Geekly articles weekly

7. تحقق من النقطة القصوى. وضع الحماية. الخلاصة



مرحبًا بك في الدرس 7. أود على الفور أن أحذر من أن هذا الدرس هو الأخير. تستمر لهذه الدورة. الخطط هي بالفعل دورتين جديدتين ، لذا ترقبوا. وموضوع درس اليوم هو Sandboxing (أي sandbox). وقبل البدء في الحديث عن ماهيته وما هو مفيد ، أود أن ألخص نتيجة صغيرة للعمل الذي أنجزناه بالفعل. دعنا نراجع المواد المغطاة مرة أخرى.

التحكم بالدخول


في البداية ، طرحنا فرضية مفادها أن العامل البشري هو أحد العناصر الرئيسية لحماية الشبكة . كما هو الحال دائمًا ، يعتمد كل شيء على الإطارات. يحل الإعداد الصحيح معظم مشكلات الأمان.
بعد ذلك ، بدأنا في مناقشة مختلف الشفرات المصممة لتعزيز الحماية. الهدف الرئيسي هو تقليل منطقة الهجوم المحتملة . في هذه العملية ، كل شفرة مهمة وتكمل الأخرى. لسوء الحظ ، لم أفكر في ميزات التكوين لجميع الشفرات ، ومن المستحيل دفع كل شيء في إطار دورة واحدة.
في الواقع ، يمكن تقسيم جميع شفرات Check Point إلى فئتين: التحكم في الوصول ومنع التهديدات. لنبدأ بالفئة الأولى. ما هي الشفرات والوظائف المضمنة في التحكم في الوصول وكيف يمكنها تقليل منطقة الهجوم.



  • جدار الحماية - أعتقد أن الجميع يفهم أن جدار الحماية يجب أن "يخترق" كل شيء غير ضروري. هنا يجب عليك بالتأكيد استخدام نهج "كل ما هو غير مسموح به محظور". على سبيل المثال ، بالنسبة للمستخدمين ، يكفي في معظم الحالات السماح بالمنفذ 80 و 443 فقط ، ولا شيء أكثر!
  • تفتيش SSL - أعتقد أنني تمكنت من إقناعك بأن هذا شيء مهم للغاية وأنه بدونه ، لدينا فجوة كبيرة في نظامنا الأمني. يمكن أن يمر الكثير من الأشياء المثيرة للاهتمام عبر المنفذ 443 إذا لم تقم بفحص حركة المرور هذه كما هو متوقع.
  • تصفية URL - يتحدث الاسم عن نفسه. مع هذه الوظيفة ، يجب علينا إغلاق جميع موارد الإنترنت التي يحتمل أن تكون خطرة. بالطبع ، كل شيء يعتمد على السياسة الأمنية للشركة ، ولكن يجب أن تعترف بأن هناك بعض فئات المواقع التي يجب إغلاقها بالتأكيد. تُعرف العديد من الموارد على نطاق واسع باسم موزعي البرامج الضارة. من خلال إغلاق الوصول إليهم ، نقوم بتقليل مساحة الهجوم بشكل كبير.
  • التعرف على الهوية - يسمح لك بالتحكم في الوصول بناءً على حسابات المستخدمين (بدلاً من عناوين IP). وهذا يجعل سياستنا الأمنية أكثر مرونة وتنقلًا. أصبحت أكثر شخصية.
  • التحكم في التطبيق - مع هذه الشفرة ، يمكننا منع عدد كبير من البرامج التي يحتمل أن تكون خطرة. TeamViewer و RDP و Tor والعديد من تطبيقات VPN وأكثر من ذلك بكثير. في كثير من الأحيان ، لا يدرك المستخدم نفسه مدى خطورة التطبيق الذي يقوم بتثبيته.
  • يعد " الوعي بالمحتوى" ميزة أخرى مفيدة جدًا يمكنك من خلالها منع تنزيل (أو تحميل) فئة معينة من الملفات. كما قلت ، لا يجب على المستخدمين تنزيل الملفات القابلة للتنفيذ ويأملون أن يوفر لك برنامج مكافحة الفيروسات. علاوة على ذلك ، في بعض الأحيان قد لا يشك المستخدم في أن الخلفية قد بدأت في تنزيل شيء ما. سيساعدك الوعي بالمحتوى في هذه الحالة.
  • Geo Protection هي ميزة أخرى لم أتحدث عنها للأسف. ستسمح لك هذه "الميزة" بحظر أي حركة مرور (داخلية وخارجية) لأي بلد لشبكتك. لسبب ما ، أنا متأكد من أن المستخدمين لديك لا يحتاجون إلى زيارة موارد بنغلاديش أو الكونغو. لكن المهاجمين يفضلون استخدام خوادم البلدان التي يكون فيها التشريع ضعيفًا إلى حد ما فيما يتعلق بالجرائم الإلكترونية.

