sandblast agent что это
SandBlast Agent — ответы на популярные вопросы (FAQ)
Что такое Check Point SandBlast Agent?
Песочница Check Point SandBlast Agent осуществляет защиту конечных точек, используя усовершенствованный контроль атак нулевого дня и экспертизу с автоматическим анализом угроз.
SandBlast Agent включает следующие элементы:
Threat Extraction
Активно препятствует попаданию пользовательского вредоносного файла благодаря быстрой реконструкции его копии, таким образом исходные файлы подвергаются проверке на наличие возможных угроз.
Threat Emulation
Обнаруживает атаки нулевого дня и неизвестные атаки. Файлы, которые копируются или загружаются в конечную точку, направляются в песочницу для эмуляции и обнаружения атак.
Anti-Bot
Мониторинг конечной точки для постоянного управления и контроля позволяет администраторам предупреждать заражение устройств, даже если конечная точка находится за NAT и блокирует C&C коммуникацию.
Automated Incident Analysis / Автоматический анализ угроз
Ускоряет процесс распознавания полного жизненного цикла атаки для максимизации производительности рабочих групп реагирования и минимизации вредоносного воздействия. Этот анализ также обеспечивает реальные аналитические отчеты об инциденте, основанные на непрерывном сборе данных, внутреннем анализе атаки, анализе повреждений и заражений.
Если я использую Check Point SandBlast в своей сети, есть ли необходимость в использовании Check Point SandBlast Agent?
Да. Check Point SandBlast Agent расширяет защиту корпоративной сети от атак нулевого дня, обеспечивая прямую защиту конечных точек и автоматический анализ данных.
SandBlast Agent защищает от некоторых видов атак, которые обычно не распознаются. Например, когда конечные точки находятся за пределами сети или при копировании файлов непосредственно в конечную точку через внешние устройства хранения данных.
Если у меня нет шлюза безопасности Check Point, должен ли я использовать SandBlast Agent?
Да, конечно. SandBlast Agent является независимым передовым решением безопасности для конечных точек. Его можно развернуть на любом шлюзе безопасности в корпоративной сети, используя все его возможности.
Если в моей сети уже обеспечена защита конечных точек / AV решение, нужен ли мне SandBlast Agent?
Да. SandBlast Agent улучшит существующее решение следующим образом:
В чём разница между SandBlast Agent и Capsule Cloud?
И SandBlast Agent, и Capsule Cloud предназначены для защит конечных точек, но они отличаются между собой.
Кому больше подходит SandBlast Agent:
а) пользователям, желающим расширить защиту конечных точек от угроз нулевого дня защиты и обеспечить немедленное восстановление документов, даже за пределами корпоративной сети;
б) пользователям, которые хотят получить доступ к анализу атак и ускорить их обнаружение и предотвращение.
Кому больше подходит Capsule Cloud:
а) пользователям, которые хотят расширить возможности сетевых средств защиты динамичных конечных точек;
б) пользователям, которые хотят перенести некоторые функции по обеспечению безопасности из шлюза в облако.
Может ли SandBlast Agent защитить себя и свои данные от воздействия вредоносных программ?
Да. SandBlast Agent имеет возможность самозащиты благодаря использованию самых современных драйверов блокировки и сокрытию своих данных, предотвращая несанкционированный доступ или внешнее воздействие.
1. Check Point SandBlast Agent Management Platform
Добро пожаловать на новый цикл статей, посвящённый защите персональных рабочих мест с помощью решения Check Point SandBlast Agent и новой облачной системе управления — SandBlast Agent Management Platform. SandBlast Agent рассматривался нами в статьях об анализе зловредов и описании функций новой версии E83.10, и мы давно обещали опубликовать полноценный курс статей по разворачиванию и администрированию агентов. А представленная Check Point облачная система управления агентами Management Platform в рамках Infinity Portal подходит для этого лучше всего — от момента регистрации на портале до запуска сканирования рабочей станции агентом и обнаружения зловредной активности пройдет всего несколько минут.
