Check Point SandBlast Mobile 3.0 – рішення для захисту мобільних пристроїв
Check Point SandBlast Mobile 3.0 — рішення для захисту мобільних пристроїв
Check Point SandBlast Mobile 3.0 — рішення, призначене для захисту мобільних пристроїв від кібератак. SandBlast Mobile запобігає фішинговим атакам, виявляє шкідливі мобільні програми, небезпечні налаштування та профілі мобільної ОС, блокує доступ до шкідливих сайтів, обмежує доступ до корпоративної мережі та веб-ресурсів від скомпрометованих та атакованих мобільних пристроїв.
Основними векторами атак на мобільні пристрої є операційна система, програми та мережевий трафік. Як правило, основними загрозами є шкідливі програми, фішинг, уразливості у додатках, атаки типу MitM (Man-in-the-Middle), експлойти для операційних систем, профілі налаштувань мобільного пристрою. При цьому наслідками атак можуть стати корпоративний шпигунство, стеження за VIP, цільовий фішинг, крадіжка контактів, прослуховування дзвінків та SMS, крадіжка облікових даних, перехоплення повідомлень.
Компаніям необхідно використовувати комплексний захист мобільних пристроїв, який дозволить запобігати просунутим кібератакам, а також забезпечить доступ до корпоративної мережі тільки з перевірених безпечних пристроїв.
У цьому огляді наведено інформацію про Check Point SandBlast Mobile 3.0 — рішення класу Mobile Threat Defense (MTD), яке призначене для захисту корпоративних мобільних пристроїв від відомих та невідомих шкідливих програм та інших загроз, спрямованих на мобільні пристрої.
Архітектура рішення Check Point SandBlast Mobile
Check Point SandBlast Mobile являє собою мобільний додаток. На корпоративний смартфон або планшет під керуванням iOS та Android з AppStore або з Google Play відповідно встановлюється програма SandBlast Mobile Protect. Управління та системні сервіси SandBlast Mobile знаходяться у хмарі Check Point SandBlast Mobile Cloud.
При цьому, якщо компанія не хоче зберігати відомості про користувачів у хмарі Check Point, а хоче, щоб ці дані зберігалися локально в корпоративній мережі, можливе встановлення додаткового сервера Check Point User and Device Management (UDM) у мережі компанії, який забезпечує управління сертифікатами віддаленого доступу (Remote Access), інтеграцію з Active Directory, Check Point Capsule Cloud та SmartLog і, найголовніше, здійснює знеособлення даних користувачів, які зберігаються та відображаються лише локально в консолі управління UDM.
Функціональні можливості Check Point SandBlast Mobile
До основних можливостей Check Point SandBlast Mobile відносяться:
- Виявлення на пристрої встановлених шкідливих програм (включаючи нові, тобто нульового дня).
- Виявлення вразливостей або небезпечних налаштувань мобільної операційної системи.
- Запобігання атакам фішингу (включаючи нові фішингові сайти, які не мають репутації).
- Блокування доступу користувачів до шкідливих сайтів та URL-фільтрація.
- Блокування доступу заражених пристроїв до серверів керування зловмисників (антибот) та корпоративної мережі (умовний доступ залежно від стану пристрою).
- Усунення загроз за участю користувача або автоматично за рахунок інтеграції з мобільними платформами управління (MDM/EMM/UEM).
На мобільному пристрої програмою SandBlast Mobile Protect створюється Loopback VPN. Таким чином, SandBlast Mobile Protect "загортає" трафік від додатків через себе. Це дозволяє розшифрувати SSL-трафік на початковому етапі для перегляду URL, перевірити, до яких адрес звертаються додатки, перевірити репутацію сайтів в TheatCloud і застосувати налаштовані політики безпеки SandBlast Mobile.
Інспекція мережного трафіку безпосередньо на мобільному пристрої (On-Device Network Protection) є унікальною перевагою, оскільки не потрібно постійно підтримувати VPN до зовнішнього шлюзу безпеки та вдається суттєво економити заряд акумулятора пристрою.
Перевіряється версія та налаштування мобільної операційної системи (включаючи профілі керування, проксі, VPN та довірені сертифікати).
Перевіряється список встановлених репутаційних програм у ThreatCloud, яка формується завдяки аналізу програм з Apple Store та Google Play. Якщо на мобільному пристрої Android виявлено нову програму, вона буде завантажена з магазину програм в хмару і проемульована. Сам аналіз здійснюється автоматично в пісочниці, а також вручну фахівцями з мобільних шкідників до розбору до вихідного коду (reverse engineering).
