Willkommen zum dritten Artikel in unserem Check Point Forensic Cycle von Check Point. Dieses Mal werden wir
SandBlast Mobile betrachten . Mobile GerĂ€te sind seit langem ein Teil unseres Lebens. In Smartphones, unserer Arbeit, unserer Freizeit, Unterhaltung, persönlichen Daten. Auch Angreifer wissen davon. Laut dem Check Point-Bericht fĂŒr 2019 sind die drei hĂ€ufigsten Angriffsmethoden fĂŒr Benutzer:
- E-Mail (böswillige AnhÀnge, Links);
- Web (Virensoftware, Phishing);
- Smartphones (schÀdliche Anwendungen, gefÀlschte WiFi-Netzwerke, Phishing).
Wir können die ersten beiden Vektoren mit dem bereits betrachteten
SandBlast Network und
SandBlast Agent schlieĂen . Es bleiben Smartphones, deren Bedrohungen in den Nachrichten immer hĂ€ufiger vorkommen. Um diesen Angriffsvektor zu schĂŒtzen, hat Check Point eine spezielle Lösung -
SandBlast Mobile . Im Folgenden sehen wir uns die Forensik an, die wir bei der Untersuchung von VorfÀllen auf MobilgerÀten erhalten können.
Check Point SandBlast Mobile
Dieses Mittel tauchte vor relativ kurzer Zeit im Check Point-Portfolio auf. Die Bedienung des Systems ist Ă€uĂerst einfach (wahrscheinlich das einfachste aller CP-Produkte). Die gesamte Verwaltung erfolgt ĂŒber ein Cloud-Service-Portal. Dort fĂŒgen Sie mobile GerĂ€te von Benutzern hinzu und dort können Sie deren Status verfolgen. Mit SandBlast Mobile können Sie die folgenden Sicherheitsprobleme lösen:
- Blockieren Sie 0-Tage-Angriffe (als Anwendungen oder Dateien).
- Schutz vor Phishing in jeder mobilen Anwendung (SMS oder Messenger);
- Schutz vor Botnet-Netzwerken (Verhinderung des Verlusts persönlicher oder Unternehmensdaten);
- Blockieren des Zugriffs infizierter GerÀte auf Unternehmensressourcen (wenn das GerÀt infiziert ist oder nicht den Sicherheitsrichtlinien entspricht, können Sie von Ihrem Smartphone aus nicht auf Unternehmensanwendungen zugreifen);
- Sperren des Zugriffs auf schÀdliche Websites.
Zu diesem Produkt gibt es ein ausgezeichnetes Webinar von Amir Aliyev (Firma Check Point):
Mit Ihrer Erlaubnis werde ich die FĂ€higkeiten dieses Agenten nicht detailliert beschreiben. Unsere Artikelserie befasst sich mit Forensik. Aber vielleicht werden wir in naher Zukunft einen separaten Kurs fĂŒr SandBlast Mobile starten (das Produkt ist sehr einfach).
Ein wichtiger Punkt . SandBlast Mobile kann
fĂŒr 50 GerĂ€te 30 Tage lang absolut
kostenlos verwendet
werden . Meiner Meinung nach ist dies eine groĂartige Gelegenheit, die Sicherheit mobiler GerĂ€te (z. B. Unternehmensverwaltung) zu ĂŒberprĂŒfen. Das Verfahren zum Erhalt einer Demo ist recht einfach:
Schreiben Sie uns oder bewerben Sie sich ĂŒber das
Online-Formular .
