Мы продолжаем тему оптимизации настроек Check Point. На этот раз мы затронем тему Anti-Virus. Антивирусным технологиям уже более 30 лет! Казалось бы, за это время уже все и всё узнали. Да и какие там настройки? Включаешь Антивирус и просто регулярно обновляешь базы, ну т.е. сигнатуры. Это не совсем верная стратегия. Многие пользователи Check Point-а оставляют дефолтные настройки, а потом удивляются, когда вирус все же проникает в сеть. Я постараюсь рассказать, как минимизировать эти риски.
Введение
Но прежде чем начать, я бы хотел еще раз вспомнить слайд из предыдущего урока. Там я сделал акцент на том, что Антивирус уже давно не является панацеей, ну точнее не сам антивирус, а сигнатурный анализ, который до сих пор используется как основной метод для 100% антивирусов.
Ведь по сути, сигнатура это всегда успешная атака. Уже после обнаружения атаки, специалисты определяют что это был за вирус, создают сигнатуру и уже с этого момента вирус будет детектиться. Все эти цифры говорят о том, что кол-во уникальных вредоносов, для которых нет сигнатур, увеличивается с каждым годом. Тут опять же можно вспомнить блейды Threat Emulation и Threat Extraction, как ответная мера, но сегодня урок не об этом. Сегодня мы говорим об Антивирусе.
Несмотря на всю эту печальную статистику, Антивирус по прежнему остается одним из самых необходимых средств защиты. Процент таргетированных атак пока еще гораздо меньше, чем процент классических атак с использованием уже известных вирусов. Как правило это автоматизированные компании по рассылке вредоносов почтой, либо распространение через популярные веб-ресурсы. Так называемые «атаки на дурака». Именно поэтому Антивирус остается важной частью защиты сети.
Думаю на этом можно закончить теоретическую вводную и перейти к практике, где мы детально рассмотрим настройку Антивируса и обязательно протестируем его с помощью дистрибутива Kali-Linux.
Макет
Давайте еще раз вспомним нашу схему. На этот раз я буду генерировать новые вирусы с помощью Kali-Linux и пытаться протащить их на компьютер пользователя, через наш Check Point. Приступим.
Видео урок
В данном видео уроке мы подробно рассмотрим тонкости настройки Check Point Anti-Virus. Мы затронем следующие моменты:
- deep inspection;
- archive scanning;
- блокировка файлов;
- блокировка запароленных архивов;
- генерация вирусных файлов с помощью setoolkit;
- анализ логов.
Заключение
Хотелось бы заметить, что представленные в видео методы проверок подходят не только для Check Point. Т.е. используя Kali Linux вы также можете проверить надежность своего межсетевого экрана (будь то Cisco, Palo Alto, Fortinet и т.д.). Настоятельно рекомендую провести подобные тесты. Уверен, что вы будете удивлены…
P.S. Особая благодарность выражается Алексею Белоглазову (компания Check Point) за помощь при подготовке урока.
Чтобы не пропустить другие уроки подписывайтесь на наш YouTube канал, группу VK и Telegram.
Комментарии (7)
zCooler
17.04.2018 12:11Интересный момент.
В файлике с подсказками написана команда
sha256sum <file>
На видео вычисляется md5sum файла, и делается поиск md5 хэша по базе sha256 хешей. Логично что не найдено :)
youtu.be/-i3uWfkh6WM?t=651 вот тут видно, что вирустотал считает sha256cooper051 Автор
17.04.2018 12:42Согласен, зашпарился. Но я надеюсь, что вы поверите мне, что по хэшу sha256 тоже не будет совпадений :)
zCooler
17.04.2018 13:54Логично. Хеш от рандомного файла + малвар пейлоада будет отличный от хеша самого пейлоада, и с изменением файла хеш будет различный. По этому в данном случае проверка по хешу бессмысленна.
cooper051 Автор
17.04.2018 14:01В этом и была мысль, показать на сколько просто создать вирус, который не детектится по хэшу. А именно этот способ чаще всего используется для потоковых антивирусов на шлюзах безопасности.
zCooler
17.04.2018 14:22Поправьте если не прав, но ЕМНИП используется сигнатурный способ детекта в основном.
Детектирование по хешу безсмысленное по определению.cooper051 Автор
17.04.2018 14:29В том то и дело, что по дефолту на подавляющем большинстве шлюзов проверка hash-based. Она не бессмысленна конечно, но не так эффективна. И на чекпоинте это меняется путем включения deep inspection.
Более того, я проверил еще несколько серьезных вендоров (Cisco, Fortinet, PaloAlto) и там ровно такая же ситуация. Сгенерированный на коленке вирус проходит без проблем с дефолтными настройками анти-вируса. Правда при этом должен быть выключен IPS, иначе именно он успешно ловит эти простенькие вирусы, как раз на уровне сигнатур, но уже в потоке, еще до того, как файл попадет на анализ в AV.
apilichev
Пошел проверять свой Sophos…