Системні вимоги та технології, що підтримуються
На момент виходу огляду Check Point SandBlast Mobile підтримує такі версії мобільних операційних систем:
- iOS 10, 11 та 12;
- Android 6, 7 та 8.
Виробник гарантує підтримку трьох останніх актуальних мажорних версій мобільних операційних систем. SandBlast Mobile Protect оновлюється автоматично.
Політика ліцензування:
Check Point пропонує 2 варіанти ліцензій — за кількістю пристроїв у корпоративній мережі або за кількості користувачів. Варіант ліцензування за кількістю користувачів є вигідним, коли у користувачів кілька пристроїв — в рамках ліцензії користувач може підключити до трьох пристроїв.
Можливості інтеграції:
У Check Point SandBlast Mobile існує можливість інтеграції з такими системами:
- Check Point Capsule;
- Check Point Log Server (у частині відправки подій);
- MDM/EMM/UEM-системами (MobileIron, MaaS360, Citrix XenMobile, Airwatch, Microsoft Intune та BlackBerry Dynamics, BlackBerry Unified Endpoint Management);
- SIEM-системами по Syslog (Splunk, QRadar та MaxPatrol SIEM).
Робота з Check Point SandBlast Mobile
Встановлення програми SandBlast Mobile на мобільний пристрій
Встановлення програми SandBlast Mobile Protect на корпоративні пристрої здійснюється з AppStore для пристроїв під керуванням iOS або Google Play для Android-пристроїв. Також можна встановити SandBlast Mobile Protect на керовані мобільні пристрої за допомогою MDM/EMM/UEM-системи.
Налаштування політик безпеки та моніторинг у Check Point SandBlast Mobile
Моніторинг безпеки мобільних пристроїв та налаштування політик безпеки в Check Point SandBlast Mobile здійснюється через SandBlast Mobile Management Dashboard, що представляє собою веб-консоль.
Щоб увійти до SandBlast Mobile Management Dashboard, користувача компанії, що здійснює управління безпекою корпоративних мобільних пристроїв, необхідно у веб-браузері ввести адресу хмари Check Point і авторизуватися для доступу до консолі.
Після авторизації користувач потрапляє до розділу Dashboard, у якому у вигляді діаграм та графіків відображається стан інформаційної безпеки корпоративних мобільних пристроїв.
Корпоративні пристрої в Check Point SandBlast Mobile можна завести в розділі Device, можна їх імпортувати списком у форматі CSV або отримати від MDM/EMM/UEM (за наявності відповідної інтеграції).
Для перегляду списку встановлених програм на iOS-пристроях через обмеження операційної системи потрібно включити опцію Should install MDIS profile (дана опція є «мікро-MDM») або інтегруватися з існуючою MDM/EMM/UEM компанії. Для систем на базі Android це не потрібно.
Гнучка політика безпеки дозволяє налаштувати різні профілі (Policy Profile) перевірок та блокувань для різних груп або окремих пристроїв користувачів. За промовчанням застосовується профіль Global, який може бути змінений або перевизначено.
У рамках створення Device-політики задаються загальні параметри в General Settings, а також спеціальні параметри для Android-пристроїв в Android Security Settings та iOS-пристроїв в iOS Security Settings. Наприклад, можна вказати граничне значення (у днях) за відсутності підключення пристрою до сервера і призначити рівень ризику для відповідної події, або ж можна вказати граничне значення (у днях) відсутності установки патчів і призначити рівень ризику для відповідної події, і т.д. Таким чином, сформована політика допомагає контролювати рівень ІБ на пристрої, тим самим знижуючи ймовірність реалізації загроз, наприклад, зараження шкідливістю або використання вразливості.
Створення політики для програм здійснюється на основі категорії програми (наприклад, «хакерські» утиліти, утиліти резервного копіювання) та зіставлення їм відповідного рівня ризику.
У розділі On-device Network Protection налаштовуються мережні політики безпеки пристрою. Зокрема, включення на пристроях інспекції мережного трафіку, інспекція SSL/TLS-трафіку, умовний доступ (Conditional Access), URL-фільтрація, чорний та білий списки доменів та IP-адрес, блокування доступу до заражених та фішингових сайтів.
