Три года назад мы публиковали статью “Online инструменты для простейшего Pentest-а”. Там мы рассказали про доступные и быстрые способы проверки защиты вашего периметра сети с помощью таких инструментов как Check Point CheckMe, Fortinet Test Your Metal и т.д. Но иногда требуется более серьезный тест, когда хочется “пошуметь” уже внутри сети (и желательно безопасно для инфраструктуры). Для этой цели может быть весьма полезным такой бесплатный инструмент как Infection Monkey. Для примера, мы решили просканировать сеть через шлюз Check Point и посмотреть, что увидит IPS. Хотя ничто не мешает вам провести аналогичный опыт и с другими решениями, чтобы проверить, как отрабатывает ваша IPS система или NGFW. Результаты под катом.

Ни для кого не секрет, что почта и почтовые вложения являются одними из главных векторов атак. Тело письма может содержать фишинговые ссылки, которые ведут на зловредные сайты, где доверчивый пользователь может оставить свои личные данные или скачать зловреда (программы-шпионы, шифровальщики, вымогатели, трояны и прочее).

Новый тип атак

Последнее время довольно популярными стали «Отложенные атаки» (от англ. “Delayed Poisoning Attacks”). Суть сводится к следующему: атакующий отправляет письмо с обычной ссылкой, которая не является зловредной на момент проверки письма, однако в скором времени атакующий меняет сайт, куда данная ссылка пользователя перенаправляет. В результате пользователь, нажав на якобы “нормальную” ссылку, попадает на фишинговый ресурс, либо же на зловредный сайт, на котором скачивается зловред в фоновом режиме и пользователь становится зараженным. Вся магия в том, что на момент проверки письма модулями NGFW письмо является легитимным и без проблем обходит все уровни защиты. В данной статье мы рассмотрим, как компания Check Point справляется с этой угрозой, и какие настройки необходимо выполнить.

Мы уже опубликовали огромное кол-во обучающих материалов по Check Point. Однако, тема защиты рабочих станций с помощью Check Point SandBlast Agent пока освещена крайне плохо. Мы планируем исправиться и в ближайшее время создать обучающие курсы по этому продукту, который является одним из лидеров сегмента EDR несколько лет подряд. А пока, делимся информацией о новых возможностях агента, которые появились в версии E83.10. Спойлер — появилась бета версия под LINUX и новая облачная “управлялка”.

Мы уже опубликовали довольно много материалов по Check Point, есть даже специальная статья, где собраны все публикации “Check Point. Подборка полезных материалов от TS Solution”. Однако, как это часто бывает при наличии большого кол-ва информации, почти всегда встает вопрос: “А с чего начинать изучение, если ты начал осваивать Check Point с нуля?”. Мы регулярно слышим подобное от наших клиентов. Кроме того, у нас регулярно проходят стажировку молодые специалисты, которых мы обучаем по уже “накатанному” сценарию. Мы решили поделиться этой методикой и рассказать, как можно довольно быстро, а главное последовательно освоить азы работы с Check Point. Кому это может понадобиться? Я выделил 3 категории “студентов”:

1. Получение новых навыков для смены работы (или первой работы);
2. Продвижение по карьерной лестнице на текущем рабочем месте;
3. Администрирование решений Check Point, которые были установлены в вашу сеть (при этом средств на обучение не выделили или их не хватило).

Если вы относите себя к одной из этих категорий, то добро пожаловать под кат!

Ранее мы уже писали, что с появлением Check Point Maestro, уровень входа (в денежном выражении) в масштабируемые платформы значительно снизился. Больше нет необходимости в приобретении шасси-решений. Берете ровно столько, сколько вам нужно и добавляете по необходимости без больших первоначальных затрат (как в случае с шасси). Как это делается можно посмотреть здесь. Долгое время к заказу были доступны всего несколько бандлов — 6500, 6800 и 23800. И вот, в этом году, Check Point презентовал новые и более производительные модели шлюзов — Quantum. В результате новый минимальный бандл с одним оркестратором (MHO140) и двумя шлюзами (6200 Plus) подешевел более чем в два раза! Это позволяет компаниям практически любых размеров использовать масштабируемые решения без завышенных первоначальных затрат. Давайте рассмотрим новые модели чуть подробнее.

