• 4. Анализ зловредов с помощью форензики Check Point. CloudGuard SaaS



      Мы добрались до последнего продукта из нашего цикла статей по форензике от Check Point. На этот раз речь пойдет об облачной защите. Трудно представить компанию, которая не использует облачные сервисы (так называемый SaaS). Office 365, GSuite, Slack, Dropbox и т.д. И наибольший интерес здесь представляет облачная электронная почта и облачное файловое хранилище. То, чем каждый день пользуются наши сотрудники. Однако, облачные сервисы находятся вне нашей сети и периметр для них отсутствует, как таковой. Это, в свою очередь, очень сильно повышает вероятность атаки на наших пользователей. Вариантов защиты для облачных приложений не так уж и много. Ниже мы рассмотрим решение Check Point CloudGuard SaaS, от чего он защищает и, самое главное, какую форензику и отчетность предоставляет. Это может быть интересно тем, кто хочет провести аудит безопасности своих облачных сервисов.
      Читать дальше →
    • 3. Анализ зловредов с помощью форензики Check Point. SandBlast Mobile



        Добро пожаловать в третью статью нашего цикла по форезнике от Check Point. На этот раз мы рассмотрим SandBlast Mobile. Мобильные устройства уже давно стали частью нашей жизни. В смартфонах наша работа, наш досуг, развлечения, личные данные. Про это знают и злоумышленники. Согласно отчету Check Point за 2019 год, три самых распространенных вектора атаки на пользователей:

        • Email (вредоносные вложения, ссылки);
        • Web (вирусное ПО, фишинг);
        • Smartphones (вредоносные приложения, поддельные WiFi сети, фишинг).

        Первые два вектора мы можем закрыть уже рассмотренными SandBlast Network и SandBlast Agent. Остаются смартфоны, угрозы для которых все чаще фигурируют в новостях. Для защиты этого вектора атаки у Check Point есть специализированное решение — SandBlast Mobile. Ниже мы рассмотрим форензику, которую мы можем получить при расследовании инцидентов на мобильных устройствах.
        Читать дальше →
      • 2. Анализ зловредов с помощью форензики Check Point. SandBlast Agent



          Продолжаем наш цикл статей по форензике от Check Point. В предыдущей статье мы рассмотрели новый отчет сетевой песочницы, которая помогает ловить 0-day атаки на периметре сети. К сожалению (для “безопасников”), периметр уже давно потерял четкие границы. Мобильные устройства, BYOD, “флешки”, облачные сервисы — все это создает дополнительные “дыры” в защите корпоративной сети. Именно поэтому форензика важна не только на периметре, но и на рабочих станциях ваших пользователей. Данная форензика даже важнее, т.к. вы будете исследовать зловреды, которые уже проникли к вам в сеть. Хочется понимать, через какой канал они проникли (интернет, “флешка”, файловый обменник, электронная почта, корпоративный чат), уязвимость в каком ПО использовали, какие данные могли пострадать и т.д. Это и многое другое позволяет увидеть Check Point SandBlast Agent. О нем и пойдет речь.
          Читать дальше →
        • 1. Анализ зловредов с помощью форензики Check Point. SandBlast Network



            Добро пожаловать на новый цикл статей, на этот раз по теме расследования инцидентов, а именно — анализу зловредов с помощью форензики Check Point. Ранее мы публиковали несколько видео уроков по работе в Smart Event, но на этот раз мы рассмотрим отчеты форензики по конкретным событиям в разных продуктах Check Point:


            Почему важна форензика предотвращенных инцидентов? Казалось бы, поймал вирус, уже хорошо, зачем с ним разбираться? Как показывает практика, атаку желательно не просто блокировать, но и понимать, как именно она работает: какая была точка входа, какая использовалась уязвимость, какие процессы задействованы, затрагивается ли реестр и файловая система, какое семейство вирусов, какой потенциальный ущерб и т.д. Эти и другие полезные данные можно получить в исчерпывающих отчетах форензики Check Point (как в текстовом, так и графическом виде). Получить такой отчет вручную очень трудно. Затем эти данные могут помочь принять нужные меры и исключить возможность успеха подобных атак в будущем. Сегодня мы рассмотрим отчет форензики Check Point SandBlast Network.
            Читать дальше →
          • Privileged Access Management как приоритетная задача в ИБ (на примере Fudo PAM)



