Willkommen zu Lektion 7. Ich möchte sofort warnen, dass diese Lektion die letzte ist. Zuletzt für diesen Kurs. Die Pläne sind bereits zwei neue Kurse, also bleiben Sie dran. Und das Thema der heutigen Lektion ist
Sandboxing (d. H. Die Sandbox). Und bevor ich darüber spreche, was es ist und was nützlich ist, möchte ich ein kleines Ergebnis der bereits von uns geleisteten Arbeit zusammenfassen. Lassen Sie uns noch einmal das behandelte Material durchgehen.
Zugangskontrolle
Ganz am Anfang haben wir die These aufgestellt, dass eines der
Schlüsselelemente des Netzwerkschutzes der menschliche Faktor ist . Wie immer hängt alles von den Frames ab. Die richtige Einrichtung löst die meisten Sicherheitsprobleme.
Danach haben wir begonnen, verschiedene Klingen zu diskutieren, die den Schutz verbessern sollen.
Das Hauptziel ist es, den möglichen Angriffsbereich zu minimieren . In diesem Prozess ist jede Klinge wichtig und ergänzt die anderen. Leider habe ich die Konfigurationsfunktionen aller Blades nicht berücksichtigt, und es ist unmöglich, wahrscheinlich alles in den Rahmen eines Kurses zu verschieben.
Tatsächlich können alle Check Point-Blades in zwei Kategorien unterteilt werden: Zugriffskontrolle und Bedrohungsprävention. Beginnen wir mit der ersten Kategorie. Welche Blades und Funktionen sind in der Zugriffskontrolle enthalten und wie können sie den Angriffsbereich reduzieren?
- Firewall - Ich denke, jeder versteht, dass die Firewall alles Unnötige „hacken“ sollte. Hier müssen Sie auf jeden Fall den Ansatz verwenden: "Alles, was nicht erlaubt ist, ist verboten." Für Benutzer reicht es beispielsweise in den meisten Fällen aus, nur Port 80 und 443 zuzulassen, und nicht mehr!
- SSL-Inspektion - Ich glaube, ich konnte Sie davon überzeugen, dass dies eine sehr wichtige Sache ist und dass wir ohne sie eine große Lücke in unserem Sicherheitssystem haben. Viele interessante Dinge können durch Port 443 gehen, wenn Sie diesen Verkehr nicht wie erwartet untersuchen.
- URL-Filterung - der Name spricht für sich. Mit dieser Funktion müssen wir alle potenziell gefährlichen Internetressourcen schließen. Natürlich hängt alles von der Sicherheitsrichtlinie des Unternehmens ab, aber Sie müssen zugeben, dass es einige Kategorien von Websites gibt, die definitiv geschlossen werden sollten. Viele Ressourcen sind allgemein als Malware-Distributoren bekannt. Indem wir den Zugang zu ihnen schließen, reduzieren wir den Angriffsbereich erheblich.
- Identitätsbewusstsein - Ermöglicht die Steuerung des Zugriffs anhand von Benutzerkonten (anstelle von IP-Adressen). Dies macht unsere Sicherheitsrichtlinien flexibler und mobiler. Sie wird persönlicher.
- Anwendungssteuerung - Mit diesem Blade können wir eine Vielzahl potenziell gefährlicher Programme blockieren. TeamViewer, RDP, Tor, verschiedene VPN-Anwendungen und vieles mehr. Sehr oft erkennt der Benutzer selbst nicht, wie gefährlich die von ihm installierte Anwendung ist.
- Content Awareness ist eine weitere sehr nützliche Funktion, mit der Sie das Herunterladen (oder Hochladen) einer bestimmten Dateikategorie verhindern können. Wie gesagt, Ihre Benutzer sollten keine ausführbaren Dateien herunterladen und hoffen, dass das Antivirenprogramm Sie rettet. Darüber hinaus kann der Benutzer manchmal nicht einmal vermuten, dass ein Hintergrund begonnen hat, etwas herunterzuladen. Content Awareness hilft in diesem Fall.
- Geo Protection ist eine weitere Funktion, über die ich leider nicht gesprochen habe. Mit dieser Funktion können Sie den Datenverkehr (sowohl eingehend als auch ausgehend) eines beliebigen Landes für Ihr Netzwerk blockieren. Aus irgendeinem Grund bin ich sicher, dass Ihre Benutzer die Ressourcen von Bangladesch oder Kongo nicht besuchen müssen. Aber die Angreifer nutzen gerne die Server von Ländern, in denen die Gesetzgebung in Bezug auf Cyberkriminalität eher schlecht entwickelt ist.
Bedrohungsprävention
Wir reduzieren den Angriffsbereich weiter. Schauen wir uns die Blades der Kategorie Threat Prevention an. Dies sind reine "Sicherheits" -Funktionen:
- Wir haben bereits untersucht, wie wichtig es ist, Antivirus ordnungsgemäß zu konfigurieren. Ich denke, die Laborarbeit hat Sie überzeugt.