Добрый день, в прошлых статьях мы познакомились с работой ELK Stack. А теперь обсудим возможности, которые можно реализовать специалисту по ИБ в использовании данных систем. Какие логи можно и нужно завести в elasticsearch. Рассмотрим, какую статистику можно получить, настраивая дашборды и есть ли в этом профит. Каким образом можно внедрить автоматизацию процессов ИБ, используя стек ELK. Составим архитектуру работы системы. В сумме, реализация всего функционала это очень большая и тяжелая задача, поэтому решение выделили в отдельное название — TS Total Sight.

Приветствую! Периодически мы занимаемся публикацией различных полезных материалов, связанных с решениями компании Fortinet. Их можно найти на нашем сайте и на хабре. Сегодня мы решили собрать все наши публикации в одном месте, чтобы вам было проще ориентироваться. Данная подборка будет периодически обновляться.

В нынешних условиях все больше компаний задумываются, как перевести сотрудников на удаленную работу. В свою очередь мы решили им помочь и написали подробные инструкции по настройке удаленного доступа на базе решения FortiGate:

• Удаленный доступ с помощью IPsec VPN
• Удаленный доступ с помощью SSL VPN

Помимо этого, мы собрали еще множество материала, который также может быть полезен при организации удаленного доступа. Он находится прямо под катом.

Введение

Друзья, добрый день.

Данную статью я хочу посвятить такому продукту, как MaxPatrol SIEM компании Positive Technologies уже более 17 лет разрабатывающей инновационные решения в области кибербезопасности.

В ней я постараюсь кратко описать основные задачи и мероприятия, с которыми сталкивается любой офицер ИБ во время своей деятельности и на примере продукта MaxPatrol SIEM рассказать, как их можно решить.

Также постараюсь описать его платформу и схему лицензирования.

Помимо этого приглашаю всех на вебинар, который состоится 8.04.2020 и будет посвящен продукту Platform 187 (5 продуктов в 1 сервере: MaxPatrol SIEM, MaxPatrol 8, PT Network Attack Discovery, PT MultiScanner, «ПТ Ведомственный центр»). Подробности вебинара и регистрация доступны по ссылке — tssolution.ru/events/positive_187_08_04.

Заинтересовавшихся прошу подкат.

В данной статье мы попытаемся сделать небольшое сравнение различных способов тестирования безопасности вашей сети и понять, есть ли какие-то преимущества у относительно новых BAS (Breach & Attack Simulations) систем, которые имитируют взлом и кибератаки. Для примера, в качестве BAS системы мы возьмем Cymulate, один из лидеров рынка. А сравним мы ее с обычным сканированием уязвимостей, ручным Pentest-ом и сервисом Red Team. Эти инструменты в последнее время набирают все большую популярность и свидетельствуют о массовом переходе «безопасников» от пассивной защиты к активной, что так же свидетельствует в зрелом уровне ИБ.

Приветствую, друзья! Добро пожаловать на наш очередной новый курс! Как я и обещал, курс Getting Started был не последним. На этот раз мы будем обсуждать не менее важную тему — Remote Access VPN (т.е. удаленный доступ). С помощью этого курса вы сможете быстро познакомиться с технологиями Check Point в плане организации защищенного удаленного доступа сотрудников. В рамках курса мы, как обычно, будем совмещать теоретическую часть с практической в виде лабораторных работ. Кроме демонстрации настройки Check Point мы рассмотрим различные способы подключения удаленных пользователей.

Про организацию удаленного доступа за последние пару недель не написал только ленивый. Многие производители предоставили бесплатные лицензии для Remote Access VPN. Check Point не остался в стороне и предоставляет возможность в течение 2-х месяцев бесплатно использовать их продукты для:

1. организации удаленного доступа;
2. защиты рабочих станций удаленных пользователей;
3. защиты смартфонов.

В этой небольшой статье вы найдете всю необходимую информацию об этих продуктах и как получить бесплатные лицензии.

Мы опубликовали уже 4 статьи (1, 2, 3 и 4) по Check Point Maestro, где довольно подробно расписали предназначение и различные сценарии использования этого продукта. В связи с этим, нас довольно часто и много спрашивают по поводу данного решения. Большинство задает примерно те же вопросы. Поэтому мы решили оформить небольшой список наиболее часто задаваемых вопросов — FAQ. Надеюсь кому-то это поможет сэкономить время.

В первую очередь, стоит отметить, что есть официальный sk147853 — Maestro Frequently Asked Questions (FAQs), где все довольно подробно. Это основной ресурс, которым точно стоит пользоваться. Мы же приведем свой топ вопросов, со своими, не столь лаконичными, комментариями.

