Relativement récemment, nous avons publié un mini-cours en accès libre "
Check Point to the maximum ". Là, nous avons essayé d'examiner brièvement et avec des exemples les erreurs les plus courantes dans la configuration de Check Point du point de vue de la sécurité des informations. En fait, nous vous avons expliqué quels sont les paramètres par défaut et comment "serrer l'écrou". Le cours (de façon inattendue pour nous) a reçu de très bonnes critiques. Après cela, nous avons reçu plusieurs demandes pour une brève «compression» de ce matériel - une
liste de contrôle pour les paramètres de sécurité . Nous avons décidé que c'était une bonne idée et publions donc cet article.
Avant de commencer, je voudrais me concentrer sur deux choses:
- Cette liste de contrôle n'est pas un document ou un manuel autonome. Ce n'est que le minimum nécessaire de contrôles qu'il est souhaitable de faire. Des recommandations supplémentaires (étendues) ne peuvent être obtenues qu'après un examen détaillé de l'infrastructure.
- La liste de contrôle sera pertinente non seulement pour les propriétaires de Check Point . D'autres fournisseurs ont des problèmes similaires avec les paramètres par défaut: Fortigate , PaloAlto , Cisco FirePower , Kerio , Sophos , etc.
Et maintenant, la liste de contrôle elle-même avec quelques commentaires sur chaque élément:
1) Inspection HTTPS activée
J'ai parlé de l'importance de l'inspection HTTPS dans la
deuxième leçon, «Check Point to the Maximum». Sans cette option, votre cher NGFW se transforme en un gros trou dans le périmètre du réseau.
2) Les ressources et applications indésirables sont bloquées (filtrage des applications et des URL)
À Check Point, deux lames en sont responsables: le contrôle des applications et le filtrage des URL. Presque la même chose est avec d'autres fournisseurs avec de légères différences. L'objectif principal de ces fonctions est de réduire la zone d'attaque en bloquant l'accès aux ressources ou applications potentiellement dangereuses. Pour une raison quelconque, malgré la présence de catégories préconfigurées (Anonymizer, Botnets, Critical Risk, Hacking, High Risk, Phishing, Remote Administration, Sospicious Content, Spyware / Malicious Sites, Stealth Tactics, etc.), les gens n'utilisent pas ces restrictions . Il est préférable de bloquer de telles choses au niveau du réseau et de ne pas apporter de contrôles du trafic avec des mesures de protection plus sophistiquées (IPS, Antivirus, Anti-Bot, Threat Emulation). Cela évitera les faux positifs et vous fera économiser les performances de la passerelle. Examinez les catégories de sites et d'applications que votre passerelle peut bloquer, puis réexaminez votre politique d'accès. SmartEvent est une bonne aide ici, qui peut générer un rapport sur le trafic des utilisateurs.
3) Bloquer le téléchargement de fichiers indésirables (Content Awareness)
J'en ai parlé dans la
troisième leçon . À Check Point, le panneau Content Awareness est responsable de cette fonctionnalité. Pour d'autres fournisseurs, cela vous permet peut-être de faire un module antivirus ou DLP. La signification de cette action est de bloquer délibérément les types de fichiers indésirables. Vos utilisateurs ont-ils vraiment besoin de télécharger des fichiers exe? Et les scripts? Pourquoi vérifier ces fichiers et espérer la fiabilité de votre passerelle, si vous pouvez les bloquer en tant que contenu inapproprié? Charge NGFW plus faible et niveau de sécurité plus élevé. Parfois, l'utilisateur peut même ne pas savoir qu'il a commencé à télécharger quelque chose (téléchargement en arrière-plan). Passez en revue votre politique, bloquez au moins les fichiers exécutables.
4) Antivirus effectue une analyse complète des fichiers (Antivirus - Analyse approfondie)
Cela viole absolument tous les fournisseurs. Dans les paramètres par défaut, l'antivirus en streaming analyse uniquement le hachage du fichier ou les premiers octets. Pour une protection adéquate, cela ne suffit pas. La modification du virus n'est pas difficile. Pour les attraper, vous avez besoin d'une vérification approfondie. À Check Point, l'option d'
inspection approfondie en est responsable. Mais attention. N'activez pas cette fonction pour absolument tous les fichiers. Si vous avez une passerelle «faible», alors la charge peut augmenter trop. Utilisez une inspection approfondie des fichiers les plus dangereux (et souvent téléchargés): pdf, docx, xlsx, rtf, zip, rar, exe (si vous autorisez leur téléchargement), etc. Voir la
quatrième leçon pour plus de détails.
5) Les archives sont vérifiées, celles protégées par mot de passe sont bloquées (Antivirus - analyse des archives)
Étonnamment, beaucoup oublient cette option. Je pense que tout le monde doit vérifier les archives. Et il devrait être évident pour tout le monde que les archives avec un mot de passe doivent être bloquées. Je ne vois aucune raison de peindre quelque chose de plus détaillé ici. Vérifiez simplement que vous l'avez configuré.
6) Des moteurs d'analyse supplémentaires sont inclus (Antivirus - Protections)
Dans le profil de prévention des menaces (optimisé) par défaut, des mécanismes de vérification supplémentaires sont désactivés, tels que:
activité malveillante - signatures ,
activité inhabituelle - modèles de comportement . Ne négligez pas ces paramètres. Comment les inclure, j'ai montré dans la
quatrième leçon .
