Аудит брандмауэра — это процедура проверки и изменения конфигурации брандмауэров по мере необходимости, чтобы они по-прежнему соответствовали целям безопасности вашей организации. Со временем потребности бизнес-сети, модели трафика и доступ к приложениям меняются. Аудит вашего брандмауэра — один из наиболее важных шагов, позволяющих убедиться, что он по-прежнему готов защитить периметр сети вашего бизнеса. Ваша компания может либо провести аудит самостоятельно, либо нанять для его проведения поставщика, специализирующегося на брандмауэрах.
Как работает аудит брандмауэра?
Аудит брандмауэра — это тщательная процедура , которая требует от ваших ИТ-специалистов и специалистов по безопасности внимательного изучения документации брандмауэра и процессов управления изменениями. Аудиты поднимают вопросы о функциональности брандмауэра, а также вынуждают команды уточнять, кто отвечает за правила брандмауэра. Они закладывают основу для постоянных обновлений и улучшений сетевой безопасности.
Чтобы успешно провести аудит, сначала определите цели аудита и соберите данные, необходимые вашей команде. Затем проверьте правила брандмауэра и определите, подходят ли они для вашей инфраструктуры безопасности и общей сетевой безопасности . Ваши команды также должны знать, кто несет ответственность за запрос и соблюдение каждого правила. Хороший аудит брандмауэра должен заканчиваться четко запланированным аудитом в будущем, а также процессами тестирования, чтобы вы знали, действительно ли брандмауэр работает.
11 шагов для проведения аудита брандмауэра
Ваши специалисты по безопасности, ИТ или сети могут использовать следующие шаги в качестве рекомендаций для завершения аудита или для поиска поставщика, который выполнит аудит для вас.
1. Знайте свой план и цели аудита
Сядьте со своими ИТ-специалистами, службами безопасности или сетевыми отделами и спросите: « Чего именно мы пытаемся достичь с помощью этого аудита ?» Затем составьте список и сделайте его кратким. Возможно, вы пытаетесь отсеять ненужные правила или руководители вашего бизнеса хотят точно знать, что фильтрует брандмауэр. Аудит часто преследует несколько целей, поэтому, скорее всего, это будет комбинация элементов.
Создайте упорядоченные шаги, которые необходимо выполнить во время аудита — они могут быть похожи на наш список здесь. Убедитесь, что каждый член команды знает свою работу и время ее выполнения. Сюда входит настройка учетных данных и средств управления доступом на основе ролей для соответствующих сотрудников, чтобы они могли просматривать и настраивать нужную технологию.
Ваша команда может захотеть использовать специальное программное обеспечение для отслеживания списка целей и шагов, или вы можете просто использовать документ Google или Word и поделиться им с соответствующими заинтересованными сторонами. Что бы вы ни выбрали, убедитесь, что к нему легко получить доступ и его легко понять.
2. Соберите все необходимые данные
Прежде чем приступить к фактическому аудиту, соберите всю необходимую информацию. Данные предварительного аудита должны включать:
- Журналы. Журналы брандмауэра содержат данные о протоколах и IP-адресах и полезны для просмотра того, что на самом деле происходит в сети.
- Список правил: держите перед собой все правила брандмауэра, чтобы вы могли решить, какие из них все еще полезны, а какие уже нет.
- Обязанности каждого: выяснить, кто доступен во время аудита (например, узнать, будет ли руководитель ИТ-отдела находиться на отработке в течение потенциального периода аудита).
Организовав эту информацию заранее, вы с меньшей вероятностью столкнетесь с трудностями в середине аудита, поскольку вам не хватает данных или рекомендаций для членов команды. Общая папка — хорошее место для хранения нескольких источников данных.
3. Определить процедуры управления изменениями
Возможно, у вашей команды уже есть процесс или решение по управлению изменениями, но убедитесь, что он четко определен и задокументирован. Кроме того, убедитесь, что владельцы этого процесса поделились какой-либо соответствующей документацией с новыми членами команды, и убедитесь, что все знают, как отправить запрос на изменение или получить доступ к документации.
Также подумайте, будет ли полезен вашей команде программный инструмент для управления изменениями . Как малые, так и крупные предприятия получают выгоду от организации изменений в брандмауэре, и эти изменения не должны происходить случайно. Хотя изучение инструментов управления изменениями требует первоначального времени, они могут сэкономить время в долгосрочной перспективе, упрощая запросы и утверждения, особенно при добавлении или удалении правил брандмауэра.
4. Проверьте оборудование и операционную систему брандмауэра.
После того как вы подготовили всю документацию и знаете роли каждого, одним из первых шагов в процессе аудита брандмауэра является проверка оборудования и встроенного ПО. Посмотрите на оборудование, чтобы определить, соответствует ли оно стандартам и требованиям безопасности вашей компании. Например, некоторое устаревшее сетевое оборудование может иметь жестко запрограммированные учетные данные по умолчанию — их нельзя изменить по сравнению с заводскими настройками. Эти сетевые устройства следует заменить как можно скорее.
Прошивку тоже проверьте. Обновлена ли ОС на всех патчах? Выполните все необходимые обновления безопасности и убедитесь, что оборудование обновлено до последней версии. Кроме того, проверьте бюллетени по безопасности ваших поставщиков межсетевых экранов на наличие недавних уязвимостей, поскольку устройства межсетевых экранов и шлюзы безопасности часто имеют лазейки и другие уязвимости, которыми можно воспользоваться.
Хотя межсетевые экраны нового поколения (NGFW) являются продуктами с более высоким уровнем безопасности, чем более простые межсетевые экраны, их не следует освобождать от первоначальных проверок и исправлений. NGFW также нуждаются в регулярных обновлениях и управлении для надлежащей защиты сетей. Также запустите сканирование уязвимостей на своих NGFW.
5. Проведите оценку рисков
Оцените оборудование и программное обеспечение брандмауэра на предмет всех рисков. Сюда входят цифровые риски, такие как непропатченная прошивка, и физические риски, такие как серверная комната, не требующая доступа держателя ключа. Оценка рисков включает в себя классификацию каждого риска, чтобы ваши команды знали, какой из них следует расставить по приоритетам.
Не забывайте также о соблюдении нормативных требований. Рассмотрите возможность приобретения программного обеспечения, которое поможет вашей команде безопасности соблюдать все соответствующие отраслевые стандарты, такие как HIPAA, SOX и PCI-DSS. Некоторые правила могут требовать особых конфигураций брандмауэра или механизмов защиты данных.
Продукты для сканирования уязвимостей , поддерживающие брандмауэры, также полезны — они выявляют лазейки и слабые места в вашем оборудовании и конфигурациях. Если вы крупное предприятие, услуга тестирования на проникновение может принести огромную долгосрочную выгоду. Эти службы тщательно прочесывают вашу инфраструктуру, включая брандмауэры, в поисках уязвимостей. Наем пентестера особенно полезен при первом аудите брандмауэра.
6. Ознакомьтесь с правилами брандмауэра и определите лучшие практики.
Правила брандмауэра — это инструменты, которые сообщают брандмауэрам, как себя вести, управляя тем, какой трафик им следует принимать, а какой отклонять. Правила определяют определенные порты, протоколы и трафик, поэтому брандмауэры точно знают, какие IP-адреса пропускать и какому трафику разрешать покидать сеть.
Иногда правила брандмауэра со временем теряют актуальность. Возможно, вашей компании потребуется разрешить использование IP-адреса или набора адресов, которые ранее были заблокированы. Кроме того, правила, разработанные в течение определенного периода времени разными администраторами, могут стать ненужными. Во время аудита брандмауэра проверьте наличие повторяющихся правил или правил, которые больше не соответствуют целям безопасности вашего бизнеса. Затем удалите их, убедившись, что в брандмауэре не осталось пробелов.
Активно задействуйте здесь процесс управления изменениями. Каким образом ваша компания хочет запрашивать и утверждать изменения правил брандмауэра? Кому разрешено запрашивать, кто несет ответственность за эти утверждения и кто берет на себя ответственность за утверждения, если администратор покидает компанию? На все эти вопросы необходимо ответить во время аудита.
7. Просмотрите журналы, чтобы найти текущие закономерности.
Журналы брандмауэра собирают данные о пакетах и передачах, сохраняя эту информацию для просмотра администраторами. Файлы журналов могут со временем выявить закономерности трафика, что является полезным ресурсом для команд, поскольку они решают, какие правила работают хорошо, а какие нет, и какие новые необходимо создать.
Например, если изучение файлов журналов во время аудита брандмауэра показывает, что трафик пришел с определенного IP-адреса на определенный порт в странное время суток, исследуйте это дальше. Если источник трафика является вредоносным, администраторы могут создать правило, блокирующее этот IP-адрес на порту.
8. Просмотрите черные и белые списки.
Черные списки (или черные списки) и списки разрешенных указывают IP-адреса, которым запрещено или разрешено подключение к сети организации. Они могут подпадать под правила брандмауэра вашей команды, но они достаточно важны, чтобы упомянуть их отдельно. Черные и белые списки улучшают детализацию правил брандмауэра. Некоторые сети с высоким уровнем защиты могут даже использовать список разрешенных для всей сети — только трафик с нескольких конкретных IP-адресов вообще может проходить через брандмауэр.
У ИТ-отдела могут быть определенные веб-сайты, которые, как им известно, содержат загрузку вредоносного ПО или просто имеют небезопасные соединения. Когда они помещают IP-адреса этих сайтов в черный список, никто из тех, кто подключен к сети компании, не может получить доступ к этим сайтам. Хотя черные списки не охватывают все угрозы, они являются хорошим способом сразу же устранить известные.
9. Посмотрите на общее соответствие требованиям безопасности
Когда мы говорили об оценке рисков, мы кратко коснулись соответствия, но в целом соответствие шире — оно включает в себя все политики безопасности вашего бизнеса. Сначала проверьте, обновлены ли политики. Они также должны быть четко задокументированы и легко доступны всем заинтересованным сторонам. После того как ваши команды определят, что политики обновлены и задокументированы, убедитесь, что конфигурация брандмауэра соответствует общей политике организации.
Возможно, политика безопасности требует, чтобы программное обеспечение брандмауэра реализовало многофакторную аутентификацию , или, может быть, только определенному количеству людей разрешен доступ к серверной комнате, где локально установлены брандмауэры. Если вас об этом попросят, вы захотите предоставить руководителю подробный отчет, подтверждающий, что конфигурация брандмауэра соответствует политикам.
10. Обновите все роли и разрешения администратора.
Это идет рука об руку с предыдущим пунктом, но обновите каждую роль и связанные с ней элементы управления доступом, включая административные роли. Вполне возможно, что сотрудник, покинувший компанию два года назад, все еще имеет активные учетные данные для консоли управления брандмауэром; их следует немедленно деактивировать. Кроме того, удалите или добавьте все карты-ключи в физическую серверную комнату или офис, где находится оборудование брандмауэра.
Рассмотрите возможность внедрения правила наименьших привилегий в конфигурации вашего брандмауэра. Стратегия доступа с наименьшими привилегиями требует, чтобы доступ предоставлялся только тем, кому он явно необходим для надлежащего выполнения своей работы. Доступ с наименьшими привилегиями может применяться ко всем корпоративным системам, а не только к межсетевым экранам, для повышения безопасности. Если вы решите реализовать эту стратегию, ограничьте доступ сотрудников к системе тем, кто в этом нуждается, и соответствующим образом настройте все остальные учетные данные или разрешения.
11. Протестируйте Новые Конфигурации И Запланируйте Следующий Аудит
Завершив первоначальный аудит брандмауэра, подготовьтесь к следующему, протестировав текущую конфигурацию и запланировав последовательный аудит. Не просто предполагайте, что любые новые конфигурации работают — ваши сетевые, ИТ-команды и специалисты по безопасности должны регулярно проверять правила брандмауэра, а также общую работу оборудования и программного обеспечения. Период постаудиторского тестирования также является подходящим временем для найма службы пентестинга .
Заблаговременное планирование следующего аудита повышает вероятность его проведения в срок. Кроме того, дайте членам вашей команды задания, чтобы они точно знали, какие роли они будут выполнять в следующем аудите, а также график выполнения этих шагов.
Бесплатный контрольный список аудита брандмауэра
Используйте следующий список в качестве краткого набора шагов, который вы можете представить любому бизнес-лидеру и использовать для руководства процессом аудита.
- __ Разработайте четкий план аудита и изложите все цели, которых ваша команда хочет достичь в ходе аудита, тщательно задокументировав их.
- __ Соберите любые данные, необходимые для процесса аудита, например журналы, существующие правила брандмауэра и владельцев этих правил.
- __ Изучите процедуры управления изменениями в вашем бизнесе и найдите время, чтобы их установить, если у вас их еще нет.
- __ Проверьте аппаратное обеспечение и операционную систему брандмауэра на наличие обновлений безопасности или уязвимостей, таких как жестко запрограммированные пароли или неисправленные ресурсы.
- __ Выполните оценку рисков для всего брандмауэра, выявляя слабые места и риски, которые ваша команда раньше не замечала.
- __ Просмотрите правила брандмауэра и определите рекомендации по созданию, управлению и удалению правил.
- __ Просмотрите журналы брандмауэра, чтобы выявить закономерности или потенциальные аномалии, которые вашей команде предстоит изучить.
- __ Проанализируйте все свои черные и разрешенные списки, чтобы убедиться, что они по-прежнему точны и соответствуют целям вашей компании.
- __ Изучите общее состояние вашей организации по обеспечению безопасности с точки зрения бизнес-политик и ожиданий нормативных требований.
- __ Обновите все роли пользователей и соответствующие им права доступа, особенно административные роли и элементы управления.
- __ Тщательно протестируйте новые конфигурации брандмауэра и запланируйте следующий аудит брандмауэра — аудиты должны быть регулярными, а не разовыми.
Следуя этому или подобному списку, ваши команды будут лучше подготовлены к планированию и проведению проверок брандмауэра в будущем. Вы также сможете добавить любые дополнительные шаги, с которыми ваша команда столкнулась в процессе аудита; это нормальное явление во время любого процесса аудита.
Топ-3 поставщиков аудита брандмауэров
Если вы ищете инструмент аудита брандмауэра, рассмотрите Tufin, SolarWinds SEM и AlgoSec в качестве потенциальных решений. Это три лучших продукта для аудита брандмауэров на рынке безопасности, которые предлагают такие функции, как аудит соответствия, соответствие правилам брандмауэра и сканирование сети.
Tufin
Tufin — это инструмент аудита брандмауэра, призванный помочь командам обеспечить соответствие таким правилам, как HIPAA, PCI-DSS и GDPR. Tufin также генерирует отчеты об аудите, которые при необходимости можно автоматизировать. Он отправляет оповещения группам безопасности, когда одна из их конфигураций не соответствует указанной политике безопасности организации. Tufin предлагает три плана — SecureTrack+, SecureChange+ и Enterprise.
SolarWinds Security
SolarWinds Security Event Manager (SEM) — это комплексный инструмент для управления кибербезопасностью бизнеса. Команды могут использовать SEM для разработки отчетов об аудите, централизации данных журналов и событий из нескольких сетевых источников и получения оповещений в режиме реального времени. Лицензия на подписку SolarWinds SEM стоит от 2992 долларов США, а бессрочная лицензия — от 6168 долларов США, но для получения индивидуального предложения, основанного на конкретной среде вашего бизнеса.
AlgoSec
AlgoSec — это инструмент аудита и соответствия требованиям межсетевого экрана, который позволяет группам безопасности создавать отчеты на основе стандартов соответствия, таких как PCI, SOX и HIPAA. AlgoSec проверяет все изменения в правилах брандмауэра, чтобы убедиться, что они соответствуют отраслевым стандартам. Он также документирует процесс утверждения изменений правил. Для получения индивидуальной цены свяжитесь с отделом продаж AlgoSec или запросите ценовое предложение; вы также можете купить через одного из его партнеров.
Часто задаваемые вопросы (FAQ)
Что такое соответствие брандмауэру?
Соответствие брандмауэра может относиться либо к соответствию организации, то есть брандмауэр соответствует политикам безопасности вашего бизнеса, либо к соответствию нормативным требованиям, то есть к отраслевым или государственным стандартам.
Многим предприятиям придется рассмотреть оба варианта. Способ настройки брандмауэра, включая его правила, должен соответствовать целям безопасности вашей организации, поскольку эти цели специфичны для компании и наиболее подходят для индивидуальных потребностей вашего бизнеса (при условии, что они логичны и хорошо проработаны).
Что такое оценка брандмауэра?
Оценка брандмауэра — это общая оценка оборудования вашего брандмауэра, например устройств, и его программного обеспечения, например операционной системы, которая им управляет. Тщательная оценка должна также охватывать все правила брандмауэра и средства контроля доступа. Оценка аналогична аудиту, но смысл аудита обычно более тщательный. Однако они будут включать в себя некоторые из тех же шагов.
Что вы проверяете в своих брандмауэрах?
Проведите аудит оборудования, операционных систем, другого программного обеспечения управления, правил и любых дополнительных конфигураций всех межсетевых экранов. Необходимо проверить каждую часть брандмауэра, чтобы ваш бизнес знал, работает ли он и по-прежнему ли его правила хорошо служат сети и организации.
Итог: регулярно проводите аудит брандмауэра
Проведение первоначального аудита — самый важный шаг, но вашим командам по ИТ, сетям или безопасности следует запланировать последовательные аудиты на ближайшие годы. Последовательные аудиты в долгосрочной перспективе экономят время команд, поскольку они точно знают, где найти документацию и другие ресурсы по настройке. Достаточно подготовившись к аудиту, создав тщательную и понятную документацию и последующую проверку успешности аудита, вы улучшите общую безопасность своей ИТ-инфраструктуры.