Geekly articles weekly

7.选中最大点。 沙箱。 结论



欢迎来到第7课。 我要立即警告这一课是最后一课。 本课程最后。 该计划已经是两门新课程,敬请期待。 今天课程的主题是沙箱 (Sandbox)。 在开始谈论它的意义和作用之前,我想总结一下我们已经完成的工作的一些成果。 让我们再次遍历涵盖的内容。

门禁控制


从一开始,我们就提出了网络保护关键要素之一是人为因素这一论点。 一如既往,一切都取决于框架。 正确的设置可以解决大多数安全问题。
之后,我们开始讨论旨在增强保护功能的各种刀片。 主要目标是最大程度地减少可能的攻击范围 。 在此过程中,每个刀片都很重要,并且相互补充。 不幸的是,我没有考虑所有刀片的配置功能,因此不可能将所有内容都推入一个课程的框架中。
实际上,所有Check Point刀片服务器都可以分为两类:访问控制和威胁防护。 让我们从第一类开始。 访问控制中包含哪些刀片和功能以及它们如何减少攻击范围。



  • 防火墙 -我想每个人都知道防火墙应该“破解”所有不必要的东西。 在这里,您必须绝对使用“禁止所有不允许的方法。” 例如,对于用户而言,在大多数情况下仅允许端口80和443就足够了,仅此而已!
  • SSL检查 -我认为我能够说服您这是非常重要的事情,如果没有它,我们的安全系统将面临巨大漏洞。 如果您没有按预期检查此流量,则很多有趣的事情都会通过端口443。
  • URL过滤 -名称说明一切。 使用此功能,我们必须关闭所有潜在危险的Internet资源。 当然,一切都取决于公司的安全策略,但是您必须承认,有些类别的网站肯定应该关闭。 许多资源被广泛称为恶意软件分发者。 通过关闭对它们的访问,我们可以大大减少攻击范围。
  • 身份识别 -允许您基于用户帐户(而不是IP地址)控制访问。 这使我们的安全策略更加灵活和可移动。 她变得越来越个性化。
  • 应用程序控制 -使用此刀片,我们可以阻止大量潜在危险的程序。 TeamViewer,RDP,Tor,各种VPN应用程序等等。 很多时候,用户自己并不意识到自己正在安装的应用程序有多危险。
  • Content Awareness是另一个非常有用的功能,可用于阻止下载(或上传)特定类别的文件。 就像我说的那样,您的用户不应下载可执行文件,并希望该防病毒软件可以为您省钱。 此外,有时用户甚至可能都不怀疑背景已经开始下载某些内容。 在这种情况下,内容意识将有所帮助。
  • 不幸的是, 地理保护是我没有提到的另一个功能。 此“功能”将使您可以阻止网络覆盖任何国家的任何流量(入站和出站)。 出于某种原因,我确定您的用户不需要访问孟加拉国或刚果的资源。 但是,攻击者喜欢使用在网络犯罪方面立法不完善的国家/地区的服务器。

威胁预防


我们继续减少攻击范围。 让我们看一下“威胁防护”类别刀片。 这些纯粹是“安全”功能:



  • 我们已经研究了正确配置防病毒的重要性。 我认为实验室工作使您信服。
  • 在过去的两个课程中,我们研究了IPS 。 事实证明,该刀片服务器不仅可以扫描网络流量,还可以“捕获”病毒文件。
  • 反机器人 。 不幸的是我们没有考虑。 但是重点很简单。 如果您的一台计算机被某种方式感染并试图到达命令中心(即经典的僵尸网络),则Anti-Bot将能够“看到”此过程,中断会话并通知管理员。

这三个刀片是什么结合在一起的? 它们仅在已知威胁下起作用。 这是威胁云检查点全局库中的签名或错误IP地址或URL的列表。 今天有多有效?
根据最近的报道,这种传统的签名防御能够拦截大约70%的现有威胁。 然后,只有通过适当的配置才能实现此指标。 我认为这对每个人来说显然是灾难性的不足。 如果搞砸了以前未知的恶意软件“飞行”和签名保护手段,该怎么办? 您认为这是小说还是营销小说? 在下面的视频中,我将详细介绍一个通过扫描VirusTotal绕过防病毒软件的示例。 第一部分是理论性的,重复了上面的文本,因此请随意滚动至第6分钟



沙盒


在同一视频中,我们演示了Check Point沙箱的功能。 沙箱(Sandbox)的概念是相对较新出现的。 许多人仍对这种保护持怀疑态度(请记住有关IPS的故事)。 沙箱的任务是什么?



如您所知,这种验证方法与签名分析根本不同。 当然,一切都不如此幻灯片中所述简单。 现代沙箱(尤其是Check Point沙箱)使用许多技术来检测病毒。 现在我们将不再关注它们的描述。 本课的目的是表明传统的签名方法存在弱点,现代保护需要进一步的保护 。 即 当病毒已经通过防火墙,IPS和防病毒时,沙箱可被视为保护的最后一个领域。

Check Point沙箱有何特别之处? 实际上,有很多功能。 该技术称为Check Point SandBlast ,一次包含多个刀片:



这是一个非常广泛的主题,因此,在您允许的情况下,我将在新课程的框架中对此进行更详细的讨论,我们将在不久的将来启动该课程 。 关于本课程,主要论文是:

沙盒是全面网络保护必不可少的元素。

您需要对此达成共识,并将其视为事实。 IPS曾经发生过同样的事情。

结论


这样,我们可能会完成我们的课程。 非常感谢所有看完影片的人,我真诚地尝试分享一些有用的东西。 我希望这些信息对某人有用。 不幸的是,完全不可能在这样的微型课程的框架内说出一切。 因此,如果您突然有疑问,我们将很乐意为您解答。 您可以写信给我们的共享邮箱,也可以直接写信给我。



另外,我要借此机会感谢Checkei公司的Alexei Beloglazov,他在整个课程中一直为我提供咨询服务。 亚历克斯,再次感谢:)

另外,我想告诉您,我们为Check Point设置的安全性提供了完全免费的审核服务 。 作为审核的一部分,我们将检查本课程中讨论的所有内容以及课程中未包括的其他内容。 因此,不要害羞,请联系,我或我们的工程师将很乐意“深入”您的设置并提出建议。 您可以通过网站或相同的邮箱进行联系。

感谢您的关注,我正在等待您参加新课程!

Source: https://habr.com/ru/post/zh-CN423259/

More articles:


All Articles