比較的最近、私たちはオープンアクセスミニコース「 Check Point to the maximum 」を公開しました。 そこで、情報セキュリティの観点から、チェックポイント構成の最も一般的なエラーを簡単に、そして例を使って検討しました。 実際、デフォルト設定と「ナットを締める」方法について説明しました。 コース(私たちにとっては予想外)は非常に良いレビューを受けました。 その後、この資料の簡単な「絞り込み」、つまりセキュリティ設定のチェックリストに関するいくつかのリクエストを受け取りました。 これは良いアイデアであると判断したため、この記事を公開します。
開始する前に、2つのことに焦点を当てたいと思います。
- このチェックリストは、自己完結型のドキュメントまたはマニュアルではありません。 これは、必要な最低限のチェックのみです。 追加の(拡張)推奨事項は、インフラストラクチャの詳細な調査後にのみ取得できます。
- チェックリストは、 チェックポイントの所有者だけでなく関連性があります。 Fortigate 、 PaloAlto 、 Cisco FirePower 、 Kerio 、 Sophosなど、他のベンダーにもデフォルト設定で同様の問題があります。
そして今、チェックリスト自体に各項目に関する小さなコメントがあります:
1)HTTPS検査が有効
2番目のレッスン 「Check Point to the Maximum」でHTTPS検査の重要性について話しました。 このオプションがないと、親愛なるNGFWはネットワークの境界の大きな穴に変わります。
2)不要なリソースとアプリケーションがブロックされている(アプリとURLフィルタリング)
チェックポイントでは、2つのブレード(アプリケーション制御とURLフィルタリング)がこれを担当します。 ほとんど同じことは、わずかな違いがある他のベンダーにも当てはまります。 これらの機能の主な目的は、潜在的に危険なリソースまたはアプリケーションへのアクセスをブロックすることにより、攻撃領域を削減することです。 何らかの理由で、事前に設定されたカテゴリ(アノニマイザー、ボットネット、クリティカルリスク、ハッキング、高リスク、フィッシング、リモート管理、疑わしいコンテンツ、スパイウェア/悪意のあるサイト、ステルス戦術など)が存在するにもかかわらず、人々はこれらの制限を使用しません。 ネットワークレベルでそのようなものをブロックし、より高度な保護手段(IPS、アンチウイルス、アンチボット、脅威エミュレーション)でトラフィックチェックを行わないことをお勧めします。 これにより、誤検知が回避され、ゲートウェイのパフォーマンスが向上します。 ゲートウェイがブロックできるサイトとアプリケーションのカテゴリを調べてから、アクセスポリシーを再度確認してください。 ここで役立つのは、ユーザートラフィックに関するレポートを生成できるSmartEventです。
3)不要なファイルのダウンロードのブロック(コンテンツ認識)
これについては3回目のレッスンで話しました。 チェックポイントでは、コンテンツ認識ブレードがこの機能を担当します。 他のベンダーの場合、おそらくこれにより、アンチウイルスまたはDLPモジュールのいずれかを実行できます。 このアクションの意味は、不要なファイルタイプを意図的にブロックすることです。 ユーザーはexeファイルをダウンロードする必要がありますか? スクリプトはどうですか? 不適切なコンテンツとしてブロックできる場合、これらのファイルをチェックして、ゲートウェイの信頼性を期待するのはなぜですか? NGFWの負荷を軽減し、セキュリティレベルを高めます。 ユーザーは、何かをダウンロードし始めたことを知らないこともあります(バックグラウンドダウンロード)。 ポリシーを確認し、少なくとも実行可能ファイルをブロックします。
4)アンチウイルスはファイルのフルスキャンを実行します(アンチウイルス-ディープスキャン)
これは絶対にすべてのベンダーに違反します。 デフォルト設定では、ストリーミングアンチウイルスはファイルハッシュ、つまり最初の数バイトのみをチェックします。 適切な保護のために、これは十分ではありません。 ウイルスの変更は難しくありません。 それらをキャッチするには、詳細なチェックが必要です。 チェックポイントでは、詳細検査オプションがこれを担当します。 しかし、注意してください。 絶対にすべてのファイルに対してこの機能を有効にしないでください。 「弱い」ゲートウェイがある場合、負荷が大きくなりすぎる可能性があります。 最も危険な(および頻繁にダウンロードされる)ファイル:pdf、docx、xlsx、rtf、zip、rar、exe(ダウンロードを許可する場合)などに対して、詳細な検査を使用します。 詳細については、 4番目のレッスンを参照してください。
5)アーカイブはチェックされ、パスワードで保護されたアーカイブはブロックされます(アンチウイルス-アーカイブスキャン)
驚くべきことに、多くの人がこのオプションを忘れています。 誰もがアーカイブを確認する必要があると思います。 そして、パスワードを持つアーカイブをブロックする必要があることは誰にとっても明らかです。 ここにもっと詳細なものを描く理由はありません。 設定したことを確認してください。
6)追加のスキャンエンジンが含まれています(ウイルス対策-保護)
デフォルトの脅威防止(最適化)プロファイルでは、 悪意のあるアクティビティ-署名 、 異常なアクティビティ-行動パターンなどの追加の検証メカニズムが無効になっています。 これらの設定を無視しないでください。 それらをどのように含めるかは第4レッスンで示しました。
7)IPSは少なくとも週に1回更新されます
