bpat_adoption_trending

Palo Alto Networks BPAT, og prioriteringer

#TekniskeTips. Pan-OS
Rammeverk, sier at løsninger skal settes opp etter anbefalinger og Best Practice.

BPAT, Best Practice Assessment Tool, er et automatisert verktøy for kontroll av løsningen din. Listen med forbedringspunkter vil gjerne være omfattende, og da er det viktig å kunne prioritere. Dette for å sikre at løsningen er satt opp på beste måte, for synlighet, logging, kontroll og sikkerhet. 


Hvorfor burde man etterleve produsentenes anbefalinger om godt oppsett?

Om man jobber etter rammeverk, som NSM Grunnprinsipper for IKT sikkerhet, ISO 27002, CIS CSC, NIST, eller lignende, er det alltid anbefalt å følge produsentenes anbefalinger om godt opppsett. Dette for å være best rustet i for oppetid, compliance og sikkerhet. Dette er viktig å ha som en rutine, å regelmessig gjennomgå eget oppsett og konfigurasjon, for å detektere og forbedre den kontinuerlig dynamiske konfigurasjonen og sikkerheten, slik at den til enhver tid har høyeste standard.

 

Hvordan burde man etterleve produsentenes anbefalinger om godt oppsett?

Palo Alto Networks har laget et verktøy for deg og brannmurene dine, BPAT, Best Practice Assessment Tool. Vi i Data Equipment hjelper mange av våre kunder med denne prosessen regelmessig, fordi lang erfaring er tidsbesparende for deg som kunde. Det er mange forbedringspunkter, og ikke altid like enkelt å vite hvordan man skal prioritere, samt hvordan man skal gjøre de forskjellige tingene.

Data Equipment kan med Intellisec tilby automatisert BPAT for kunder som ønsker dette. Ta kontakt med oss for detaljer.

Om du vil gjøre det selv, er dette tilgjengelig for deg som kunde, og ligger på support portalen til Palo Alto Networks. Det du gjør, rent teknisk, er å gå inn på Panorama eller brannmuren din, og ta ut en Tech Suppport fil, som inneholder konfigurasjonen din, for deretter å laste denne opp i online verktøyet.

Skulle du eksistere i et lukket nett, og ikke vil sende din konfigurasjon ut i skyen, har vi flere tekniske løsninger for det som vi kan hjelpe deg med. Dette gjøres ved at du installerer tilsvarende verktøy internt i ditt nettverk, og du vil få samme synlighet og kontroll på din konfigurasjon.

Detaljer om hvordan du kan gjøre dette står nederst på siden.

 

Hva får du opp i BPAT, og hva skal du prioritere?

BPAT'en visualiserer hvor bra konfigurasjonen din er, basert på din konfigurasjon, den vil synliggjøre forbedringspunktene, samt også vise til veiledninger for hvordan du kan gjøre dette. Det ligger mye dokumentasjon i selve verktøyet, og det gir stor verdi, både operasjonelt, ROI, compliance, men naturligvis også for sikkerhet.

Her er noen anbefalinger som er enkle å implementere, gjør stor forskjell, og har ingen, til lav, risiko å implementere

Anbefaling nummer 1. Security Profile Groups

I listen med forbedringspunkter, er det et punkt som har stor verdi, først og fremst for synlighet, er relativt enkelt å implementere og har liten til ingen risiko. Vi snakker om adopsjonen av "Security Profiles". Målet må være 100% adoption rate. Et rydig oppsett med "Security Profile Groups", vil gjøre stor forskjell, samt at det vil standardisere oppsettet, som også er en anbefaling i rammeverk. 100% oppsett på alle regler, for full synlighet. "Alert All", er mye bedre enn "Alert Nothing". Det man ikke ser, kan man ikke kontrollere. Det man ikke kan kontrollere, kan man ikke sikre.

Anbefaling nummer 2. DNS Sikkerhet

Valider at DNS sikkerheten er bra. Dette være seg selve kommunikasjonen, og med hvilke DNS servere det er lov å kommunisere med, men også Anti-Spyware profilen, som skal være riktig konfigurert med DNS Sinkhole, og dette skal brukes på alle regler.

