Приветствую читателей нашего блога от TS Solution, наступила осень, а значит пришло время учиться и узнавать для себя что-то новое. Постоянная аудитория хорошо знает, что мы уделяем большое внимание продуктам от Check Point, это большое число решений для комплексной защиты вашей инфраструктуры. Сегодня мы соберем в одном месте рекомендованные и доступные к ознакомлению циклы статей и курсов, устраивайтесь поудобнее, будут в основном ссылки на источники.
4. Check Point SandBlast Agent Management Platform. Политика Data Protection. Deployment и Global Policy Settings
Добро пожаловать на четвёртую статью цикла о решении Check Point SandBlast Agent Management Platform. В предыдущих статьях ( первая , вторая , третья ) мы детально описали интерфейс и возможности веб-консоли управления, а также рассмотрели политику Threat Prevention и протестировали её на предмет противодействия различным угрозам. Данная статья посвящена второму компоненту безопасности — политике Data Protection, отвечающей за защиту хранимых на пользовательской машине данных. Также в рамках данной статьи мы рассмотрим разделы Deployment и Global Policy Settings.
Check Point Software Technologies Ltd. (NASDAQ: ) — компания, работающая в сфере IT-безопасности. Разрабатывает программные и аппаратные системы, включая межсетевые экраны и средства организации виртуальных частных сетей.
Центры разработки компании находятся в Израиле, Калифорнии (ZoneAlarm), Швеции (бывший центр «Protect Data») и Беларуси. Офисы компании также расположены в США (Редвуд-Сити, штат Калифорния и Даллас, Texas area) и Канаде (Оттава, провинция Онтарио).
- Статьи
- Технологии и продукты
Check Point давно работает в области кибербезопасности, имеет большое число инноваций и патентов в области ИБ. Штаб -квартира компании находится в г. Тель-Авиве (Израиль). В ней работает более 5000 сотрудников, из которых 50 находятся в России. Вендор хочет помочь любой компании вести бизнес в Интернете с высочайшим уровнем безопасности. Он непрерывно наблюдает за ландшафтом угроз и видит, что атак становится все больше. Неизменно популярны различные виды троянов, шифровальщиков, вредоносы становятся модульными, многокомпонентными, стараются обходить традиционные средства защиты.
Сегодняшнее мероприятие ведет Сергей Забула, руководитель группы консультантов по ИБ, компании Check Point. Он расскажет о новинках вендора, чем они могут быть удобны для решения задач кибербезопасности, какие продукты можно применить в каких сценариях.
2020 год по причине пандемии стал годом кибератак. Появилось большое число новых угроз, уязвимостей популярных приложений, ОС и в средствах телеконференций, и атаки через цепочку поставок.
Важно своевременно устанавливать патчи, но, как показывает практика, не все обновляются оперативно. И злоумышленники активно эти уязвимости используют. Многие сотрудники перешли на удаленную работу. Часть из них вернулась в офис, часть осталась на «удаленке». Многие компании приняли решение трансформировать бизнес и оставить часть сотрудников на «удаленке» навсегда.
Сотрудникам приходится выполнять свои обязанности, работая с различных устройств. Это не только лаптопы, сценарные ПК, это и планшеты, и мобильные телефоны. Приложения тоже постоянно меняются. Теперь приложения должны «жить» где угодно. Не обязательно в ЦОДе, это может быть облако, а может SaaS. Т.е. меняется всё: и то, откуда мы работаем, и то, по каким каналам связи мы работаем, и то, каким образом мы получаем доступ к приложениям, и то, где живут эти приложения. Инфраструктура постоянно меняется, поэтому средства защиты должны подстраиваться под ситуацию, быть современными и адаптивными.
Какие новые задачи возникают перед заказчиками? Из опросов аналитиков выяснилось, что во главе угла встало обеспечение безопасной удаленной работы, безопасность рабочих станций, мобильных устройств. Нельзя забывать и об опасностях, которые подстерегают заказчиков и их инфраструктуры в облаке. Это среда, где все выглядит по-другому, где сеть устроена по-другому. Средства безопасности должны быть адаптивными, должны уметь подстраиваться под потребности облачной среды, интегрироваться с облаком для того, чтобы не допускать каких-либо брешей безопасности ввиду такой быстрой и меняющейся среды.
- Стратегия Check Point
- Семейство Quantum
- Шлюзы безопасности
- Решение класса песочницы
- Защита облаков
- Сейчас на главной
- Краткая история развития IPS
- IPS в корпоративных сетях
- Два варианта использования NIPS
- IPS в UTM устройствах. Packet Flow
- Типичные заблуждения на счет IPS
- IPS не надо часто обновлять
- IPS существенно снижает производительность устройства
- IPS трудно настраивать
- Работа с IPS это нудная и рутинная работа
- Теоретическая часть в формате видеоурока
- ТехнологииПравить
- Сертификация специалистовПравить
- Политика Deployment
- Установка политики
- Заключение
- Материалы от TS Solution
- Global Policy Settings
- ПриобретенияПравить
- Check Point Encryption
- BitLocker Encryption
- File Vault
- Восстановление данных
- Вместо заключения
Стратегия Check Point
Check Point сфокусирован на безопасности, и это прежде всего предотвращение, а не только детектирование. Все новые продукты, новые технологии, программный функционал — все это направлено исключительно на предотвращение. Когда осуществляется только детектирование, может оказаться, что уже поздно что-либо делать.
Угроза может находиться уже внутри сети и производить негативное влияние на бизнес. Поэтому основной задачей является предотвращение возможной угрозы для того, чтобы потом не пришлось устранять последствия негативных атак.
Произошел небольшой ребрендинг: три основных семейства продуктов, но фактически не изменилась структура. Решения для защиты сети собраны в семейство QUANTUM. Защита облаков — в семействе CLOUDGUARD. И защиту удаленного доступа, рабочих станций и мобильных устройств поместили в семейство HARMONY.