- In zwei vergangenen Lektionen haben wir uns mit IPS befasst . Wie sich herausstellte, kann dieses Blade nicht nur den Netzwerkverkehr scannen, sondern auch Virendateien „abfangen“.
- Anti-Bot . Leider haben wir das nicht berücksichtigt. Aber der Punkt ist ganz einfach. Wenn einer Ihrer Computer infiziert wird und versucht, die Kommandozentrale (dh das klassische Botnetz) zu erreichen, kann Anti-Bot diesen Vorgang „sehen“, die Sitzung unterbrechen und den Administrator benachrichtigen.
Was verbindet diese drei Klingen? Sie arbeiten nur mit
bekannten Bedrohungen . Dies ist entweder eine Signatur oder eine Liste fehlerhafter IP-Adressen oder URLs von der globalen Basis des Threat Cloud-Checkpoints. Wie effektiv ist es heute?
Jüngsten Berichten zufolge können solche traditionellen Signaturverteidigungen etwa 70% der bestehenden Bedrohungen abwehren. Und dann kann dieser Indikator nur mit der richtigen Konfiguration erreicht werden. Ich denke, es ist für alle offensichtlich, dass dies katastrophal unzureichend ist. Was tun, wenn eine bisher unbekannte Malware "fliegt" und Signaturschutzmittel vermasselt werden? Denken Sie, dass dies Fiktion und Marketing-Fiktion ist? Im folgenden Video betrachte ich ausführlich ein Beispiel für die Umgehung eines Antivirenprogramms beim Scannen nach VirusTotal. Der erste Teil ist theoretisch und dupliziert den obigen Text. Sie können also
bis zur 6. Minute scrollen .
Sandkasten
Im selben Video zeigen wir die Funktionen der Check Point-Sandbox. Das Konzept einer Sandbox (Sandbox) erschien vor relativ kurzer Zeit. Und viele stehen dieser Schutzklasse immer noch skeptisch gegenüber (erinnern Sie sich an die Geschichte über IPS). Was ist die Aufgabe des Sandkastens?
Wie Sie wissen, unterscheidet sich diese Überprüfungsmethode grundlegend von der Signaturanalyse. Natürlich ist nicht alles so einfach wie auf dieser Folie beschrieben. Moderne Sandkästen (insbesondere Check Point-Sandkästen) verwenden viele Technologien, um Viren zu erkennen. Wir werden uns jetzt nicht auf ihre Beschreibung konzentrieren. Der Zweck dieser Lektion ist es zu zeigen, dass
der traditionelle Signaturansatz Schwächen aufweist und der moderne Schutz ein zusätzliches Schutzniveau benötigt . Das heißt, Die Sandbox kann als letzte Grenze Ihres Schutzes betrachtet werden, wenn der Virus bereits die Firewall, IPS und Anti-Virus passiert hat.
Was ist das Besondere an der Check Point Sandbox? In der Tat gibt es viele Funktionen. Diese Technologie heißt
Check Point SandBlast und umfasst mehrere Klingen gleichzeitig:
Dies ist ein sehr umfangreiches Thema, daher werde ich mit Ihrer Erlaubnis
bereits im Rahmen des neuen Kurses , den wir in naher Zukunft starten werden,
ausführlicher darauf eingehen . In dieser Lektion lautet die Hauptthese:
Die Sandbox ist ein unverzichtbares Element eines umfassenden Netzwerkschutzes.
Sie müssen sich damit abfinden und es für eine Tatsache halten. Das gleiche passierte einmal mit IPS.
Fazit
Damit werden wir wahrscheinlich unseren Kurs beenden. Vielen Dank an alle, die bis zum Ende zugesehen haben. Ich habe aufrichtig versucht, etwas Nützliches zu teilen. Ich hoffe, diese Informationen sind für jemanden nützlich. Leider ist es einfach unmöglich, im Rahmen eines solchen Minikurses absolut alles zu erzählen. Wenn Sie plötzlich Fragen haben, beantworten wir diese gerne. Sie können in unser freigegebenes Postfach oder direkt an mich schreiben.
Bei dieser Gelegenheit möchte ich mich auch bei Alexei Beloglazov (Check Point Company) bedanken, der mir während des gesamten Kurses ständig bei den Beratungen geholfen hat. Alex, nochmals vielen Dank :)
Darüber hinaus möchte ich Ihnen mitteilen, dass wir
einen völlig
kostenlosen Audit-Service für die Sicherheit der Check Point-Einstellungen anbieten . Im Rahmen dieses Audits werden wir alles überprüfen, was in diesem Kurs besprochen wurde, sowie zusätzliche Dinge, die nicht im Unterricht enthalten waren. Seien Sie deshalb nicht schüchtern, wenden Sie sich bitte an mich oder unsere Ingenieure, die sich gerne mit Ihren Einstellungen befassen und Empfehlungen geben. Sie können über die
Site oder über dieselben Postfächer Kontakt aufnehmen.
Vielen Dank für Ihre Aufmerksamkeit und ich warte auf Sie auf einem neuen Kurs!