Recentemente, publicamos um mini-curso de acesso aberto "
Check Point ao máximo ". Lá, tentamos brevemente e com exemplos considerar os erros mais comuns na configuração do Check Point do ponto de vista da segurança da informação. De fato, dissemos a você quais são as configurações padrão ruins e como "apertar a porca". O curso (inesperadamente para nós) recebeu críticas muito boas. Depois disso, recebemos vários pedidos de um breve "aperto" deste material - uma
lista de verificação para configurações de segurança . Decidimos que é uma boa ideia e, portanto, publicamos este artigo.
Antes de começar, gostaria de me concentrar em duas coisas:
- Esta lista de verificação não é um documento ou manual auto-suficiente. Esse é apenas o mínimo necessário de verificações que é desejável fazer. Recomendações adicionais (estendidas) podem ser obtidas somente após um exame detalhado da infraestrutura.
- A lista de verificação será relevante não apenas para os proprietários do Check Point . Outros fornecedores têm problemas semelhantes com as configurações padrão: Fortigate , PaloAlto , Cisco FirePower , Kerio , Sophos , etc.
E agora a própria lista de verificação com alguns comentários sobre cada item:
1) Inspeção HTTPS ativada
Falei sobre a importância da inspeção HTTPS na
segunda lição, "Ponto de verificação ao máximo". Sem essa opção, seu caro NGFW se transforma em um grande buraco no perímetro da rede.
2) Recursos e aplicativos indesejados estão bloqueados (filtragem de aplicativo e URL)
No Check Point, dois blades são responsáveis por isso - Controle de Aplicativo e Filtragem de URL. Quase a mesma coisa acontece com outros fornecedores com pequenas diferenças. O principal objetivo dessas funções é reduzir a área de ataque, bloqueando o acesso a recursos ou aplicativos potencialmente perigosos. Por alguma razão, apesar da presença de categorias pré-configuradas (Anonimizador, Botnets, Risco Crítico, Hacking, Alto Risco, Phishing, Administração Remota, Conteúdo Sospicious, Spyware / Sites Maliciosos, Táticas Stealth, etc.), as pessoas não usam essas restrições. . É melhor bloquear essas coisas no nível da rede e não realizar verificações de tráfego com medidas de proteção mais sofisticadas (IPS, Antivírus, Anti-Bot, Emulação de Ameaças). Isso evitará falsos positivos e economizará o desempenho do gateway. Examine quais categorias de sites e aplicativos seu gateway pode bloquear e revise sua política de acesso novamente. Uma boa ajuda aqui é o SmartEvent, que pode gerar um relatório sobre o tráfego do usuário.
3) Bloqueando o download de arquivos indesejados (Content Awareness)
Eu falei sobre isso na
terceira lição . No Check Point, o painel Reconhecimento de Conteúdo é responsável por esse recurso. Para outros fornecedores, talvez isso permita que você execute o módulo Anti-Virus ou DLP. O significado desta ação é bloquear deliberadamente tipos de arquivos indesejados. Seus usuários realmente precisam baixar arquivos exe? E os scripts? Por que verificar esses arquivos e esperar pela confiabilidade do seu gateway, se você pode bloqueá-los como conteúdo inapropriado? Menor carga no NGFW e maior nível de segurança. Às vezes, o usuário pode nem saber que ele começou a baixar algo (download em segundo plano). Revise sua política, bloqueie pelo menos os arquivos executáveis.
4) O antivírus executa uma verificação completa dos arquivos (Antivírus - verificação profunda)
Isso viola absolutamente todos os fornecedores. Nas configurações padrão, o antivírus de streaming verifica apenas o hash do arquivo ou os primeiros bytes. Para uma proteção adequada, isso não é suficiente. Modificar o vírus não é difícil. Para pegá-los, você precisa de uma verificação profunda. No Check Point, a opção de
inspeção profunda é responsável por isso. Mas tenha cuidado. Não ative esse recurso para absolutamente todos os arquivos. Se você tiver um gateway "fraco", a carga poderá aumentar muito. Faça uma inspeção profunda dos arquivos mais perigosos (e frequentemente baixados): pdf, docx, xlsx, rtf, zip, rar, exe (se você permitir que eles sejam baixados), etc. Veja a
quarta lição para mais detalhes.
5) Os arquivos são verificados, os protegidos por senha são bloqueados (Antivírus - verificação de arquivo)
Surpreendentemente, muitos esquecem essa opção. Acho que todo mundo precisa verificar os arquivos. E deve ser óbvio para todos que os arquivos com uma senha precisam ser bloqueados. Não vejo razão para pintar algo mais detalhado aqui. Basta verificar se você está configurado.
6) Mecanismos de verificação adicionais estão incluídos (Antivírus - Proteções)
No perfil padrão de prevenção de ameaças (otimizado), mecanismos adicionais de verificação estão desabilitados, como:
atividade maliciosa - assinaturas ,
atividade incomum - padrões comportamentais . Não negligencie essas configurações. Como incluí-los, mostrei na
quarta lição .