И внутри каждого семейства есть различные продукты. Если говорить о защите сети, то это разные аплаенсы, аппаратные и программные решения. Если о CLOUDGUARD — внутри набор продуктов как для защиты на уровне сети, так и для проверки настроек самого облака. Если о HARMONY, то внутри этого семейства существует набор различных продуктов, который может быть выбран под самые разные задачи, различные устройства, различные типы доступа и различные степени защиты. Можно гибко подобрать необходимый набор продуктов под возникающие у заказчиков кейсы, чтобы закрыть именно те сценарии по безопасности, которые ему нужны. Все это можно просто и быстро скомпоновать так, как необходимо заказчику.
Семейство Quantum
Ключевым элементом семейства Quantum является шлюз безопасности. На нем работает традиционный набор так называемый Blade Off в терминологии Check Point программных модулей для защиты от известных и неизвестных угроз.
Здесь решаются задачи по сегментации сети, по контролю доступа в сеть, организации связанности офиса с филиалами, контролю трафика модулями IPS для предотвращения вторжений, контролю приложений, идентификации пользователей, антивирусной защите.
Т.е. все компоненты, которые нужны для того, чтобы на уровне сети, на периметре сети или на границе между сегментами обеспечить высокий уровень контроля трафика и предотвращение как известных, так и неизвестных угроз.
Шлюзы безопасности
Для части устройств запущено российское производство. Есть сертификация ФСТЭК. Это относится в первую очередь к тем устройствам, которые представлены в нижней части слайда.
Новые модели существенно превосходят предыдущие по производительности. Подобрать необходимое устройство можно под задачи предприятия любого масштаба. Маленькие компании могут выбирать из так называемых SMB-устройств.
Это семейство SPARK. Здесь представлены устройства разной производительности от нескольких сотен мегабит защищаемого трафика до нескольких гигабит в секунду. Т.е. от совсем маленького офиса до компании среднего размера. Здесь доступно многое.
Например, локальное управление, когда устройство настраивается через браузер. Когда новое устройство привозится на удаленную площадку, его подключают к сети и оно автоматически получает необходимую конфигурацию. В этом случае не понадобится на удаленной площадке квалифицированный инженер, который будет подключать новые устройства. В портфолио есть устройство со встроенным Wi-Fi. Маленькому офису не нужна отдельная точка, а шлюз безопасности будет еще и раздавать Wi-Fi.
Для заказчиков с более крупными офисами нельзя не напомнить о платформе Maestro. Это гипермасштабируемая платформа. Она позволяет собирать до 52 шлюзов в единую архитектуру, равномерно балансировать трафик между аплайнсами, использовать производительность всех аплайнсов. Это те же самые шлюзы Check Point, не специально созданные устройства. Добавив только оркестратор, можно получить высокую производительность и гибкость в использовании шлюзов. Их можно группировать в так называемые Security группы для того, чтобы распределять мощности для зашиты элементов инфраструктуры: часть для периметра, часть для ЦОДа, часть для защиты почты и пр. Здесь возможны любые комбинации. Гибко добавляются новые аплайнсы. Буквально за 5 минут они начинают обрабатывать трафик. Даже для компаний среднего размера, которые только присматриваются к кластеру или нескольким кластерам, платформа уже может быть полезна.
Он имеет еще больше опций по портовой ёмкости. Можно сплитовать порты так, как это удобно заказчику. Например, порты делить на десятигигабитные интерфейсы. Доступны разные опции и несколько моделей оркестраторов с резервированием по питанию. Обеспечивается большая пропускная способность для того, чтобы оркестратор мог обрабатывать то количество трафика, которое и будет распределяться между шлюзами безопасности.
Недавно в арсенале Check Point появилась новинка — R81.10 Maestro & Match. Появилась возможность использовать разные модели шлюзов в одной группе безопасности. Если не хватает производительности кластера, нужно просто поменять его на более мощный кластер. С Maestro это не так. При росте трафика, надо добавить еще один шлюз-платформу. Т.о. максимальная производительность достигается при минимальных затратах на эксплуатацию.
Возможно подключение любых шлюзов безопасности, например, тех же самых аплайнсов Check Point. Возможно использовать ранее закупленное оборудование, достаточно докупить оркестратор, и вы получили Maestro.
Решение класса песочницы
Многие заказчики давно пришли к пониманию того, что без защиты от угроз нулевого дня обойтись нельзя. Недостаточно только традиционной защиты от известных угроз.
Злоумышленники прикладывают много усилий для того, чтобы обходить средства защиты и так называемая Zero day угроза актуальна. Очень просто в даркнете получить образец вредоноса, который не будет детектироваться антивирусом, и использовать его для атаки на организацию. И без такой дополнительной защиты от угроз нулевого дня не обойтись. Теперь доступен партнерский сервис симуляции в России.
Доступен партнерский сервис эмуляции в России, это новая опция. Если раньше у заказчиков был простой выбор: либо локальное устройство SanBlast для эмуляции файлов внутри организации, это «песочница», которая установлена в инфраструктуре заказчика. При этом все файлы и документы, не покидают периметр организации, эмулируются у вас, либо облако Check Point. Для всех заказчиков на шлюзе доступен так называемый SanBlast, по подписке вы получаете возможность отправлять файлы в облако Check Point на эмуляцию. Теперь появилась третья опция. Заказчики, которые по той или иной причине не хотят приобретать локальный аплайнс, для них добавлена возможность, чтобы файлы не покидали Россию. Многие заказчики для себя именно такую модель видят интересной.
