はじめに
Check Point R81 で追加された機能である Infinity Threat Prevention について記載します。
Infinity Threat Prevention とは
リリースノートによると Infinity Threat Prevention の概要は次の通りです。
Infinity Threat Preventionは、次のような革新的な脅威防止管理モデルです。
- ゼロデイ脅威からのゼロメンテナンス保護を提供し、継続的かつ自律的に、最新のサイバー脅威と防止テクノロジーで保護を最新の状態に保ちます
- ビジネスおよび IT セキュリティのニーズに基づいて、すぐに使用できるポリシープロファイルを使用して、ゲートウェイの役割をワンクリックで分類できるようにします
- ゲートウェイ全体でのポリシープロファイルの構成と展開を合理化します
- 組織のニーズに最適な、シンプルで強力なカスタマイズを提供します
Infinity Threat Prevention プロファイル
選択可能なプロファイルが 5 つ用意されていて、その中から一つ選択して使用します。
- Recommended for Perimeter Profile
- サイバー攻撃を防ぐために境界ゲートウェイのセキュリティを最適化しました
- Web、データセンター、受信メール、および FTP を閲覧するユーザーの保護が含まれます
- これはデフォルトのプロファイルであり、同じゲートウェイでの複数の保護に推奨されるプロファイルです(たとえば、境界保護と内部ネットワーク保護の両方が必要な場合)
- Data Center East/West Profile
- データセンターへのサイバー攻撃を防ぐために最適化されたセキュリティ
- サーバーと東西のトラフィックに対する広範な保護が含まれます
- Internal Network Profile
- 内部ユーザーと内部サーバー間の内部トラフィックに対するサイバー攻撃を防ぐための最大限のセキュリティ
- Strict Security for Perimeter Profile
- サイバー攻撃を防ぐための境界ゲートウェイの最大のセキュリティ
- Web、データセンター、受信メール、およびFTPを閲覧するユーザーの保護が含まれます
- Recommended for Guest Network Profile
- ゲストネットワーク(Wi-Fi)を介したサイバー攻撃の試みを非侵入的に監視するための「検出モード」セキュリティプロファイル
次の表は、各プロファイルで使用されるテクノロジーをまとめたものです。
IPS Protections | File & URL Reputation | ThreatCloud | Sandbox | Sanitization (CDR) | C&C protection | |
Recommended for Perimeter Profile | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
Data Center East/West Profile | ✓ | ✓ | ✓ | ✓ | ー | ✓ |
Internal Network Profile | ✓ | ✓ | ✓ | ✓ | ー | ✓ |
Strict Security for Perimeter Profile | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
Recommended for Guest Network Profile | ✓ | ✓ | ✓ | ✓ | ー | ✓ |
- IPS Protections
- 最高のパフォーマンスと無制限のスケーリングを備えた統合侵入防止システム
- IPSは、ネットワークベースの攻撃からの高度な保護を実装し、サーバー、エンドポイント、産業用システム、 IoT を含むすべての IT システムを保護します
- File & URL Reputation
- ファイルと URL は、ThreatCloud リポジトリを介してレピュテーションがチェックされます
- ThreatCloud
- 脅威センサーの Check Point worldwide network を使用したクラウドベースのリアルタイムグローバル脅威インテリジェンス
- Sandbox
- 回避に強いサンドボックスで疑わしいファイルを実行し、高度な AI 技術を適用することで、未知のゼロデイ攻撃や高度な多態性攻撃を防ぎます
- Sanitization (CDR)
- 受信ファイルをユーザーに配信する前にサニタイズ(危険なコードやデータを変換または除去して無力化する処理)することにより、ゼロデイから未知の攻撃を予防的に防止します
- C&C protection
- ネットワーク上の感染したデバイスや侵害されたデバイスを検出します
- マルウェアのコマンド&コントロール(C&C)通信をブロックすることにより、攻撃をブロックし、損害を防ぎます
Infinity Threat Prevention の設定
次の手順で設定します。
1. Security Gateway で Infinity Threat Prevention を有効にする
