Baru-baru ini relatif, kami menerbitkan kursus mini akses terbuka "
Periksa Titik ke maksimum ." Di sana kami mencoba secara singkat dan dengan contoh mempertimbangkan kesalahan paling umum dalam konfigurasi Titik Periksa dari sudut pandang keamanan informasi. Bahkan, kami memberi tahu Anda apa pengaturan default yang buruk dan bagaimana "mengencangkan mur". Kursus ini (secara tak terduga bagi kami) menerima ulasan yang cukup bagus. Setelah itu, kami menerima beberapa permintaan untuk "memeras" materi ini secara singkat -
daftar periksa untuk pengaturan keamanan . Kami memutuskan bahwa ini adalah ide yang bagus, dan karena itu menerbitkan artikel ini.
Sebelum memulai, saya ingin fokus pada dua hal:
- Daftar periksa ini bukan dokumen atau manual yang mandiri. Ini hanya pemeriksaan minimum yang diperlukan yang diinginkan untuk dilakukan. Rekomendasi tambahan (diperpanjang) dapat diperoleh hanya setelah pemeriksaan infrastruktur secara terperinci.
- Daftar periksa akan relevan tidak hanya untuk pemilik Titik Periksa . Vendor lain memiliki masalah serupa dengan pengaturan default: Fortigate , PaloAlto , Cisco FirePower , Kerio , Sophos , dll.
Dan sekarang daftar periksa itu sendiri dengan beberapa komentar pada setiap item:
1) Pemeriksaan HTTPS diaktifkan
Saya berbicara tentang pentingnya pemeriksaan HTTPS dalam
pelajaran kedua, "Periksa Titik ke Maksimum." Tanpa opsi ini, NGFW tersayang Anda berubah menjadi lubang besar di sekeliling jaringan.
2) Sumber daya dan aplikasi yang tidak diinginkan diblokir (Penyaringan aplikasi & URL)
Di Check Point, dua bilah bertanggung jawab untuk ini - Kontrol Aplikasi dan Penyaringan URL. Hal yang hampir sama adalah dengan vendor lain dengan sedikit perbedaan. Tujuan utama dari fungsi-fungsi ini adalah untuk mengurangi area serangan dengan memblokir akses ke sumber daya atau aplikasi yang berpotensi berbahaya. Untuk beberapa alasan, meskipun terdapat kategori yang telah dikonfigurasi sebelumnya (Anonimizer, Botnet, Risiko Kritis, Peretasan, Risiko Tinggi, Phishing, Administrasi Jarak Jauh, Konten Sospicious, Spyware / Situs Berbahaya, Stealth Tactics, dll.), Orang tidak menggunakan batasan ini . Lebih baik untuk memblokir hal-hal seperti itu di tingkat jaringan dan tidak membawa pemeriksaan lalu lintas dengan langkah-langkah perlindungan yang lebih canggih (IPS, Antivirus, Anti-Bot, Emulasi Ancaman). Ini akan menghindari kesalahan positif dan menghemat kinerja gateway Anda. Periksa kategori situs dan aplikasi mana yang dapat diblokir oleh gateway Anda, lalu tinjau kembali kebijakan akses Anda. Bantuan yang baik di sini adalah SmartEvent, yang dapat menghasilkan laporan tentang lalu lintas pengguna.
3) Memblokir unduhan file yang tidak diinginkan (Content Awareness)
Saya berbicara tentang ini di
pelajaran ketiga . Pada Titik Periksa, blade Kesadaran Konten bertanggung jawab untuk fitur ini. Untuk vendor lain, mungkin ini memungkinkan Anda untuk melakukan modul Anti-Virus atau DLP. Arti dari tindakan ini adalah untuk secara sengaja memblokir tipe file yang tidak diinginkan. Apakah pengguna Anda benar-benar perlu mengunduh file exe? Bagaimana dengan skrip? Mengapa memeriksa file-file ini dan berharap keandalan gateway Anda, jika Anda dapat memblokirnya sebagai konten yang tidak pantas? Beban lebih rendah pada NGFW dan tingkat keamanan yang lebih tinggi. Terkadang pengguna bahkan tidak tahu bahwa ia sudah mulai mengunduh sesuatu (unduhan latar belakang). Tinjau kebijakan Anda, blokir setidaknya file yang dapat dieksekusi.