Не только шлюз безопасности, но агент и облачные сервисы имеют возможность отправлять файлы на эмуляцию, т.е. защита от угроз нулевого дня доступна не только на уровне шлюза на периметре, но и также на уровне защиты рабочей станции и на уровне защиты облачных сервисов. Ну и «песочница» в некоторых сценариях — самодостаточное устройство, т.е. по API можно отправлять файлы на эмуляцию и т.о. интегрировать песочницу с существующими информационными системами, какими-то файловыми хранилищами, системами электронного документооборота и т.д. Шлюза может не быть вовсе или шлюз уже есть какого-то иного производителя, но песочницу чаще выбирают от Check Point. После эмуляции выдается так называемый TE report — отчет по тому, какой обнаружен вредонос, какого семейства, как себя он проявлял в виртуальном окружении, что плохого он сделал в виртуальной машине, почему было решено, что это именно вредонос.
Здесь обеспечивается высокий уровень детектирования и небольшое количество ложных срабатываний, на которые нужно тратить дополнительное время, разбирать их, чтобы понять, что это была за угроза. Когда выносится вердикт — вредонос, мы уверены, что это срабатывание корректное, и подтверждаем свою уверенность отчетом об эмуляции. Т.е. с песочницей от Check Point легко проверить, почему принято решение, что та или иная угроза является реальной.
Защита облаков
Что касается защиты облаков, семейства CLOUDGUARD, то к преимуществам этого семейства надо отнести поддержку большого числа облачных сервисов.
Независимо от того, в какой облачной среде виртуальный шлюз работает, очень важна глубокая интеграция с облаком, с объектами, с сетевым стеком данного облака. Ну и, конечно, поддержка различных средств по автоматизации, по оркестрации для того, чтобы облегчить решение тех ежедневных задач, которые стоят перед службами ИT и ИБ.
Отмечу, что функционал на виртуальном шлюзе в облаке — это та часть семейства, которая называется CLOUDGUARD Network. Это те же самые блейды безопасности, которые есть и на аппаратном аплайнсе. Заказчик, который мигрирует в облако, перенося сервис, или часть сервисов, не теряет в безопасности.
И шлюз для защиты облака на уровне сети обладает тем же самым функционалом, что и шлюз на периметре в офисе заказчика. И ему не нужно лишаться тех привычных сервисов, которыми он привык защищаться. И не нужно изучать построение новой политики, она остается прежней. Только теперь она оперирует еще и облачными объектами.
Публичные облачные среды это новый челендж. Недостаточно защищаться на уровне сети, необходим и контроль на уровне самого облака, его настроек, коммуникаций между теми или иными сущностями в этом облаке, какие виртуальные машины с кем общаются, где и какие функции работают, какие контейнеры где запускаются. Необходимо проверять соответствие конфигурации облака на соответствие лучшим практикам, например, GPR. Помогать администратору быстро исправлять те несоответствия, которые обнаруживаются. И, конечно, защищать облако на уровне доступа к этому облаку, проверять, кто «идет» к панели администратора, с какими правами, действительно ли это администратор. Все эти задачи решаются различными продуктами семейства CLOUDGUARD.
Еще один новый продукт — это CLOUDGUARD APPSEC, то что раньше называлось WAF. Более того, этот APPSEC обучается на трафике клиентов, обучается на запросах к его API. Он адаптивный и после нескольких недель обучения можно получить защиту на уровне web-приложения. Это не Next Generation WAF, а решение, направленное именно на атаки в сторону web-приложений. И от большинства атак в этой части спектра заказчики защищены. Этот продукт легко протестировать. Поскольку он программный, то его установка и настройка происходят очень быстро. Без преувеличения можно сказать, что искусственный интеллект становится на стражу безопасности.
Если что-то предотвратить невозможно, то это нельзя пропустить, должно быть, как минимум, осуществлено детектирование, а затем — анализ. Действительно ли эта активность вредоносна. Может быть, она легитимна. Это решит администратор, но события ему для анализа дать надо обязательно. И конечно, недостаточно только видеть, нужно еще иметь инструменты, которые помогают отреагировать на угрозу, изменить политики безопасности, полечить рабочую станцию. И все это теми или иными механизмами или продуктами осуществляется для того, чтобы не было пробелов в том или ином процессе от предсказания до ответной реакции.
Семейство продуктов HURMONY для защиты удаленного доступа, для защиты рабочих станций, мобильных устройств. Реальность меняется, теперь любые приложения доступны с любых устройств, с любых мест. Сами сервисы теперь «живут» не только в дата-центре, но и в облаке, по разным моделям они могут предоставляться.
И теперь в новых условиях нужно организовать надежную защиту пользователей.
Сейчас на главной
Продолжаем нашу серию уроков по Check Point. На этот раз мы обсудим одну из моих любимых тем, а именно — IPS (Intrusion Prevention System) По-русски — система предотвращения вторжений. Причем акцент именно на Prevention (т.е. предотвращение)! Одно из главных кредо компании Check Point это: “We Prevent, not detect!”. Лично я согласен с такой позицией. Какой толк от детекта, если вас атаковал например шифровальщик? Зашифрованный компьютер и так вам сообщит, что была атака. В текущих реалиях нужно позаботиться именно о Prevent. И IPS здесь может очень хорошо помочь. Однако, в последнее время наблюдается некое пренебрежение этим классом защиты, мол “IPS больше не актуален и использовать его бессмысленно”. На мой взгляд это мнение является непростительной ошибкой. Собственно в этом уроке я постараюсь описать основные бытующие заблуждения на счет IPS. Затем в рамках лабораторной работы покажу каким образом IPS поможет усилить защиту вашей сети. Ну и конечно же постараюсь рассказать, как получить максимум от этого полезного инструмента, на какие настройки обратить внимание и о чем нужно помнить включая IPS. Урок получился весьма длинным поэтому я разбил его на две части. Первая часть будет чисто теоретическая, а вторая уже полностью посвящена практике в виде лабораторной работы. Надеюсь, что будет интересно. Спойлер — В конце статьи видео урок, если кому-то удобнее смотреть, а не читать.
