Nous sommes arrivés au dernier produit de notre série d'articles
Check Point Forensics. Cette fois, nous parlerons de la protection du cloud. Il est difficile d'imaginer une entreprise qui n'utilise pas de services cloud (ce qu'on appelle le SaaS). Office 365, GSuite, Slack, Dropbox, etc. Et le plus grand intérêt ici est le stockage des e-mails et des fichiers dans le cloud. Ce que nos employés utilisent tous les jours. Cependant, les services cloud sont situés en dehors de notre réseau et il n'y a pas de périmètre pour eux, en tant que tels. Cela, à son tour, augmente considérablement la probabilité d'une attaque contre nos utilisateurs. Il n'y a pas beaucoup d'options de sécurité pour les applications cloud. Ci-dessous, nous examinons la
solution Check Point CloudGuard SaaS , ce contre quoi elle protège et, plus important encore, ce que la criminalistique et les rapports qu'elle fournit. Cela peut intéresser ceux qui souhaitent effectuer un
audit de sécurité de leurs services cloud .
Check Point CloudGuard SaaS
Le principe de fonctionnement de CloudGuard SaaS est assez simple. Le service est une plateforme cloud qui s'intègre via l'API à d'autres services SaaS (office365, GSuite, box, dropbox, etc.).
En substance, CloudGuard SaaS est une couche entre le service cloud et l'utilisateur. Toutes les lettres ou tous les fichiers sont vérifiés par divers moteurs CheckPoint avant d'atteindre l'utilisateur. La plate-forme elle-même est naturellement intégrée à Check Point ThreatCloud et au sandbox cloud SandBlast. Vous pouvez également configurer l'intégration avec divers services d'identification des utilisateurs (Centryfy, okta, Azure AD, etc.) pour vérifier entièrement les appareils connectés. Tout contrôle s'effectue via une interface Web intuitive.
Caractéristiques clés de Check Point CloudGuard SaaS:
- Protection contre les menaces Zero-Day
- Protection contre le phishing
- Protection d'identité
- Prévention des fuites de données
- Découverte informatique SaaS Shadow
- Gestion du cloud intuitive
Vous trouverez plus de détails sur ces fonctions dans l'excellent webinaire d'Alexey Beloglazov (société Check Point):
Nous allons immédiatement procéder à la criminalistique.
Forensic CloudGuard SaaS
Nous allons commencer comme d'habitude avec le tableau de bord principal de CloudGuard SaaS, c'est la première chose que vous verrez lorsque vous entrerez dans la plateforme. Le nombre total de menaces par virus, phishing, anomalies, DLP, etc. Vous y verrez une carte des incidents, le nombre total d'utilisateurs et de services:
L'onglet Événements est le plus intéressant, où vous pouvez voir des statistiques sur les incidents, ainsi que leur liste générale avec la possibilité de filtrer par catégorie, réaction, etc.:
En cliquant sur un incident spécifique, nous pouvons «échouer» dans les détails, par exemple, l'analyse à l'adresse e-mail spécifique d'un attaquant:
Ou une description de l'activité de phishing elle-même:
Dans l'onglet Événements, vous pouvez filtrer les événements par menaces comme les logiciels malveillants:
et consultez des analyses de virus détaillées:
Comme vous pouvez le voir dans notre exemple, il y avait une pièce jointe (fichier .xlam) dans la lettre. En cliquant dessus, nous verrons un rapport à ce sujet:
Il y a deux points intéressants ici. Premièrement, vous pouvez immédiatement voir les analyses de ce fichier dans VirusTotal (Rechercher ce hachage dans VirusTotal). Parfois, ces informations sont très intéressantes. Dans notre exemple, seuls 3 antivirus l'ont identifié comme viral:
Là, vous pouvez voir exactement ce que ce fichier peut faire:
Il y a même un graphique des relations:
La deuxième opportunité intéressante est de voir le rapport sandbox (Afficher le rapport). Et ici, nous allons voir un type de rapport qui nous est déjà familier:
Comme dans le cas du
SandBlast Network, il y a aussi la possibilité de regarder la vidéo (diaporama) du lancement de ce fichier dans le bac à sable.
En plus du rapport classique, nous pouvons voir des analyses générales par courrier, partage de fichiers, etc.
Dans le même temps, nous pouvons générer nos propres rapports selon des modèles prêts à l'emploi:
avec la possibilité d'un échantillonnage et d'un filtrage très fins par différents champs:
Et bien sûr, le système contient une quarantaine de lettres et de fichiers, qui est absente du bac à sable classique de Check Point (qu'ils ont promis de corriger):
Je recommande fortement
un article du magazine Anti-Malware.ru comme matériel supplémentaire
Conclusion
Je ne pense pas qu'il soit utile d'expliquer à quel point les services cloud sont plus pratiques, abordables et fiables de nos jours. Cependant, les «nuages» constituent un véritable défi pour le «filet de sécurité». Souvent, vous devez rechercher un compromis ou abandonner complètement leur utilisation. Check Point CloudGuard SaaS est un excellent outil pour garder votre infrastructure cloud sous contrôle.
Un autre détail important est la facilité d'intégration de CloudGuard SaaS. C'est beaucoup plus facile que d'utiliser des passerelles et des sandbox classiques. Paramètres en quelques clics dans le navigateur. Dans le même temps, vous pouvez utiliser la
version d'essai gratuite (30 jours) de ce service pour auditer le niveau actuel de sécurité de vos services cloud. En mode Détecter, vous recevrez des rapports complets sur toutes les menaces, sans affecter votre infrastructure. Une licence d'essai, ainsi que des conseils sur l'utilisation de CloudGuard SaaS, peuvent nous être
demandés .
Dans un avenir proche, nous prévoyons de lancer un petit cours vidéo sur Check Point CloudGuard SaaS. Alors restez à l'écoute (
Telegram ,
Facebook ,
VK ,
TS Solution Blog ,
Yandex.Zen) .