Hace relativamente poco tiempo, publicamos un mini curso de acceso abierto "
Check Point to the maximum ". Allí intentamos brevemente y con ejemplos considerar los errores más comunes en la configuración de Check Point desde el punto de vista de la seguridad de la información. De hecho, le dijimos cuáles son las configuraciones predeterminadas y cómo "apretar la tuerca". El curso (inesperadamente para nosotros) recibió muy buenas críticas. Después de eso, recibimos varias solicitudes de un breve "resumen" de este material, una
lista de verificación para la configuración de seguridad . Decidimos que es una buena idea y, por lo tanto, publicamos este artículo.
Antes de comenzar, me gustaría centrarme en dos cosas:
- Esta lista de verificación no es un documento o manual autosuficiente. Esto es solo el mínimo necesario de controles que desea hacer. Se pueden obtener recomendaciones adicionales (extendidas) solo después de un examen detallado de la infraestructura.
- La lista de verificación será relevante no solo para los propietarios de Check Point . Otros proveedores tienen problemas similares con la configuración predeterminada: Fortigate , PaloAlto , Cisco FirePower , Kerio , Sophos , etc.
Y ahora la propia lista de verificación con algunos comentarios sobre cada elemento:
1) Inspección HTTPS habilitada
Hablé sobre la importancia de la inspección HTTPS en la
segunda lección, "Punto de control al máximo". Sin esta opción, su querido NGFW se convierte en un gran agujero en el perímetro de la red.
2) Los recursos y aplicaciones no deseados están bloqueados (aplicación y filtrado de URL)
En Check Point, dos blades son responsables de esto: control de aplicaciones y filtrado de URL. Casi lo mismo ocurre con otros proveedores con ligeras diferencias. El objetivo principal de estas funciones es reducir el área de ataque bloqueando el acceso a recursos o aplicaciones potencialmente peligrosos. Por alguna razón, a pesar de la presencia de categorías preconfiguradas (anonimizador, botnets, riesgo crítico, piratería, alto riesgo, phishing, administración remota, contenido sospechoso, spyware / sitios maliciosos, tácticas furtivas, etc.), las personas no usan estas restricciones . Es mejor bloquear tales cosas a nivel de red y no llevar controles de tráfico con medidas de protección más sofisticadas (IPS, Antivirus, Anti-Bot, Emulación de amenazas). Esto evitará falsos positivos y le ahorrará rendimiento de puerta de enlace. Examine qué categorías de sitios y aplicaciones puede bloquear su puerta de enlace, luego revise su política de acceso nuevamente. Una buena ayuda aquí es SmartEvent, que puede generar un informe sobre el tráfico de usuarios.
3) Bloquear la descarga de archivos no deseados (Conciencia del contenido)
Hablé sobre esto en la
tercera lección . En Check Point, la hoja de conciencia de contenido es responsable de esta función. Para otros proveedores, quizás esto le permita hacer un módulo Anti-Virus o DLP. El significado de esta acción es bloquear deliberadamente los tipos de archivos no deseados. ¿Realmente necesitan sus usuarios descargar archivos exe? ¿Qué pasa con los guiones? ¿Por qué verificar estos archivos y esperar la confiabilidad de su puerta de enlace, si puede bloquearlos como contenido inapropiado? Baja carga en NGFW y mayor nivel de seguridad. A veces, el usuario puede no saber que ha comenzado a descargar algo (descarga en segundo plano). Revise su política, bloquee al menos los archivos ejecutables.
4) Antivirus realiza una exploración completa de archivos (Antivirus - Exploración profunda)
Esto viola absolutamente a todos los vendedores. En la configuración predeterminada, la transmisión de antivirus escanea solo el hash del archivo o los primeros bytes. Para una protección adecuada esto no es suficiente. Modificar el virus no es difícil. Para atraparlos, necesitas un control profundo. En Check Point, la opción de
inspección profunda es responsable de esto. Pero ten cuidado. No habilite esta función para absolutamente todos los archivos. Si tiene una puerta de enlace "débil", entonces la carga puede aumentar demasiado. Use una inspección profunda para los archivos más peligrosos (y descargados a menudo): pdf, docx, xlsx, rtf, zip, rar, exe (si permite que se descarguen), etc. Vea la
cuarta lección para más detalles.
5) Se comprueban los archivos, se bloquean los protegidos con contraseña (Antivirus - exploración de archivos)
Sorprendentemente, muchos se olvidan de esta opción. Creo que todos necesitan revisar los archivos. Y debería ser obvio para todos que los archivos con contraseña deben bloquearse. No veo ninguna razón para pintar algo más detallado aquí. Solo verifique que lo tenga configurado.
6) Se incluyen motores de escaneo adicionales (Antivirus - Protecciones)
En el perfil predeterminado de Prevención de amenazas (optimizado), los mecanismos de verificación adicionales están deshabilitados, como:
Actividad maliciosa - Firmas ,
Actividad inusual - Patrones de comportamiento . No descuides estas configuraciones. Cómo incluirlos mostré en la
cuarta lección .
