Check Point API + Splunk. Автоматизация защиты от сетевых атак
Здравствуйте коллеги, сегодня мы расскажем и продемонстрируем подходы и механизмы автоматизации системы защиты от сетевых атак на основе Check Point и Splunk.
Постоянный рост количества сетевых атак и их сложность, повышают требования к системам безопасности. Организации должны быстро адаптироваться к текущим условиям и эффективно защищать себя от современных атак. Требования к эффективности и производительности систем защиты так же повышаются. С выходом новой версии Gaia R80 была анонсирована возможность использования REST API, что открывает широкие возможности по автоматизации настроек, администрированию, мониторингу и т.д.
Check Point API
В R80.10 создан интерфейс командной строки и REST API, которые предоставляют новые способы управления Management сервером Check Point через сервер автоматизации.Для админов, обладающих опытом, новые API-интерфейсы предлагают более высокую производительность и удобство повседневного управления.
Сервер автоматизации взаимодействует с сервером управления (CPM) таким же образом, как это делает SmartConsole.
Такая архитектура обеспечивает:
- Ошибки проверки и предупреждения, которые демонстрирует SmartConsole, также будут представлены при использовании API.
- Журналы аудита, созданные при использовании SmartConsole, также будут генерироваться при использовании сеанса автоматизации.
- Тот же профиль разрешений для пользователя при использовании SmartConsole, также будет применяться при использовании сеанса автоматизации.
Когда вы вызываете API вход в систему с помощью REST API или командной строки, создается новый сеанс, допускается несколько активных сеансов для одного и того же администратора, так как для каждого сеанса выдается индивидуальный токен. Когда скрипт публикует изменения, то публикуются только свои изменения, а не изменения, вызванные другими сценариями, которые запускаются одновременно.
При управлении Management server через API необходимо придерживаться такого плана:
сначала нужно залогиниться на сервер, внести изменения, опубликовать эти изменения, установить политику и закончить сеанс.
Используя Check Point API можно управлять:
- Сессиями пользователей на SmartConsole;
- Объектами, access list;
- Сервисами и приложениями (их категоризация);
- Политиками Access control&NAT, Threat Prevention;
- Включанием/отключением блейдов;
- Настройками сетевых интерфейсов;
- Поиском объектов;
- Запуском команд на GAIA;
- И многое другое.
С помощью API можно автоматизировать рабочие процессы и обеспечить согласованную работу систем безопасности с ИТ-процессами и системами.
Более подробно о возможностях Check Point API вы можете ознакомиться в нашей статье.
Check Point API + Splunk
В нашей организации разработана интеграция Check Point cо Splunk.
В Check Point существует функционал IPS (Intrusion Prevention System — система предотвращения вторжений). Использую различные механизмы и технологии, IPS модуль анализирует трафик, определяет и блокирует сетевые атаки и потенциальные уязвимости. Все сигнатуры имеют различный уровень критичности (critical, high, medium, low).В соответствии с политикой безопасности Threat Prevention модуль IPS может детектировать и блокировать атаки и аномалии в сети.
Данный функционал требователен к вычислительным ресурсам, и в случае реальных сетевых атак, когда с нескольких адресов идет мощная атака сети, устройство может сильно нагрузиться, выдавая просадку в работе легитимных сервисов.
Также во многих организациях мы можем видеть большое количество правил с реакций DETECT, то есть система только регистрирует факт успешной атаки, ожидая реакции человека. Часто такой метод приводит к убыткам и потерям. В свою очередь в такой ситуации, атакующий может узнать потенциально важную информацию для последующей зловредной деятельности. Мы ведь не блокируем атаку, а только пишем в лог событие ее существования. Крайне важно избегать такой ситуации.
В момент серьезной атаки, необходимо автоматически блокировать на уровне firewall ip адреса источников атаки, и вносить изменения в политику IPS, то есть сменить реакцию системы на сигнатуру с DETECT в PREVENT для блокировки попыток с других IP.
