הגנה וסינון גישה באמצעות Web Protection על גבי MDE
בין מניעה ,נגיעה, ניסיון גישה וחתירה למגע ישנם הבדלים קטנים אך באירוע אבטחה עלולים להיות עצומים, כאשר כל אחד מהם יכול להעיד על פעולה התקפית מסוימת, ובד”כ זה פעולה מסוימת מתוך סט פעולות תקיפה של אירוע כלשהוא, בין אם מדובר על אירוע שמסווג כאירוע True Positive, או אירוע Benign True Positive או לחלופין False Positive.
אירוע או פעולה שמכילה את אחת מההתראות הנ”ל יכולות לתת כיוון על ראיות וממצאי תחקור, למשל, ישנן פעולות שיכולות להתריע על נגיעה באובייקט מסוים, כדוגמת ביצוע תשאול על קבוצת Domain Admins של Active Directory, ולחלופין ישנן פעולות שיכולות להתריע רק במצב מתקדם יותר כאשר ישנה חתירה למגע וגישה לפרטי הזדהות של משתמש פריבילגי.
ככל שאלגוריתם הניטור מתקדם יותר ומזהה פעולות שהם חתירה למגע וניסיונות גישה כך יהיו פחות התראות False Positive במערכת.
טיפ: במערכות הגנה מתקדמות ההסתכלות היא על Incident ולא על התראות, כי Incident הם בעלי ערך מדויק יותר מאשר התראות רגילות
כאשר מדובר בגישה אל תוכן באינטרנט מומלץ מאוד למזער את הגישה ולמנוע נגיעה באתרים שעלולים להוריד תוכן נגוע או לתקשר עם התוקף, למשל, גישה אל אתר שמכיל כלי תקיפה מבוסס PowerShell או גישה לאתר פישינג.
טקטיקת הגנה כמו WEB Protection יכולה לסייע ולמזער מצבים של נגיעה באתרים נגועים ולמנוע מצבים של הורדת קבצים מבוססים Malware, למנוע גישה לאתרי פישינג, למנוע התקשרות של התוקף וכן הלאה.
הגנה באמצעות WEB Protection
בתשתית של Microsoft Defender for Endpoint (לשעבר Defender for ATP) ישנו רכיב שמסייע בהגנה מול תוכן ואתרים נגועים, והכלי נקרא Web protection, המאפשר למזער את הסיכונים בגישה אל תוכן נגוע, מוריד את כמות האיומים ומסייע בויסות מול תוכן שאינו רצוי.
הרכיב של Web Protection נחלק לשניים:
Web Threat Protection אשר מונע גישה אל אתרים נגועים, כמו אתרי פישינג, אתרים לא מאובטחים, אתרים שמכילים Malware, אתרים שמכילים כלי תקיפה וכן הלאה.
המטרה של Web Threat Protection היא בין היתר:
- לאפשר יכולות של נראות מול איומי WEB שעלולים לסכן את הארגון
- לתת יכולות תחקור מתקדמות מול גישה לאתרים שונים
- להתריע על גישה לאתרים נגועים
- מעקב אחר טרנדים ושימוש בשינויים דינמים של אתרים בעלי תוכן לא אמין
בנוסף Web Threat Protection עושה שימוש ביכולות של Network Protection בכדי למנוע גישה אל אתרים בעלי סיכון, וזאת ע”י אינטגרציה עם דפדפנים שונים כמו Microsoft Edge Chrome או דפדפנים צד שלישי.
טיפ: ניתן להשחיר או להלבין אתרים באמצעות הגדרת custom indicator
Web Content Filtering עוקב אחר ויסות הגישה לאתרים על סמך קטגוריות התוכן שלהם.
המטרה של Web Content Filtering היא לאפשר:
- חסימה של משתמשי קצה המשתמשים בגישה לאתרים אשר נמצאים בקטגוריות חסומות, בין אם משתמשי הקצה ניגשים מתוך הרשת הפנימית או הרשת החיצונית
- פריסה של מדיניות לקבוצות שונות עפ”י Device Groups וע”י בקרות גישה של Defender for Endpoint
- דוחות ונראות לגבי גישה וחסימות לאתרים שונים
Web Content Filtering מאפשר לעקוב ולווסת את הגישה לאתרים על סמך קטגוריות התוכן שלהם. חלק מאותם אתרים עלולים להיות בעייתיים בגלל תקנות תאימות, שימוש ברוחב הפס או חששות אחרים, ולא בהכרח אתרי בעלי רמת סיכון גבוהה.
