SandBlast Agent — песочница, защита от таргетированных атак

SandBlast Agent — ответы на популярные вопросы (FAQ)

 

CbrAb2BVIAAmKQM

Что такое Check Point SandBlast Agent?

Песочница Check Point SandBlast Agent осуществляет защиту конечных точек, используя усовершенствованный контроль атак нулевого дня и экспертизу с автоматическим анализом угроз.

 

sandblast-agentSandBlast Agent включает следующие элементы:

  1. Threat Extraction

Активно препятствует попаданию пользовательского вредоносного файла благодаря быстрой реконструкции его копии, таким образом исходные файлы подвергаются проверке на наличие возможных угроз.

  1. Threat Emulation

Обнаруживает атаки нулевого дня и неизвестные атаки. Файлы, которые копируются или загружаются в конечную точку, направляются в песочницу для эмуляции и обнаружения атак.

  1. Anti-Bot

Мониторинг конечной точки для постоянного управления и контроля позволяет администраторам предупреждать заражение устройств, даже если конечная точка находится за NAT и блокирует C&C  коммуникацию.

  1. Automated Incident Analysis / Автоматический анализ угроз

Ускоряет процесс распознавания полного жизненного цикла атаки для максимизации производительности рабочих групп реагирования и минимизации вредоносного воздействия. Этот анализ также обеспечивает реальные аналитические отчеты об инциденте, основанные на непрерывном сборе данных, внутреннем анализе атаки, анализе повреждений и заражений.

 

Если я использую Check Point SandBlast в своей сети, есть ли необходимость в использовании Check Point SandBlast Agent?

Да. Check Point SandBlast Agent расширяет защиту корпоративной сети от атак нулевого дня, обеспечивая прямую защиту конечных точек и автоматический анализ данных.

SandBlast Agent защищает от некоторых видов атак, которые обычно не распознаются. Например, когда конечные точки находятся за пределами сети или при копировании файлов непосредственно в конечную точку через внешние устройства хранения данных.

 

Если у меня нет шлюза безопасности Check Point, должен ли я использовать SandBlast Agent?

Да, конечно. SandBlast Agent является независимым передовым решением безопасности для конечных точек. Его можно развернуть на любом шлюзе безопасности в корпоративной сети, используя все его возможности.

 

Если в моей сети уже обеспечена защита конечных точек / AV решение, нужен ли мне SandBlast Agent?

Да. SandBlast Agent улучшит существующее решение следующим образом:

  1. Расширение возможностей передовой защиты от угроз, обход традиционных AV решений.
  1. Интеграция с AV решением, обеспечивающая автоматический анализ обнаруженных с его помощью угроз.

 

В чём разница между SandBlast Agent и Capsule Cloud?

И SandBlast Agent, и Capsule Cloud предназначены для защит конечных точек, но они отличаются между собой.

 

Кому больше подходит SandBlast Agent:

а) пользователям, желающим расширить защиту конечных точек от угроз нулевого дня защиты и обеспечить немедленное восстановление документов, даже за пределами корпоративной сети;

б) пользователям, которые хотят получить доступ к анализу атак и ускорить их обнаружение и предотвращение.

 

capsule cloudКому больше подходит Capsule Cloud:

а) пользователям, которые хотят расширить возможности сетевых средств защиты динамичных конечных точек;

б) пользователям, которые хотят перенести некоторые функции по обеспечению безопасности из шлюза в облако.

 

Может ли SandBlast Agent защитить себя и свои данные от воздействия вредоносных программ?

Да. SandBlast Agent имеет возможность самозащиты благодаря использованию самых современных драйверов блокировки и сокрытию своих данных, предотвращая несанкционированный доступ или внешнее воздействие.

 

Комплектация и стоимость

 В чем разница между SandBlast Agent и SandBlast Forensics Agent?

SandBlast Agent представляет собой полноценный пакет, который включает в себя все три элемента:

а) автоматический анализ угроз (Automated Incident Analysis);

б) защита от угроз нулевого дня с программными блейдами Threat Emulation and Threat Extraction;

в) обнаружение и предотвращение угроз с блейдом AntiBot.

 

SandBlast Forensics Agent обеспечивает только автоматический анализ угроз.

 

Как я могу перейти от SandBlast Forensics Agent к SandBlast Agent?

Пользователи SandBlast Forensics Agent могут сдать своё устройство в счёт устройства SandBlast Agent (по схеме «trade-in»).

 

Могу ли я комбинировать SandBlast Agent с другими программными блейдами для конечных устройств?

Да. SandBlast Agent полностью интегрирован с Check Point для защиты конечных точек, что позволяет пользователям развертывать агент с полной базой безопасности и единым управлением.

 

Требуется ли отдельная лицензия для использования облачного сервиса SandBlast?

Нет. Лицензия SandBlast Agent включает в себя возможность использования облачного сервиса Sandblast для эмуляции и предотвращения угроз (Threat Emulation and Threat Extraction).

 

Можно ли приобретать SandBlast Agent пользователям, у которых отсутствуют NGTX шлюзы или устройства SandBlast?

Да. Данные пользователи будут работать с облаком, при этом возможность использования TE включена в стоимость SandBlast Agent.

 

Какие модели (SKU) SandBlast Agent и SandBlast Forensics Agent существуют? Какова их стоимость?

