Очень трудолюбивый злоумышленник, подделав электронную переписку и написав в общем итоге 32 электронных письма в обе стороны, смог перенаправить крупный денежный перевод от китайского венчурного фонда израильскому стартапу на свои реквизиты. Об этом реально произошедшем случае рассказали израильские специалисты по информационной безопасности из компании Check Point в этой публикации. Причем к расследованию этого инцидента, произошедшего ранее в 2019 году, команда специалистов Check Point Incidence Response Team (CP IRT) была привлечена через некоторое время после его совершения, а многие его цифровые следы были уничтожены как исполнителем, так и пострадавшей стороной по неосторожности или безалаберности.

Продолжаем нашу серию уроков по Check Point. На этот раз мы обсудим одну из моих любимых тем, а именно — IPS (Intrusion Prevention System) По-русски — система предотвращения вторжений. Причем акцент именно на Prevention (т.е. предотвращение)! Одно из главных кредо компании Check Point это: “We Prevent, not detect!”. Лично я согласен с такой позицией. Какой толк от детекта, если вас атаковал например шифровальщик? Зашифрованный компьютер и так вам сообщит, что была атака. В текущих реалиях нужно позаботиться именно о Prevent. И IPS здесь может очень хорошо помочь.

Однако, в последнее время наблюдается некое пренебрежение этим классом защиты, мол “IPS больше не актуален и использовать его бессмысленно”. На мой взгляд это мнение является непростительной ошибкой. Собственно в этом уроке я постараюсь описать основные бытующие заблуждения на счет IPS. Затем в рамках лабораторной работы покажу каким образом IPS поможет усилить защиту вашей сети. Ну и конечно же постараюсь рассказать, как получить максимум от этого полезного инструмента, на какие настройки обратить внимание и о чем нужно помнить включая IPS.

Урок получился весьма длинным поэтому я разбил его на две части. Первая часть будет чисто теоретическая, а вторая уже полностью посвящена практике в виде лабораторной работы. Надеюсь, что будет интересно.

Спойлер — В конце статьи видео урок, если кому-то удобнее смотреть, а не читать.

Добрый день, сегодня хотелось бы затронуть тему оборудования для малого бизнеса и офисов до 150-300 пользователей. Современные угрозы безопасности требуют осуществлять защиту периметра сети вне зависимости от масштаба предприятия. компания CheckPoint предлагает целый ряд продуктов серии именно под эти задачи: 1400 cерия, 1500 серия. Оборудование (SMB) поставляется со специально разработанной версией Gaia Embedded (для ARM архитектуры), имеет свои особенности в настройке и взаимодействии с администратором. Управление может осуществляться как локально, то есть непосредственно через сам Security Gateway (с помощью Web-интерфейса), так и централизованно — с помощью отдельного Management Server (через SmartConsole).

Возможно, для вас станет новостью появление третьего варианта по управлению вашим шлюзом, с помощью смартфона. CheckPoint WatchTower позволяет подключаться к вашему Security Gateway с помощью специального мобильного приложения.

Мы опубликовали уже 4 статьи (1, 2, 3 и 4) по Check Point Maestro, где довольно подробно расписали предназначение и различные сценарии использования этого продукта. В связи с этим, нас довольно часто и много спрашивают по поводу данного решения. Большинство задает примерно те же вопросы. Поэтому мы решили оформить небольшой список наиболее часто задаваемых вопросов — FAQ. Надеюсь кому-то это поможет сэкономить время.

В первую очередь, стоит отметить, что есть официальный sk147853 — Maestro Frequently Asked Questions (FAQs), где все довольно подробно. Это основной ресурс, которым точно стоит пользоваться. Мы же приведем свой топ вопросов, со своими, не столь лаконичными, комментариями.

Про организацию удаленного доступа за последние пару недель не написал только ленивый. Многие производители предоставили бесплатные лицензии для Remote Access VPN. Check Point не остался в стороне и предоставляет возможность в течение 2-х месяцев бесплатно использовать их продукты для:

1. организации удаленного доступа;
2. защиты рабочих станций удаленных пользователей;
3. защиты смартфонов.

В этой небольшой статье вы найдете всю необходимую информацию об этих продуктах и как получить бесплатные лицензии.

Приветствую, друзья! Добро пожаловать на наш очередной новый курс! Как я и обещал, курс Getting Started был не последним. На этот раз мы будем обсуждать не менее важную тему — Remote Access VPN (т.е. удаленный доступ). С помощью этого курса вы сможете быстро познакомиться с технологиями Check Point в плане организации защищенного удаленного доступа сотрудников. В рамках курса мы, как обычно, будем совмещать теоретическую часть с практической в виде лабораторных работ. Кроме демонстрации настройки Check Point мы рассмотрим различные способы подключения удаленных пользователей.