              Есть довольно интересный документ CIS Controls, который рассматривает Информационную безопасность с применением принципа Парето (80/20). Этот принцип гласит, что 20% защитных мер дают 80% результата с точки зрения защищенности компании. Ознакомившись с этим документом многие “безопасники” обнаруживают, что при выборе защитных мер они начинают не с самых эффективных мер. В документе выделяют 5 ключевых мер защиты, которые оказывают наибольший эффект на ИБ:

              1. Инвентаризация всех устройств в сети. Трудно защищать сеть, когда не знаешь что в ней.
              2. Инвентаризация всего программного обеспечения. Софт с уязвимостями чаще всего становится входной точкой для хакера.
              3. Secure Configuration — или обязательное использование встроенных функций защиты ПО или устройств. В двух словах — меняйте дефолтные пароли и ограничивайте доступ.
              4. Поиск и устранение уязвимостей. Большинство атак начинается именно с известной уязвимости.
              5. Управление привилегированным доступом. Ваши пользователи должны иметь только действительно нужные права и выполнять только действительно необходимые действия.

              В рамках этой статьи мы рассмотрим именно 5-й пункт на примере использования Fudo PAM. Точнее мы рассмотрим типичные кейсы и проблемы, которые удается обнаружить после внедрения или в рамках бесплатного тестирования Fudo PAM.
              Читать дальше →
              • +10
              • 1.8k
              • 2
            • 4. Нагрузочное тестирование Check Point Maestro



                Продолжаем цикл статей по решению Check Point Maestro. Мы уже опубликовали три вводных статьи:

                1. Check Point Maestro Hyperscale Network Security
                2. Типовые сценарии использования Check Point Maestro
                3. Типовой сценарий внедрения Check Point Maestro

                Теперь самое время перейти к нагрузочному тестированию. В рамках статьи мы постараемся показать как происходит балансировка нагрузки между нодами, а также рассмотрим процесс добавления новых шлюзов в уже имеющуюся масштабируемую платформу. Для тестов будем использовать всем известный генератор трафика — TRex.
                Читать дальше →
              • 9 типовых проблем в сети, которые можно обнаружить с помощью анализа NetFlow (на примере Flowmon)



                  Относительно недавно мы публиковали статью “Сетевой мониторинг и выявления аномальной сетевой активности с помощью решений Flowmon Networks”. Там мы кратко рассмотрели возможности этого продукта и процесс установки. Неожиданно для нас, после статьи и вебинара, поступило большое кол-во запросов на тестирование Flowmon. И первые же пилотные проекты выявили несколько типовых проблем с сетью, которые не увидишь без использования NetFlow. Сразу стоит отметить, что в рамках тестирования продукта наиболее интересные результаты получались благодаря модулю определения аномалий (ADS). После короткого “обучения” (хотя бы неделю) мы начинали фиксировать различные инциденты. В этой статье мы рассмотрим самые частые из них.
                  Читать дальше →
                • 3. Типовой сценарий внедрения Check Point Maestro

                  • Tutorial


                  В прошлых двух статьях (первая, вторая) мы рассмотрели принцип работы Check Point Maestro, а также технические и экономические преимущества этого решения. Теперь хотелось бы перейти к конкретному примеру и описать возможный сценарий внедрения Check Point Maestro. Я покажу типовую спецификацию, а также сетевую топологию (L1, L2 и L3 схемы) с использованием Maestro. По сути, вы увидите готовый типовой проект.

                  Предположим, мы решили, что будем использовать масштабируемую платформу Check Point Maestro. Для этого возьмем бандл из трех шлюзов 6500 и двух оркестраторов (для полной отказоустойчивости) — CPAP-MHS-6503-TURBO + CPAP-MHO-140. Физическая схема подключений (L1) будет выглядеть следующим образом:
                  Читать дальше →
                • 2. Типовые сценарии использования Check Point Maestro



                    Совсем недавно компания Check Point презентовала новую масштабируемую платформу Maestro. Мы уже публиковали целую статью о том, что это такое и как оно работает. Если коротко — позволяет почти линейно увеличивать производительность шлюза безопасности путем объединения нескольких устройств и балансировки нагрузки между ними. Удивительно, но до сих пор сохраняется миф, что эта scalable платформа подходит только для больших датацентров или для гигантских сетей. Это совершенно не так.

                    Check Point Maestro разрабатывался сразу для нескольких категорий пользователей (мы рассмотрим их чуть позже), среди который есть и средний бизнес. В этом небольшом цикле статей я постараюсь отразить технические и экономические преимущества Check Point Maestro для организаций среднего размера (от 500 пользователей) и почему этот вариант может быть лучше классического кластера.
                    Читать дальше →
                  • Check Point Gaia R80.40. Что будет нового?