Почему SandBlast Agent?
Согласно последнему тесту 2020 NSS Labs Advanced Endpoint Protection (AEP) Market Test продукт Check Point SandBlast Agent получил рейтинг «АА» и статус «рекомендовано» со следующими результатами тестов:
SandBlast Agent обеспечивает высокий уровень защищённости рабочих станций пользователей с помощью совместной работы нескольких компонентов, именуемых «блейдами» в терминологии Check Point. Краткое описание блейдов, использующихся в SandBlast Agent:
Помимо перечисленных возможностей, SandBlast Agent позволяет производить полное шифрование диска, а также шифрование съёмных носителей и защиту портов компьютера, имеет встроенный клиент VPN, сигнатурный и эвристический модули защиты от вредоносных программ. Более детально возможности всех компонентов SandBlast Agent будут рассмотрены в последующих статьях, а сейчас пришло время познакомиться с активно развивающейся платформой — Check Point Infinity.
Check Point Infinity: защита от угроз V поколения
Компания Check Point с 2017 года развивает и продвигает единую консолидированную архитектуру безопасности Check Point Infinity, позволяющую успешно защищать все составляющие современной IT-инфраструктуры: сетевую и облачную инфраструктуры, рабочие станции, мобильные устройства. Основная идея — возможность управлять средствами защиты различных категорий из единой браузерной консоли управления.
На текущий момент архитектура Check Point Infinity позволяет администрировать решения по защите облаков — CloudGuard SaaS, сетевой безопасности — CloudGuard Connect, Smart-1 Cloud, Infinity SOC, а также по защите пользовательских устройств с помощью SandBlast Agent Management Platform, SandBlast Agent Cloud Management и SandBlast Web Dashboard.
Данный цикл статей будет посвящён решению SandBlast Agent Management Platform (пока что Beta-версия), которое позволяет в считанные минуты развернуть облачный сервер управления, настроить политику безопасности и распространить агенты на пользовательские компьютеры.
Infinity Portal & SandBlast Agent Management Platform: начало работы
Процесс разворачивания SandBlast Agent с помощью Management Platform состоит из 5 этапов:
1. Регистрация на портале Infinity Portal
В первую очередь необходимо перейти на сайт Infinity Portal и заполнить форму регистрации, указав название компании, контактные данные и согласиться с правилами пользования сервисом и политикой конфиденциальности портала, а также пройти reCAPTCHA. Стоит отметить, что при регистрации можно выбрать страну, в дата-центре которой будут храниться данные, собираемые порталом в соответствии с правилами пользования сервисом и политикой конфиденциальности. Вариантов всего два: Ирландия и США. Для этого необходимо установить галочку «Use specific data residency region» и выбрать страну.
При успешной регистрации на портале на указанную Вами почту придёт письмо, подтверждающее наличие доступа к Infinity Portal и предлагающее залогиниться на портале. Стоит отметить, что при первом входе в портал может потребоваться выбор опции сброса пароля для дальнейшей успешной аутентификации.
2. Регистрация приложения SandBlast Agent Management Platform
После аутентификации на портале и нажатия значка «Menu» (шаг 1 на изображении ниже) Вам будет предложено зарегистрировать приложение из списка доступных по следующим категориям: Cloud Protection, Network Protection и Endpoint Protection. Каждое приложение заслуживает отдельного курса ознакомительных статей, поэтому не будем останавливаться подробнее на них и выбираем в категории Endpoint Protection приложение SandBlast Agent Management Platform (шаг 2 на изображении ниже).
Выбрав приложение, далее необходимо согласиться с правилами пользования сервисом и политикой конфиденциальности портала, и после нажатия кнопки «TRY NOW» открывается доступ к интерфейсу создания сервисов Endpoint Management.