منع التهديدات


نواصل تقليص منطقة الهجوم. دعونا نلقي نظرة على شفرات فئة الوقاية من التهديد. هذه وظائف "أمنية" بحتة:



  • لقد درسنا بالفعل أهمية تكوين مكافحة الفيروسات بشكل صحيح. أعتقد أن العمل المخبري أقنعك.
  • في درسين سابقين ، نظرنا إلى IPS . كما اتضح ، لا يمكن لهذه الشفرة فحص حركة مرور الشبكة فحسب ، بل يمكنها أيضًا "التقاط" ملفات الفيروسات.
  • مكافحة البوت . للأسف لم نأخذها بعين الاعتبار. لكن النقطة بسيطة للغاية. إذا أصيب أحد أجهزة الكمبيوتر بطريقة ما بالعدوى وحاول الوصول إلى مركز القيادة (أي الروبوتات الكلاسيكية) ، فسيكون Anti-Bot قادرًا على "رؤية" هذه العملية ، وكسر الجلسة وإخطار المسؤول.

ما يوحد هذه الشفرات الثلاثة؟ إنهم يعملون فقط مع التهديدات المعروفة . هذا إما توقيع أو قائمة بعناوين IP سيئة أو عناوين URL من القاعدة العالمية لنقطة تفتيش Threat Cloud. ما مدى فعاليتها اليوم؟
وفقًا لتقارير حديثة ، فإن هذه الدفاعات التقليدية المميزة قادرة على قطع حوالي 70 ٪ من التهديدات الحالية. وبعد ذلك ، لا يمكن تحقيق هذا المؤشر إلا بالتكوين الصحيح. أعتقد أنه من الواضح للجميع أن هذا غير كافٍ بشكل كارثي. ماذا تفعل إذا تم "ذباب" البرامج الضارة ووسائل حماية التوقيع غير المعروفة؟ هل تعتقد أن هذا هو الخيال والخيال التسويقي؟ في الفيديو أدناه ، أعتبر بالتفصيل مثالًا لتجاوز مضاد للفيروسات مع المسح بحثًا عن VirusTotal. الجزء الأول نظري ويكرر النص أعلاه ، لذلك لا تتردد في التمرير حتى الدقيقة السادسة .



وضع الحماية


في الفيديو نفسه ، نوضح قدرات وضع الحماية Check Check. ظهر مفهوم وضع الحماية (Sandbox) حديثًا نسبيًا. ولا يزال الكثيرون يشككون في هذه الفئة من الحماية (تذكر قصة IPS). ما هي مهمة وضع الحماية؟



كما تعلم ، تختلف طريقة التحقق هذه اختلافًا جوهريًا عن تحليل التوقيع. بالطبع ، كل شيء ليس بهذه البساطة كما هو موضح في هذه الشريحة. تستخدم صناديق الرمل الحديثة (خاصةً صناديق رمل Check Point) العديد من التقنيات للكشف عن الفيروسات. لن نركز على وصفهم الآن. الغرض من هذا الدرس هو إظهار أن نهج التوقيع التقليدي له نقاط ضعف وأن الحماية الحديثة تحتاج إلى مستوى إضافي من الحماية . على سبيل المثال يمكن اعتبار وضع الحماية بمثابة آخر حد لحمايتك عندما يكون الفيروس قد اجتاز بالفعل جدار الحماية و IPS ومكافحة الفيروسات.

ما هو المميز في صندوق الحماية Check Check؟ في الواقع ، هناك الكثير من الميزات. تسمى هذه التقنية Check Point SandBlast وتتضمن عدة شفرات في وقت واحد:



هذا موضوع موسع للغاية ، لذا بعد إذنك ، سأتحدث عن هذا بمزيد من التفاصيل بالفعل في إطار الدورة الجديدة ، والتي سنطلقها في المستقبل القريب جدًا. أما في هذا الدرس ، فإن الأطروحة الرئيسية هي:

يعد وضع الحماية عنصرًا لا غنى عنه لحماية الشبكة الشاملة.

عليك أن تتصالح مع هذا وتأخذه بعين الاعتبار. حدث الشيء نفسه مرة واحدة مع IPS.

الخلاصة


مع هذا ربما ننتهي من دراستنا. جزيل الشكر لكل من شاهد حتى النهاية ، حاولت بصدق مشاركة شيء مفيد. آمل أن تكون هذه المعلومات مفيدة لشخص ما. لسوء الحظ ، من المستحيل ببساطة قول كل شيء في إطار مثل هذه الدورة المصغرة. لذلك ، إذا كانت لديك أسئلة فجأة ، يسعدنا الإجابة عليها. يمكنك الكتابة إلى صندوق البريد المشترك الخاص بنا ، أو مباشرة إلي.



أيضًا ، واغتنام هذه الفرصة ، أود أن أشكر Alexei Beloglazov (شركة Check Point) ، التي ساعدتني باستمرار في المشاورات طوال الدورة. اليكس ، شكرا مرة أخرى :)

بالإضافة إلى ذلك ، أود أن أخبرك أننا نقدم خدمة تدقيق مجانية تمامًا لأمان إعدادات Check Point . كجزء من هذا التدقيق ، سوف نتحقق من كل ما تمت مناقشته في هذه الدورة التدريبية وأشياء إضافية لم يتم تضمينها في الدروس. لذلك ، لا تخجل ، يرجى الاتصال ، أنا أو مهندسينا بكل سرور "نتعمق" في إعداداتك ونقدم توصيات. يمكنك الاتصال من خلال الموقع أو عن طريق نفس صناديق البريد.

شكرا لكم على اهتمامكم وأنا في انتظارك في دورة جديدة!

Source: https://habr.com/ru/post/ar423259/

More articles:


All Articles