さて、最後の部分に到達しました。 以前のものはここにあります( first 、 second )。 標的型攻撃に対する保護のトピックを継続します。 ネットワークレベル、特に組織の境界で自分自身を保護する方法については既に説明しました。 しかし、現代の世界ではこれでは十分ではありません。 今回は、ユーザーのコンピューターの保護について説明します。
周囲
「境界」の概念は、非常に条件付きで区別が困難になります。 ほとんどすべてのインターネットリソースが安全なhttpsプロトコルに切り替わります。 これらは、メールおよびファイルストレージ、ソーシャルネットワーク、ドキュメント管理ポータルです。 つまり 送信されるデータは暗号化されるため、ネットワークレベルでの分析が大幅に複雑になります。 (すべての最新のNGFWにはhttpsインスペクション機能が必要です)。
ほとんどすべての従業員は、自宅からファイルを持ち込むフラッシュドライブを持っています。 フラッシュドライブを使用すると、パートナーが来ることができます。 これらのフラッシュドライブが以前に挿入された場所と現在の内容を言うのは非常に困難です。
個人用スマートフォンとラップトップ。 これらのデバイスは、仕事の目的でますます使用されています。 同時に、同じスマートフォンで3GまたはLTEを介してインターネット接続を確立できます。
その結果、記載されている資金により、攻撃者がいかにクール(高価)で信頼性の高いものでも、すべてのネットワークセキュリティツールをバイパスする企業ネットワークに潜在的な穴があります。 仕事でフラッシュドライブや個人用スマートフォンを使用することは確かに禁止できますが、多くの場合、主要なビジネスに害を与えるだけです。
この場合の唯一の合理的なソリューションは、追加レベルの保護-ユーザーのコンピューターの保護の組織化です。
最も一般的なユーザー保護機能は、デスクトップウイルス対策、デスクトップME、デスクトップ侵入防止システムです。 ただし、前述のように、これらのツールはすべて既知のマルウェアと連携します。 ゼロデイ攻撃はどうですか?
Check Point SandBlastエージェント
この問題を解決するために、CheckPointはSandBlast Agentをリリースしました。 エージェントには、ブラウザ用(拡張機能として)とPC用の2つのバージョンがあります。
これらのエージェントにより、ゼロデイ攻撃に対する保護、フィッシングおよびランサムウェアに対する保護を実装できます。 マルウェアを迅速に識別し、マルウェアを隔離するか、感染したコンピューターをブロックすることで効果的に対応できます。 さらに、コンピューターのエージェントを使用すると、暗号化プログラムが起動された場合にデータをインストールできます。 しかし、まず最初に。
ブラウザーのSandBlastエージェントを見てみましょう。 エージェントは拡張機能としてブラウザにインストールされます。 現時点では、拡張機能はGoogle Chromeでのみ使用できますが、まもなく他のブラウザもサポートされる予定です。
このエージェントを使用すると、HTTPSリソースからでもファイルを安全にダウンロードできます。 たとえば、従業員の1人がGmailを使用しています。 彼は添付ファイル付きの手紙を受け取ります。 ユーザーはファイルのダウンロードを開始します。 ブラウザエージェントはこのジャンプをインターセプトし、ソースファイルをpdf形式に変換するか、すべてのアクティブなコンテンツをクリアすることができます。 つまり 前述のThreat Extractionテクノロジーが使用されます。 これは非常に便利な機能です。
また、ブラウザエージェントを使用すると、フィッシングから身を守ることができます。 つまり パスワードを収集したり、ウイルスを拡散したりするように設計された偽のサイトでユーザーが捕まるのを防ぐことができます。 さらに、悪意があると指定された一般的なデータベースにあるサイトだけが禁止されているわけではありません。 エージェントには分析機能があり、多数の兆候によって、サイトが偽物であり、ペイロードを運んでいないと判断できます。 このサイトが5分前に作成された場合でも。
ブラウザエージェントには別の優れた機能があります。 これは、企業アカウントとパスワードの漏洩に対する保護です。 残念ながら、かなり多くのユーザーがパスワードを繰り返し使用しているため、誤ってパスワードを忘れてしまうことはありません。 つまり ドメインアカウントのパスワードは、ソーシャルネットワークまたはトレントトラッカーへのアクセスにも使用できます。 これはかなり安全ではありません。 SandBlast Agentを使用すると、任意のサイトで企業パスワードが使用されていることを確認し、管理者とユーザーに直ちに通知することができます。 ユーザーは、すぐに作業パスワードを変更することをお勧めします。
ブラウザのエージェントは、企業ネットワークを保護するための優れた追加機能です。 しかし、ファイルが被害者のコンピューターにまだある場合はどうでしょうか? たとえば、同じフラッシュドライブを使用します。 これを行うために、SandBlastエージェントのデスクトップバージョンがあります。
このエージェントには、ブラウザの機能に加えて、アンチボットが組み込まれています。ウイルスファイルを隔離したり、システム全体をブロックして、ウイルスがそれ以上拡散しないようにすることができます。
さらに、デスクトップエージェントはさまざまなインシデントの調査に非常に役立ちます。 エージェントは、使用されているアプリケーション、プロセスに関する情報を常に収集します。 ファイル、ネットワークアクティビティ。 マルウェアの検出と識別の場合、インシデントレポートの分析と生成が自動的に実行されます。 さらに、SmartEventを使用する場合、これらのレポートは共通の分析システムと統合されます。 したがって、全体像を1か所で見ることができます。これは非常に便利であり、さまざまなインシデントにすばやく対応できます。
このスライドでレポートの例を見ることができます。 ここでは、どのアプリケーションからすべてのアプリケーションが開始されたか、その後に開始されたプロセス、およびウイルスが基本的にこのコンピューターに到達した方法を確認できます。 このレポートについては、次のラボで詳しく検討します。
SandBlast Agentは、次の3つの方法で実装できます。
さらに、Office 365を使用している場合は、SandBlastの防御メカニズムも使用できます。 Microsoftクラウドは、分析のためにすべての着信ファイルをSandBlastクラウドに自動的に送信します。 同時に、脅威の抽出も設定できます。これにより、ユーザーはクリーンなファイルまたは変換されたファイルを配信できます。 これはすべて数秒で起こります。 さらに、Googleメールサポートもまもなく利用可能になります。
これで理論的な部分は終わりました。 ビデオ形式で視聴できます:
これで、実験室の仕事に移ることができます。
ラボ6-ブラウザーエージェント
実験室での作業中に、CheckPoint SandBlast Zero-Day Protectionプラグインの機能に精通しました。 また、SMESG Security Gatewayと組み合わせてその基本設定を調べました。 実際には、ファイルをpdfに変換し、悪意のあるコンテンツを削除するプロセスを検討しました。
ラボ#7-デスクトップエージェント
作業中に、SandBlast Agentを構成し、感染したファイルをダウンロードして起動し、何が起こるかを確認します。 利用可能なレポートも分析します。
PSこのコースに精通したすべての人に感謝します。 特にチェックポイントから、最新のサンドボックステクノロジーを少なくとも部分的に奉献できたことを願っています。 また、当社のウェブサイトにリクエストを残すことにより、記載されているすべてのソリューションを無料で試すことができます。 Check Point SandBlastによる未知の攻撃から身を守るには、ここをクリックしてください。