3. Создание нового Endpoint Management Service
Последним этапом является создание нового сервиса для Endpoint Management, который и представляет собой веб-интерфейс для управления агентами. Процесс, как и ранее, предельно прост: выбираем опцию «New Endpoint Management Service» (как показано на рисунке ниже), заполняем данные Вашего нового сервиса (идентификатор, регион хостинга и пароль) и нажимаем кнопку «CREATE».
После окончания процесса создания сервиса на Вашу почту придёт письмо с параметрами, которые Вы можете использовать для подключения к облачному серверу управления с помощью стандартной консоли Check Point для администрирования агентов — SmartEndpoint версии R80.40. Мы не будем рассматривать управление с помощью стандартной консоли, так как данный цикл статей нацелен на демонстрацию возможностей облачной системы управления агентами SandBlast.
На этом процесс регистрации облачного сервиса для управления средством защиты персональных компьютеров SandBlast Agent можно считать успешно завершённым. Перед нами появляется веб-интерфейс платформы администрирования агентов, который будет детально рассмотрен в следующей нашей статье из цикла «Check Point SandBlast Agent Management Platform».
Заключение
Самое время подвести итоги проделанной работы: мы с Вами успешно зарегистрировались на портале Infinity Portal, зарегистрировали приложение SandBlast Agent Management Platform на портале и создали новый облачный сервис управления Endpoint Management Service.
В следующей нашей статье цикла мы детально рассмотрим интерфейс управления агентами — ни одна вкладка не останется без внимания, что позволит нам с Вами без проблем в дальнейшем создать политику безопасности и отслеживать состояние пользовательских машин с помощью логов и отчётов.
Большая подборка материалов по Check Point от TS Solution. Чтобы не пропустить следующие публикации по теме SandBlast Agent Management Platform — следите за обновлениями в наших социальных сетях (Telegram, Facebook, VK, TS Solution Blog, Яндекс.Дзен).
2. Анализ зловредов с помощью форензики Check Point. SandBlast Agent
Продолжаем наш цикл статей по форензике от Check Point. В предыдущей статье мы рассмотрели новый отчет сетевой песочницы, которая помогает ловить 0-day атаки на периметре сети. К сожалению (для “безопасников”), периметр уже давно потерял четкие границы. Мобильные устройства, BYOD, “флешки”, облачные сервисы — все это создает дополнительные “дыры” в защите корпоративной сети. Именно поэтому форензика важна не только на периметре, но и на рабочих станциях ваших пользователей. Данная форензика даже важнее, т.к. вы будете исследовать зловреды, которые уже проникли к вам в сеть. Хочется понимать, через какой канал они проникли (интернет, “флешка”, файловый обменник, электронная почта, корпоративный чат), уязвимость в каком ПО использовали, какие данные могли пострадать и т.д. Это и многое другое позволяет увидеть Check Point SandBlast Agent. О нем и пойдет речь.
SandBlast Agent
Давным давно мы публиковали видео урок по SandBlast Agent-ам. Еще для версии R77.30. С тех пор многое изменилось, однако концепт остался прежним. Современный SandBlast Agent включает в себя следующие модули:
Endpoint Threat Prevention features:
Forensic collection and automated reports
Вышеозначенный блейд форензики позволяет формировать невероятно детализированные отчеты по security инцидентам на рабочих станциях. Сделать что-то подобное вручную практически невозможно. Как минимум нужно быть экспертом по форензике, уметь работать со специализированным ПО, понимать основы создания вирусов и очень хорошо (мягко говоря) разбираться в особенностях операционных систем — Windows, MacOS. С другой стороны, если вы все это умеете, то это очень здорово и наверняка у вас “хорошая” зарплата. В случае же с SandBlast Agent-ом отчет форензики генерируется автоматически после каждого инцидента, предоставляя исчерпывающую информацию о том, что же именно случилось:
Здесь изображен отчет по зловреду — CTB-Faker Ransomware. Можно открыть пример этого отчета. Очень рекомендую открыть и ознакомиться. Как видно, он представляет из себя интерактивную HTML страницу, где абсолютно все элементы “кликабельны”. Вот еще несколько примеров форензики для известных зловредов:
1. Overview
Общие и самые главные данные по инциденту. Картинка выше и есть пример Overview. В этом же дашборде можно сменить вид Incedent Details на MITRE ATT&CK:
2. General
Здесь можно увидеть к какому типу вирусов относится наш зловред, какой процесс был триггером и какая важность события (severity):
3. Entry Point
Здесь можно увидеть с чего началась атака. В нашем случае все довольно просто (скачали файлик через chrome):
Но бывают случаи гораздо интересней.
