Check Point API + Splunk. Автоматизация защиты от сетевых атак

Здравствуйте коллеги, сегодня мы расскажем и продемонстрируем подходы и механизмы автоматизации системы защиты от сетевых атак на основе Check Point и Splunk.

Постоянный рост количества сетевых атак и их сложность, повышают требования к системам безопасности. Организации должны быстро адаптироваться к текущим условиям и эффективно защищать себя от современных атак. Требования к эффективности и производительности систем защиты так же повышаются. С выходом новой версии Gaia R80 была анонсирована возможность использования REST API, что открывает широкие возможности по автоматизации настроек, администрированию, мониторингу и т.д.

Check Point API

В R80.10 создан интерфейс командной строки и REST API, которые предоставляют новые способы управления Management сервером Check Point через сервер автоматизации.Для админов, обладающих опытом, новые API-интерфейсы предлагают более высокую производительность и удобство повседневного управления.

Сервер автоматизации взаимодействует с сервером управления (CPM) таким же образом, как это делает SmartConsole.

Такая архитектура обеспечивает:

1. Ошибки проверки и предупреждения, которые демонстрирует SmartConsole, также будут представлены при использовании API.
2. Журналы аудита, созданные при использовании SmartConsole, также будут генерироваться при использовании сеанса автоматизации.
3. Тот же профиль разрешений для пользователя при использовании SmartConsole, также будет применяться при использовании сеанса автоматизации.

Когда вы вызываете API вход в систему с помощью REST API или командной строки, создается новый сеанс, допускается несколько активных сеансов для одного и того же администратора, так как для каждого сеанса выдается индивидуальный токен. Когда скрипт публикует изменения, то публикуются только свои изменения, а не изменения, вызванные другими сценариями, которые запускаются одновременно.

При управлении Management server через API необходимо придерживаться такого плана:
сначала нужно залогиниться на сервер, внести изменения, опубликовать эти изменения, установить политику и закончить сеанс.

Используя Check Point API можно управлять:

• Сессиями пользователей на SmartConsole;
• Объектами, access list;
• Сервисами и приложениями (их категоризация);
• Политиками Access control&NAT, Threat Prevention;
• Включанием/отключением блейдов;
• Настройками сетевых интерфейсов;
• Поиском объектов;
• Запуском команд на GAIA;
• И многое другое.

С помощью API можно автоматизировать рабочие процессы и обеспечить согласованную работу систем безопасности с ИТ-процессами и системами.

Более подробно о возможностях Check Point API вы можете ознакомиться в нашей статье ^[1].

Check Point API + Splunk

В нашей организации разработана интеграция Check Point cо Splunk.

В Check Point существует функционал IPS (Intrusion Prevention System – система предотвращения вторжений). Использую различные механизмы и технологии, IPS модуль анализирует трафик, определяет и блокирует сетевые атаки и потенциальные уязвимости. Все сигнатуры имеют различный уровень критичности (critical, high, medium, low).В соответствии с политикой безопасности Threat Prevention модуль IPS может детектировать и блокировать атаки и аномалии в сети.

Данный функционал требователен к вычислительным ресурсам, и в случае реальных сетевых атак, когда с нескольких адресов идет мощная атака сети, устройство может сильно нагрузиться, выдавая просадку в работе легитимных сервисов.

Также во многих организациях мы можем видеть большое количество правил с реакций DETECT, то есть система только регистрирует факт успешной атаки, ожидая реакции человека. Часто такой метод приводит к убыткам и потерям. В свою очередь в такой ситуации, атакующий может узнать потенциально важную информацию для последующей зловредной деятельности. Мы ведь не блокируем атаку, а только пишем в лог событие ее существования. Крайне важно избегать такой ситуации.

В момент серьезной атаки, необходимо автоматически блокировать на уровне firewall ip адреса источников атаки, и вносить изменения в политику IPS, то есть сменить реакцию системы на сигнатуру с DETECT в PREVENT для блокировки попыток с других IP.