5番目のレッスンでは、ネットワークを保護するためにIPSがどれほど重要かを示しました。 また、効率性の重要な条件の1つは、「新鮮な」署名ベースです。 IPSが頻繁に更新されるようにしてください。 私の推奨事項は、少なくとも3日ごとです。 原則として、デフォルト値はほぼすべてのベンダーで(1週間から1か月)非常に高くなっています。
8)IPSは別のレイヤーに移動しました
もう一つの重要なポイント。 IPSは必ず別のレイヤーに配置してください。 この方法でのみ、それを最大限に活用できます。 コースの6番目のレッスンでこれを行う理由と方法を詳細に説明しました。
9)異なるネットワークセグメントの異なる脅威防止ポリシー
脅威対策ポリシーには、ウイルス対策、アンチボット、IPS、脅威エミュレーション、脅威抽出などのブレードが含まれます。 すでに上で述べたように、IPSは別のレイヤーに移動する必要があります。 そこで、少なくとも2つのポリシーが必要です。1つはクライアントデバイス用、もう1つはサーバーデバイス用です。 同時に、理想的には、政治はさらに断片化されるべきです。なぜなら、 各セグメントには、さまざまな種類のデバイスとさまざまな種類のサービスが存在する可能性があります。 重要なタスクは、必要な保護メカニズムのみを含めることです。 Linuxホスト向けのトラフィックをWindows署名で確認することは意味がありません。 同じことが他のブレードにも当てはまります。 セグメント化された脅威防止ポリシーは、適切な保護の鍵です。
10)ホールドモードを使用する
デフォルトでは、Threat Preventionはバックグラウンドモードを使用します。 これは、ファイルが新しく、必要な署名がない場合、バックグラウンドで「詳細な」チェックが行われている間に合格できることを意味します。 これは、通常、救済策から通常必要とされるものではありません。 そのため、脅威防止プロパティ(グローバル設定およびプロファイル設定)で保留モードが有効になっていることを確認してください。
11)形成された地理的ポリシー
この機能も当然忘れられます。 このオプションを使用すると、ネットワークのあらゆる国のトラフィック(着信と発信の両方)をブロックできます。 ユーザーはバングラデシュまたはコンゴにアクセスする必要がありますか? しかし、攻撃者は、サイバー犯罪に関して法律がかなり不十分に開発されている国のサーバーを使用することを好みます。 有能なジオポリシーは、セキュリティのレベルを高めるだけでなく、ゲートウェイの負荷も軽減します。 後者はすべてをチェックする必要はありません。
12)脅威エミュレーションの有効化
単一のポイントはありません。 良いことには、脅威エミュレーション設定用に別のチェックリストを作成する必要があります。 あなたの許可を得て、私はこれをしません:)私は一つの主な推奨事項にこだわる-ブレードをオンにする必要があります。 何らかの理由で、より多くの管理者がこの機能を不要なエキゾチックだと考えています。 少なくとも検出モードをオンにして、1週間でレポートを確認します。 びっくりするでしょう。 現在のサブスクリプションレベルでこのブレードの使用が許可されていない場合は、30日間デモライセンスをリクエストできます。
13)誤検出の欠落
最後になりましたが。 安全は継続的なプロセスであり、結果ではないということを何度も繰り返しました(繰り返したくないことは一度もありません)。 したがって、たとえよく調整されていても、少なくとも有効性と結果を確認する必要があります。 保護は機能し、エラーはありますか? これを行う最も簡単な例は、セキュリティログを定期的にチェックすることです。 Threat Prevention Bladesのログを確認してください。 重大度が「高」または「重大」であり、「確信度」が「高」のイベントを検出します。 ログフィルターの例:
product_family:(脅威ORエンドポイントORモバイル)ANDアクション:検出AND重大度:(クリティカルまたは高)AND信頼レベル:(中高または高)このフィルターに該当するログを見た場合、ブロックする必要があるネットワークを見逃していました。 何かを誤って設定したか、修正が正常に機能しません。 そのようなイベントを定期的に確認するか、通知を構成します(SmartEvent機能)。
ベストプラクティス
ほとんどのアイテムは、チェックポイントの公式ドキュメントに記載されています。 「 Check Point Instructions and Useful Documentation 」という記事で既にセレクションを公開しています。 私たちの場合、情報の主な情報源は、 ベストプラクティスとATRGという一連の記事です 。 あなたがチェックポイント製品の幸せな所有者である場合、これらのトピックを読む必要があります。
おわりに
これで、「ダース」チェックを終了します。 このリストに従ってゲートウェイ設定を整理すると、セキュリティレベルは企業の80%よりも高くなります(個人的な経験からの統計)。 これらが単なる基本的なチェックであることを繰り返します。 高度でより具体的な推奨事項については、現在の設定とネットワークアーキテクチャの包括的な分析が必要です。 ここでは、このような設定の監査の結果に関するサンプルレポート( Check Point Security Audit )を見つけることができます。 必要に応じて、特定の推奨事項と修正手順が記載されたレポートを取得できます。
追加のトレーニング資料は、当社グループまたは電報チャネルにあります。
こちらから無料でチェックポイントのセキュリティ設定を監査できます。