7) O IPS é atualizado pelo menos uma vez por semana
Na
quinta lição, tentei mostrar a importância do IPS para a segurança da rede. E uma das principais condições para a eficiência é uma base de assinatura "nova". Verifique se o seu IPS é atualizado com frequência suficiente. Minha recomendação é pelo menos a cada três dias. Como regra, os valores padrão são muito mais altos (de uma semana a um mês) para quase todos os fornecedores.
8) O IPS é movido para uma camada separada
Outro ponto importante. Certifique-se de colocar o IPS em uma camada separada. Somente dessa maneira você pode tirar o máximo proveito disso. Contei detalhadamente por que e como fazer isso na
sexta lição do curso.
9) Políticas diferentes de prevenção de ameaças para diferentes segmentos de rede
As políticas de prevenção de ameaças incluem lâminas como: Antivírus, Anti-Bot, IPS, Emulação de ameaças e Extração de ameaças. Como já dissemos acima, o IPS deve ser movido para uma camada separada. Lá, você deve ter pelo menos duas políticas - uma para o dispositivo cliente e outra para dispositivos de servidor. Ao mesmo tempo, idealmente, a política deveria se fragmentar ainda mais, porque em cada segmento, pode haver diferentes tipos de dispositivos e diferentes tipos de serviços. A principal tarefa é habilitar apenas os mecanismos de proteção necessários. Não faz sentido verificar se há assinaturas do Windows para o tráfego destinado ao host Linux. O mesmo vale para outras lâminas. Uma política segmentada de prevenção de ameaças é a chave para a proteção adequada.
10) Use o modo Hold
Por padrão, a Prevenção de Ameaças usa o modo de
segundo plano . Isso significa que, se o arquivo for novo e não houver assinatura necessária, ele poderá ser processado enquanto uma verificação "aprofundada" estiver em andamento. Isso não é exatamente o que geralmente é necessário nos remédios. Portanto, verifique se o modo
Espera está ativado nas propriedades Prevenção de ameaças (nas configurações globais e nas configurações de perfil).
11) Política Geográfica Formada
Esta função também é imerecidamente esquecida. Esta opção permite bloquear qualquer tráfego (de entrada e saída) de qualquer país da sua rede. Seus usuários precisam visitar Bangladesh ou Congo? Mas os atacantes gostam de usar os servidores de países onde a legislação é pouco desenvolvida em termos de crimes cibernéticos. Uma política geográfica competente não apenas aumenta o nível de segurança, mas também reduz a carga no gateway, porque o último não precisa verificar tudo.
12) Emulação de ameaças ativada
Um ponto não é suficiente aqui. Para sempre, é necessário fazer uma lista de verificação separada para as configurações de Emulação de ameaças. Com sua permissão, não farei isso :) Vou me debruçar sobre uma recomendação principal - a lâmina deve estar ligada. Por alguma razão, muitos outros administradores consideram esse recurso um exótico desnecessário. Pelo menos ative o modo Detectar e veja o relatório em uma semana. Você ficará surpreso. Se o nível de assinatura atual não permitir o uso desse blade, você poderá
solicitar uma licença demo por 30 dias.
13) Falso positivo positivo
Por último mas não menos importante. Repeti (e nunca me canso de repetir) muitas vezes que a segurança é um processo contínuo, não um resultado. Portanto, mesmo se você estiver bem sintonizado, verifique pelo menos a eficácia e os resultados. A proteção funciona e há algum erro? O exemplo mais simples de fazer isso é verificar periodicamente os logs de segurança. Verifique os logs das lâminas de prevenção de ameaças. Existem eventos Detectar da Gravidade com Alto ou Nível Crítico e de Confiança com Alto. Exemplo de filtro de log:
product_family: (Ameaça OU Ponto de extremidade OU Móvel) E ação: Detectar E severidade: (Crítica ou alta) AND trust_level: (Média-alta ou alta)
Se você viu os logs que se enquadram nesse filtro, perdeu a rede que tinha que bloquear. Você configurou algo incorretamente ou seu remédio não funciona como deveria. Verifique periodicamente esses eventos ou configure notificações (funcionalidade SmartEvent).
Melhores práticas
Você pode encontrar a maioria dos itens na documentação oficial da Check Point. Já publicamos uma coleção inteira no artigo "
Instruções do ponto de verificação e documentação útil ". No nosso caso, a principal fonte de informação será uma seleção de artigos -
Best Practice e
ATRG . Se você é um proprietário feliz dos produtos Check Point, é necessário ler estes tópicos.
Conclusão
Com isso, encerraremos nossa "dúzia" de cheques. Se você arrumar as configurações do gateway de acordo com esta lista, seu nível de segurança será superior a 80% das empresas (estatísticas de experiência pessoal). Repito que estas são apenas verificações básicas. Para recomendações avançadas e mais específicas, você precisa de uma análise abrangente das configurações atuais e da arquitetura de rede.
Aqui você pode encontrar um exemplo de relatório (
Check Point Security Audit ) sobre os resultados dessa auditoria de configurações. Se desejar, você pode obter um relatório com recomendações e instruções específicas para correções.
Materiais de treinamento adicionais podem ser encontrados em nosso
grupo ou
canal de telegrama .
Você pode realizar uma auditoria gratuita das configurações de segurança do Check Point
aqui.