A integração do Flowmon ADS (Anomaly Detection System) com um firewall Check Point é possível através de uma API, permitindo que assim que o Flowmon ADS detectar uma ameaça o firewall seja avisado.
Simulação da defesa automatizada contra ataques
Para que esse processo ocorra sem problemas, é necessário que o script seja configurado adequadamente.
Portanto, os parâmetros de entrada corretos do script são necessários para que a conexão seja bem-sucedida. Isso garante detecção e resposta automatizadas a ameaças onde os invasores são impedidos de acessar os recursos da rede e causar ainda mais danos.
O recurso Perspectives é utilizado para definir as condições de quando o ADS deve acionar um script. As perspectivas são projetadas para priorizar eventos detectados e controlar ações subsequentes, como notificações de usuários, captura de pacotes acionados ou resposta ativa.
Topologia de rede
Vamos simular um caso na rede 192.168.47.0/24 onde um invasor realiza uma varredura vertical contra a vítima. O gateway padrão do invasor é alterado para alcançar primeiro o firewall Check Point.
Reconhecimento de ataques e bloqueio automatizado
Ocorreu uma varredura visando um host com o endereço IP 192.168.47.80 na rede. O invasor com o endereço IP 192.168.47.77 está usando o utilitário Nmap para enviar vários pacotes TCP SYN.
Como toda a comunicação de rede é espelhada em um dispositivo Flowmon, a atividade maliciosa é detectada pelo Flowmon ADS usando a abordagem de padrões de comportamento. Dois eventos de método são relatados, ou seja, SCANS e DIVCOM.
Ambos os métodos são classificados sob a estrutura MITRE ATT&CK e relatados na descrição do evento como Discovery and Reconnaissance Tactics, Network Service Scanning, Network Share Discovery, Remote System Discovery e Active Scanning Techniques.
Assim que o evento ADS é acionado, o Flowmon executa o script, que coloca o endereço IP de origem na quarentena do firewall. O bloqueio foi implementado usando as regras de monitoramento de atividade suspeita e é exibido no Monitor SmartView da Check Point.
Como o gateway padrão do invasor foi alterado, o endereço IP 192.168.47.77 não pode mais se comunicar com nenhum recurso de rede, incluindo o endereço IP da vítima. Lembre-se de que, em um cenário do mundo real, o tráfego dentro do segmento L2 que não passa pelo firewall não é bloqueado.
O endereço IP isolado é colocado em quarentena para evitar que ele alcance outros segmentos de rede ou a Internet e não possa realizar nenhuma outra atividade maliciosa. O Check Point Smart Console reconhece a tentativa de ping subsequente nos logs.
VEJA TAMBÉM: Conheça o Next Generation Firewall da Check Point
Segurança de rede e endpoints
A integração do Flowmon e Check Point forma um sistema automatizado de detecção e resposta a incidentes que ajuda a proteger seus recursos contra ameaças externas e internas.
Ambos os tipos de soluções de segurança trabalhando juntos permitem que os administradores de TI mantenham o invasor em quarentena por um período de tempo totalmente configurável, dando-lhes tempo suficiente para investigar o incidente mais detalhadamente. Caso tenha interesse nas soluções ou se você tiver alguma dúvida, preencha o formulário abaixo para falar com nossos especialistas.
Fonte: Flowmon
Entre em contato com a International IT para saber mais detalhes ou realizar um trial da solução Flowmon em seu ambiente.
Conheça nossas soluções avançadas, robustas e seguras de NOC & SOC, Zero Trust, Next-Gen Firewalls, LGPD, Hardware, Monitoramento de Rede, Transferência de Arquivos Gerenciada, Consultoria de TIC, Treinamentos, Sustentação de Aplicações, Outsourcing, Licenciamento Geral e Help Desk.
Commentaires