Bienvenido a la lección 7. Inmediatamente me gustaría advertir que esta lección es la última. Último para este curso. Los planes ya son dos cursos nuevos, así que estad atentos. Y el tema de la lección de hoy es
Sandboxing (es decir, el sandbox). Y antes de comenzar a hablar sobre qué es y qué es útil, me gustaría resumir un pequeño resultado del trabajo que ya hemos realizado. Repasemos nuevamente el material cubierto.
Control de acceso
Al principio, presentamos la tesis de que uno de los
elementos clave de la protección de la red es el factor humano . Como siempre, todo depende de los marcos. La configuración adecuada resuelve la mayoría de los problemas de seguridad.
Después de eso, comenzamos a discutir varias cuchillas que están diseñadas para mejorar la protección.
El objetivo principal es minimizar el área de ataque posible . En este proceso, cada cuchilla es importante y complementa a las demás. Desafortunadamente, no consideré las características de configuración de todos los blades, y probablemente sea imposible insertar todo en el marco de un curso.
De hecho, todos los blades de Check Point se pueden dividir en dos categorías: control de acceso y prevención de amenazas. Comencemos con la primera categoría. Qué cuchillas y funciones están incluidas en el Control de acceso y cómo pueden reducir el área de ataque.
- Cortafuegos : creo que todos entienden que el cortafuegos debería "piratear" todo lo innecesario. Aquí definitivamente debe usar el enfoque "Todo lo que no está permitido está prohibido". Por ejemplo, para los usuarios, en la mayoría de los casos es suficiente permitir solo el puerto 80 y 443, ¡y nada más!
- Inspección SSL : creo que pude convencerlo de que esto es algo muy importante y que sin él, tenemos un gran agujero en nuestro sistema de seguridad. Muchas cosas interesantes pueden pasar por el puerto 443 si no examina este tráfico como se esperaba.
- Filtrado de URL : el nombre habla por sí mismo. Con esta función, debemos cerrar todos los recursos de Internet potencialmente peligrosos. Por supuesto, todo depende de la política de seguridad de la empresa, pero debe admitir que hay algunas categorías de sitios que definitivamente deberían cerrarse. Muchos recursos son ampliamente conocidos como distribuidores de malware. Al cerrar el acceso a ellos, reducimos en gran medida el área de ataque.
- Conciencia de identidad : le permite controlar el acceso en función de las cuentas de usuario (en lugar de las direcciones IP). Esto hace que nuestra política de seguridad sea más flexible y móvil. Ella se está volviendo más personalizada.
- Control de aplicaciones : con esta cuchilla, podemos bloquear una gran cantidad de programas potencialmente peligrosos. TeamViewer, RDP, Tor, varias aplicaciones VPN y mucho más. Muy a menudo, el usuario mismo no se da cuenta de lo peligrosa que es la aplicación que está instalando.
- La conciencia de contenido es otra característica muy útil con la que puede evitar la descarga (o carga) de una determinada categoría de archivos. Como dije, tus usuarios no deberían descargar archivos ejecutables y esperar que el antivirus te salve. Además, a veces el usuario puede incluso no sospechar que un fondo ha comenzado a descargar algo. La conciencia de contenido ayudará en este caso.
- Geo Protection es otra característica de la que desafortunadamente no hablé. Esta "característica" le permitirá bloquear cualquier tráfico (entrante y saliente) de cualquier país para su red. Por alguna razón, estoy seguro de que sus usuarios no necesitan visitar los recursos de Bangladesh o Congo. Pero a los atacantes les gusta usar los servidores de países donde la legislación está bastante poco desarrollada en términos de delito cibernético.
Prevención de amenazas
Seguimos reduciendo el área de ataque. Veamos las categorías de Prevención de amenazas. Estas son funciones puramente de "seguridad":
- Ya hemos examinado la importancia de configurar correctamente el antivirus . Creo que el trabajo de laboratorio te convenció.