7) IPS se actualiza al menos una vez a la semana
En la
quinta lección, traté de mostrar lo importante que es IPS para la seguridad de la red. Y una de las condiciones clave para la eficiencia es una base de firmas "fresca". Asegúrese de que su IPS se actualice con la frecuencia suficiente. Mi recomendación es al menos cada tres días. Como regla general, los valores predeterminados son mucho más altos (de una semana a un mes) para casi todos los proveedores.
8) IPS se mueve a una capa separada
Otro punto importante. Asegúrese de poner IPS en una capa separada. Solo de esta manera puedes sacarle el máximo provecho. Le dije con cierto detalle por qué y cómo hacer esto en la
sexta lección del curso.
9) Diferentes políticas de prevención de amenazas para diferentes segmentos de red
Las políticas de prevención de amenazas incluyen blades tales como: antivirus, anti-bot, IPS, emulación de amenazas, extracción de amenazas. Como ya dijimos anteriormente, IPS debe moverse a una capa separada. Allí debe tener al menos dos políticas: una para el dispositivo del cliente y la otra para los dispositivos del servidor. Al mismo tiempo, idealmente, la política debería fragmentarse aún más, porque En cada segmento puede haber diferentes tipos de dispositivos y diferentes tipos de servicios. La tarea clave es habilitar solo los mecanismos de protección necesarios. No tiene sentido comprobar si hay firmas de Windows en el tráfico destinado al host de Linux. Lo mismo ocurre con otras cuchillas. Una política segmentada de prevención de amenazas es la clave para una protección adecuada.
10) Use el modo Hold
De manera predeterminada, la prevención de amenazas utiliza el modo de
fondo . Esto significa que si el archivo es nuevo y no hay una firma necesaria, puede continuar mientras se realiza una verificación "en profundidad". Esto no es exactamente lo que generalmente se requiere de los remedios. Por lo tanto, asegúrese de que el modo
Retener esté habilitado en las propiedades de Prevención de amenazas (en la configuración global y la configuración del perfil).
11) Política de geografía formada
Esta función también se olvida inmerecidamente. Esta opción le permite bloquear cualquier tráfico (entrante y saliente) de cualquier país para su red. ¿Sus usuarios necesitan visitar Bangladesh o el Congo? Pero a los atacantes les gusta usar los servidores de países donde la legislación está bastante poco desarrollada en términos de delito cibernético. Una Geo-política competente no solo aumentará el nivel de seguridad, sino que también reducirá la carga en la puerta de enlace, porque este último no tiene que verificar todo.
12) Emulación de amenazas habilitada
Un punto no es suficiente aquí. Para bien, debe hacer una lista de verificación separada para la configuración de Emulación de amenazas. Con su permiso, no haré esto :) Me detendré en una recomendación principal: la cuchilla debe estar encendida. Por alguna razón, muchos más administradores consideran que esta característica es una exótica innecesaria. Al menos active el modo Detectar y vea el informe en una semana. Te sorprenderás Si el nivel de suscripción actual no permite el uso de este blade, puede
solicitar una licencia de demostración durante 30 días.
13) Falta Falso Positivo
Por último pero no menos importante. He repetido (y nunca me canso de repetir) muchas veces que la seguridad es un proceso continuo, no un resultado. Por lo tanto, incluso si está bien sintonizado, al menos debe verificar la efectividad y los resultados. ¿Funciona la protección y hay algún error? El ejemplo más simple para hacer esto es verificar periódicamente los registros de seguridad. Verifique los registros de Blades de prevención de amenazas. ¿Hay eventos de detección de gravedad con alto o crítico y nivel de confianza con alto? Ejemplo de filtro de registro:
familia_producto: (Amenaza O Punto final O Móvil) Y acción: Detectar Y gravedad: (Crítico o alto) Y nivel de confianza: (Medio-alto O alto)
Si vio los registros que se incluyen en este filtro, se perdió la red que tuvo que bloquear. O configuró algo incorrectamente o su remedio no funciona como debería. Verifique periódicamente dichos eventos o configure notificaciones (funcionalidad SmartEvent).
Mejor practica
Puede encontrar la mayoría de los artículos en la documentación oficial de Check Point. Ya hemos publicado una colección completa en el artículo "
Instrucciones de puntos de verificación y documentación útil ". En nuestro caso, la principal fuente de información será una selección de artículos:
Best Practice y
ATRG . Si eres un feliz propietario de los productos de Check Point, entonces debes leer estos temas.
Conclusión
Con esto terminaremos nuestros "malditos docenas" de cheques. Si ordena la configuración de su puerta de enlace de acuerdo con esta lista, su nivel de seguridad será superior al 80% de las empresas (estadísticas de la experiencia personal). Repito que estos son solo controles básicos. Para obtener recomendaciones avanzadas y más específicas, necesita un análisis exhaustivo de la configuración actual y la arquitectura de red.
Aquí puede encontrar un informe de ejemplo (
Auditoría de seguridad de Check Point ) sobre los resultados de dicha auditoría de configuración. Si lo desea, puede obtener un informe con recomendaciones específicas e instrucciones para correcciones.
Se pueden encontrar materiales de capacitación adicionales en nuestro
grupo o
canal de telegramas .
Puede realizar una auditoría gratuita de la configuración de seguridad de Check Point
aquí.