Bem-vindo à lição 7. Gostaria imediatamente de avisar que esta lição é a última. Última para este curso. Os planos já são dois novos cursos, portanto, fique atento. E o tópico da lição de hoje é Sandbox (ou seja, a sandbox). E antes de começar a falar sobre o que é e o que é útil, gostaria de resumir um pequeno resultado do trabalho já realizado por nós. Vamos revisar o material coberto mais uma vez.
Controle de acesso
Desde o início, apresentamos a tese de que um dos
principais elementos da proteção de rede é o fator humano . Como sempre, tudo depende dos quadros. A configuração adequada resolve a maioria dos problemas de segurança.
Depois disso, começamos a discutir várias lâminas projetadas para aumentar a proteção.
O objetivo principal é minimizar a possível área de ataque . Nesse processo, cada lâmina é importante e complementa as outras. Infelizmente, não considerei os recursos de configuração de todos os blades, e é impossível provavelmente colocar tudo na estrutura de um curso.
De fato, todos os blades do Check Point podem ser divididos em duas categorias: Controle de Acesso e Prevenção de Ameaças. Vamos começar com a primeira categoria. Quais lâminas e funções estão incluídas no Controle de Acesso e como elas podem reduzir a área de ataque.
- Firewall - Eu acho que todo mundo entende que o firewall deve "invadir" tudo o que é desnecessário. Aqui você deve definitivamente usar a abordagem "Tudo o que não é permitido é proibido". Por exemplo, para usuários, na maioria dos casos, basta permitir apenas as portas 80 e 443 e nada mais!
- Inspeção SSL - Acho que consegui convencê-lo de que isso é uma coisa muito importante e que sem ela, temos um enorme buraco no nosso sistema de segurança. Muitas coisas interessantes podem passar pela porta 443 se você não examinar esse tráfego conforme o esperado.
- Filtragem de URL - o nome fala por si. Com essa função, devemos fechar todos os recursos potencialmente perigosos da Internet. Obviamente, tudo depende da política de segurança da empresa, mas você deve admitir que existem algumas categorias de sites que definitivamente devem ser fechadas. Muitos recursos são amplamente conhecidos como distribuidores de malware. Ao fechar o acesso a eles, reduzimos bastante a área de ataque.
- Reconhecimento de identidade - permite controlar o acesso com base em contas de usuário (em vez de endereços IP). Isso torna nossa política de segurança mais flexível e móvel. Ela está se tornando mais personalizada.
- Controle de aplicativos - com esse blade, podemos bloquear um grande número de programas potencialmente perigosos. TeamViewer, RDP, Tor, vários aplicativos VPN e muito mais. Muitas vezes, o próprio usuário não percebe o quão perigoso é o aplicativo que está instalando.
- A conscientização de conteúdo é outro recurso muito útil com o qual você pode impedir o download (ou upload) de uma determinada categoria de arquivos. Como eu disse, seus usuários não devem baixar arquivos executáveis e esperam que o antivírus o salve. Além disso, às vezes o usuário pode nem suspeitar que um plano de fundo tenha começado a baixar algo. A conscientização de conteúdo ajudará nesse caso.
- A proteção geográfica é outro recurso sobre o qual infelizmente não falei. Esse "recurso" permitirá bloquear qualquer tráfego (de entrada e de saída) de qualquer país da sua rede. Por alguma razão, tenho certeza de que seus usuários não precisam visitar os recursos de Bangladesh ou Congo. Mas os atacantes gostam de usar os servidores de países onde a legislação é pouco desenvolvida em termos de crimes cibernéticos.
Prevenção de ameaças
Continuamos a reduzir a área de ataque. Vejamos os blades da categoria Prevenção de Ameaças. Estas são funções puramente de "segurança":
- Já examinamos a importância de configurar o antivírus corretamente. Eu acho que o trabalho de laboratório te convenceu.
- Nas duas lições anteriores, analisamos o IPS . Como se viu, esse blade pode não apenas verificar o tráfego da rede, mas também "capturar" arquivos de vírus.