7) IPS est mis à jour au moins une fois par semaine
Dans la
cinquième leçon, j'ai essayé de montrer à quel point IPS est important pour la sécurité du réseau. Et l'une des conditions clés de l'efficacité est une base de signature «fraîche». Assurez-vous que votre IPS est mis à jour assez souvent. Ma recommandation est au moins tous les trois jours. En règle générale, les valeurs par défaut sont beaucoup plus élevées (d'une semaine à un mois) pour presque tous les fournisseurs.
8) IPS est déplacé vers une couche distincte
Un autre point important. Assurez-vous de mettre IPS dans une couche distincte. Ce n'est que de cette manière que vous pourrez en tirer le meilleur parti. J'ai expliqué en détail pourquoi et comment procéder dans la
sixième leçon du cours.
9) Différentes politiques de prévention des menaces pour différents segments de réseau
Les politiques de prévention des menaces incluent des lames telles que: Antivirus, Anti-Bot, IPS, Émulation de menaces, Extraction de menaces. Comme nous l'avons déjà indiqué ci-dessus, IPS doit être déplacé vers une couche distincte. Là, vous devez avoir au moins deux stratégies - une pour le périphérique client, l'autre pour les périphériques serveur. Dans le même temps, idéalement, la politique devrait se fragmenter encore plus, car dans chaque segment, il peut y avoir différents types d'appareils et différents types de services. La tâche clé est de n'activer que les mécanismes de protection nécessaires. Cela n'a aucun sens de vérifier les signatures Windows du trafic destiné à l'hôte Linux. Il en va de même pour les autres lames. Une politique de prévention des menaces segmentée est la clé d'une protection adéquate.
10) Utiliser le mode Hold
Par défaut, Threat Prevention utilise le mode d'
arrière-plan . Cela signifie que si le fichier est nouveau et qu'il n'y a pas de signature nécessaire, il peut alors passer pendant qu'une vérification «en profondeur» est en cours. Ce n'est pas exactement ce qui est habituellement exigé des recours. Par conséquent, assurez-vous que le mode
Hold est activé dans les propriétés Threat Prevention (dans les paramètres globaux et les paramètres de profil).
11) Politique géographique formée
Cette fonction est également injustement oubliée. Cette option vous permet de bloquer tout trafic (entrant et sortant) de n'importe quel pays pour votre réseau. Vos utilisateurs doivent-ils visiter le Bangladesh ou le Congo? Mais les attaquants aiment utiliser les serveurs des pays où la législation est assez peu développée en matière de cybercriminalité. Une géopolitique compétente augmentera non seulement le niveau de sécurité, mais réduira également la charge sur la passerelle, car ce dernier n'a pas à tout vérifier.
12) Émulation de menace activée
Un point ne suffit pas ici. Pour de bon, vous devez créer une liste de contrôle distincte pour les paramètres d'émulation de menace. Avec votre permission, je ne le ferai pas :) Je m'attarderai sur une recommandation principale - la lame doit être allumée. Pour une raison quelconque, de nombreux autres administrateurs considèrent cette fonctionnalité comme un exotique inutile. Activez au moins le mode Détection et consultez le rapport dans une semaine. Vous serez surpris. Si le niveau d'abonnement actuel ne permet pas l'utilisation de cette lame, vous pouvez
demander une licence de démonstration pendant 30 jours.
13) Faux positif manquant
Dernier point mais non le moindre. J'ai répété (et je ne me lasse pas de répéter) plusieurs fois que la sécurité est un processus continu, pas un résultat. Par conséquent, même si vous êtes bien réglé, vous devez au moins vérifier l'efficacité et les résultats. La protection fonctionne-t-elle et y a-t-il des erreurs? L'exemple le plus simple pour ce faire est de vérifier périodiquement les journaux de sécurité. Vérifiez les journaux des lames de prévention des menaces. Y a-t-il des événements de détection de gravité avec élevé ou critique et de niveau de confiance avec élevé. Exemple de filtre de journal:
famille_produit: (menace OU point final OU mobile) ET action: Détecter ET gravité: (Critique OU Élevé) ET niveau_de confiance: (Moyen-Élevé OU Élevé)
Si vous avez vu les journaux qui tombent sous ce filtre, vous avez manqué le réseau que vous deviez bloquer. Soit vous avez mal configuré quelque chose, soit votre solution ne fonctionne pas comme il se doit. Vérifiez régulièrement ces événements ou configurez des notifications (fonctionnalité SmartEvent).
Bonne pratique
Vous pouvez trouver la plupart des articles dans la documentation officielle de Check Point. Nous avons déjà publié une collection complète dans l'article "
Instructions de Check Point et Documentation Utile ". Dans notre cas, la principale source d'information sera une sélection d'articles -
Meilleures pratiques et
ATRG . Si vous êtes un heureux propriétaire des produits Check Point, vous devez lire ces rubriques.
Conclusion
Avec cela, nous mettrons fin à nos "fichues douzaines" de contrôles. Si vous ranger vos paramètres de passerelle conformément à cette liste, votre niveau de sécurité sera supérieur à 80% des entreprises (statistiques d'expérience personnelle). Je répète que ce ne sont que des vérifications de base. Pour des recommandations avancées et plus spécifiques, vous avez besoin d'une analyse complète des paramètres actuels et de l'architecture réseau. Vous trouverez ici un exemple de rapport (
Check Point Security Audit ) sur les résultats d'un tel audit des paramètres. Si vous le souhaitez, vous pouvez obtenir un rapport avec des recommandations spécifiques et des instructions pour les corrections.
Des supports de formation supplémentaires sont disponibles sur notre
chaîne de groupe ou
télégramme .
Vous pouvez effectuer un audit gratuit des paramètres de sécurité de Check Point
ici.