Chegamos ao último produto de nossa série de artigos da
Check Point Forensics. Desta vez, falaremos sobre proteção em nuvem. É difícil imaginar uma empresa que não use serviços em nuvem (o chamado SaaS). Office 365, GSuite, Slack, Dropbox etc. E o maior interesse aqui é o email baseado em nuvem e o armazenamento de arquivos baseado em nuvem. O que nossos funcionários usam todos os dias. No entanto, os serviços em nuvem estão localizados fora da nossa rede e não há perímetro para eles, como tal. Isso, por sua vez, aumenta muito a probabilidade de um ataque aos nossos usuários. Não há muitas opções de segurança para aplicativos em nuvem. Abaixo, examinamos a
solução SaaS da
Check Point CloudGuard , contra o que ela protege e, o mais importante, quais forenses e relatórios que ela fornece. Isso pode ser de interesse para quem deseja realizar uma
auditoria de segurança de seus serviços em nuvem .
Check Point CloudGuard SaaS
O princípio de operação do CloudGuard SaaS é bastante simples. O serviço é uma plataforma em nuvem que se integra através da API a outros serviços SaaS (office365, GSuite, box, dropbox, etc.).
Em essência, o CloudGuard SaaS é uma camada entre o serviço em nuvem e o usuário. Todas as cartas ou arquivos são verificados por vários mecanismos do CheckPoint antes de chegarem ao usuário. A plataforma em si é naturalmente integrada com o Check Point ThreatCloud e a sandbox da nuvem SandBlast. Você também pode configurar a integração com vários serviços de identificação de usuário (Centryfy, okta, Azure AD, etc.) para verificar totalmente os dispositivos conectados. Todo o controle ocorre através de uma interface web intuitiva.
Principais recursos do Check Point CloudGuard SaaS:
- Proteção contra ameaças de dia zero
- Proteção contra phishing
- Proteção de identidade
- Prevenção de vazamento de dados
- Descoberta de TI de SaaS Shadow
- Gerenciamento intuitivo da nuvem
Mais detalhes sobre essas funções podem ser encontrados no excelente webinar de Alexey Beloglazov (empresa Check Point):
Iremos imediatamente para a perícia.
CloudGuard forense SaaS
Começaremos como de costume com o painel principal do CloudGuard SaaS. Essa é a primeira coisa que você verá quando entrar na plataforma. O número total de ameaças por vírus, phishing, anomalias, DLP, etc. Lá você verá um mapa de incidentes, o número total de usuários e serviços:
De maior interesse é a guia Eventos, onde você pode ver estatísticas sobre incidentes, bem como sua lista geral com a capacidade de filtrar por categoria, reação, etc .:
Ao clicar em um incidente específico, podemos "falhar" nos detalhes, por exemplo, análises em um endereço de email específico de um invasor:
Ou uma descrição da própria atividade de phishing:
Na guia Eventos, você pode filtrar eventos por ameaças como Malware:
e veja análises detalhadas de vírus:
Como você pode ver em nosso exemplo, havia um anexo (arquivo .xlam) na carta. Ao clicar nele, veremos um relatório:
Existem dois pontos interessantes aqui. Primeiro, você pode ver imediatamente a análise desse arquivo no VirusTotal (pesquise esse hash no VirusTotal). Às vezes, essa informação é muito interessante. No nosso exemplo, apenas três antivírus o identificaram como viral:
Lá você pode ver o que exatamente esse arquivo pode fazer:
Existe até um gráfico de relacionamentos:
A segunda oportunidade interessante é ver o relatório do sandbox (Exibir relatório). E aqui veremos um tipo de relatório que já é familiar para nós:
Como no caso da
SandBlast Network, também há a oportunidade de assistir ao vídeo (apresentação de slides) iniciando esse arquivo na sandbox.
Além do relatório clássico, podemos ver análises gerais por correio, compartilhamento de arquivos etc.
Ao mesmo tempo, podemos gerar nossos próprios relatórios de acordo com modelos prontos:
com a possibilidade de amostragem e filtragem muito finas por vários campos:
E, é claro, o sistema contém quarentena de cartas e arquivos, ausentes na caixa de proteção clássica Check Point (que eles prometeram corrigir):
Eu recomendo
um artigo da revista Anti-Malware.ru como material adicional
Conclusão
Não acho que valha a pena explicar o quanto mais convenientes, acessíveis e confiáveis são os serviços em nuvem atualmente. No entanto, as "nuvens" são um verdadeiro desafio para a "rede de segurança". Muitas vezes, você precisa buscar um compromisso ou abandonar completamente o uso deles. O Check Point CloudGuard SaaS é uma ótima ferramenta para manter sua infraestrutura em nuvem sob controle.
Outro detalhe importante é a facilidade de integração do CloudGuard SaaS. Isso é muito mais fácil do que usar gateways e sandboxes clássicos. Configurações em apenas alguns cliques no navegador. Ao mesmo tempo, você pode usar a
versão de avaliação gratuita (30 dias) deste serviço para auditar o nível atual de segurança de seus serviços em nuvem. No modo Detectar, você receberá relatórios completos sobre todas as ameaças, sem afetar sua infraestrutura. Uma licença de teste, bem como conselhos sobre o uso do CloudGuard SaaS, pode ser
solicitada a nós .
Em um futuro próximo, planejamos lançar um pequeno curso em vídeo no Check Point CloudGuard SaaS. Portanto, fique ligado (
Telegram ,
Facebook ,
VK ,
TS Solution Blog ,
Yandex.Zen) .