Tufin: 12 найкращих практик перевірки корпоративного брандмауера
Перевірка брандмауера оцінює та оцінює можливості мережевої безпеки вашої компанії відповідно до бізнес-потреб вашої організації та стійкості до ризику для зменшення ризику кібератак.
Сучасні цифрово-трансформовані підприємства часто об’єднують кількох постачальників брандмауерів із різними умовами іменування, що ускладнює підтримку узгодженого стану кібербезпеки. З огляду на щороку нові вимоги щодо захисту даних, вам слід включити перевірку брандмауера до ваших ініціатив моніторингу безпеки мережі.
1. Визначте цілі та обсяг плану аудиту
Кожен аудит починається з визначення мети та завдань. Наприклад, ви можете брати участь у аудиті з таких причин:
- Відповідність документам: відповідність стандартам безпеки та галузевим стандартам, таким як PCI DSS, HIPAA, NIST, ECB, GDPR, SOX або NERC CIP
- Зменшення поверхні атаки: вивести з експлуатації невикористані, затінені або застарілі правила
- Оптимізувати продуктивність: покращити швидкість мережі, спростивши правила або видаливши непотрібні правила
2. Розуміння топології мережі
Ключовим контролем безпеки інформації є створення демілітаризованих зон (DMZ) або зон безпеки, які зменшують ймовірність того, що кібератаки вплинуть на кілька підмереж. Однак ці DMZ ускладнюють встановлення базової лінії для перегляду брандмауера. Розуміння топології мережі передбачає перевірку брандмауера:
- Розташування
- Підключення
- Ролі
- Виробники
3. Зберіть аудиторську документацію
Щоб спростити перевірку брандмауера, зацікавленим сторонам з управління кібербезпекою має бути доступна така інформація:
- Політики безпеки: засоби внутрішнього контролю з детальним описом найкращих практик
- Журнали брандмауера: технічна документація з протоколами, IP-адресами та підмережами
- Оцінка ризиків: ідентифікація ризиків, перевірка та заходи з усунення
- Набори правил: конфігурації брандмауера
- Аудиторські звіти: документи, що ідентифікують попередні результати або висновки аудиту
4. Оцініть розташування та порядок правил брандмауера
Правила брандмауера мають бути організовані логічно, від найвищого пріоритету вгорі до найнижчого внизу. Найкращі практики щодо порядку правил брандмауера – це зазвичай набори правил:
- Дозволити певний трафік
- Блокувати за умовчанням
Набори правил, які дозволяють трафік, мають бути точними, включаючи:
- IP-адреса джерела
- IP-адреса призначення
- Порт призначення
- Протокол, наприклад TCP, ICMP або UDP
5. Оцініть невикористані об’єкти за правилом брандмауера
Невикористані об’єкти – це мережі, підмережі, служби, програми, групи користувачів або з’єднання, не вказані в наборі правил або як частина групи. Невикористані об’єкти створюють вразливості системи безпеки, якими можуть скористатися зловмисники.
6. Аналіз списків контролю доступу (ACL)
ACL контролюють трафік, дозволений для входу у внутрішню мережу загальнодоступного Інтернету. Надмірно дозвільні правила можуть створювати ризики безпеки.
