene cuarentena de cartas y archivos, que está ausente en el sandbox clásico de Check Point (que prometieron arreglar):
Recomiendo
un artículo de la revista Anti-Malware.ru como material adicional
Conclusión
No creo que valga la pena explicar cuánto más convenientes, asequibles y confiables son los servicios en la nube en estos días. Sin embargo, las "nubes" son un verdadero desafío para la "red de seguridad". A menudo hay que buscar un compromiso o abandonar por completo su uso. Check Point CloudGuard SaaS es una gran herramienta para mantener su infraestructura de nube bajo control.
Otro detalle importante es la facilidad de integración de CloudGuard SaaS. Esto es mucho más fácil que usar pasarelas y cajas de arena clásicas. Configuración en solo unos pocos clics en el navegador. Al mismo tiempo, puede usar la
versión de prueba gratuita (30 días) de este servicio para auditar el nivel actual de seguridad de sus servicios en la nube. En el modo Detectar, recibirá informes completos sobre todas las amenazas, sin afectar su infraestructura. Puede
solicitarnos una licencia de prueba, así como consejos sobre el uso de CloudGuard SaaS.
En un futuro cercano, planeamos lanzar un pequeño curso de video sobre Check Point CloudGuard SaaS. Así que estad atentos (
Telegram ,
Facebook ,
VK ,
TS Solution Blog ,
Yandex.Zen) .