Добро пожаловать на новый цикл статей, на этот раз по теме расследования инцидентов, а именно — анализу зловредов с помощью форензики Check Point. Ранее мы публиковали несколько видео уроков по работе в Smart Event, но на этот раз мы рассмотрим отчеты форензики по конкретным событиям в разных продуктах Check Point:

• SandBlast Network
• SandBlast Agent
• SandBlast Mobile
• CloudGuard SaaS

Почему важна форензика предотвращенных инцидентов? Казалось бы, поймал вирус, уже хорошо, зачем с ним разбираться? Как показывает практика, атаку желательно не просто блокировать, но и понимать, как именно она работает: какая была точка входа, какая использовалась уязвимость, какие процессы задействованы, затрагивается ли реестр и файловая система, какое семейство вирусов, какой потенциальный ущерб и т.д. Эти и другие полезные данные можно получить в исчерпывающих отчетах форензики Check Point (как в текстовом, так и графическом виде). Получить такой отчет вручную очень трудно. Затем эти данные могут помочь принять нужные меры и исключить возможность успеха подобных атак в будущем. Сегодня мы рассмотрим отчет форензики Check Point SandBlast Network.

Продолжаем наш цикл статей по форензике от Check Point. В предыдущей статье мы рассмотрели новый отчет сетевой песочницы, которая помогает ловить 0-day атаки на периметре сети. К сожалению (для “безопасников”), периметр уже давно потерял четкие границы. Мобильные устройства, BYOD, “флешки”, облачные сервисы — все это создает дополнительные “дыры” в защите корпоративной сети. Именно поэтому форензика важна не только на периметре, но и на рабочих станциях ваших пользователей. Данная форензика даже важнее, т.к. вы будете исследовать зловреды, которые уже проникли к вам в сеть. Хочется понимать, через какой канал они проникли (интернет, “флешка”, файловый обменник, электронная почта, корпоративный чат), уязвимость в каком ПО использовали, какие данные могли пострадать и т.д. Это и многое другое позволяет увидеть Check Point SandBlast Agent. О нем и пойдет речь.

Добро пожаловать в третью статью нашего цикла по форезнике от Check Point. На этот раз мы рассмотрим SandBlast Mobile. Мобильные устройства уже давно стали частью нашей жизни. В смартфонах наша работа, наш досуг, развлечения, личные данные. Про это знают и злоумышленники. Согласно отчету Check Point за 2019 год, три самых распространенных вектора атаки на пользователей:

• Email (вредоносные вложения, ссылки);
• Web (вирусное ПО, фишинг);
• Smartphones (вредоносные приложения, поддельные WiFi сети, фишинг).

Первые два вектора мы можем закрыть уже рассмотренными SandBlast Network и SandBlast Agent. Остаются смартфоны, угрозы для которых все чаще фигурируют в новостях. Для защиты этого вектора атаки у Check Point есть специализированное решение — SandBlast Mobile. Ниже мы рассмотрим форензику, которую мы можем получить при расследовании инцидентов на мобильных устройствах.

Мы добрались до последнего продукта из нашего цикла статей по форензике от Check Point. На этот раз речь пойдет об облачной защите. Трудно представить компанию, которая не использует облачные сервисы (так называемый SaaS). Office 365, GSuite, Slack, Dropbox и т.д. И наибольший интерес здесь представляет облачная электронная почта и облачное файловое хранилище. То, чем каждый день пользуются наши сотрудники. Однако, облачные сервисы находятся вне нашей сети и периметр для них отсутствует, как таковой. Это, в свою очередь, очень сильно повышает вероятность атаки на наших пользователей. Вариантов защиты для облачных приложений не так уж и много. Ниже мы рассмотрим решение Check Point CloudGuard SaaS, от чего он защищает и, самое главное, какую форензику и отчетность предоставляет. Это может быть интересно тем, кто хочет провести аудит безопасности своих облачных сервисов.

В связи окончанием продаж в России системы логирования и аналитики Splunk, возник вопрос, чем это решение можно заменить? Потратив время на ознакомление с разными решениями, я остановился на решении для настоящего мужика — «ELK stack». Эта система требует времени на ее настройку, но в результате можно получить очень мощную систему по анализу состояния и оперативного реагирования на инциденты информационной безопасности в организации. В этом цикле статей мы рассмотрим базовые (а может и нет) возможности стека ELK, рассмотрим каким образом можно парсить логи, как строить графики и дашбоарды, и какие интересные функции можно сделать на примере логов с межсетевого экрана Check Point или сканера безопасности OpenVas. Для начала, рассмотрим, что же это такое — стек ELK, и из каких компонентов состоит.

В прошлой статье мы познакомились со стеком ELK, из каких программных продуктов он состоит. И первая задача с которой сталкивается инженер при работе с ELK стеком это отправление логов для хранения в elasticsearch для последующего анализа. Однако, это просто лишь на словах, elasticsearch хранит логи в виде документов с определенными полями и значениями, а значит инженер должен используя различные инструменты распарсить сообщение, которое отправляется с конечных систем. Сделать это можно несколькими способами — самому написать программу, которая по API будет добавлять документы в базу либо использовать уже готовые решения. В рамках данного курса мы будем рассматривать решение Logstash, которое является частью ELK stack. Мы посмотрим как можно отправить логи с конечных систем в Logstash, а затем будем настраивать конфигурационный файл для парсинга и перенаправления в базу данных Elasticsearch. Для этого в качестве входящей системы берем логи с межсетевого экрана Check Point.

