La integración de Flowmon ADS (Anomaly Detection System) con un firewall de Check Point es posible a través de una API, lo que permite que tan pronto como Flowmon ADS detecta una amenaza, se advierte al firewall.
Simulación de defensa automatizada contra ataques
Para que este proceso funcione sin problemas, el script debe estar configurado correctamente.
Por lo tanto, se requieren los parámetros de entrada de script correctos para que la conexión sea exitosa. Esto garantiza la detección y respuesta automatizadas de amenazas donde los atacantes no pueden acceder a los recursos de la red y causar más daños.
La función Perspectivas se utiliza para definir las condiciones en las que ADS debe activar un script. Las perspectivas están diseñadas para priorizar los eventos detectados y controlar las acciones posteriores, como las notificaciones de usuario, la captura de paquetes activados o la respuesta activa.
Topología de la red
Simulemos un caso en la red 192.168.47.0/24 donde un atacante realiza un escaneo vertical contra la víctima. La puerta de enlace predeterminada del atacante se cambia para llegar primero al cortafuegos de Check Point.
Reconocimiento de ataques y bloqueo automatizado
Se produjo un escaneo dirigido a un host con la dirección IP 192.168.47.80 en la red. El atacante con la dirección IP 192.168.47.77 está utilizando la utilidad Nmap para enviar múltiples paquetes TCP SYN.
Como toda la comunicación de la red se refleja en un dispositivo Flowmon, Flowmon ADS detecta la actividad maliciosa utilizando el enfoque de patrones de comportamiento. Se informan dos eventos de método, a saber, SCANS y DIVCOM.
Ambos métodos se clasifican en el marco MITRE ATT&CK y se informan en la descripción del evento como Tácticas de descubrimiento y reconocimiento, Escaneo de servicios de red, Descubrimiento de redes compartidas, Descubrimiento de sistemas remotos y Técnicas de escaneo activo.
Tan pronto como se activa el evento ADS, Flowmon ejecuta el script, que coloca la dirección IP de origen en cuarentena de firewall. El bloqueo se implementó utilizando reglas de monitoreo de actividad sospechosa y se muestra en el monitor SmartView de Check Point.
Dado que se cambió la puerta de enlace predeterminada del atacante, la dirección IP 192.168.47.77 ya no puede comunicarse con ningún recurso de red, incluida la dirección IP de la víctima. Recuerde que en un escenario del mundo real, el tráfico dentro del segmento L2 que no pasa por el firewall no se bloquea.
La dirección IP aislada se pone en cuarentena para evitar que llegue a otros segmentos de la red o Internet y no pueda realizar ninguna otra actividad maliciosa. Check Point Smart Console reconoce el intento de ping subsiguiente en los registros.
Seguridad de redes y endpoints
La integración de Flowmon y Check Point forma un sistema automatizado de detección y respuesta a incidentes que ayuda a proteger sus activos de amenazas externas e internas.
Ambos tipos de soluciones de seguridad trabajando juntos permiten a los administradores de TI poner en cuarentena al atacante durante un período de tiempo totalmente configurable, dándoles tiempo suficiente para investigar más a fondo el incidente. Si está interesado en las soluciones o si tiene alguna pregunta, complete el siguiente formulario para hablar con nuestros expertos.
Fuente: Flowmon
Entre en contacto con International IT para saber más detalles o realizar un trial de la solución Flowmon en su entorno.
Descubra nuestras soluciones avanzadas, robustas y seguras NOC & SOC, Zero Trust, Next-Gen Firewalls, LGPD, Hardware, Monitoreo de Red, Transferencia de Archivos Gerenciados, Consultoria de TIC, Entrenamentos, Soporte de Aplicaciones, Outsourcing, Licencias Generales e Help Desk.
