Bem-vindo ao terceiro artigo do nosso Ciclo Forense de Check Point da Check Point. Desta vez, consideraremos o
SandBlast Mobile . Os dispositivos móveis fazem parte de nossas vidas. Nos smartphones, nosso trabalho, nosso lazer, entretenimento, dados pessoais. Os invasores também sabem disso. De acordo com o relatório da Check Point de 2019, os três vetores de ataque mais comuns para os usuários são:
- E-mail (anexos maliciosos, links);
- Web (software antivírus, phishing);
- Smartphones (aplicativos maliciosos, redes WiFi falsas, phishing).
Podemos fechar os dois primeiros vetores com o já considerado
SandBlast Network e
SandBlast Agent . Os smartphones permanecem, ameaças para as quais cada vez mais aparecem nas notícias. Para proteger esse vetor de ataque, a Check Point tem uma solução especializada -
SandBlast Mobile . Abaixo, examinamos a análise forense que podemos obter ao investigar incidentes em dispositivos móveis.
Check Point SandBlast Mobile
Esse remédio apareceu no portfólio da Check Point há relativamente pouco tempo. A operação do sistema é extremamente simples (provavelmente o mais simples de todos os produtos da CP). Todo o gerenciamento é realizado através de um serviço de nuvem - portal. Lá você adiciona dispositivos móveis de usuários e pode acompanhar o status deles. O SandBlast Mobile permite resolver os seguintes problemas de segurança:
- Bloqueie ataques de 0 dias (como aplicativos ou arquivos);
- Proteção contra phishing em qualquer aplicativo móvel (SMS ou Messenger);
- Proteção contra redes botnet (evitar vazamento de dados pessoais ou corporativos);
- Bloquear o acesso de dispositivos infectados a recursos corporativos (se o dispositivo estiver infectado ou não estiver em conformidade com as políticas de segurança, você não poderá acessar aplicativos corporativos do seu smartphone);
- Bloqueando o acesso a sites maliciosos.
Há um excelente webinar sobre este produto da Amir Aliyev (empresa Check Point):
Com sua permissão, não farei uma descrição detalhada dos recursos desse agente. Nossa série de artigos é sobre forense. Mas, talvez, em um futuro próximo, lançaremos um curso separado no SandBlast Mobile (o produto é muito simples).
Um ponto importante . O SandBlast Mobile pode ser usado absolutamente
grátis por 30 dias para 50 dispositivos . Na minha opinião, esta é uma ótima oportunidade para auditar a segurança de dispositivos móveis (por exemplo, gerenciamento de empresas). O procedimento para obter uma demonstração é bastante simples -
escreva-nos ou faça uma inscrição através do
formulário online .
Forensics SandBlast Mobile - Painel
Todas as análises de atividades maliciosas começam com o painel principal no portal em nuvem SandBlast Mobile:
Aqui você pode ver o número de dispositivos ativos, ameaças, sua criticidade, etc. Em seguida, podemos ir diretamente para a lista de eventos (Eventos e alertas) e filtrá-los por nível de gravidade:
Veremos o vetor de ataque, seu tipo, detalhes do evento e, na verdade, todos os usuários (seus dispositivos) envolvidos nisso. Se desejar, você pode filtrar eventos por um dispositivo específico (risco de dispositivo) e familiarizar-se com todas as ameaças associadas:
Talvez o mais interessante para um segurança seja a guia "Análise de aplicativos", na qual você pode "colidir" com um aplicativo mal-intencionado e ver do que o Check Point não gostou. Existe um filtro "Nível de risco" com o qual podemos ver todas as aplicações perigosas. Por exemplo, podemos considerar o vírus de teste
AV Test AP :
Aqui você pode ver o veredicto geral sobre o aplicativo, informações básicas sobre o fabricante, o hash do valor e assim por diante. Não é muito interessante. Vejamos outro aplicativo "viral" -
Ping Tools :
Depois de se familiarizar com as informações básicas, você pode descer um pouco e ver os detalhes das ameaças. Aqui, por exemplo, vemos que o aplicativo monitora a localização do dispositivo (mesmo quando fechado) e vários comportamentos estranhos:
Também interessante é a seção Permissões de aplicativos. Olhando para ele, quase sempre surge a pergunta: "Por que esse aplicativo precisa de tais direitos?"
Este relatório pode ser baixado em um pdf informativo:
As fontes podem ser baixadas
aqui . E aqui você pode baixar o relatório sobre o sensacional aplicativo malicioso
CamScanner .
Há outra guia interessante, Rede, na qual podemos analisar as redes às quais seus usuários se conectam:
SandBlast Mobile através dos olhos do usuário
Este aplicativo não causa problemas particulares ao usuário. Na primeira instalação, ele examinará o dispositivo e dará um veredicto se houver alguma ameaça e quais:
Ao mesmo tempo, o próprio usuário também pode ver o que exatamente o agente não gostou nesses aplicativos:
Na minha opinião, informações bastante abrangentes que permitirão ao usuário concluir que o software é prejudicial. Ao mesmo tempo, se um usuário tentar baixar um aplicativo malicioso, o SandBlast Mobile funcionará imediatamente:
O administrador do sistema receberá a mesma notificação.
Material adicional no Check Point SandBlast Mobile (recomendo a leitura).
Conclusão
Como mencionado acima, os dispositivos móveis estão firmemente entrincheirados em nossas vidas diárias. A grande maioria usa smartphones para trabalhar e ter acesso a dados corporativos. Isso torna os dispositivos móveis um vetor de ataque extremamente perigoso em sua rede, que você precisa não apenas fechar, mas também entender o que exatamente o ameaça. A perícia da Check Point SandBlast Mobile se encaixa perfeitamente na proteção abrangente dos dados da empresa e na estratégia geral de segurança da informação.
No próximo artigo, veremos os relatórios do CloudGuard SaaS. Portanto, fique atento (
Telegram ,
Facebook ,
VK ,
TS Solution Blog ),
Yandex.Zen .
PS Agradecemos a Alexei Beloglazov (empresa Check Point) por sua ajuda na preparação deste artigo.