2017年がすべての情報セキュリティスペシャリストにとって非常に「暑い」年だったことは周知の事実です。 WannaCry 、Petya、NotPetya、データ漏洩など。 情報セキュリティ市場には前例のないラッシュがあり、多くの企業が迅速な救済策を探しています。 しかし、多くの人は最も重要なことであるヒューマンファクターを忘れています。
Gartnerの2016年のレポートによると、既存の防御を適切に設定することにより、すべての成功した攻撃の95%を防ぐことができました。 すなわち 企業はすでに攻撃を撃退するすべての手段を備えていましたが、従業員の不注意や過失により深刻な被害を受けました。 この場合、会社は2回お金を失います 。
- 攻撃の結果として。
- 50%も使用されていない保護具のためにお金が捨てられました。
同じWannaCryを思い出すと、この暗号ランサムウェアの犠牲者は、オペレーティングシステムを時間通りに更新せず、ファイアウォールの「余分な」ポートを閉じなかった企業でした。 実際、集中管理の欠如、集中監視システム、イベントの収集と相関関係(つまり、「正しく」構成する必要があるSIEM)など、他の多くの要因があります。 多くの同様の例があります。 同じネットワーク機器を取ります。 仕事では、5〜1万人のユーザーのネットワークを保護するという非常に大きなプロジェクトに頻繁に参加する必要がありました。 大量の高価な機器が購入されました-ファイアウォール、侵入防止システム、プロキシなど プロジェクト予算は数千万ルーブルに達しました。 そのような「高価な」プロジェクトの実装後、「 admin 」や「 1234 」などのパスワードが通常のネットワーク機器で使用されていることが発見されたときの驚きを想像してください(これらのパスワードは、システム管理者の変更後も何年も変更されませんでした)。 保護されていない「 Telnet 」プロトコルがスイッチへの接続に使用されました。 オフィスには、ユーザーにとって便利な ハブがあり ました 。 従業員の個人用ラップトップは企業ネットワークに接続されていました。 ITインフラストラクチャには完全な無秩序がありました。 すなわち 数百万人が費やしたにもかかわらず、そのようなネットワークは5分以内に学校の学生でさえ「置く」ことができました。
次世代ファイアウォール( NGFW )やUTMデバイスのような「複雑な」セキュリティ機能の設定について言えますか 。 同じGartnerの年間ランキングで、どれだけ高価なファイアウォールを購入し、それがどこを占めるかは関係ありません。
有能なセットアップと管理が必要です! 多くの場合、管理者による決定に対する厳しい批判に遭遇することがあります。 ただし、設定を確認するとき、「 permit ip any any 」アクセスリストを除いて、他に何も設定されていないことがわかります。 この場合の結果は論理的です。 シスコ、 フォーティネット 、 チェックポイント 、パロアルト、違いはありません。 適切な設定がなければ、これはお金の無駄遣いです(そして、多くの場合、多くのお金)。 さらに、 情報セキュリティは継続的なプロセスであり、結果ではないことを理解する必要があります。 一度セットアップを完了すると、しばらくしてからアップデートに戻る必要があります。
上記のすべてに関連して、Check Pointのセットアップに関する新しいミニコースを発表します。このミニコースでは、Check Pointから最大限の保護を「絞り出す」方法を示します。 はい、チェックポイントの存在は、他のソリューションと同様に、実際に適切な構成を行わないと良好な保護を保証しません。 これは、正しく使用するために必要なツールにすぎません。 ファイアウォールブレードをセットアップするためのベストプラクティスに関する記事を以前に公開しましたが 、ここでは、 ウイルス対策 、 IPS 、 脅威エミュレーション 、 アプリケーション制御 、 コンテンツ認識などのブレードに焦点を当てます。 また、 コンプライアンスポイントも検討します。このブレードは、チェックポイント構成のエラーと危険性を最小限に抑えるように設計されています(つまり、人的要因の影響を減らすため)。
さらに、理論的なデータだけに限定されず、実際にすべてを試します。 Check Point- R80.10の最新バージョンですべての設定を実行します。 レッスンは「武器-保護」の形式になります。 一般的に、レイアウトは次のようになります。
テストでは、 Kali Linuxディストリビューション(Hacker PC)を使用して、さまざまなタイプのウイルスを生成し、Check Pointを介してさまざまな方法(メールまたはブラウザによる配信)で「ドラッグ」しようとします。 さまざまなコード難読化メカニズムを使用して、ウイルス対策および侵入防止システムをバイパスする方法を検討します。 すなわち 実際、原則として、保護の品質と設定の品質をチェックする最良の方法であるpentestのようなことを行います。
ご存じのとおり、1つのミニコースのフレームワーク内で広大なものを採用することは不可能です。そのため、チェックポイントの例のみを使用して攻撃に対する保護を検討します(おそらく他のベンダーにも今後触れます)。 ただし、Check Pointを使用しない場合でも、これらのレッスンの助けを借りて、後で現在の救済策の有効性を個別にテストできます 。 必須チェックのチェックリストを作成します。 極端な場合(怠け者の場合)は、少なくとも以前に公開した基本的なチェックを使用します。
これで紹介は終わりです。 このコースがあなたに本当に興味を持ち、次のレッスンでhttpsインスペクションについて話すことを願っています。