Wir haben das letzte Produkt aus unserer
Check Point Forensics-Artikelserie. Dieses Mal werden wir über Cloud-Schutz sprechen. Es ist schwer vorstellbar, dass ein Unternehmen keine Cloud-Dienste nutzt (das sogenannte SaaS). Office 365, GSuite, Slack, Dropbox usw. Das größte Interesse gilt dabei der Cloud-basierten E-Mail- und Cloud-basierten Dateispeicherung. Was unsere Mitarbeiter täglich nutzen. Cloud-Dienste befinden sich jedoch außerhalb unseres Netzwerks und es gibt keinen Perimeter für sie als solche. Dies wiederum erhöht die Wahrscheinlichkeit eines Angriffs auf unsere Benutzer erheblich. Es gibt nicht viele Sicherheitsoptionen für Cloud-Anwendungen. Nachfolgend sehen wir uns die
Check Point CloudGuard SaaS-Lösung an , vor was sie schützt und vor allem, welche Forensik und Berichterstellung sie bietet. Dies kann für diejenigen von Interesse sein, die eine
Sicherheitsüberprüfung ihrer Cloud-Dienste durchführen möchten.
Überprüfen Sie Point CloudGuard SaaS
Das Funktionsprinzip von CloudGuard SaaS ist recht einfach. Der Dienst ist eine Cloud-Plattform, die über die API in andere SaaS-Dienste (Office365, GSuite, Box, Dropbox usw.) integriert wird.
CloudGuard SaaS ist im Wesentlichen eine Schicht zwischen dem Cloud-Service und dem Benutzer. Alle Briefe oder Dateien werden von verschiedenen CheckPoint-Engines geprüft, bevor sie den Benutzer erreichen. Die Plattform selbst ist natürlich in Check Point ThreatCloud und die SandBlast Cloud Sandbox integriert. Sie können auch die Integration mit verschiedenen Benutzeridentifizierungsdiensten (Centryfy, Okta, Azure AD usw.) konfigurieren, um die Verbindung der Geräte vollständig zu überprüfen. Die gesamte Steuerung erfolgt über eine intuitive Weboberfläche.
Hauptmerkmale von Check Point CloudGuard SaaS:
- Zero-Day-Bedrohungsschutz
- Phishing-Schutz
- Identitätsschutz
- Verhinderung von Datenlecks
- SaaS Shadow IT-Erkennung
- Intuitives Cloud-Management
Weitere Informationen zu diesen Funktionen finden Sie im hervorragenden Webinar von Alexey Beloglazov (Check Point Company):
Wir werden sofort mit der Forensik fortfahren.
Forensic CloudGuard SaaS
Wir beginnen wie gewohnt mit dem CloudGuard SaaS-Hauptdashboard. Dies ist das erste, was Sie sehen, wenn Sie die Plattform betreten. Die Gesamtzahl der Bedrohungen durch Viren, Phishing, Anomalien, DLP usw. Dort sehen Sie eine Karte der Vorfälle, die Gesamtzahl der Benutzer und Dienste:
Am interessantesten ist die Registerkarte "Ereignisse", auf der Sie Statistiken zu Vorfällen sowie eine allgemeine Liste mit der Möglichkeit zum Filtern nach Kategorie, Reaktion usw. anzeigen können.
Wenn Sie auf einen bestimmten Vorfall klicken, können Details, z. B. Analysen an einer bestimmten E-Mail-Adresse eines Angreifers, fehlschlagen:
Oder eine Beschreibung der Phishing-Aktivität selbst:
Auf der Registerkarte Ereignisse können Sie Ereignisse nach Bedrohungen wie Malware filtern:
und sehen Sie detaillierte Virenanalysen:
Wie Sie in unserem Beispiel sehen können, befand sich im Brief ein Anhang (.xlam-Datei). Wenn Sie darauf klicken, sehen Sie einen Bericht darüber:
Hier gibt es zwei interessante Punkte. Erstens können Sie die Analysen für diese Datei sofort in VirusTotal anzeigen (Durchsuchen Sie diesen Hash in VirusTotal). Manchmal sind diese Informationen sehr interessant. In unserem Beispiel wurde es von nur 3 Antivirenprogrammen als viral identifiziert:
Dort können Sie sehen, was genau diese Datei kann:
Es gibt sogar eine grafische Darstellung der Beziehungen:
Die zweite interessante Möglichkeit ist das Anzeigen des Sandbox-Berichts (Bericht anzeigen). Und hier sehen wir einen Berichtstyp, der uns bereits bekannt ist:
Wie beim
SandBlast Network besteht auch hier die Möglichkeit, sich das Video (Diashow) zum Start dieser Datei in der Sandbox anzusehen.
Zusätzlich zum klassischen Bericht können wir allgemeine Analysen per E-Mail, Dateifreigabe usw. anzeigen.
Gleichzeitig können wir unsere eigenen Berichte nach vorgefertigten Vorlagen erstellen:
mit der Möglichkeit einer sehr feinen Abtastung und Filterung nach verschiedenen Bereichen:
Und natürlich enthält das System eine Quarantäne von Briefen und Dateien, die in der klassischen Check Point-Sandbox (die sie zu beheben versprachen) nicht vorhanden ist:
Ich empfehle dringend
einen Artikel aus dem Magazin Anti-Malware.ru als zusätzliches Material
Fazit
Ich glaube nicht, dass es sich lohnt zu erklären, wie viel bequemer, erschwinglicher und zuverlässiger Cloud-Services heutzutage sind. Die „Wolken“ sind jedoch eine echte Herausforderung für das „Sicherheitsnetz“. Oft muss man einen Kompromiss suchen oder ganz auf deren Verwendung verzichten. Check Point CloudGuard SaaS ist ein großartiges Tool, um Ihre Cloud-Infrastruktur unter Kontrolle zu halten.
Ein weiteres wichtiges Detail ist die einfache Integration von CloudGuard SaaS. Dies ist viel einfacher als die Verwendung klassischer Gateways und Sandboxes. Einstellungen mit wenigen Klicks im Browser. Gleichzeitig können Sie die
kostenlose Testversion (30 Tage) dieses Dienstes verwenden, um das aktuelle Sicherheitsniveau Ihrer Cloud-Dienste zu überprüfen. Im Erkennungsmodus erhalten Sie vollständige Berichte zu allen Bedrohungen, ohne dass dies Auswirkungen auf Ihre Infrastruktur hat. Eine Testlizenz sowie Hinweise zur Verwendung von CloudGuard SaaS können bei
uns angefordert werden .
In naher Zukunft planen wir einen kleinen Videokurs zu Check Point CloudGuard SaaS. Also bleibt dran (
Telegramm ,
Facebook ,
VK ,
TS Solution Blog ,
Yandex.Zen) .