Краткая история развития IPS
Хотелось бы начать с некоторых исторических особенностей. На самом деле IPS является частным случаем IDS (Intrusion Detection System — Система обнаружения вторжений или СОВ, как ее кратко называют в России). Идея о создании IDS появилась после выхода статьи “Computer Security Threat Monitoring and Surveillance” Джеймса Андерсона, аж в 1980 году! Довольно занятная статья и самое главное актуальная по сей день.
Спустя 6 лет, в 1986 году Дороти Деннинг и Питер Нейман опубликовали первую теоретическаю модель IDS, которая наверно до сих пор является основой для современных систем. Далее было довольно много различных разработок, но все они в основном сводились к использованию трех методов обнаружения вторжений:
- Сигнатурный анализ;
- Эвристический анализ;
- Обнаружение аномалий.
Пожалуй одним из ключевых моментов в развитии IDS стало появление библиотеки libpcap в 1998 году. Разработали ее ребята из Национальной лаборатории им. Лоуренса в Беркли. В этом же году был разработан снифер пакетов APE использующий пакет libpcap. Через месяц APE был переименован во всем известный Snort. Автором Snort-а является Мартин Рёш.
Позже была основана компания Sourcefire (в 2001 году) и проект Snort продолжил свое стремительное развитие уже в рамках компании Sourcefire и стал фактически стандартом среди IDS решений. Snort имеет открытый исходный код, чем и пользуется большинство современных производителей ИБ решений (особенно отечественные компании).
В 2003 г. компания Gartner констатировала неэффективность IDS и необходимость перехода на IPS системы (т.е. сменить детект на превент). После этого разработчики IDS стали оснащать свои решения режимом IPS. Snort естественно может работать как в IDS, так и в IPS режиме (т.е. на предотвращение).
Безусловно стоит также отметить бурный рост еще одного проекта с открытым исходным кодом — Suricata. Основали этот проект выходцы из Snort-а. Первый бета релиз был в 2009 году. За разработку отвечает компания Open Information Security Foundation (OISF). На данный момент Suricata является очень популярным решением (хоть и уступает пока еще Snort-у по популярности). На самом деле их довольно часто используют совместно.
В 2013 году Sourcefire была поглощена компанией Cisco. При этом Snort продолжает оставаться проектом с открытым исходным кодом, а его коммерческая версия продается под брендом Cisco FirePower. С вашего позволения мы не будем говорить об отличиях свободной и проприетарной версии. Интересный момент. Еще в 2005 году Check Point пытались купить SourceFire за 225 млн $, однако правительство США не одобрили эту сделку. И как я сказал ранее, Cisco купили SourceFire в 2013 году аж за 2,7 млрд $. Неплохое подорожание за 8 лет) более чем в 12 раз.
Естественно я перечислил только малую часть решений. Параллельно развивалось огромное количество коммерческих проприетарных решений (Check Point один из них). Чаще всего IPS входил в состав UTM или NGFW решения, реже в качестве отдельно стоящей “железки” (Cisco IPS — яркий пример).
IPS в корпоративных сетях
Теперь, если коснуться истории распространения IPS решений в корпоративных сетях, то получается примерно следующая картина:
В начале 2000-х компании весьма скептически относились к этому новому классу решений защиты. Большинство считали IPS какой-то экзотической штукой, которая не особо то и нужна. Уже после 2005-го большинство осознали пользу и необходимость IPS. Начался бум внедрений по всему миру. К 2010 году IPS стал фактически необходимым стандартным средством защиты корпоративной сети. Ближе к 2015-му рынок IPS относительно остыл. IPS по стандарту был практически во всех UTM/NGFW решениях. Все переключились на SIEM, защиту от таргетированных атак, песочницы, хонейпоты и т.д. При этом совсем забыв про важность IPS. Но это мы уже обсудим чуть дальше.
Теперь, когда мы немного освежили знания об истории появления IPS, хочется обсудить еще один момент. А именно классы IPS. В грубом приближении все IPS-решения можно разделить на два класса:
- NIPS работает на уровне сети, т.е. сканирует проходящий/транзитный трафик.
- HIPS работает на уровне компьютера пользователя, т.е. с тем трафиком, который предназначен непосредственно этому компьютеру, ну либо генерирует сам хост.
Мы сегодня будем обсуждать именно первый вариант.
Два варианта использования NIPS
Давайте рассмотрим архитектурное применение IPS. Здесь тоже все довольно просто, есть два варианта использования сетевого IPS:
- Inline mode. По-русски мы это называем “в разрыв”. Т.е. реальный сетевой трафик проходит через IPS. IPS в данном случае работает как обычный бридж (т.е. на втором уровне модели OSI). Данный режим самый оптимальный с точки зрения защиты. В случае обнаружения атаки, IPS может сразу заблокировать сессию и компьютер атакующего. Есть конечно и негативные моменты в виде false positive срабатываний, ну т.е. ложных срабатываний, когда IPS блочит нормальный трафик. Но это отдельная тема, мы чуть позже ее обсудим.
- Promiscuous mode. Опять же, по-русски — режим мониторинга. Как правило в таком режиме IPS “вешается” на SPAN-порт, который “зеркалирует” на устройство КОПИЮ! трафика. В этом варианте, IPS автоматически превращается в IDS, т.к. он работает уже не с реальном трафиком и у него нет возможности оперативно блокировать атаки. Т.е. это плохой вариант, когда требуется максимальная защищенность.
Мы не будем подробно рассматривать особенности применения того или иного режима. Это довольно обширная тема, которая выходит за рамки нашего урока. Давайте лучше сосредоточимся на inline режиме, т.к. именно он в большинстве случаев используется в Check Point-е.