У розділі Wi-Fi Network налаштовуються політики контролю доступу до Wi-Fi-мереж в частині виявлення та блокування атак Man in the Middle («людина посередині»). Можна налаштувати виявлення SSL-Stripping, SSL-interception (Basic), SSL-interception (Advanced), вказати, які URL сайтів повинні контролюватись, а також створити білий список SSL-сертифікатів. Якщо, наприклад, на контрольованому сайті сертифікат стає недовіреним або з'єднання йде без шифрування (HTTP), то це свідчить, що зловмисник прослуховує трафік користувача.
У розділі Cellular Net налаштовується SMS-Phishing detection — перевірка посилань у SMS-повідомленнях за репутацією ThreatCloud для запобігання фішингу.
У розділі iOS Security Setting налаштовуються додаткові політики щодо iOS-пристроїв. Наприклад, контроль встановлення сторонніх профілів на iOS-пристрій та налаштування білого списку дозволених профілів.
У разі порушення вимог будь-якого з профілів (політики) пристрій визнається таким, що не відповідає корпоративним стандартам безпеки. Про це повідомляє адміністратор через консоль управління, а також користувач безпосередньо в інтерфейсі мобільного пристрою.
При використанні Check Point SandBlast Mobile спільно з MDM/EMM/UEM інформація про невідповідність пристрою корпоративним стандартам/політикам надсилається в MDM/EMM/UEM для прийняття подальшого рішення. MDM/EMM/UEM, у свою чергу, визначає рівень ризику за політиками MDM/EMM/UEM і може заблокувати частину функцій пристрою або може заборонити доступ до корпоративних даних на пристрої.
Також при використанні Check Point SandBlast Mobile спільно з рішенням Check Point Capsule Workspace підвищується рівень захищеності мобільного пристрою в частині роботи з корпоративними документами та даними. У разі виявлення атак, наприклад шкідливих програм, Check Point SandBlast Mobile відправляє команду Check Point Capsule Workspace закрити контейнер з корпоративними даними на мобільному пристрої.
Результати виконання політик у SandBlast Mobile можна переглянути у розділі Dashboard у вигляді графіків та діаграм, а також у розділі Events&Alerts. У Events&Alerts за допомогою фільтрів у верхній частині інтерфейсу адміністратор може зробити вибірку подій за категоріями, критичністю та за певний період.
У розділі App Analysis міститься детальна інформація про програми корпоративних пристроїв, їх рівні ризику.
SandBlast Mobile запобігає фішинговим атакам, блокує доступ до шкідливих сайтів, здійснює блокування заражених пристроїв від корпоративної мережі, тим самим забезпечуючи захист корпоративної мережі від заражених та скомпрометованих мобільних пристроїв.
Хмарна архітектура рішення дозволяє замовникам не витрачатися на закупівлю серверів, впровадження та налаштування серверної частини. Всі необхідні компоненти знаходяться в хмарі Check Point. Однак наявність опціонального локального сервера User and Device Management (UDM) дозволяє гарантувати знеособлення, зберігання та обробку відомостей про користувачів на території. організації.
Прозора політика ліцензування дозволяє придбати необхідну кількість ліцензій як за кількістю пристроїв в інфраструктурі, так і за кількістю користувачів.
Переваги:
- Не вимагає встановлення серверних компонентів в інфраструктурі компанії.
- Прозора політика ліцензування.
- Керування через веб-інтерфейс.
- Захист від загроз нульового дня.
- Поглиблений аналіз додатків з метою виявлення відомих та невідомих загроз.
- Інспекція та контроль мережевого трафіку безпосередньо на мобільному пристрої та економія заряду акумулятора (порівняно із зовнішньою інспекцією на шлюзах безпеки).
- Виявлення вразливостей та небезпечних налаштувань в операційних системах мобільних пристроїв.
- Виявлення та блокування фішингових атак, спрямованих на розкрадання облікових записів користувачів та корпоративної інформації.
- Можливість інтеграції з лідируючими MDM/EMM/UEM, SIEM та власним криптоконтейнером Check Point Capsule Workspace.
- Гнучке масштабування (від 30 до 300 тис. мобільних пристроїв).
- Збереження приватності особистих даних співробітників.
Недоліки:
- Незначно збільшується витрата заряду акумулятора мобільного пристрою.
- Відсутня можливість розгорнути всю серверну частину рішення в корпоративній мережі (тільки у хмарі та локальний UDM-сервер).
- Централізована установка можлива лише за допомогою MDM/EMM/UEM-системи або іншої системи управління корпоративними мобільними пристроями.