ניתן להגדיר מדיניות לקבוצות או למכונות ספציפיות בכדי לחסום קטגוריות מסוימות
חסימת קטגוריה מונעת ממשתמשים בקבוצות מכשירים שצוינו גישה לכתובות אתרים המשויכות לאותה קטגוריה, ובעבור כל קטגוריה שאינה חסומה, כתובות URL עוברות ביקורת אוטומטית.
משתמשי הקצה יכולים לגשת לכתובות ואתרים שאינם חסומים ללא הפרעה, ובמקביל תאסוף סטטיסטיקות גישה שיסייעו בקביעצ מדיניות מותאמת.
טיפ: ניתן בתחילה להגדיר מצב של Audit בכדי לנטר את הפעילות של משתמשי הקצה
בנוסף לכך נעשה סינון גישה ותוכן לדפדפנים המוכרים ע”י מנגנון Smart Screen.
איך מגדירים Web Protection
הגדרת Web Protection נעשית על סמך תשתית Microsoft Defender for Endpointועל סמך דרישות קדם בתחנות קצה.
טיפ: מדיניות וחסימת גישה לפי קטגוריות יכולה לחול על כל מכונה אשר מצורפת לתשתית Defender for Endpoint.
דרישות לתחנות קצה
- רישוי Defender for Endpoint שהינו חלק מהרישוי של:
Windows 10 Enterprise E5
Microsoft 365 E5 Security - Windows 10 עם בילד 1607 ומעלה
- עדכון אחרון של MoCAMP
הגדרת Web Protection
בכדי להחיל מדיניות הגנה על אתרי בעלי סיכון יש לבצע את ההנחיות הבאות:
ברמת תחנות קצה יש להגדיר Network Protection שיכולה להיעשות ע”י תשתיות שונות כמו Endpoint Manager או SCCM ואפילו באמצעות Group Policy.
טיפ: באמצעות Endpoint Manager ניתן לבצע עם הפוליסי של Web & Network Protection מתוך Security Baseline של ATP.
הגדרת Web Content Filtering
תחילה יש להפעיל את האפשרות של Web content filtering מתוך אפשרויות Advanced features שנמצאות בהגרות כלליות
בסיום נשמור את השינויים.
בשלב הבא נמשיך להגדרת פוליסי אשר נעשית ע”י הגדרת web content filtering שנמצאת באפשרויות כלליות.
יצירת הפוליסי מאפשר הגדרת הקטגוריות השונות ושיוך מול מכונות ויש לבצע זאת ע”י יצירת Item חדש ולאחר מכן בחירת הקטגוריות אשר מחולקות לפי נושאים כאשר בכל נושא יש תת נושא של סיווג האתרים, למשל, סיווג לפי אתרי Social Networking או Web Based Email וכן הלאה.
בסיום נבצע שמירה ונמתין לאכיפת מדיניות שיכולה לארוך עד 15 דקות.
לאחר שהפוליסי נכנס לתוקף אנו יכולים לבדוק להתחיל בבדיקות וסימולציה בגישה לאתרי בעלי סיכון גבוה.
סימולציה ודוחות
לאחר ביצוע הגדרות מומלת לבצע בדיקות תקופתיות על אתרים שונים בין אם מדובר על אתרים בעלי סיכון גבוה או אתרים לגיטימיים אשר מכילים תוכן נגוע, וזאת בכדי למנוע מצבים גל גישה והורדת תוכן לא רצוי.
טיפ: מכיוון שישנה אינטגרציה מול Microsoft Cloud App Security וכן מול Defender for Office 365 ניתן להרשיע כתובות בעלי סיכון גבוה אשר נמצאו באותן מערכות בחלק מאותו מענה Kill Chain
ניתן לבצע אינספור בדיקות והסימולציה הראשונה שבחרתי היא גישה (פשוטה) להורדת Mimiktaz מהכתובת hxxp://github.com/gentilkiwi/mimikatz/releases, ובזמן הגישה אל האתר קיבלתי חסימה.
במידה ולוחצים על Blocked Content ניתן לראות את הסיבה לחסימה שנעשתה ע”י פוליסי ארגוני.
במידה וניגש לאתר פישינג החסימה תתבצע אך עם הודעה מעט שונה.
בדוחות Web Protection ניתן לראות את הגישה לאתרים השונים לפי סיווג, לפי חסימה, לפי אתר בעלי סיכון גבוהה וכן הלאה. במידה וישנם אתרים שנחסו נוכל לבצע פיבוט על הפעולה בכדי לקבל תמונה מלאה.