IPS в UTM устройствах. Packet Flow
С точки зрения обработки трафика, пакеты сначала проверяются firewall-ом и если они разрешены соответствующими аксес листами, то только тогда включается IPS и начинает проверять проходящий трафик. Собственно этот алгоритм обработки трафика раскрывает концептуальное различие между Межсетевым экраном и Системой предотвращения вторжений.
“Межсетевой экран стремится предотвратить прохождение того или иного трафика. IPS же работает с уже прошедшим трафиком.”
Это логично не только с точки зрения безопасности, но и с точки зрения производительности. Зачем исследовать трафик, который может быть быстро отброшен фаерволом с минимальными ресурсными затратами. Это к вопросу, стоит ли ставить IPS перед firewall-ом. Однозначно нет! Только представьте сколько “левого” трафика будет на него сыпаться от разных ботов, которые сканируют в Интернете все подряд.
Что ж, на этом мы заканчиваем наше затянувшееся лирическое отступление. Давайте перейдем к типичным заблуждениям на счет IPS. Я постараюсь их развенчать на примере Check Point-а.
Типичные заблуждения на счет IPS
Еще один популярный миф. Безусловно, в последнее время профессиональные хакеры стараются не использовать классические инструменты атаки, такие как сканирование портов, брутфорс и т.д. И все потому, что такие атаки сразу заметны и генерят огромное кол-во алертов на классических средствах защиты. Однако! Это имеет место быть только при очень сложных и таргетированных атаках, когда за дело берется настоящий профессионал. 99% всех успешных атак — автоматизированные боты, которые сканируют сеть на предмет известных уязвимостей, которые затем и эксплуатируют. IPS все это видит! Более того, опять же вспомнив wannacry, после обнаружения этой уязвимости, Check Point выпустил IPS-сигнатуру буквально через пару дней. Microsoft же выпустил заплатку куда позже (через пару недель на сколько я помню). Включенный IPS с актуальными сигнатурами отлично отражает подобные автоматизированные атаки, которые до сих пор преобладают (да и вряд ли что-то изменится в ближайшем будущем).
IPS не надо часто обновлять
Собственно в предыдущем пункте я констатировал, что включенный IPS именно с АКТУАЛЬНЫМИ сигнатурами обеспечивает защиту от автоматизированных атак. Почему-то многие считают, что регулярно обновлять нужно только антивирусные базы, при этом напрочь забывая про IPS. А ведь сигнатуры для IPS появляются или обновляются буквально каждый день. Для примера можно воспользоваться ресурсом Check Point . Как видите только за последние пару дней вышло несколько новых сигнатур. Либо были обновлены ранее созданные. IPS с актуальными базами это очень важно. Как я уже сказал ранее, IPS сигнатуры выходят быстрее чем патчи от вендоров. Если у вас старые сигнатуры, то ваш IPS просто в пустую молотит трафик и бесцельно расходует системные ресурсы. И не верьте отечественным производителям СОВ, которые говорят, что обновление раз в месяц это нормально (как правило именно такой период они ставят и скорее всего это связано с тем, что они используют базы snort, которые для бесплатной версии обновляются с задержкой в 30 дней).
IPS существенно снижает производительность устройства
Что я могу сказать об этом мифе. И да и нет. Безусловно, включение IPS увеличивает нагрузку и на процессор и на оперативную память. Но все не так драматично, как принято считать. Колоссальное повышение нагрузки при включении IPS как правило проявляется в двух случаях:
- Вы (или Вам) неправильно подобрали решение. Будь то аппаратный аплайнс или виртуальное решение. Это к вопросу, что все необходимо тестировать перед покупкой. Опять же, тут многое зависит от того, кто подбирает решение. Уделяйте этому особое внимание. Внимательно пользуйтесь даташитами на устройства. Там обязательно указывается пропускная способность устройства при включенном IPS. Ну и опять же, у Check Point-а есть инструмент сайзинга, который дает весьма реалистичные рекомендации по поводу подходящей модели. Обязательно пользуйтесь сайзингом! Если у вас нет доступа к этому инструменту, просите своих партнеров.
- Вторая и самая распространенная причина повышенной загрузки из-за IPS — включено слишком много сигнатур. Это одна из крайностей использования IPS, когда включаются абсолютно все доступные сигнатуры, по причине того, что изначально не понятно, какие именно нужны. Это очень грубая ошибка приводит к просто дикой загрузке устройства и большому количеству ложных срабатываний. Напоровшись на это многие администраторы решают отключить IPS, т.к. с ним пограничный шлюз просто “загибается”. Как быть? Ну для начала нужно определить, что именно вы собираетесь защищать. Логично предположить, что если у вас в DMZ находится почтовый сервер на Linux-е, то наверно не стоит включать для этого сегмента сигнатуры связанные с уязвимостями Microsoft, MacOS, Android, WordPress и т.д. Думаю общий смысл понятен. Молотить трафик всеми сигнатурами без разбора — очень дорого. Чтобы IPS эффективно расходовал ресурсы, необходимо включить только нужные сигнатуры и выключить ненужные. Звучит просто. Но реализация представляется весьма сложной. Отсюда растет следующий миф.
IPS трудно настраивать
Отчасти это справедливое мнение, которые имело место быть. На самом деле многие IPS решения до сих пор весьма сложны в освоении. Но это не про Cheсk Point. Давайте по порядку. Как обычно выглядит сигнатура? Как правило это что-то вроде:
IGSS SCADA ListAll Function Buffer Overflow WebGate Multiple Products WESPMonitor Stack Buffer Overflow
И попробуй разберись, что это за сигнатура, для чего она, сильно ли нагрузит шлюз ее включение, насколько она критична? К счастью в Check Point-е есть подробное описание каждой сигнатуры. Описание видно прямо в SmartConsole и вам не придется гуглить каждое название. Более того, для удобства, Check Point присвоил каждой сигнатуре несколько тегов:
- Severity (т.е. уровень опасности, которую может закрыть данная сигнатура);
- Confidence level (уровень достоверности сигнатуры, т.е. какова вероятность адекватности срабатывания этой сигнатуры. Это очень важная характеристика особенно для поведенческого анализа)
- Performance Impact (этот тэг показывает на сколько сильно включенная сигнатура будет грузить устройство)
- Vendor — вы можете отфильтровать сигнатуры по Вендору (например уязвимости связанные со всеми продуктами компании Adobe или Microsoft)
- Product — возможно отфильтровать по продукту (например Microsoft Office или WordPress).
