4. Анализ зловредов с помощью форензики Check Point. CloudGuard SaaS

от автора

Мы добрались до последнего продукта из нашего цикла статей по форензике от Check Point. На этот раз речь пойдет об облачной защите. Трудно представить компанию, которая не использует облачные сервисы (так называемый SaaS). Office 365, GSuite, Slack, Dropbox и т.д. И наибольший интерес здесь представляет облачная электронная почта и облачное файловое хранилище. То, чем каждый день пользуются наши сотрудники. Однако, облачные сервисы находятся вне нашей сети и периметр для них отсутствует, как таковой. Это, в свою очередь, очень сильно повышает вероятность атаки на наших пользователей. Вариантов защиты для облачных приложений не так уж и много. Ниже мы рассмотрим решение Check Point CloudGuard SaaS, от чего он защищает и, самое главное, какую форензику и отчетность предоставляет. Это может быть интересно тем, кто хочет провести аудит безопасности своих облачных сервисов.

Check Point CloudGuard SaaS

Принцип работы CloudGuard SaaS довольно простой. Сервис представляет из себя облачную платформу, которая через API интегрируется с другими SaaS сервисами (office365, GSuite, box, dropbox и т.д.).

По сути CloudGuard SaaS является прослойкой между облачным сервисом и пользователем. Все письма или файлы прежде чем попасть к пользователю проверяются различными “движками” CheckPoint. Сама платформа при этом естественно интегрирована с Check Point ThreatCloud и облачной песочницей SandBlast. Вы также можете настраивать интеграция с различными сервисами идентификации пользователей (Centryfy, okta, Azure AD и т.д.), для полноценной проверки подключающихся устройств. Все управление происходит через интуитивный веб интерфейс.

Ключевые особенности Check Point CloudGuard SaaS:

  • Zero-Day Threat Protection
  • Phishing Protection
  • Identity Protection
  • Data Leakage Prevention
  • SaaS Shadow IT Discovery
  • Intuitive Cloud Management

Более подробно об этих функциях можно посмотреть в отличном вебинаре Алексея Белоглазова (компания Check Point):

Мы же сразу перейдем к форензике.

Форензика CloudGuard SaaS

Начнем мы как обычно с главного дашборда CloudGuard SaaS, это первое, что вы увидите при входе на платформу. Общее количество угроз по вирусам, фишингу, аномалиям, DLP и т.д. Там же вы увидите карту инцидентов, общее кол-во пользователей и сервисов:

Наибольший интерес представляет вкладка Events, где можно посмотреть статистику по инцидентам, а также их общий список с возможность фильтрации по категориям, реакциям и т.д.:

Нажав на конкретный инцидент мы можем “провалиться” в детали, например аналитику по конкретному email адресу злоумышленника:

Или же описание самой фишинговой активности:

При этом во вкладке Events можно отфильтровать события по угрозам типа Malware:

и посмотреть подробную аналитику по вирусному письму:

Как видно в нашем примере, в письме было вложение (.xlam файл). Нажав на него мы увидим отчет по нему:

Здесь сразу два интересных момента. Во-первых, можно тут же посмотреть аналитику по этому файлу в VirusTotal (Search this hash in VirusTotal). Иногда эта информация бывает очень интересной. В нашем примере всего 3 антивируса определили его как вирусный:

Там же вы можете увидеть что именно этот файл может делать:

Есть даже граф взаимосвязей:

Вторая интересная возможность — посмотреть отчет песочницы (View Report). И здесь мы увидим уже знакомый нам тип отчета:

Как и в случае с SandBlast Network здесь тоже есть возможность посмотреть видео (слайд-шоу) запуска этого файла в песочнице.

Кроме классического отчета мы можем посмотреть общую аналитику по почте, файловой шаре и т.д.

При этом мы можем формировать собственные отчеты по уже готовым шаблонам:

с возможностью очень тонкой выборки и фильтрации по различным полям:

И конечно же в системе присутствует карантин писем и файлов, который отсутствует в классической песочнице Check Point (что обещали поправить):

В качестве дополнительного материала очень рекомендую статью из журнала Anti-Malware.ru

Заключение

Не думаю, что стоит объяснять, насколько более удобными, доступными и надежными являются облачные сервисы в наши дни. Однако, “облака” это настоящий вызов для “безопасников”. Часто приходится искать компромисс или вовсе отказываться от их использования. Check Point CloudGuard SaaS является отличным средством, которое позволит держать под контролем вашу облачную инфраструктуру.
Еще одна важная деталь — простота интеграции CloudGuard SaaS. Это гораздо легче, чем при использовании классических шлюзов и песочниц. Настройка буквально в несколько кликов в браузере. При этом вы можете воспользоваться бесплатной триальной версией (30 дней) этого сервиса, чтобы провести аудит текущего уровня защищенности ваших облачных сервисов. В режиме Detect вы получите полную отчетность по всем угрозам, при этом не влияя на вашу инфраструктуру. Триальную лицензию, как и консультацию по использованию CloudGuard SaaS, можно запросить у нас.

В ближайшее время мы планируем запустить небольшой видео курс по Check Point CloudGuard SaaS. Так что следите за обновлениями (Telegram, Facebook, VK, TS Solution Blog, Яндекс.Дзен).


ссылка на оригинал статьи https://habr.com/ru/company/tssolution/blog/480506/


Комментарии

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *