כך תשפרו את אבטחת המידע בארגון עם כלי ה-BPA של פאלו אלטו
כתב: שי וורנר, מהנדס מכירות פאלו אלטו באינוקום.
פאלו אלטו (או, בשמה המלא, פאלו אלטו נטוורקס) היא חברה שחרטה על דגלה לשפר את רמת אבטחת המידע בארגונים, תוך שינוי חומת האש הוותיקה לזו של הדור הבא – Next Generation Firewall. מעט יותר מעשור מאז הופץ המוצר הראשון, חומת האש של פאלו אלטו מבצעת אכיפה של תעבורת רשת ברמה אפליקטיבית טהורה, סינון אתרים על פי קטגוריות, כולל אתרי Malware/C&C, סינון קבצים לפי סוג וסריקת קבצים ב-Sandbox מתקדם, פתיחת תעבורת SSL לצורך סריקה ועוד.
ניהול כל המנגנונים הללו מתבצע על ידי חוקה אחודה, הכוללת את מרכיבי התעבורה (כתובות IP, שמות משתמשים, שמות אפליקציות וכדומה) ופרופילי סריקה שאותם יש לבצע עבור כל חוק וחוק. פרופילי הסריקה מגדירים לחומת האש מה יש לסרוק בתעבורה, כגון אנטי וירוס, אנטי רוגלות, Wildfire וסינון כתובות URL.
במקרים רבים, החוקה הקיימת בחומות האש אינה עומדת בהמלצות פאלו אלטו, וישנן סיבות רבות לכך. לדוגמה, האם המשפט הבא נשמע מוכר: "ירשתי את חומת האש מקודמי בתפקיד, אין לי מושג מה עושים כל החוקים ואני מפחד לגעת?".
פאלו אלטו נטוורקס הקימה אתר בשם Customer Success, כאשר אחד ממרכיביו הוא ה-BPA (ר"ת Best Practices Assessment), שעליו אפרט כאן.
מטרתו של כלי ה-BPA הוא לתת למשתמש תמונת מצב של הגדרות חומת האש תוך בדיקה אילו חוקים עומדים בהמלצות פאלו ואילו לא. ראשית, נקבל מסך Heatmap, שמציג לנו אזורים שונים ומה אחוזי העמידה מול המלצות פאלו אלטו.
במסך ה-Heatmap אנחנו מקבלים את המידע עד כמה החוקים עבור כל אד מה-Zones המוגדרים במכונה עומדים בהמלצות היצרן, כאשר השאיפה היא שכל החוקים יכילו פרופילי סריקה – וזה יהיה מצב של 100%.
ניתן לראות בתמונה שבין ה-LAN לדטה סנטר, מעל 70% מהחוקים מוגדרים לפי ההמלצות לפרופילים השונים – Wildlife, אנטי רוגלות, אנטי וירוס ו-.V.P, בעוד שרק 0.9% מהחוקים מוגדרים עם אפליקציות (App ID Adoption) במקום פורטים. לכן, אזור זה מודגש וצבוע באדום.
לעומת זאת, כל החוקים בין GlobalProtect ו-LAN לאינטרנט (Untrust) עומדים ב-100% מהמלצות היצרן.
לאחר שנראה את תמונת המצב, ניכנס למסך ה-BPA ושם נוכל לראות את כל ההגדרות השונות של חומת האש ובאילו מהן יש לערוך שינויים כדי לעמוד בהמלצות פאלו אלטו. לדוגמה, אנחנו רואים שבהגדרות הכי טריוויאליות, כגון LDAP, מומלץ לנו להפעיל הצפנה:
בפרופיל URL-Filtering מומלץ לחסום את הקטגוריה Copyright-infringement:
ועד לרשימת כל החוקים ואילו הגדרות תקינות או לא, לדוגמה חוקים המאפשרים שימוש בכל האפליקציות או בכל 65 אלף הפורטים (Service != any):
לסיכום, BPA הינו כלי בעל ערך רב לכל מי שיש לו חומת אש של פאלו אלטו ומעוניין לקבל תמונת מצב עדכנית לעמידה בהמלצות החברה למדיניות אבטחת מידע המומלצת. בשימוש חוזר בכלי זה ניתן יהיה להשוות את ה-Heatmap להרצות הקודמות, כדי לראות את התקדמות ביצוע השינויים המומלצים.
כל אחת ואחת מההמלצות הן בגדר פרצת אבטחת מידע, ורק על ידי סגירת פרצות אלה נוכל להגן על הארגון מזליגת מידע חסוי, כניסת נוזקות וכדומה.
המוצר הוא חינמי, וניתן להרצה ולבדיקה בכל פרק זמן שהלקוח רוצה. הרצת הבדיקה מוודאת שהפיירוול מוגדר כפי שצריך ומבטיח רמת הגנה גבוהה לארגון. כאמור, המוצר הוא חינמי, אבל עבודת שירותי המומחה תתבצע על ידי האינטגרטור או הלקוח.