Найкращі практики перевірки правил брандмауера включають:
- Максимальне обмеження вихідного та цільового трафіку
- Явне визначення IP-адреси або груп призначення замість використання будь-якого
- Не дозволяти трафік з «будь-якого» джерела до «будь-якого» пункту призначення
- Не дозволяти весь трафік до пункту призначення або групи пунктів призначення
- Обмеження кількості відкритих тільки глобально портів, які визначають джерело як «будь-який»
7. Перегляньте ролі та права доступу
Щоб підтримувати мінімальний привілейований доступ, вам слід періодично переглядати елементи керування доступом до мережі для користувачів, особливо для привілейованих користувачів, як-от адміністраторів. Під час перевірки брандмауера деякі найкращі методи сертифікації доступу користувачів включають перевірку того, чи:
- Ролі користувачів і дозволи залишаються узгодженими між постачальниками брандмауерів
- Політики залишаються послідовними при зміні IP-адреси користувача та мережевого активу
- Доступ користувача було припинено належним чином
- Усі доступи користувачів до критично важливих ресурсів мережі виправдані
- Лише поточні адміністратори мають доступ до консолі брандмауера
8. Перегляньте процедури управління змінами
Ви повинні мати структуровані процедури для керування, затвердження та відстеження змін конфігурації брандмауера. Перегляд процедур управління змінами має гарантувати, що ви задокументуєте щонайменше таке:
- Ризики, пов’язані зі змінами політики
- Вплив змін політики на мережу
- Стратегія відновлення та пом’якшення
- Причини та цілі зміни наборів правил
- Журнал аудиту з детальною інформацією про те, хто, чому та коли вніс будь-які зміни
9. Обладнання та операційна система Harden Firewall
Зловмисники можуть використовувати вразливі місця в мікропрограмі чи операційній системі брандмауера, щоб отримати несанкціонований доступ до мереж і систем. Частина перевірки брандмауера повинна включати:
- Регулярне сканування на наявність вразливостей
- Пріоритезація виправлення вразливостей із високим ризиком
- Переконайтеся, що всі оновлення застосовуються відповідно до вашої організаційної політики керування вразливими місцями
10. Перегляньте журнали брандмауера
Брандмауер реєструє дії, що відбуваються в середовищі, щоб допомогти контролювати мережеву безпеку та вразливості. Оскільки журнали брандмауера можуть бути величезними, організації повинні забезпечити збір потрібної кількості даних для досягнення цілей. Деякі події, які журнали брандмауера повинні відстежувати, включають:
- Дозволені, заблоковані або розірвані підключення
- Діяльність систем виявлення вторгнень (IDS)/систем запобігання вторгненням (IPS)
- Активність користувача
- Використання протоколу
- Наскрізна проксі-активність
Переконавшись, що ведення журналу налаштовано належним чином, ви можете переглянути журнали, щоб визначити тенденції безпеки та відповідності брандмауеру, зокрема:
- Аномальні моделі трафіку, що вказують на потенційний інцидент безпеки
- Аналіз вхідного та вихідного трафіку для ефективності та ефективності правил
- Оновлення списків блокування та дозволених списків, які можуть покращити безпеку мережі
11. Перегляньте документацію з оцінки ризиків
Перед і після внесення необхідних змін у політику безпеки та правила брандмауера ви повинні задокументувати їхній аналіз ризиків. Перш ніж вносити зміни в процес управління змінами, ознайомтеся з найкращими методами оцінки ризиків, такими як:
- Вплив на відповідність політиці безпеки
- Уразливості джерела та призначення під час зміни елементів керування доступом
- Ризики безперервності бізнесу
- Аналіз шляху «Що, якщо» для варіантів шляху, які можуть вплинути на ризик
- Вплив на атакуючу поверхню та експозицію
- Узгодженість із процесами управління змінами
12. Усуньте проблеми та протестуйте нові правила брандмауера
Якщо під час аудиту виявлено проблеми, останнім кроком є їх усунення та тестування нових конфігурацій правил брандмауера. Тестування змін перед їх впровадженням у мережі зменшує вплив на роботу, який може спричинити порушення роботи.
Автоматизоване документування з Tufin
Tufin надає уніфіковану платформу, яка оптимізує керування брандмауером і аудит за допомогою єдиних політик безпеки (USP), що не залежать від постачальника, які забезпечують узгодженість між гібридними та багатохмарними мережевими архітектурами.
Завдяки повній видимості за допомогою карт топології мережі Tufin і автоматизації робочого процесу оцінки ризиків ви можете досягти безперервного моніторингу відповідності за допомогою детальних звітів, щоб скоротити час підготовки до аудиту.
Tufin Orchestration Suit – унікальне рішення для українського IT-ринку в портфелі компанії NWU
Tufin Orchestration Suit – по справжньому передове та унікальне рішення від світового лідера кібербезпеки на вітчизняному IT-ринку, представлене в портфелі компанії NWU, що є офіційним дистриб’ютором Tufin на території України. Завдяки чому у вас є можливість купити Tufin в Україні. Tufin Orchestration Suit є бажаним рішенням для SOC-команди будь-якої компанії України.
Купити Tufin або для більш детальної інформації та консультації щодо нового функціоналу Tufin TOS R24-1 звертайтесь на