В прошлых статьях мы немного ознакомились со стеком elk и настройкой конфигурационного файла Logstash для парсера логов, в данной статье перейдем к самому важному с точки зрения аналитики, то что вы хотите увидеть от системы и ради чего все создавалось — это графики и таблицы объединенные в дашборды. Сегодня мы поближе ознакомимся с системой визуализации Kibana, рассмотрим как создавать графики, таблицы, и в результате построим простенький дашборд на основе логов с межсетевого экрана Check Point.

В соответствии с требованиями ФСБ России использование схемы подписи ГОСТ Р 34.10-2001 для формирования электронной подписи после 31 декабря 2018 года не допускается. Однако, соответствующий патч для Check Point с криптографией КриптоПро, поддерживающей новые алгоритмы, выпущен в 2018 году не был. Чтобы соответствовать требованиям регулятора и внезапно не остаться без защищенных каналов связи, многие компании, использующие оборудование Check Point с поддержкой ГОСТового шифрования, не дожидаясь нового патча выпустили сертификаты для шлюзов по алгоритмам ГОСТ Р 34.10/11-2001.

В данной публикации рассматривается ситуация, когда межсетевые экраны (МЭ) Check Point уже обновлены до версии R77.30, и на них установлен дистрибутив КриптоПро CSP 3.9 для Check Point SPLAT/GAiA. В данном случае можно сохранить сертификат узла выпущенного при использовании алгоритмов ГОСТ Р 34.10/11-2012, что при кластерном исполнении инсталляции МЭ Check Point (Distributed/Standalone Full HA deployments) позволяет без перерывов связи обновить криптографию на оборудовании. На практике достаточно часто встречается ситуация, когда множество географически удаленных площадок строят VPN-туннели с центральным кластером. Соответственно, чтобы не обновлять большое количество площадок единовременно, новый патч позволяет использовать на оборудовании как алгоритмы ГОСТ Р 34.10/11-2001, так и новые алгоритмы ГОСТ Р 34.10/11-2012.

Осенью 2019 года Check Point прекратил поддержку версий R77.XX, и нужно было обновляться. О разнице между версиями, плюсах и минусах перехода на R80 сказано уже немало. Давайте лучше поговорим о том, как, собственно, обновить виртуальные appliance Check Point (CloudGuard for VMware ESXi, Hyper-V, KVM Gateway NGTP) и что может пойти не так.

Итак, у нас было 2 инженера CCSE, более десятка виртуальных кластеров Check Point R77.30, несколько облаков, немножечко хотфиксов и целое море разнообразных багов, глюков и всего такого, всех цветов и размеров, а еще очень сжатые сроки. Погнали!

Содержание:

Подготовка
Обновляем сервер управления
Обновляем кластер

Так выглядит типичная облачная инфраструктура клиента с виртуальным Check Point

Добрый день, в прошлых статьях мы познакомились с работой ELK Stack. А теперь обсудим возможности, которые можно реализовать специалисту по ИБ в использовании данных систем. Какие логи можно и нужно завести в elasticsearch. Рассмотрим, какую статистику можно получить, настраивая дашборды и есть ли в этом профит. Каким образом можно внедрить автоматизацию процессов ИБ, используя стек ELK. Составим архитектуру работы системы. В сумме, реализация всего функционала это очень большая и тяжелая задача, поэтому решение выделили в отдельное название — TS Total Sight.

Компания Check Point Software Technologies, производитель популярного файрвола ZoneAlarm, сообщила, что многие пользователи файрвола оказались полностью отрезаны от интернета после установки последнего патча в системе Microsoft Update. Данный патч закрывает дыру, связанную с серьёзнейшей уязвимостью в протоколе DNS, о которой стало известно два дня назад.

Уязвимость в протоколе DNS оказалась настолько серьёзной, что подняла на уши всех специалистов по безопасности, имеющих отношение к интернет-технологиям. Если срочно не пропатчить DNS-сервера в интернете (а они до сих пор непропатчены), то гипотетический злоумышленник, изменив DNS-таблицы, может без проблем перенаправить запрос к любому серверу на любой другой сервер (например, вся почта пользователя может перенаправляться на сайт злоумышленника, а уже оттуда адресату), причём совершенно незаметно для пользователя. Правда, за прошедшие пару суток злоумышленники пока не успели среагировать но обнаружение новой дыры (они наверняка работают над этим прямо сейчас).

Компания Microsoft оперативно выпустила апдейт KB951748 (MS08-037) для операционных систем Windows 2000, XP и Server 2003, который вносит изменения в систему Windows Domain Name System (DNS). Однако, если пользователи файрвола ZoneAlarm, у которых в настройках стоит «высокий» уровень безопасности, установят этот патч, то у них полностью пропадёт возможность соединения с интернетом. Пока проблема не решена, Check Point рекомендует пользователям удалить этот патч из системы, скачать новую версию файрвола или снизить уровень безопасности в файрволе до «среднего».