2. Infinity Threat Prevention ポリシーを作成する
・セキュリティポリシー画面 > 脅威対策 > Infinity Threat Prevention (Policy) 画面で ▼ ボタンをクリック
・表示されるプロファイル一覧からプロファイルを選択
・Help me decide をクリックすると、各プロファイルの比較情報が表示されます
3. Infinity Threat Prevention ポリシーをインストールする
Deployment Dashboard
ネットワークに Threat Prevention ポリシーを段階的に展開できます。Deployment Dashboard には、次の 3つの保護モードがあります。
- According to profile
- Threat Prevention プロファイルの設定がオブジェクトに適用されます
- デフォルトでは、すべてのトラフィックはプロファイルに従って保護されており、これが推奨事項です
- 段階的な展開が必要な場合は、特定のネットワークオブジェクトを [Detect only] に配置できます
- 短い試用期間の後、これらのオブジェクトをプロファイルに従って移動することをお勧めします
- No Protection
- オブジェクトは、選択した Threat Prevention プロファイルによって保護されていません
- トラフィックは許可され、ログに記録されません
- Detect only
- トラフィックは許可されますが、Threat Prevention プロファイル設定に従ってログに記録されます
例外
グローバル例外は、Infinity Threat Prevention として設定されたゲートウェイ、または従来のThreat Prevention ポリシーで設定されたゲートウェイで使用できます。 Infinity Threat Prevention への移行前に存在していたグローバル例外は、アクションを必要とせずに Infinity Threat Prevention に適用されます。
Infinity Threat Prevention ポリシーにグローバル例外を追加する方法は次の通りです。
- セキュリティポリシー画面 > 脅威対策 > 例外 > Global Exceptions
- 該当する例外を追加します
- インストール欄で、それぞれの例外の適用対象となるゲートウェイを選択します
File Protections
File Protections 画面で次のことができます。
- 選択した Infinity Threat Prevention プロファイルに関する、保護されたファイルタイプと保護タイプを表示
- プロファイルに従って推奨されるファイル保護を上書きし、さまざまな保護を選択
File Protections の設定は手順で行います。
- セキュリティポリシー画面 > 脅威対策 > Infinity Threat Prevention > File Protections
- [+ Add Override] をクリックしてファイルタイプとアクションを設定
- Inspect
- ファイルレピュテーション、ThreatCloud、サンドボックスが有効
- サンドボックスはオプション
- Inspect & Clean
- ファイルレピュテーション、ThreatCloud、サンドボックスおよび Sanitization (CDR) が有効
- サンドボックスはオプション
- Block
- ファイルをブロックします
- Bypass
- ファイルを検査しません
従来の Threat Prevention から Infinity Threat Prevention への移行
- Infinity Threat Prevention を有効にし、プロファイルを選択し、ポリシーをインストールすると、ゲートウェイは、Check Point のベストプラクティスと選択した Infinity Threat Preventionプロファイルに従ってすぐに設定されます
- ゲートウェイで以前に選択されたプロファイル、および従来の Threat Prevention ポリシーでこれらのプロファイルに加えられた変更は、Infinity Threat Prevention ポリシーに移行されません
- ただし、従来の Threat Prevention ポリシーで以前に使用されていたグローバル例外は、アクションを必要とせずに Infinity Threat Prevention によって適用されます
Infinity Threat Prevention の画面が表示されない場合
SmartConsole の Infinity Threat Prevention 設定画面を表示しようとしたときに、ずっと読み込み中の表示になる、または何も表示されないという場合があります。
この場合、SmartConsole を実行している PC の設定が原因の場合があります。
ディスプレイ設定の拡大縮小とレイアウトの設定で倍率が 100% になっていない場合は、100% に変更してみてください。
参考資料
―――――――――――――