4) Antivirus melakukan pemindaian penuh file (Antivirus - Deep scan)
Ini benar-benar melanggar semua vendor. Dalam pengaturan default, streaming antivirus hanya memindai hash file atau beberapa byte pertama. Untuk perlindungan yang memadai ini tidak cukup. Memodifikasi virus tidak sulit. Untuk menangkap mereka, Anda perlu pemeriksaan mendalam. Di Check Point, opsi
inspeksi mendalam bertanggung jawab untuk ini. Tapi hati-hati. Jangan aktifkan fitur ini untuk semua file. Jika Anda memiliki gateway "lemah", maka bebannya mungkin bertambah terlalu banyak. Gunakan inspeksi mendalam untuk file yang paling berbahaya (dan sering diunduh): pdf, docx, xlsx, rtf, zip, rar, exe (jika Anda mengizinkannya diunduh), dll. Lihat
pelajaran keempat untuk lebih jelasnya.
5) Arsip diperiksa, dilindungi kata sandi diblokir (Antivirus - pemindaian arsip)
Anehnya, banyak yang melupakan opsi ini. Saya pikir semua orang perlu memeriksa arsip. Dan harus jelas bagi semua orang bahwa arsip dengan kata sandi perlu diblokir. Saya tidak melihat alasan untuk melukis sesuatu yang lebih rinci di sini. Periksa apakah Anda sudah mengonfigurasinya.
6) Mesin pindai tambahan disertakan (Antivirus - Perlindungan)
Dalam profil Pencegahan Ancaman (Dioptimalkan) default, mekanisme verifikasi tambahan dinonaktifkan, seperti:
Aktivitas Berbahaya - Tanda tangan ,
Aktivitas Tidak Biasa - Pola Perilaku . Jangan abaikan pengaturan ini. Cara memasukkan mereka saya tunjukkan dalam
pelajaran keempat .
7) IPS diperbarui setidaknya seminggu sekali
Dalam
pelajaran kelima, saya mencoba menunjukkan betapa pentingnya IPS untuk keamanan jaringan. Dan salah satu syarat utama untuk efisiensi adalah basis tanda tangan "segar". Pastikan IPS Anda cukup sering diperbarui. Rekomendasi saya setidaknya setiap tiga hari. Sebagai aturan, nilai default jauh lebih tinggi (dari seminggu hingga sebulan) untuk hampir semua vendor.
8) IPS dipindahkan ke Layer yang terpisah
Poin penting lainnya. Pastikan untuk menempatkan IPS di Layer yang terpisah. Hanya dengan cara ini Anda bisa mendapatkan yang terbaik dari itu. Saya memberi tahu secara terperinci mengapa dan bagaimana melakukan ini dalam
pelajaran keenam saja.
9) Kebijakan Pencegahan Ancaman yang berbeda untuk segmen jaringan yang berbeda
Kebijakan Pencegahan Ancaman mencakup bilah seperti: Antivirus, Anti-Bot, IPS, Emulasi Ancaman, Ekstraksi Ancaman. Seperti yang telah kami nyatakan di atas, IPS harus dipindahkan ke Layer yang terpisah. Di sana Anda harus memiliki setidaknya dua kebijakan - satu untuk perangkat klien, yang lain untuk perangkat server. Pada saat yang sama, idealnya, politik harus lebih terpecah-pecah, karena di setiap segmen dapat ada berbagai jenis perangkat dan berbagai jenis layanan. Tugas utamanya adalah hanya mengaktifkan mekanisme perlindungan yang diperlukan. Tidak masuk akal untuk memeriksa windows-signatures lalu lintas yang ditujukan untuk host Linux. Hal yang sama berlaku untuk bilah lainnya. Kebijakan Pencegahan Ancaman tersegmentasi adalah kunci untuk perlindungan yang memadai.
10) Gunakan mode Tahan
Secara default, Pencegahan Ancaman menggunakan mode
latar belakang . Ini berarti, jika file tersebut baru dan tidak ada tanda tangan yang diperlukan, maka itu dapat lulus saat pemeriksaan "mendalam" berlangsung di latar belakang. Ini bukan apa yang biasanya diperlukan dari solusi. Oleh karena itu, pastikan bahwa mode
Tahan diaktifkan di properti Pencegahan Ancaman (dalam pengaturan global dan pengaturan profil).
