Après la mise à jour hardware de ses appliances de sécurité 15000 et 23000, Check Point s’est attaqué à la refonte matérielle de ses produits destinés aux PME-PMI et aux filiales de grands groupes, à savoir la série 700 (6 ports Gigabit) qui vient remplacer la 600. Philippe Rondel, directeur technique de Check Point France, nous a détaillé lors d’un entretien téléphonique les points les plus importants de ces équipements. Reposant sur une plate-forme ARM, contre Intel x86 pour les 15000 et 23000, mais toujours avec l’OS maison Gaia (une distribution Linux sécurisée), les boitiers 730 et 750 arrivent avec des fonctionnalités de firewall applicatif (plus de 7000 programmes dans la base), un VPN, un antibot, la prévention des intrusions (IPS), un antivirus, un antispam, le contrôle des applications, le filtrage des URL et la possibilité de superviser la sécurité du réseau. « Le déploiement se fait très simplement avec une clef USB et une configuration client », nous a assuré le directeur technique. L’administration peut également se faire de manière centralisée par un partenaire avec une solution on-premise ou cloud pour revendre un service à des clients. Les déploiements se font aujourd’hui à 50% seuls par le client et à 50% via des partenaires.
Pour les performances, le fournisseur annonce 100 et 200 Mbps en analyse (Threat Prevention) avec une ligne ADSL, SDSL ou fibre, soit 15 000 et 25 000 connexions par seconde. Une version avec modem VDSL2 est même prévue, nous a indiqué Philippe Rondel, ce qui donnera un boitier de type modem/routeur/firewall. Une clef USB optionnelle pourra également apporter une interface 3G ou LTE pour assurer des back-ups en cas de panne ou d’accès limité au réseau VDSL. Précisons encore que tous ces équipements de la série 700 peuvent être livrés avec ou sans WiFi (802.11ac). Pour les tarifs de ces deux boitiers, Check Point annonce 499€ HT pour le 730 (100 Mbps) et 799€ HT pour le 750 (200 Mbps).
Un agent Sandblast pour traquer les APT
Si la solution Sandblast de Check Point ne sera disponible que courant 2016 sur les boitiers 700, la société annonce l’arrivée d’un agent Sandblast pour les postes de travail Windows pour intercepter les APT avec une analyse dans le cloud ou sur le boitier. Cet agent pourra travailler avec Threat Extraction, que nous vous avons déjà détaillé avec le sujet sur les appliances 15000 et 23000, pour intercepter des documents infectés et bloquer des bots. Pour mieux lutter contre les APT qui ciblent de plus en plus les entreprises, l’idée est toujours de relever les indicateurs de compromission, les fameux signaux faibles, comme les échanges entre postes de travail et serveurs command & control, pour bloquer les malwares dans un bac à sable et éviter leur propagation vers d’autres terminaux.
Pour détecter les derniers malwares, l'agent Sandblast analyse dans un bac à sable local le comportement des fichiers et autres pièces jointes.
L’analyse a posteriori sera également de la partie grâce à la conservation des logs. « Si un événement se produit, on peut rapatrier les logs pour créer une vue complète. Trente jours de logs sont conservés, mais dans certains cas, il est possible de stocker six mois de logs sur le poste de travail. Mais en moyenne avec trente jours, on peut connaître tous les accès du malware aux fichiers », nous a indiqué Philippe Rondel. Deux versions de cet agent sont proposées : Sandblast Agent avec Threat Emulation, Anti-Bot, Forensics au prix de 35$ HT et Sandblast Forensics Agent avec juste Forensics à 15$ HT.