4. Remediation
Здесь можно увидеть, что именно сделал SandBlast Agent обнаружив вирус. Затерминированные процессы, восстановленный файлы (особенно актуально при обнаружении шифровальщиков) и т.д.
5. Business Impact
Здесь вы сможете увидеть какие активы пострадали в результате атаки:
6. Suspicious Activity
Можно детально ознакомиться с тем, что же именно Check Point посчитал подозрительным в деятельности этого вируса. Довольно исчерпывающая информация, которая поможет в расследовании инцидентов:
7. Incident Details
Один из самых интересных дашбордов. Позволяет видеть развитие событий на временной шкале с подробной информацией по каждому шагу. Какой процесс был создан, на каком этапе, что конкретно он делал и т.д.:
Заключение
Check Point, в отличии от многих вендоров, в данном случае сосредоточен не только на prevent, но и на максимально подробном объяснении природы пойманного зловреда. Форензика показывает настолько интересные и полезные результаты, что мы (да и сам вендор) используем SandBlast агент для изучения различных экземпляров вирусов, которые нам могут присылать заказчики на анализ. Запускаешь файл в виртуальной машине (лучше на физической) с SandBlast агентом и смотришь, что же он делает. Сам Check Point часто публикует репорты именно с SandBlast агента при описании новых типов обнаруженных вирусов.
Более того, можно принудительно вручную запусть форензику по файлу, даже если он не вирусный и посмотреть всю его активность с реестром, файловой системой, сетевыми подключениями, процессами и т.д. Еще одной интересной особенностью, которая появилась совсем недавно, является возможность передачи всех собранных данных по вирусу на стороннюю SIEM систему в RAW формате. Но это скорее всего актуально для владельцев SOC-ов.
В следующих статьях мы аналогичным образом рассмотрим отчеты SnadBlast Mobile, а так же CloudGiard SaaS. Так что следите за обновлениями (Telegram, Facebook, VK, TS Solution Blog)!
Check Point SandBlast Agent. Что нового?
Мы уже опубликовали огромное кол-во обучающих материалов по Check Point. Однако, тема защиты рабочих станций с помощью Check Point SandBlast Agent пока освещена крайне плохо. Мы планируем исправиться и в ближайшее время создать обучающие курсы по этому продукту, который является одним из лидеров сегмента EDR несколько лет подряд. А пока, делимся информацией о новых возможностях агента, которые появились в версии E83.10. Спойлер — появилась бета версия под LINUX и новая облачная “управлялка”.
Новые функции
Все улучшения версии E83.10 можно найти в sk166979. Там много значимой информации, но мы лучше пройдемся по новым функциям.
Новый облачный менеджмент портал
Check Point уже долгое время развивает концепт Infinity, где ключевую роль играет централизованное управление через облачный портал — portal.checkpoint.com. На текущий момент есть огромное кол-во сервисов, доступных через этот портал:
Интеграция теперь гораздо проще и быстрее. Сервис стартует буквально в течении 5 минут и можно начинать раскатывать агенты. Мы не будем заострять внимания на этом, т.к. данная тема заслуживает целого цикла статей, который мы планируем в ближайшее время.