Теги Вендор и Продукт иногда пересекаются, т.к. довольно часто у компании есть всего лишь один продукт. С помощью этих тегов, можно довольно быстро сформировать список сигнатур, которые вы хотите включить. И для этого вам не надо иметь семь пядей во лбу. Ну и естественно перед этим вам нужно сделать небольшой аудит сети и понять, какой софт используют ваши сотрудники. Более подробно работу с этими тегами мы обсудим уже в лабораторной работе.
Работа с IPS это нудная и рутинная работа
Я уже много раз говорил, что информационная безопасность это не результат, а непрерывный процесс. Нельзя один раз настроить систему и забыть про нее. Нужна непрерывная, систематическая доработка. Тоже самое касается IPS. И тут обычно возникают трудности. Практически любая более менее адекватная IPS система генерит огромное кол-во логов. Как правило они выглядят подобным образом:
А теперь представьте, что этих логов набралось несколько тысяч за неделю. Каким образом вам анализировать их? Как понять какие события происходят чаще всего? Какие сигнатуры возможно надо выключить или какие хосты возможно стоит заблокировать на уровне firewall-а?
Конечно логи чекпоинта выглядят более привлекательно и наглядно:
Тут видно и Severity и Performance Impact и Confidence Level. Однако это не решает проблему анализа такого большого количества событий. Как правило именно здесь вспоминают про SIEM системы, которые призваны агрегировать, коррелировать и выполнять первичный анализ событий. К счастью у Check Point есть встроенная SIEM система — Smart Event. Этот блейд позволяет видеть логи IPS уже в обработанном и агрегированном виде:
Как вы понимаете, с этим уже гораздо проще работать. Главная ценность SIEM в том, что эта система позволяет “увидеть” вашу защищенность в количественном выражении. В любой работе нужно видеть результат и здесь гораздо проще ориентироваться на цифры. В нашем примере мы видим, что присутствует довольно большое количество логов с Severity уровня Critical. Именно с ними и нужно начинать работу. Более того, мы видим, что наибольшее количество событий связано с сигнатурой GNU Bash Remote Code Execution. Разбор стоит начать именно с этих событий. Провалившись дальше мы можем определить:
- Какие хосты атакуют?
- Какой хост атакуют?
- Из какой страны идет атака?
Может получиться, что сигнатура срабатывает на трафик, который генерит наш внутренний узел. Это уже повод для разбирательства. Либо он действительно заражен, либо это ложное срабатывание. Далее мы либо лечим хост, либо выключаем эту сигнатуру конкретно для этого хоста.
Если же атака идет из внешней сети, то может быть все эти логи создает всего один атакующий узел (скорее всего это какой-то бот), причем из какого-нибудь Сингапура. В этом случае мы можем добавить этот хост (либо вообще всю сеть Сингапура) в блок-лист, чтобы он блокировался на уровне firewall-а и не доходил до обработки трафика IPS-ом.
Также мы можем заметить, что сигнатура отлавливает атаки для linux-дистрибутивов, при этом возможно атакуется windows-хост. В этом случае будет также логично отключить linux-сигнатуры конкретно для этого хоста.
Как видите, процесс напоминает некое расследование. После подобной постоянной оптимизации существенно снизится нагрузка на шлюз, т.к.:
- Часть атакующих хостов будет блокироваться еще на уровне firewall-а;
- Будут отключены ненужные сигнатуры, которые расходуют ресурсы.
При этом SmartEvent позволяет тут же увидеть результат в виде уменьшающегося кол-ва логов. Это как раз та, количественная характеристика, которая показывает эффективность нашей проделанной работы. В идеале мы должны избавиться от так называемого “шума” и видеть в логах только действительно важные IPS события (т.е. настоящие атаки).
Более того, всю эту процедуру расследования и добавления хостов в блок-лист можно автоматизировать! В R80.10 появился полноценный API, который позволяет интегрироваться со сторонними решениями. Я уже писал статью на хабре о самом API — Check Point R80.10 API. Управление через CLI, скрипты и не только. Также, мой коллега Глеб Ряскин публиковал подробную инструкцию по интеграции Check Point и Splunk — Check Point API + Splunk. Автоматизация защиты от сетевых атак . Там не только теоретическая часть, но и практическая, с примером атаки и автоматическим добавлением хоста в блок-лист. Не ленитесь, посмотрите. На этом я предлагаю закончить нашу теоретическую часть. В следующем уроке нас ждет большая лабораторная работа.
Теоретическая часть в формате видеоурока
P.S. В ближайшее время состоится два интересных события. Регистрируйтесь:
Подробнее о моделях коммутаторов Extreme можно посмотреть здесь .
Только зарегистрированные пользователи могут участвовать в опросе. Войдите , пожалуйста.
ТехнологииПравить
- Защита конечных компьютеров: Check Point Endpoint (потомок продукта Integrity — брандмауэр/антивирус/анти-spyware/шифрование/NAC/VPN).
- Менеджмент безопасности: Security Managment, включая системы мониторинга (например SmartView Tracker).
