Добро пожаловать на новый цикл статей, посвящённых защите персональных рабочих мест с помощью решения Check Point SandBlast Agent и новой облачной системе управления — SandBlast Agent Management Platform.
SandBlast Agent рассматривался нами в статьях об анализе зловредов и описании функций новой версии E83.10 и мы давно обещали опубликовать полноценный курс статей по разворачиванию и администрированию агентов, а представленная Check Point облачная система управления агентами Management Platform в рамках Infinity Portal подходит для этого лучше всего — от момента регистрации на портале до запуска сканирования рабочей станции агентом и обнаружения зловредной активности пройдет всего несколько минут.
Почему SandBlast Agent?
Согласно последнему тесту 2020 NSS Labs Advanced Endpoint Protection (AEP) Market Test продукт Check Point SandBlast Agent получил рейтинг «АА» и статус «рекомендовано» со следующими результатами тестов:
- Показатель блокировки в WEB-траффике — 100%
- Показатель блокировки в электронной почте — 100%
- Показатель блокировки угроз offline — 100%
- Показатель блокировки попыток обхода — 100%
- Общий показатель блокировки — 99,12%
- Значение ложных срабатываний False-positive — 0,8%
SandBlast Agent обеспечивает высокий уровень защищённости рабочих станций пользователей с помощью совместной работы нескольких компонентов, именуемых «блейдами» в терминологии Check Point.
Краткое описание блейдов, использующихся в SandBlast Agent:
- Threat Emulation — технология «песочницы», устойчивая к различным техникам уклонения и позволяющая предотвращать атаки нулевого дня
- Threat Extraction — технология очистки файлов «на лету», позволяющая пользователю получить очищенный от активных компонентов документ до вердикта полноценной эмуляции
- Anti-Exploit — защита широко используемых приложений (Microsoft Office, Adobe PDF Reader, браузеры и др.) от атак с использованием эксплойтов
- Anti-Bot — технология защиты персональных компьютеров от присоединения к ботнет-сетям. Позволяет обнаруживать заражения, останавливать работу вредоносного программного обеспечения и «лечить» заражённые машины
- Zero-Phishing — модуль защиты, блокирующий мошеннические фишинговые сайты и оповещающий пользователя об использовании рабочего пароля на сторонних ресурсах
- Behavioral Guard — технология, нацеленная на предотвращение атак, использующих технологии обхода и уклонения от обнаружения
- Anti-Ransomware — модуль защиты, который обнаруживает и блокирует действия шифровальщиков, а также позволяет восстанавливать зашифрованные файлы с помощью Snapshot-ов
- Forensics — модуль безопасности, который фиксирует и анализирует все события на машине и в результате предоставляет качественный отчёт по расследуемым атакам
Помимо перечисленных возможностей SandBlast Agent позволяет производить полное шифрование диска, а также шифрование съёмных носителей и защиту портов компьютера, имеет встроенный клиент VPN, сигнатурный и эвристический модули защиты от вредоносных программ.
Более детально возможности всех компонентов SandBlast Agent будут рассмотрены в последующих статьях, а сейчас пришло время познакомиться с активно развивающейся платформой — Check Point Infinity.
Check Point Infinity: защита от угроз V поколения
Компания Check Point с 2017 года развивает и продвигает единую консолидированную архитектуру безопасности Check Point Infinity, позволяющую успешно защищать все составляющие современной IT-инфраструктуры: сетевую и облачную инфраструктуры, рабочие станции, мобильные устройства. Основная идея — возможность управлять средствами защиты различных категорий из единой браузерной консоли управления.
На текущий момент архитектура Check Point Infinity позволяет администрировать решения по защите облаков — CloudGuard SaaS, сетевой безопасности — CloudGuard Connect, Smart-1 Cloud, Infinity SOC, а также по защите пользовательских устройств с помощью SandBlast Agent Management Platform, SandBlast Agent Cloud Management и SandBlast Web Dashboard.
Данный цикл статей будет посвящён решению SandBlast Agent Management Platform (пока что Beta-версия), которое позволяет в считанные минуты развернуть облачный сервер управления, настроить политику безопасности и распространить агенты на пользовательские компьютеры.