Forensics SandBlast Mobile - Dashboard
Alle Analysen von böswilligen AktivitÀten beginnen mit dem Haupt-Dashboard im SandBlast Mobile-Cloud-Portal:
Hier können Sie die Anzahl der aktiven GerÀte, Bedrohungen, deren KritikalitÀt usw. sehen. Als nÀchstes können wir direkt zur Liste der Ereignisse (Events & Alerts) gehen und diese nach Schweregrad filtern:
Wir werden den Angriffsvektor, seinen Typ, Details des Ereignisses und tatsÀchlich alle daran beteiligten Benutzer (ihre GerÀte) sehen. Wenn Sie möchten, können Sie Ereignisse nach einem bestimmten GerÀt filtern (GerÀterisiko) und sich mit allen damit verbundenen Bedrohungen vertraut machen:
Das vielleicht interessanteste Element fĂŒr einen Sicherheitsbeamten ist die Registerkarte "App-Analyse", auf der Sie eine böswillige Anwendung "zum Absturz bringen" und feststellen können, was Check Point nicht gefallen hat. Es gibt einen "Risikostufen" -Filter, mit dem wir alle gefĂ€hrlichen Anwendungen sehen können. Zum Beispiel können wir den Testvirus
AV Test AP betrachten :
Hier sehen Sie das allgemeine Urteil ĂŒber die Anwendung, grundlegende Informationen ĂŒber den Hersteller, den Hash der Menge und so weiter. Nicht sehr interessant Schauen wir uns eine andere "virale" Anwendung an -
Ping Tools :
Nachdem Sie sich mit den grundlegenden Informationen vertraut gemacht haben, können Sie sich die Details der Bedrohungen ansehen. Hier sehen wir zum Beispiel, dass die Anwendung den Standort des GerĂ€ts ĂŒberwacht (auch wenn es geschlossen ist) und einige seltsame Verhaltensweisen aufweist:
Interessant ist auch der Abschnitt Anwendungsberechtigungen. Wenn man es betrachtet, stellt sich fast immer die Frage: "Warum benötigt diese Anwendung solche Rechte?"
Dieser Bericht kann als informatives PDF heruntergeladen werden:
Quellen können hier heruntergeladen
werden . Und hier können Sie den Bericht ĂŒber die sensationelle
Schadanwendung CamScanner herunterladen .
Es gibt eine weitere interessante Registerkarte, "Netzwerk", auf der wir die Netzwerke analysieren können, mit denen Ihre Benutzer eine Verbindung herstellen:
SandBlast Mobile mit den Augen des Benutzers
Diese Anwendung verursacht dem Benutzer keine besonderen Probleme. Bei der ersten Installation wird das GerÀt gescannt und eine Beurteilung vorgenommen, ob und welche Bedrohungen vorliegen:
Gleichzeitig kann der Benutzer selbst sehen, was genau dem Agenten in diesen Anwendungen nicht gefallen hat:
Meiner Meinung nach recht umfassende Informationen, die dem Benutzer die Schlussfolgerung ermöglichen, dass die Software schÀdlich ist. Wenn ein Benutzer versucht, eine schÀdliche Anwendung herunterzuladen, funktioniert SandBlast Mobile gleichzeitig sofort:
Der Systemadministrator erhÀlt die gleiche Benachrichtigung.
ZusÀtzliches Material zu Check Point SandBlast Mobile (sehr zu empfehlen).
Fazit
Wie bereits erwĂ€hnt, sind mobile GerĂ€te in unserem tĂ€glichen Leben fest verankert. Die ĂŒberwiegende Mehrheit nutzt Smartphones fĂŒr die Arbeit und hat Zugriff auf Unternehmensdaten. Dies macht mobile GerĂ€te zu einem extrem gefĂ€hrlichen Angriffsvektor in Ihrem Netzwerk, den Sie nicht nur schlieĂen, sondern auch verstehen mĂŒssen, was genau Sie bedroht. Die Forensik von Check Point SandBlast Mobile fĂŒgt sich perfekt in den umfassenden Schutz von Unternehmensdaten und die allgemeine Strategie zur Informationssicherheit ein.
Im nÀchsten Artikel werden wir uns CloudGuard SaaS-Berichte ansehen. Also bleibt dran (
Telegramm ,
Facebook ,
VK ,
TS Solution Blog ),
Yandex.Zen .
PS Wir danken Alexei Beloglazov (Firma Check Point) fĂŒr ihre Hilfe bei der Erstellung dieses Artikels.