                      Приближается очередной релиз операционной системы Gaia R80.40. Несколько недель назад стартовала программа Early Access, по которой можно получить доступ для тестирования дистрибутива. Мы, как обычно публикуем информацию о том, что будет нового, а также выделим моменты, которые наиболее интересны с нашей точки зрения. Забегая вперед, могу сказать, что новшества действительно значимые. Поэтому стоит готовиться к скорой процедуре обновления. Ранее мы уже публиковали статью о том, как это делать (за дополнительной информацией можно обратиться сюда). Перейдем к теме…
                      Читать дальше →
                    • Сетевой мониторинг и выявления аномальной сетевой активности с помощью решений Flowmon Networks

                      • Tutorial


                      В последнее время в Интернете можно найти огромное кол-во материалов по теме анализа трафика на периметре сети. При этом все почему-то совершенно забыли об анализе локального трафика, который является не менее важным. Данная статья как раз и посещена этой теме. На примере Flowmon Networks мы вспомним старый добрый Netflow (и его альтернативы), рассмотрим интересные кейсы, возможные аномалии в сети и узнаем преимущества решения, когда вся сеть работает как единый сенсор. И самое главное — провести подобный анализ локально трафика можно совершенно бесплатно, в рамках триальной лицензии (45 дней). Если тема вам интересна, добро пожаловать под кат. Если же читать лень, то, забегая вперед, можете зарегистрироваться на предстоящий вебинар, где мы все покажем и расскажем (там же можно будет узнать о предстоящем обучении продукту).
                      Читать дальше →
                    • Подборка полезных вебинаров по продуктам Check Point от RRC


                        Ниже представлена небольшая подборка полезных вебинаров по Check Point от компании RRC. Спикер — Захаренко Дмитрий (менеджер по продуктам RRC Security). Добавляйте в закладки! Так же прилагаем ссылку на большую подборку дополнительных материалов — Подборка полезных материалов от TS Solution.
                        Читать дальше →
                      • Check Point Falcon Acceleration Cards — ускоряем обработку трафика



                          Относительно недавно мы публиковали статью про Check Point Maestro, новую масштабируемую платформу, которая позволяет практически линейно наращивать “мощность” шлюзов Check Point. Однако это не единственная технология увеличения производительности. Еще в 2018 году были анонсированы новые карты акселерации трафика с выделенным сетевым процессором — Falcon Acceleration Cards. Смысл этих устройств простой — взять на себя часть нагрузки по обработке трафика. В этой статье мы рассмотрим:

                          • Варианты доступных карт;
                          • В какие модели шлюзов они могут быть установлены;
                          • Внешний вид и установка;
                          • Какую нагрузку могут на себя брать;
                          • На сколько они “ускоряют” SSL-инспекцию.

                          Если вам интересна данная тема — добро пожаловать под кат.
                          Читать дальше →
                        • Check Point Scripts — выполняем скрипты прямо из Smart Console

                          • Tutorial


                          Ранее мы уже писали, что все настройки Check Point можно разбить на две группы: Системные настройки и Настройки безопасности. Системными настройками мы можем управлять через WebUI, либо через CLI, либо через Gaia REST API (начиная с в 80.10). Настройки безопасности в основном правятся через SmartConsole, либо опять же, через API. В 95% случаев администратор использует именно SmartConsole. Однако, иногда есть необходимость получить доступ к более расширенным параметрам или функциям, что возможно только через CLI. Раньше приходилось для этого подключаться по SSH, затем вспоминать нужную команду (например cphaprob state для проверки состояния кластера). Это не очень удобно и не так быстро. Все изменилось с появлением Scripts Repository. Этой штуке мы и посвятим сегодняшнюю статью.
                          Читать дальше →
                        • 13. Check Point Getting Started R80.20. Licensing

                          • Tutorial


                          Приветствую, друзья! И мы наконец-то добрались до последнего, заключительного урока Check Point Getting Started. Сегодня мы поговорим об очень важной теме — Лицензирование. Спешу предупредить, что данный урок не является исчерпывающим руководством по выбору оборудования или лицензий. Это лишь краткое изложение ключевых моментов, которые должен знать любой администратор Check Point. Если вы действительно озадачены выбором лицензии или устройства, то лучше обратиться к профессионалам, т.е. к нам :). Очень много подводных камней, про которые весьма трудно рассказать в рамках курса, да и запомнить это тоже сразу не получится.