Версия Период использования Цена Программные блейды Описание SKU
SandBlast Agent 1 год по запросу Forensics, ABOT, TE, TEX SandBlast Agent- полный пакет. Включает: Forensics incident analysis, Threat Emulation, Threat Extraction и Anti-Bot. CPEP-SBA-1Y
SandBlast Forensics Agent 1 год по запросу Forensics SandBlast Agent – включает только Forensics incident analysis. CPEP-SBA-FRNC-1Y

 Примечание:   

  1. В стоимость входит стандартное сервисное обслуживание
  2. EP приёмник не требуется для SandBlast Agent

Развёртывание

1373698645_kakoy-windows-luchsheКакие операционные системы поддерживают SandBlast Agent?

SandBlast Agent поддерживается на ОС Windows 7, 8, 10. Поддержка сервера Windows запланирована на конец 2016 года. Если вам необходима немедленная сервисная поддержка сервера, обратитесь в центр Check Point.

 

Возможно ли развёртывание SandBlast Agent рядом с существующей конечной точкой/ AV решением?

Да. SandBlast Agent увеличивает возможности существующей конечной точки / AV решения путем добавления защиты CPU-уровня от атак нулевого дня. Появляются возможности обнаружения угроз, которые AV устройство может не заметить, и автоматизированного анализа событий, зафиксированных AV решением.

 

Как управлять решением SandBlast Agent?

С помощью Check Point Endpoint Management. Мониторинг безопасности осуществляется посредством SmartEvent и SmartLog, также, как и в других решениях Check Point. Это позволяет администратору, отвечающему за безопасность, осуществлять постоянный мониторинг, используя одну консоль безопасности.

Threat Emulation и Threat Extraction

Каким образом входящие файлы делятся на требующие эмуляции и требующие предотвращения угроз?

Все файлы, скачанные из сети или скопированные (например, через USB), проходят через эмуляцию Threat Emulation. А скачанные веб-файлы дополнительно отправляются в Threat Extraction.

Перед отправкой файлов, SandBlast Agent проверяет подписанные хэш-файлы с помощью облачного сервиса Sandblast — если это известный файл (нормальный/вредоносный), то решение обеспечивается немедленно, эмуляция не требуется. В частности, файлы, переданные ранее в режим эмуляции шлюзом безопасности не будут отправлены SandBlast Agent.

 

Где можно посмотреть отчёты Threat Emulation?

Threat Emulation отчёты находятся в SmartEvent.

 

Где осуществляется эмуляция файлов?

Основанные на конфигурации пользователя файлы отправляются либо в облачную систему SandBlast Cloud, либо в локальные устройства SandBlast.

Примечание — Поддержка локальных устройств SandBlast запланирована на 2ой квартал 2016 года.

 

Расширение браузера

Что такое SandBlast Browser Extension?

Часть пакета SandBlast Agent. Расширение браузера обеспечивается с помощью Threat Emulation и Threat Extraction для всех веб-загрузок.

 

Как осуществляется развёртывание и управление Browser Extension в SandBlast Agent?

Расширение браузера автоматически устанавливается в SandBlast Agent. Как только удаётся добиться того же профиля безопасности, как и в SandBlast Agent, необходимость в любом отдельном процессе конфигурации исчезает.

 Браузеры Google Chrome и Internet Explorer поддерживают расширение SandBlast. Поддержка других браузеров, включая Firefox and Safari, находится в стадии разработки.

 

Anti-Bot

Какие образом Check Point Anti-Bot осуществляет свои функции в SandBlast Agent?

Anti-Bot в SandBlast Agent использует ту же логику и подписи, что и стандартный сетевой блейд Anti-Bot. Он взаимодействует Check Point ThreatCloud в режиме реального времени для анализа скрытых угроз.

 

Forensics

computer-forensicsКакого рода информация об угрозах собирается?

SandBlast Agent собирает текущую информацию об активности операционной системы. Собранная информация включает в себя активные процессы, сетевые коммуникации, изменения в реестре, доступ к файловой системе и многие другие показатели, которые запрашивают датчики агента.

 

Где хранится собранная информация об угрозах в SandBlast Agent?

Данные хранятся в локальных конечных точках SandBlast Agent. Сохраненные данные защищены от несанкционированного доступа или вмешательства в безопасную структуру журнала SandBlast Agent.

 

Сколько места на диске занимают данные об угрозах?

Эти данные требуют около 1GB памяти жёсткого диска в месяц, но количество собираемой информации зависит от использования ПК. Когда выделенное для хранения данных место полностью заполняется, новые записи заменяют старые. Объем дискового пространства, выделенного для хранения данных, можно настроить индивидуально.

 

Где можно увидеть отчёты об анализе угроз?

Отчёты можно посмотреть в SmartEvent или SmartLog. Рекомендуется использовать для этих целей SmartEvent. Он предоставляет возможность дополнительной корреляции событий, фильтрации и поиска журналов, более продуктивного мониторинга событий безопасности и оперативного реагирования.

 

Может ли обнаружение 3rd Party AV вызвать анализ угроз?

Да. Большинство решений для конечных точек обеспечивают простой вызов команды обнаружения на AV, это может инициировать анализ угроз. SK описывают, где можно включить этот параметр на 3rd party AV, доступный для вендоров AV.

 

Перейти к каталогу устройств Check Point SandBlast

Перейти к описанию устройства Check Point Sandblast

Запросить демонстрацию SandBlast Agent