- En dos lecciones pasadas, miramos a IPS . Al final resultó que, este blade no solo puede escanear el tráfico de red, sino que también puede "capturar" archivos de virus.
- Anti-bot . Lamentablemente no lo consideramos. Pero el punto es bastante simple. Si de alguna manera una de sus computadoras se infecta e intenta comunicarse con el centro de comando (es decir, la botnet clásica), entonces Anti-Bot podrá "ver" este proceso, interrumpir la sesión y notificar al administrador.
¿Qué une estas tres cuchillas? Solo funcionan con
amenazas conocidas . Esta es una firma o una lista de direcciones IP o URL incorrectas de la base global de puntos de control de Threat Cloud. ¿Qué tan efectivo es hoy?
Según informes recientes, tales defensas tradicionales de firmas son capaces de cortar alrededor del 70% de las amenazas existentes. Y luego, este indicador solo se puede lograr con la configuración adecuada. Creo que es obvio para todos que esto es catastróficamente insuficiente. ¿Qué hacer si un malware previamente desconocido "vuela" y los medios de protección de la firma se arruinan? ¿Crees que esto es ficción de ficción y marketing? En el siguiente video, considero en detalle un ejemplo de omitir un antivirus con el escaneo de VirusTotal. La primera parte es teórica y duplica el texto anterior, así que siéntase libre de
desplazarse hasta el sexto minuto .
Caja de arena
En el mismo video, demostramos las capacidades de la caja de arena de Check Point. El concepto de sandbox (Sandbox) apareció relativamente recientemente. Y muchos todavía son escépticos de esta clase de protección (recuerde la historia sobre IPS). ¿Cuál es la tarea del sandbox?
Como saben, este método de verificación es fundamentalmente diferente del análisis de firmas. Por supuesto, no todo es tan simple como se describe en esta diapositiva. Los sandboxes modernos (especialmente los sandbox de Check Point) usan muchas tecnologías para detectar virus. No nos concentraremos en su descripción ahora. El propósito de esta lección es mostrar que
el enfoque tradicional de firma tiene debilidades y la protección moderna necesita un nivel adicional de protección . Es decir el sandbox se puede considerar como la última frontera de su protección cuando el virus ya ha pasado el firewall, IPS y Anti-Virus.
¿Qué tiene de especial la caja de arena de Check Point? De hecho, hay muchas características. Esta tecnología se llama
Check Point SandBlast e incluye varias cuchillas a la vez:
Este es un tema muy extenso, así que con su permiso, hablaré sobre esto con
más detalle ya en el marco del nuevo curso , que lanzaremos en un futuro muy cercano. En cuanto a esta lección, la tesis principal es:
El sandbox es un elemento indispensable de la protección integral de la red.
Debe aceptar esto y tomarlo como un hecho. Lo mismo sucedió una vez con IPS.
Conclusión
Con esto probablemente terminaremos nuestro curso. Muchas gracias a todos los que lo vieron hasta el final. Intenté sinceramente compartir algo útil. Espero que esta información sea útil para alguien. Desafortunadamente, decir absolutamente todo dentro del marco de un mini curso de este tipo es simplemente imposible. Por lo tanto, si de repente tiene preguntas, estaremos encantados de responderlas. Puede escribir a nuestro buzón compartido o directamente a mí.
Además, aprovechando esta oportunidad, me gustaría agradecer a Alexei Beloglazov (compañía de Check Point), que constantemente me ayudó con consultas durante todo el curso. Alex, gracias de nuevo :)
Además, me gustaría decirle que
ofrecemos un servicio de auditoría completamente
gratuito para la seguridad de la configuración de Check Point . Como parte de esta auditoría, revisaremos todo lo que se discutió en este curso y cosas adicionales que no se incluyeron en las lecciones. Por lo tanto, no sea tímido, comuníquese, yo o nuestros ingenieros con gusto "profundizaremos" en su configuración y le daremos recomendaciones. Puede contactar a través del
sitio o por los mismos buzones.
¡Gracias por su atención y lo espero en un nuevo curso!