Anbefaling nummer 3. Log Forwarding. Denne er for mange den kanskje mest ukjente, og det som kan gjøre størst forskjell med lite innsats og ingen risiko

Det ligger en funksjon i Pan-OS som dessverre har fått altfor lite oppmerksomhet. Log Forwarding har eksistert i mange år, og for noen år siden fikk den en filtreringsfunksjon som gjorde den mye mer verdifull. Du kan filtrere i alle loggene, og gjøre veldig mange forskjellige ting med dem. En ting er at man kan sende logger via SNMP, Syslog og email, men det er mer. Du kan sende via API, og med API åpner det seg nye muligheter. Hva med å sende en hendelse, via API, til ditt sakshåndteringssystem? Om noe kritisk skjer, WildFire slipper igjennom en fil, som viser seg å være malicious, eller at det oppstår en "Correlated Event", hadde det ikke da vært fornuftig å automatisk opprette en intern support sak på hendelsen? Da blir det dokumentert. Noen får i oppgave å se på det. Og reaksjonstiden går dermed ned, fra å ikke bli oppdaget, til tross for logger, til å faktisk reageres på med en gang.
 

Expedition Tool

Mange av forbedringene kan være arbeidssomme, da det er mye manuelt, og mye klikking. Da kan det være en fordel å bruke Expedition Tool, som kan bidra til bl.a Multi Edit. Veldig tidbesparende.

https://www.paloaltonetworks.com/products/secure-the-network/next-generation-firewall/migration-tool

https://live.paloaltonetworks.com/t5/Expedition-Migration-Tool/ct-p/migration_tool

 

Bilder fra BPAT

Noe av det første man får opp, er en generell oversikt som viser helt overordnet hvordan ditt oppsett er, hvordan det er i forhold til den industrien du er i, samt hvordan det er i forhold til anbefalingene. Fint å presentere til ledere/mellomledere:

 

BPAT Security Profile Adoption Summary

 

Deretter vil man kunne se hvordan trenden er på kvaliteten på konfigurasjonen. Denne oppdateres for hver gang du gjør en analyse:

 

BPAT Adoption Mode Trending

 

Det finnes også oversikter som sammenligner med rammeverk, som bl.a NIST:

BPAT NIST kontroller

 

Mer oversikt, i forhold til rammeverk:

BPAT CIS CSC overordnet

 

Center for Internet Security sine Critical Security Controls ligger veldig tett opp mot BPAT, og du vil få et eget dashboard for hvordan din konfigurasjon er i forhold til disse kontrollene. Veldig nyttig:

BPAT CIS CSC

 

Best Practice modulen

Inne i Best Practice modulen, får man omfattende menyer med muligheter:

Security Rule Checks Menu

 

Man får en detaljert oversikt over regelsettet og forbedringspunkter:

Security Rule Checks

 

Det vil være egne oversikter per Security Profile i forhold til beste opppsett. Dette er for Antivirus:

Objects Antivirus

 

Dette er beste anbefaling for Anti-Spyware:

Objects Anti-Spyware

 

Dette er beste anbefaling for Vulnerability Protection:

Objects Vulnerability Protection

 

Hvordan generere en BPAT rappport?

Først må man inn på Panorama eller brannmuren, under Device -> Support og klikke "Generate Tech Support File". Når denne er generert, laster man den ned til sin PC.

Pan-OS Tech Support File

Med Tech Support fila på PC'en, går man inn på https://support.paloaltonetworks.com/ og velger Tools -> Best Practice Assessment i venstre meny, for å lage en BPAT rappport.

Palo Alto Networks Suppport BPAT

 

Skulle dere ha spørsmål til prosessen rundt dette, stiller vi i Data Equipment gladelig opp for å hjelpe deg å få det beste ut av løsningen du har kjøpt av oss.

For mer informasjon 

Gøran Tømte-WEB_150x150

Gøran Tømte
CISO, Data Equipment
Mobil: 930 40 018
E-post: goran@dataequipment.no

 

 

Kontakt oss