URL Filtering
Название говорит само за себя. Теперь URL фильтрация будет доступна и на агентах. Вы можете фильтровать трафик даже удаленных пользователей, как-будто они сидят в офисе. На текущий момент доступно несколько основных категорий для URL фильтрации:
Также стоит отметить, что появилась новая функция Anti-Credential Theft – Pass-the-Hash attack Protection. Но о ней мы подробно расскажем наверно уже в рамках будущего курса.
Новые платформы для SandBlast Agent
SandBlast теперь нативно поддерживает работу как в persistent VDI, так и в non-persistent. Но важнее другое. Наконец появилась бета версия SandBlast Agent-а для Linux систем. Вот небольшая демонстрация, где за одно показывается интеграция с Check Point Threat Hunting:
На мой взгляд, управление политиками стало удобнее. Логи с SandBlast Agent-ов теперь тоже в более привычном виде.
Как вы наверно поняли, управление через веб пока доступно только для облачной платформы. Однако, оно станет доступно и для локальных устройств в версии Gaia R81, которую должны анонсировать в первом квартале 21-го года.
Ключевые улучшения агента
Вот несколько ключевых изменений и улучшений SandBlast Agent-а версии E83.10:
Вместо заключения
Уверен будет интересна статья про форензику, которую может предоставлять SandBlast Agent. Как уже было упомянуто, мы планируем публикацию новых обучающих материалов, поэтому следите за обновлениями в наших каналах (Telegram, Facebook, VK, TS Solution Blog)!
Кроме того, в ближайшее время состоится несколько полезных вебинаров по Check Point:
Технологии песочниц. Check Point SandBlast. Часть 3
Ну вот мы и добрались до заключительной части. С предыдущими можно ознакомиться здесь (первая, вторая). Мы продолжаем тему защиты от таргетированных атак. Мы уже обсудили каким образом можно защититься на уровне сети, в частности периметра организации. Однако в современном мире этого недостаточно. На этот раз мы поговорим о защите компьютеров пользователей.
Периметр
Понятие “периметра” становится весьма условным и трудно различимым. Практически все ресурсы сети Интернет переходят на защищенный https протокол. Это и почта и файловые хранилища, социальные сети, порталы документооборота. Т.е. передаваемые данные шифруются, что значительно осложняет их анализ на уровне сети. (Все современные NGFW обязаны иметь функцию https инспекции).
Практически у каждого сотрудника есть флешка на которой он приносит из дома файлы. С флешками могут приходить и ваши партнеры. Куда вставлялись эти флешки ранее и что на них сейчас, сказать очень трудно.
Личные смартфоны и ноутбуки. Эти устройства все чаще используются для рабочих целей. При этом тот же смартфон позволяет установить Интернет соединений посредством 3g или LTE.
В итоге, из-за перечисленных средств, мы имеем потенциальные дыру в нашей корпоративной сети, через которые злоумышленники обходят все наши сетевые средства защиты, какими бы крутыми (дорогими) и надежными они не были. Можно конечно запретить использование и флешек и личных смартфонов для работы, но очень часто это лишь вредит основному бизнесу.
Единственным разумным решением в данном случае будет организация дополнительного уровня защиты — защита компьютеров пользователей.
До сих пор самыми распространенными средствами защиты пользователей были десктопный антивирус, десктопный МЭ и десктопная система предотвращения вторжений. Но как говорилось ранее, все эти средства работают с уже известными зловредами. Как же быть с атаками нулевого дня?
Check Point SandBlast Agent
Для решения этой проблемы CheckPoint выпустил SandBlast Agent. Существует две версии агента: для Браузера (в виде расширения) и для ПК.
Данные агенты позволяют реализовать защиту от атак нулевого дня, защиту от фишинга и шифровальщиков. Могут быстро идентифицировать зловреда и эффективно среагировать, поместив его в карантин, либо заблокировав зараженный компьютер. Кроме того агент для компьютера позволяет васстанавливать данные, если был запущен шифровальщик. Но обо всем по порядку.