Infinity Portal & SandBlast Agent Management Platform: начало работы
Процесс разворачивания SandBlast Agent с помощью Management Platform состоит из 5 этапов:
- Регистрация на портале Check Point Infinity Portal
- Регистрация приложения SandBlast Agent Management Platform
- Создание нового Endpoint Management Service для управления агентами
- Создание и настройка политики для агентов
- Разворачивание агентов на компьютерах пользователей
В данной статье описываются первые три этапа, а в последующих публикациях мы подробно рассмотрим оставшиеся два, в том числе изучим интерфейс платформы управления, распространим агентов на клиентские компьютеры, настроим политику и проверим способность агента справляться с наиболее популярными угрозами безопасности.
1. Регистрация на портале Infinity Portal
В первую очередь необходимо перейти на сайт Infinity Portal и заполнить форму регистрации, указав название компании, контактные данные и согласиться с правилами пользования сервисом и политикой конфиденциальности портала, а также пройти reCAPTCHA.
Стоит отметить, что при регистрации можно выбрать страну, в дата-центре которой будут храниться данные, собираемые порталом в соответствии с правилами пользования сервисом и политикой конфиденциальности. Вариантов всего два: Ирландия и США. Для этого необходимо установить галочку «Use specific data residency region» и выбрать страну.
При успешной регистрации на портале на указанную Вами почту придёт письмо, подтверждающее наличие доступа к Infinity Portal и предлагающее залогиниться на портале. Стоит отметить, что при первом входе в портал может потребоваться выбор опции сброса пароля для дальнейшей успешной аутентификации.
2. Регистрация приложения SandBlast Agent Management Platform
После аутентификации на портале и нажатия значка «Menu» (шаг 1 на изображении ниже) Вам будет предложено зарегистрировать приложение из списка доступных по следующим категориям: Cloud Protection, Network Protection и Endpoint Protection. Каждое приложение заслуживает отдельного курса ознакомительных статей, поэтому не будем останавливаться подробнее на них и выберем в категории Endpoint Protection приложение SandBlast Agent Management Platform (шаг 2 на изображении ниже).
После выбора приложения необходимо согласиться с правилами пользования сервисом и политикой конфиденциальности портала и после нажатия кнопки «TRY NOW» открывается доступ к интерфейсу создания сервисов Endpoint Management.
3. Создание нового Endpoint Management Service
Последним этапом является создание нового сервиса для Endpoint Management, который и представляет собой веб-интерфейс для управления агентами. Процесс, как и ранее, предельно прост: выбираем опцию «New Endpoint Management Service» (как показано на рисунке ниже), заполняем данные вашего нового сервиса (идентификатор, регион хостинга и пароль) и нажимаем кнопку «CREATE».
После окончания процесса создания сервиса на вашу почту придёт письмо с параметрами, которые вы можете использовать для подключения к облачному серверу управления с помощью стандартной консоли Check Point для администрирования агентов — SmartEndpoint версии R80.40. Мы не будем рассматривать управление с помощью стандартной консоли, так как данный цикл статей нацелен на демонстрацию возможностей облачной системы управления агентами SandBlast.
На этом процесс регистрации облачного сервиса для управления средством защиты персональных компьютеров SandBlast Agent можно считать успешно завершённым. Перед нами появляется веб-интерфейс платформы администрирования агентов, который будет детально рассмотрен в следующей нашей статье из цикла «Check Point SandBlast Agent Management Platform».
Заключение
Самое время подвести итоги проделанной работы: мы с вами успешно зарегистрировались на портале Infinity Portal, зарегистрировали приложение SandBlast Agent Management Platform на портале и создали новый облачный сервис управления Endpoint Management Service.
В следующей нашей статье цикла мы детально рассмотрим интерфейс управления агентами. Ни одна вкладка не останется без внимания, что позволит нам с вами без проблем в дальнейшем создать политику безопасности и отслеживать состояние пользовательских машин с помощью логов и отчётов.
Большая подборка материалов по Check Point от TS Solution. Чтобы не пропустить следующие публикации по теме SandBlast Agent Management Platform — подписывайтесь на наш канал ✅
Автор: Алексей Малько. Инженер информационной безопасности и технической поддержки.
#информационная безопасность #системное администрирование #серверное администрирование #сетевые технологии #it