11) Membentuk Kebijakan Geo
Fungsi ini juga tidak dapat dilupakan. Opsi ini memungkinkan Anda untuk memblokir lalu lintas apa pun (baik yang masuk maupun yang keluar) dari negara mana pun untuk jaringan Anda. Apakah pengguna Anda perlu mengunjungi Bangladesh atau Kongo? Tetapi para penyerang suka menggunakan server dari negara-negara di mana undang-undang ini agak kurang berkembang dalam hal kejahatan dunia maya. Kebijakan Geo yang kompeten tidak hanya akan meningkatkan tingkat keamanan, tetapi juga mengurangi beban pada gateway, karena yang terakhir tidak harus memeriksa semuanya.
12) Emulasi Ancaman Diaktifkan
Satu poin saja tidak cukup di sini. Demi kebaikan, Anda perlu membuat daftar periksa terpisah untuk pengaturan Emulasi Ancaman. Dengan izin Anda, saya tidak akan melakukan ini :) Saya akan memikirkan satu rekomendasi utama - blade harus dinyalakan. Untuk beberapa alasan, lebih banyak administrator menganggap fitur ini eksotis yang tidak perlu. Setidaknya nyalakan mode Deteksi dan lihat laporannya dalam seminggu. Anda akan terkejut. Jika tingkat berlangganan saat ini tidak memungkinkan penggunaan blade ini, maka Anda dapat
meminta lisensi demo selama 30 hari.
13) Missing False Positive
Terakhir tapi tidak kalah pentingnya. Saya telah berulang (dan tidak pernah bosan mengulangi) berkali-kali bahwa keselamatan adalah proses yang berkelanjutan, bukan hasil. Oleh karena itu, bahkan jika Anda telah diatur dengan baik, Anda setidaknya harus memeriksa efektivitas dan hasilnya. Apakah perlindungan berfungsi dan apakah ada kesalahan? Contoh paling sederhana untuk melakukan ini adalah memeriksa log keamanan secara berkala. Periksa log Bilah Pencegahan Ancaman. Apakah ada Deteksi acara dari Severity dengan High atau Critical dan Confidence Level dengan High. Contoh filter log:
product_family: (Ancaman ATAU Titik Akhir ATAU Seluler) DAN tindakan: Deteksi DAN tingkat keparahan: (Kritis ATAU Tinggi) DAN tingkat kepercayaan_level: (Sedang-Tinggi ATAU Tinggi)
Jika Anda melihat log yang termasuk dalam filter ini, maka Anda melewatkan jaringan yang harus Anda blokir. Entah Anda mengkonfigurasi sesuatu yang salah, atau obat Anda tidak berhasil sebagaimana mestinya. Periksa secara berkala peristiwa semacam itu, atau konfigurasikan pemberitahuan (fungsi SmartEvent).
Praktik terbaik
Anda dapat menemukan sebagian besar item dalam dokumentasi resmi Check Point. Kami telah menerbitkan seluruh koleksi di artikel "
Periksa Petunjuk Titik dan Dokumentasi yang Berguna ". Dalam kasus kami, sumber utama informasi adalah pemilihan artikel -
Praktik Terbaik dan
ATRG . Jika Anda adalah pemilik produk Check Point yang senang, maka topik ini wajib dibaca.
Kesimpulan
Dengan ini kita akan mengakhiri cek "sial" kita. Jika Anda merapikan pengaturan gateway Anda sesuai dengan daftar ini, maka tingkat keamanan Anda akan lebih tinggi dari 80% perusahaan (statistik dari pengalaman pribadi). Saya ulangi bahwa ini hanya cek biasa. Untuk rekomendasi lanjutan dan lebih spesifik, Anda memerlukan analisis komprehensif pengaturan saat ini dan arsitektur jaringan.
Di sini Anda dapat menemukan contoh laporan (
Periksa Audit Keamanan Point ) pada hasil audit pengaturan tersebut. Jika mau, Anda bisa mendapatkan laporan dengan rekomendasi dan instruksi spesifik untuk koreksi.
Materi pelatihan tambahan dapat ditemukan di
grup kami atau
saluran telegram kami .
Anda dapat melakukan audit gratis pengaturan keamanan Titik Periksa di
sini.