Давайте рассмотрим работу SandBlast агента для браузера. Агент ставится в браузер в виде расширения. На данный момент доступны расширения только для google chrome, но в скором времени будет поддержка и других браузеров.
Данный агент позволяет безопасно скачивать файлы даже с HTTPS ресурсов. Например кто-то из ваших сотрудников использует почту — gmail. Ему приходит письмо с вложением. Пользователь начинает скачку файла. Браузерный агент перехватывает эту скачку и позволяет либо конвертировать исходный файл в pdf формат, либо очистить все активное содержимое. Т.е. используется ранее описанная технология Threat Extraction. Это очень полезная функция.
Также браузерный агент позволяет защититься от фишинга. Т.е. вы можете защитить пользователей от попадания на поддельные сайты, которые предназначены для сбора паролей или распространения вирусов. Причем запрещаются не только сайты, которые есть в общих базах, обозначенные как зловредные. Агент обладает функцией анализа и по большому кол-ву признаков может определить, что сайт является фейковым и не несет какой-либо полезной нагрузки. Даже если этой сайт был создан 5 минут назад.
Браузерный агент обладает еще одной замечательной функцией. Это защита от утечки корпоративных учетных записей и паролей. К сожалению довольно большое кол-во пользователей используют свои пароли многократно, дабы не забыть его случайно. Т.е. пароль от доменной учетной записи может также использоваться для доступа к соц.сети или торрент трекеру. Это довольно небезопасно. SandBlast Agent позволяет определить, что на каком либо сайте были использованы корпоративные пароли и тут же сообщает об этом администратору и пользователю. Пользователю тут же рекомендуется сменить рабочий пароль.
Агент для браузера является отличным дополнение для защиты корпоративной сети. Но что же делать, если файл все же попал на компьютер жертвы? Например с помощью той же флешки. Для этого существует десктопный вариант агента SandBlast.
Этот агент, в дополнение к функционалу браузерного, также имеет встроенный антибот, может помещать вирусные файлы в карантин, либо заблокировать всю систему, чтобы вирус не распространялся дальше.
Кроме того, десктопный агент очень полезен при расследовании различных инцидентов. Агент постоянно собирает информацию об используемых приложениях, процессах. файлах, сетевой активности. В случае обнаружения и идентификации зловреда автоматически происходит анализ и генерация отчета об инциденте. При этом если вы используете SmartEvent, то эти отчет интегрируются с общей системой анализа. Таким образом вы видите всю картину в одном месте, что очень удобно и позволяет более быстро реагировать на различные инциденты.
Пример отчета можно рассмотреть на данном слайде. Здесь можно увидеть с какого приложения все началось, какие процессы были после этого запущены и как вирус в принципе попал на данный компьютер. Мы рассмотрим этот отчет подробнее в следующих лабораторных работах.
SandBlast Agent может быть внедрен тремя способами:
Кроме того, если вы используете Office 365, то вы также можете использовать защитные механизмы SandBlast. Облако Microsoft будет автоматически отправлять все поступающие файлы в облако SandBlast, для анализа. При этом также может быть настроен Threat Extraction, что позволит доставлять пользователям либо очищенные, либо сконвертированные файлы. Все это будет происходить в считанные секунды. Кроме того, в скором времени будет доступна поддержка почты Google.
На этом теоретическая часть закончилась. Вы можете посмотреть ее в формате видео:
Теперь мы можем переходить к лабораторным работам.
Лабораторная работа №6 — Браузерные агенты
В ходе лабораторной работы мы познакомились с возможностями плагина CheckPoint SandBlast Zero-Day Protection. Также рассмотрели его основные настройки в связке с шлюзом безопасности SMESG. На практике рассмотрели процесс конвертации файлов в pdf и очистку от вредоносного содержимого.
Лабораторная работа №7 — Десктопные агенты
В ходе работы мы настроим SandBlast Agent, скачаем и запустим зараженный файл и посмотрим что при этом случится. Также проанализируем доступные отчеты.