Сертификация специалистовПравить
Система подготовки и сертификации персонала от Check Point включает следующие варианты:
- CPCS — Check Point Certified Specialist (более не вручается)
- CCSE — Check Point Certified Security Expert
- CCSE+ — Check Point Certified Security Expert Plus (более не вручается, см. CCSM)
- CCMSE — Check Point Certified Managed Security Expert
- CCMA — Check Point Certified Master Architect (более не вручается)
- CCSM — Check Point Certified Security Master
Политика Deployment
С момента выхода второй статьи , в которой рассматривался интерфейс веб-консоли управления, Check Point успели внести некоторые изменения в раздел Deployment — теперь в нём присутствуют подраздел Software Deployment, в котором настраивается конфигурация (включение/отключение блейдов) для уже установленных агентов, и подраздел Export Package, в котором можно создавать пакеты с предустановленными блейдами для дальнейшей установки на пользовательские машины, например, с помощью групповых политик Active Directory. Рассмотрим подраздел Software Deployment, в котором включаются все блейды SandBlast Agent.
Напомню, что в стандартной политике Deployment включены только блейды категории Threat Prevention. С учётом рассмотренной ранее политики Data Protection теперь можно включить данную категорию для установки и работы на клиентской машине с SandBlast Agent. Имеет смысл включить функцию Remote Access VPN, которая позволит пользователю подключаться, например, к корпоративной сети организации, а также категорию Access and Compliance, в которую входят функции Firewall & Application Control и проверка пользовательской машины на соответствие политике Compliance.
Установка политики
Ознакомившись с возможностями политики Data Protection и настроив соответствующие параметры в разделе Deployment можно приступать к установке новой политики, включающей в себя шифрование диска с помощью Check Point Encryption и остальные блейды SandBlast Agent. После установки политики в Management Platform клиент получит сообщение о необходимости установить новую версию политики сейчас или перенести установку на другое время (максимум 2 дня).
Завершив скачивание и установку новой политики SandBlast Agent предложит пользователю перезагрузить компьютер для включения защиты Full Disk Encryption.
После перезагрузки пользователю необходимо будет ввести свои учётные данные в окне аутентификации Check Point Endpoint Security — данное окно будет появляться каждый раз перед стартом операционной системы (Pre-boot). Есть возможность выбрать опцию Single Sign-On (SSO) для автоматического использования учётных данных при аутентификации в Windows.
В случае успешной аутентификации пользователь получает доступ к своей системе, а «за кадром» начинается процесс шифрования диска. Данная операция никак не влияет на работоспособность машины, хоть и может продолжаться длительное время (в зависимости от объёмов дискового пространства). По завершении процесса шифрования мы можем убедиться, что все блейды включены и функционируют, диск зашифрован, и пользовательская машина защищена.
Заключение
Подведём итоги: в данной статье мы рассмотрели возможности SandBlast Agent по защите хранимой на пользовательской машине информации с помощью шифрования диска в политике Data Protection, изучили настройки распространения политик и агентов через раздел Deployment и установили новую политику с правилами шифрования диска и дополнительными блейдами на машину пользователя. В следующей статье цикла мы детально рассмотрим возможности логирования и отчётности в Management Platform и клиенте SandBlast Agent.
Материалы от TS Solution
Пожалуй, первичный и обязательный курс, специально подготовленный для того чтобы изучить основы работы с NGFW Check Point. В нем рассматриваются функциональные возможности, подробно разбираются этапы базовой настройки и администрирования. Рекомендовано к ознакомлению с начальным уровнем подготовки.
Check Point Getting Started R80.20
После прохождения Check Point Getting Started , возможно у вас появится в голове много вопросов, требующих ответа — это хорошая реакция. Специально для самых любознательных и желающих максимально защитить инфраструктуру, был подготовлен следующий курс. В нем рассматриваются “Best Practice” по настройке вашего NGFW (тюнинг профиля защиты, использование более строгих политик, практические рекомендации). Рекомендовано к ознакомлению со средним уровнем подготовки.
Сheck Point на максимум
Современные тенденции требуют от администраторов сети или специалистов ИБ уметь организовать удаленный доступ для сотрудников. Курс Check Point Remote Access VPN как раз про это, в нем очень подробно рассмотрена концепция VPN в архитектуре Check Point, приведены базовые сценарии развертывания, объясняется порядок лицензирования. Рекомендовано к ознакомлению после прохождения курса Check Point Getting Started .
Следующий цикл статей познакомит вас с новейшей 1500-серий NGFW семейства SMB, в нем рассматриваются: процесс инициализации устройств, первичная настройка, беспроводная связь, виды управления. Рекомендован для прочтения всем желающим.
Сheck Point NGFW (SMB)
Долгожданный цикл статей по защите персональных мест пользователей компании с помощью решения Check Point SandBlast Agent и новой облачной системы управления — SandBlast Agent Management Platform . Вся представленная информация актуальна, подробно разобраны этапы развертывания, настройки и управления, затронута и тема лицензирования.
Сheck Point SandBlast Agent Management Platform
Расследование инцидентов ИБ это отдельный мир происшествий, в цикле статей мы разобрали конкретные события в разных продуктах Check Point ( SandBlast Network , SandBlast Agent , SandBlast Mobile , CloudGuard SaaS ).
Check Point Forensics
Еще больше материалов о продуктах Check Point от TS Solution по ссылке , пишите в комментариях, если есть потребность в цикле, мы рассмотрим ваше пожелание.
Global Policy Settings
В настройках Global Policy Settings настраивается один из самых важных параметров — пароль для удаления SandBlast Agent с пользовательской машины. После установки агента пользователь не сможет удалить его без ввода пароля, которым по умолчанию является слово «secret» (без кавычек). Однако этот стандартный пароль легко найти в открытых источниках, и при внедрении решения SandBlast Agent рекомендуется сменить стандартный пароль для удаления агента. В Management Platform при стандартном пароле политику можно установить только 5 раз, так что смена пароля для удаления неизбежна. Помимо этого, в Global Policy Settings настраиваются параметры данных, которые могут отправляться в Check Point для анализа и улучшения работы сервиса ThreatCloud.