В нашей организации была разработана система, блокирующая ip адреса атакующих и повторные попытки атаки по конкретной сигнатуре на основе логов IPS, которые приходят на Splunk.

Система состоит из трех основных компонент:

1. Межсетевой экран Сheck Point GAIA R80 или выше.
2. Splunk.
3. API и скрипт, позволяющий вносить изменения в политику безопасности.

Для предварительной подготовки к работе системы необходимо сделать три шага:

1. Настроить отправку логов с СР в Splunk.
2. Создать в CP объекты Network Groups: BlackList, WhiteList, GreyList.
3. Создать firewall правило для Drop BlackList.

Группа Blacklist создана для блокирования IP адресов на уровне firewall, в WhiteList мы добавляем ip адреса которые не нужно блокировать, в GreyList при срабатывании сигнатуры добавляются те ip адреса, которые уже заведены в базе данных на шлюзе безопасности, но не принадлежат ни одной из групп, то есть это буферная группа, и создана для того чтобы администратор сам выбрал действие для хостов: добавил в BlackList или WhiteList.

Схема работы системы:

1. Gateway обнаруживает атаку и отправляет лог IPS сигнатуры в Splunk.
2. Splunk обрабатывает логи IPS, определяет адрес атакующего, сигнатуру, время и подает результат как входные параметры.
3. Далее система проверяет наличие адреса в WhiteList или GreyList .
4. Если по предыдущему пункту совпадений нет, то адрес помещается в BlackList и в последующем блокируется на уровне firewall, без входа в поле Threat Prevention, в результате чего снижен риск успешного выполнения атаки, а также мы сохраняем производительность устройства. Ресурсы IPS на эту и подобные атаки уже не тратятся. Также сигнатура по которой идет атака ставится из Detect в Prevent для последующей блокировке событий по данной сигнатуре

За три месяца работы данной системы было обнаружено более 500 атак, в следствии чего, было заблокировано более 300 ip адресов злоумышленников. Более подробно вы можете изучить результаты на диаграммах:

Также были выявлены и поставлены в Prevent сигнатуры IPS, по которым проходило наибольшее срабатывание:

Как видим, наибольшее количество атак составляют:

1. Поиски уязвимостей и инъекций на сервере.
2. DDos.
3. Поиск бэкдоров.
4. Попытки удаленного выполнения кода.
5. Попытки использования уязвимостей для продуктов каких-либо конкретных компаний(DLink).

Время добавления ip адреса злоумышленника в базу данных Check Point и его блокирование на уровне firewall составляет около 4-6 минут от времени атаки. Быстродействие данной системы зависит от того как вы настроите в Splunk частоту передачи логов, и от времени инсталлирования политики на шлюзе безопасности. Splunk вы можете использовать не только для реализации данной системы, но и для анализа логов в более удобном виде, чем это сделано в блэйде SmartEvent, подстроив систему под свои задачи. Более детально вы можете прочитать в статье ^[2], посвященной интеграции Splunk и Checkpoint.

Что касается настройки скрипта, то все можно настроить под ваши конкретные требования, например, блокировка ip адресов на время, или же управление другими блэйдами, все зависит от ваших задач.

Практика

В представленном видео материале содержится теоретическая и практическая часть. Первая половина видео дублирует описанную теоретическую часть, а в практическом примере показан алгоритм работы данной системы, проведен пример атаки демосети, и показано отображение работы системы в Check Point и Splunk.

Заключение

Система успешно работает, а именно повышает качество защищенности инфраструктуры и более оптимально распределяет ресурсы межсетевого экрана. Все это выполняется путем автоматизации процессов, а именно интеграции Check Point и Splunk.

Если не хотите пропустить будущие уроки, то подписывайтесь в нашу группу VK ^[3], Youtube ^[4] и Telegram ^[5]. Если же вы по какой-либо причине не смогли найти нужный документ или решить свою проблему с Check Point, то можете смело обращаться к нам ^[6].

Автор: GlebRyaskin

Источник ^[7]