Приветствую! Добро пожаловать на одиннадцатый, последний урок курса Fortinet Getting Started. На прошлом уроке мы рассмотрели основные моменты, связанные с администрированием устройства. Теперь, для завершения курса, я хочу познакомить вас со схемой лицензирования продуктов FortiGate и FortiAnalyzer — обычно эти схемы вызывают довольно много вопросов.
Как обычно, урок будет представлен в двух вариантах — в текстовом виде, а также в формате видео урока, который находится внизу статьи.

Приветствую! Добро пожаловать на десятый, юбилейный урок курса Fortinet Getting Started. На прошлом уроке мы рассмотрели основные механизмы логирования и отчетности, а также познакомились с решением FortiAnalyzer. В качестве завершения практических уроков данного курса я хочу познакомить вас с различными технологиями, которые могут пригодиться при администрировании межсетевого экрана FortiGate. Необходимая теория, а также практическая часть находятся под катом.

Добрый день, сегодня хотелось бы затронуть тему оборудования для малого бизнеса и офисов до 150-300 пользователей. Современные угрозы безопасности требуют осуществлять защиту периметра сети вне зависимости от масштаба предприятия. компания CheckPoint предлагает целый ряд продуктов серии именно под эти задачи: 1400 cерия, 1500 серия. Оборудование (SMB) поставляется со специально разработанной версией Gaia Embedded (для ARM архитектуры), имеет свои особенности в настройке и взаимодействии с администратором. Управление может осуществляться как локально, то есть непосредственно через сам Security Gateway (с помощью Web-интерфейса), так и централизованно — с помощью отдельного Management Server (через SmartConsole).

Возможно, для вас станет новостью появление третьего варианта по управлению вашим шлюзом, с помощью смартфона. CheckPoint WatchTower позволяет подключаться к вашему Security Gateway с помощью специального мобильного приложения.

Статью подготовил Dmitriy Andrichenko | Sales Executive, Russia & CIS | Flowmon Networks

Приветствуем Вас на странице нашей новой статьи, посвященной решению задач контроля производительности распределенных сетевых приложений и баз данных. Данная статья является продолжением цикла публикаций, посвященных решениям компании Flowmon Networks и, в частности, продолжением обзора «Сетевой мониторинг и выявление аномальной сетевой активности» с применением технологий безсигнатурного анализа.
Итак, начнем, но в начале скажем пару слов о компании Flowmon Networks и проблематике вопроса.

Для тех, кому лень читать, в ближайшее время состоится вебинар по решениям Flowmon Networks.

Приветствую! Добро пожаловать на девятый урок курса Fortinet Getting Started. На прошлом уроке мы рассмотрели основные механизмы контроля доступа пользователей к различным ресурсам. Теперь перед нами другая задача — необходимо анализировать поведение пользователей в сети, а также настроить получение данных, которые смогут помочь при расследовании различных инцидентов безопасности. Поэтому в данном уроке мы рассмотрим механизм логирования и отчетности. Для этого нам пригодится FortiAnalyzer, который мы развернули в начале курса. Необходимая теория, а также видео урок доступны под катом.

Приветствую! Добро пожаловать на восьмой урок курса Fortinet Getting Started. На шестом и седьмом уроках мы познакомились с основными профилями безопасности, теперь мы можем выпускать пользователей в Интернет, защищая их от вирусов, разграничивая доступ к веб ресурсам и приложениям. Теперь встает вопрос об администрировании пользовательских записей. Как обеспечить доступ в Интернет только определенной группе пользователей? Как одной группе пользователей запретить посещать определенные веб сайты, а другой разрешить? Как синтегрировать существующие решения по контролю пользовательских записей с межсетевым экраном FortiGate? Сегодня мы обсудим эти вопросы и постараемся проделать все на практике.

Добро пожаловать на наш очередной мини курс. На этот раз мы поговорим о нашей новой услуге — CheckFlow. Что это такое? По сути, это просто маркетинговое название бесплатного аудита сетевого трафика (как внутреннего, так и внешнего). Сам аудит производится с помощью такого замечательного инструмента как Flowmon, которым может воспользоваться абсолютно любая компания, бесплатно, в течении 30 дней. Но, я уверяю, что уже после первых часов тестирования, вы начнете получать ценную информацию о своей сети. Причем эта информация будет ценной как для сетевых администраторов, так и для «безопасников». Что ж, давайте обсудим, что это за информация и в чем ее ценность (В конце статьи как обычно видеоурок).