Из Global Policy Settings также настраиваются некоторые параметры политики шифрования диска, а именно требования к паролю: сложность, длительность использования, возможность использовать ранее действующий пароль и прочее. В данном разделе можно загрузить собственные изображения вместо стандартных для Pre-boot или OneCheck.
- ↑ 1 2 3 Check Point Software Technologies Reports 2019 Fourth Quarter And Full Year Financial Results. Дата обращения: 13 июля 2020. Архивировано 6 февраля 2020 года. (англ.)
- Check Point Company Overview. Дата обращения: 28 августа 2020. Архивировано 28 сентября 2019 года.
- Check Point Software Technologies Ltd. // Polygon.io
- Check Point Архивировано 11 марта 2014 года. (англ.) — Israel’s Investment Promotion Center
- Check Point Software Technologies Ltd. (CHKP): New Analyst Report from Zacks Equity Research Архивная копия от 25 августа 2016 на Wayback Machine (англ.) — NASDAQ.com
ПриобретенияПравить
- Zone Labs, создатель персонального программного файрволла ZoneAlarm, в 2003 году за 205 млн долларов наличными и акциями.
- Protect Data, за 586 млн долларов в 2006 году. Незадолго до этого компания Protect Data приобрела компанию Reflex Software.
- NFR security, разработчик систем предотвращения вторжений (IPS) за 20 млн долларов в 2006 году
- Подразделение Nokia Security Appliances, апрель 2009 года.
- Liquid Machines, разработчик ERM решения, июнь 2010 года.
В 2005 году была неудачная попытка приобрести Sourcefire, разработчика IPS, за 225 млн долларов.
Политика Data Protection позволяет настроить доступ к хранимым на рабочей машине данным только авторизованным пользователям, используя функции полного шифрования диска (Full Disk Encryption) и защиты процесса загрузки (Boot Protection). На текущий момент поддерживаются следующие варианты настройки шифрования диска: для Windows — Check Point Encryption или BitLocker Encryption, для MacOS — File Vault. Рассмотрим подробнее возможности и настройки каждого из вариантов.
Check Point Encryption
Check Point Encryption является стандартным методом шифрования диска в политике Data Protection и обеспечивает шифрование всех файлов системы (временные, системные, удалённые) в фоновом режиме без влияния на работоспособность пользовательской машины. После шифрования диск становится недоступным для неавторизованных пользователей.
Основной настройкой для Check Point Encryption является «Enable Pre-boot», которая включает необходимость аутентификации пользователей до загрузки операционной системы. Данная опция рекомендуется к использованию, так как предотвращается возможность применения средств обхода аутентификации на уровне операционной системы. Также есть возможность настраивать параметры временного обхода для функции Pre-boot:
Вышеперечисленные опции временного обхода функции Pre-boot не рекомендуется использовать без явных причин (например, технические работы или поиск и устранение проблем) и лучшим решением с точки зрения безопасности является включение функции Pre-boot без указания временных правил обхода. В случае необходимости обходить Pre-boot рекомендуется устанавливать минимально необходимые временные рамки в параметрах временного обхода, чтобы не снижать уровень защиты на продолжительное время.
Также при использовании Check Point Encryption есть возможность настраивать расширенные настройки политики Data Protection, например, более гибко конфигурировать параметры шифрования, настраивать различные аспекты функции Pre-boot и аутентификации Windows.
BitLocker Encryption
BitLocker является частью операционной системы Windows и позволяет шифровать жёсткие диски и съёмные носители. Check Point BitLocker Management является компонентом служб Windows, автоматически запускается вместе с клиентом SandBlast Agent и использует API для управления технологией BitLocker.
При выборе BitLocker Encryption в качестве метода шифрования диска в политике Data Protection можно настроить следующие параметры:
File Vault
File Vault является стандартным средством шифрования от компании Apple и обеспечивает доступ к данным пользовательского компьютера только авторизованным пользователям. При установленном File Vault пользователю необходимо ввести пароль для запуска системы и получения доступа к зашифрованным файлам. Использование File Vault является единственным способом обеспечения защиты хранимых данных в политике Data Protection для пользователей операционной системы MacOS.
Восстановление данных
При выборе BitLocker в качестве метода шифрования диска для восстановления данных необходимо ввести Recovery Key ID проблемного компьютера для генерации Recovery Key, который должен быть введён пользователем для получения доступа к зашифрованному диску.
Для пользователей MacOS с использованием File Vault для защиты хранимой информации процесс восстановления заключается в генерации администратором Recovery Key на основе Serial Number проблемной машины и ввода данного ключа с последующим сбросом пароля.
Рекомендуем обратить ваше внимание на платформу Udemy, где сам вендор (Check Point) разместил бесплатные полноценные курсы:
Check Point Jump Start: Network SecurityВключает в себя модули:Introduction to the Check Point SolutionDeploying Check Point Security ManagementDeploying Check Point Security GatewaysCreating a Security PolicyLogs and MonitoringSupport, Documentation, and TrainingДополнительно предлагается сдать экзамен на Pearson Vue (#156-411).Check Point Jump Start: Maestro part 1,2Курс рассказывает о построение отказоустойчивого и высоконагруженного комплекса Maestro, рекомендуется знание основ работы NGFW, а также сетевых технологий.Check Point Jump Start: SMB Appliance Network SecurityНовый курс от Check Point для cемейства SMB, внушительное содержание говорит о глубине проработки:Рекомендован к ознакомлению без отдельных требований к уровню подготовки. О возможности управлять NGFW с помощью мобильного устройства в приложение WatchTower, мы писали в статье .
Дополнительно эти же авторские курсы можно найти на других образовательных платформах, вся информация по ссылке.
Вместо заключения
Сегодня мы рассмотрели бесплатные обучающие курсы и циклы статей, сохраняйте себе в закладку и будьте с нами, впереди много интересного.