                          Урок у нас будет полностью теоретическим, так что можете выключать свои макетные сервера и расслабиться. В конце статьи вы найдете видео урок, где я рассказываю все более подробно
                          Читать дальше →
                        • 12. Check Point Getting Started R80.20. Logs & Reports

                          • Tutorial


                          Добро пожаловать на 12-й урок. Сегодня мы поговорим о еще одной весьма важной теме, а именно о работе с логами и отчетами. Порой данная функциональность оказывается чуть ли не решающей при выборе средства защиты. Очень уж любят «безопасники» удобную систему отчетности и функциональный поиск по различным событиям. Трудно их в этом винить. По сути, логи и репорты это важнейший элемент оценки защищенности. Как понять текущий уровень безопасности если вы не видите, что происходит? К счастью, у Check Point в этом плане все в полном порядке и даже более. Check Point имеет одну из лучших систем отчетности, которая работает из коробки! При этом есть возможность кастомизации и созданиях собственных отчетов! Все это дополняется удобным и интуитивно понятным процессом работы с логами. Но давайте обо всем по порядку.
                          Читать дальше →
                        • 11. Check Point Getting Started R80.20. Threat Prevention Policy

                          • Tutorial


                          Добро пожаловать на 11 урок! Если помните, то еще в 7 уроке мы упомянули, что у Check Point существует три типа Security Policy. Это:

                          1. Access Control;
                          2. Threat Prevention;
                          3. Desktop Security.

                          Мы уже рассмотрели большинство блейдов из политики Access Control, главная задача которых — контроль трафика или контента. Блейды Firewall, Application Control, URL Filtering и Content Awareness позволяют уменьшить площадь атаки, отсекая все лишнее. В данном же уроке мы рассмотрим политику Threat Prevention, задача которой — проверка контента, который уже прошел через Access Control.
                          Читать дальше →
                        • 10. Check Point Getting Started R80.20. Identity Awareness

                          • Tutorial


                          Добро пожаловать на юбилейный — 10-й урок. И сегодня мы поговорим о еще одном блейде Check Point — Identity Awareness. Еще в самом начале, при описании NGFW, мы определили, что для него обязательна возможность регулирования доступа на основе учетных записей, а не IP-адресов. Связано это в первую очередь с повышенной мобильностью пользователей и повсеместным распространением модели BYOD — bring your own device. В компании может быть куча народу, которые подключаются по WiFi, получают динамический IP, да еще и из разных сегментов сети. Попробуй тут создай аксес-листы на основе ip-шников. Здесь уже без идентификации пользователей не обойтись. И вот именно блейд Identity Awareness поможет нам в этом деле.
                          Читать дальше →
                        • 9. Check Point Getting Started R80.20. Application Control & URL Filtering

                          • Tutorial


                          Добро пожаловать на 9-й урок! После небольшого перерыва на майские праздники мы продолжаем наши публикации. Сегодня мы обсудим не менее интересную тему, а именно — Application Control и URL Filtering. То, ради чего иногда Check Point и покупают. Нужно заблокировать Telegram, TeamViewer или Tor? Для этого и нужен Application Control. К тому же мы затронем еще один интересный блейд — Content Awareness, а также обсудим важность HTTPS-инспекции. Но обо всем по порядку!
                          Читать дальше →
                        • 8. Check Point Getting Started R80.20. NAT

                          • Tutorial


                          Добро пожаловать на 8-й урок. Урок очень важный, т.к. по его завершению вы уже сможете настроить выход в интернет для ваших пользователей! Надо признать, что многие на этом настройку и заканчивают :) Но мы не из их числа! И у нас еще много интересного впереди. А теперь к теме нашего урока.

                          Как вы уже наверно догадались, говорить мы сегодня будем про NAT. Уверен, что все, кто смотрит этот урок, знают, что такое NAT. Поэтому мы не будем подробно расписывать как это работает. Я лишь еще раз повторю, что NAT это технология трансляции адресов, которая была придумана с целью экономии “белых”, т.е. публичных ip-шников (тех адресов, которые маршрутизируются в сети Интернет).

                          В предыдущем уроке вы наверно уже успели заметить, что NAT входит в состав политики Access Control. Это весьма логично. В SmartConsole настройки NAT вынесены в отдельную вкладку. Мы сегодня туда обязательно заглянем. В целом, в данном уроке мы обсудим типы NAT, настроим выход в Интернет и рассмотрим классический пример с port forwarding. Т.е. тот функционал, который чаще всего используется в компаниях. Приступим.
                          Читать дальше →