В нашей организации была разработана система, блокирующая ip адреса атакующих и повторные попытки атаки по конкретной сигнатуре на основе логов IPS, которые приходят на Splunk.
Система состоит из трех основных компонент:
- Межсетевой экран Сheck Point GAIA R80 или выше.
- Splunk.
- API и скрипт, позволяющий вносить изменения в политику безопасности.
Для предварительной подготовки к работе системы необходимо сделать три шага:
- Настроить отправку логов с СР в Splunk.
- Создать в CP объекты Network Groups: BlackList, WhiteList, GreyList.
- Создать firewall правило для Drop BlackList.
Группа Blacklist создана для блокирования IP адресов на уровне firewall, в WhiteList мы добавляем ip адреса которые не нужно блокировать, в GreyList при срабатывании сигнатуры добавляются те ip адреса, которые уже заведены в базе данных на шлюзе безопасности, но не принадлежат ни одной из групп, то есть это буферная группа, и создана для того чтобы администратор сам выбрал действие для хостов: добавил в BlackList или WhiteList.
Схема работы системы:
- Gateway обнаруживает атаку и отправляет лог IPS сигнатуры в Splunk.
- Splunk обрабатывает логи IPS, определяет адрес атакующего, сигнатуру, время и подает результат как входные параметры.
- Далее система проверяет наличие адреса в WhiteList или GreyList .
- Если по предыдущему пункту совпадений нет, то адрес помещается в BlackList и в последующем блокируется на уровне firewall, без входа в поле Threat Prevention, в результате чего снижен риск успешного выполнения атаки, а также мы сохраняем производительность устройства. Ресурсы IPS на эту и подобные атаки уже не тратятся. Также сигнатура по которой идет атака ставится из Detect в Prevent для последующей блокировке событий по данной сигнатуре
За три месяца работы данной системы было обнаружено более 500 атак, в следствии чего, было заблокировано более 300 ip адресов злоумышленников. Более подробно вы можете изучить результаты на диаграммах:
Также были выявлены и поставлены в Prevent сигнатуры IPS, по которым проходило наибольшее срабатывание:
Как видим, наибольшее количество атак составляют:
- Поиски уязвимостей и инъекций на сервере.
- DDos.
- Поиск бэкдоров.
- Попытки удаленного выполнения кода.
- Попытки использования уязвимостей для продуктов каких-либо конкретных компаний (DLink).
Время добавления ip адреса злоумышленника в базу данных Check Point и его блокирование на уровне firewall составляет около 4–6 минут от времени атаки. Быстродействие данной системы зависит от того как вы настроите в Splunk частоту передачи логов, и от времени инсталлирования политики на шлюзе безопасности. Splunk вы можете использовать не только для реализации данной системы, но и для анализа логов в более удобном виде, чем это сделано в блэйде SmartEvent, подстроив систему под свои задачи. Более детально вы можете прочитать в статье, посвященной интеграции Splunk и Checkpoint.
Что касается настройки скрипта, то все можно настроить под ваши конкретные требования, например, блокировка ip адресов на время, или же управление другими блэйдами, все зависит от ваших задач.
Практика
В представленном видео материале содержится теоретическая и практическая часть. Первая половина видео дублирует описанную теоретическую часть, а в практическом примере показан алгоритм работы данной системы, проведен пример атаки демосети, и показано отображение работы системы в Check Point и Splunk.
Заключение
Система успешно работает, а именно повышает качество защищенности инфраструктуры и более оптимально распределяет ресурсы межсетевого экрана. Все это выполняется путем автоматизации процессов, а именно интеграции Check Point и Splunk.
Если не хотите пропустить будущие уроки, то подписывайтесь в нашу группу VK, Youtube и Telegram. Если же вы по какой-либо причине не смогли найти нужный документ или решить свою проблему с Check Point, то можете смело обращаться к нам.