- Anti-bot . Infelizmente nós não consideramos isso. Mas o ponto é bem simples. Se, de alguma forma, um de seus computadores for infectado e tentar acessar o centro de comando (ou seja, botnet clássico), o Anti-Bot poderá "ver" esse processo, interromper a sessão e notificar o administrador.
O que une essas três lâminas? Eles trabalham apenas com
ameaças conhecidas . Essa é uma assinatura ou uma lista de endereços IP ou URLs incorretos da base global do ponto de verificação da nuvem de ameaças. Quão eficaz é hoje?
Segundo relatos recentes, essas defesas tradicionais de assinatura são capazes de eliminar cerca de 70% das ameaças existentes. E então, esse indicador pode ser alcançado apenas com a configuração adequada. Eu acho que é óbvio para todos que isso é catastroficamente insuficiente. O que fazer se um malware anteriormente desconhecido "voa" e os meios de proteção de assinatura são danificados? Você acha que isso é ficção e ficção de marketing? No vídeo abaixo, considero detalhadamente um exemplo de como ignorar um antivírus com a verificação do VirusTotal. A primeira parte é teórica e duplica o texto acima; fique à vontade para
rolar até o sexto minuto .
Sandbox
No mesmo vídeo, demonstramos os recursos da caixa de areia Check Point. O conceito de uma caixa de areia (Sandbox) apareceu relativamente recentemente. E muitos ainda são céticos em relação a essa classe de proteção (lembre-se da história sobre o IPS). Qual é a tarefa da sandbox?
Como você sabe, esse método de verificação é fundamentalmente diferente da análise de assinaturas. Obviamente, nem tudo é tão simples como descrito neste slide. As caixas de areia modernas (especialmente as caixas de areia da Check Point) usam muitas tecnologias para detectar vírus. Não vamos nos concentrar em sua descrição agora. O objetivo desta lição é mostrar que
a abordagem tradicional de assinatura tem pontos fracos e que a proteção moderna precisa de um nível adicional de proteção . I.e. a sandbox pode ser considerada a última fronteira de sua proteção quando o vírus já passou pelo firewall, IPS e antivírus.
O que há de tão especial na caixa de proteção Check Point? De fato, existem muitos recursos. Essa tecnologia é chamada
Check Point SandBlast e inclui várias lâminas ao mesmo tempo:
Este é um tópico muito extenso, portanto, com sua permissão, falarei sobre isso em
mais detalhes já no quadro do novo curso , que lançaremos em um futuro muito próximo. Quanto a esta lição, a tese principal é:
O sandbox é um elemento indispensável da proteção abrangente da rede.
Você precisa aceitar isso e aceitá-lo como um fato. O mesmo aconteceu uma vez com o IPS.
Conclusão
Com isso, provavelmente terminaremos nosso curso. Muito obrigado a todos que assistiram até o fim, sinceramente tentei compartilhar algo útil. Espero que esta informação seja útil para alguém. Infelizmente, contar absolutamente tudo dentro da estrutura de um mini curso é simplesmente impossível. Portanto, se você tiver dúvidas de repente, teremos o maior prazer em respondê-las. Você pode escrever para nossa caixa de correio compartilhada ou diretamente para mim.
Além disso, aproveitando esta oportunidade, gostaria de agradecer a Alexei Beloglazov (empresa Check Point), que constantemente me ajudou com consultas ao longo do curso. Alex, obrigado novamente :)
Além disso, gostaria de lhe dizer que
fornecemos um serviço de auditoria totalmente
gratuito para a segurança das configurações do Check Point . Como parte dessa auditoria, verificaremos tudo o que foi discutido neste curso e outras coisas que não foram incluídas nas lições. Portanto, não seja tímido, entre em contato, eu ou nossos engenheiros teremos o prazer de "analisar" suas configurações e dar recomendações. Você pode entrar em contato pelo
site ou pelas mesmas caixas de correio.
Obrigado por sua atenção e estou esperando por você em um novo curso!