Basicamente o que o título diz. Temos remediado algumas vulnerabilidades que foram encontradas pela plataforma de gerenciamento de risco cibernético que nossa seguradora usa.
Forneci algumas evidências para remover uma vulnerabilidade encontrada e a equipe de suporte nos alertou que qualquer “exposição HTTPS” proveniente do SonicWALL está no radar das seguradoras como um ativo potencialmente não segurável. A recomendação é migrar para uma solução de firewall alternativa como Cisco, Cloudflare, etc.
O Sonicwall tinha uma questão de segurança onde uma parte externa poderia atacar a interface de gerenciamento do Sonicwall e exceder suas conexões TCP máximas. Basicamente um ataque de DDoS, pois recursos internos não podem formar novas conexões TCP através do firewall.
A solução é enclausurar o gerenciamento HTTPS para interfaces internas ou criar uma regra WAN → Interface de gerenciamento X1 bloqueando apenas IPs confiáveis.
Provavelmente é isso que sua seguradora está falando.
O Sonicwall teve uma vulnerabilidade grave no ano passado em seus appliances VPN (SMA) que já foi corrigida. Isso nunca impactou seus Firewalls.
Vi várias seguradoras sendo rígidas durante renovações, o que indica que tiveram que pagar por isso.
O ponto principal é QUE JÁ FOI PARCHEADO e, para registro, Cisco, Forti e outros fornecedores tiveram vulnerabilidades semelhantes no ano passado.
Também é possível que elas estejam vendo a porta HTTPS do portal VPN SSL exposta, o que é intencional. Essa porta HTTPS NÃO é necessariamente a porta de gerenciamento remoto. Você pode desativar isso, mas o VPN SSL não funcionará.
“solução de firewall alternativa como Cisco”
Firepower é bastante ruim, eles estão falando besteira.
Você está usando o SSL-VPN? Na última vez que vi, se você habilitar o SSL-VPN, expõe a interface web do Office Virtual para a WAN, que não pode ser desativada. Já vi varreduras de vulnerabilidades externas sinalizarem essa interface como Alto Risco.
Esta é uma solução simples - você nunca deve permitir que portais web de firewall fiquem expostos publicamente. Mesmo que sua seguradora não exigisse, é uma péssima ideia. Tenho certeza que há uma maneira de desativar o acesso. Faça o que normalmente fazem, que é exigir VPN com MFA e gerenciar os firewalls dessa forma.
Todas as vulnerabilidades conhecidas de https/gerenciamento/virtual office foram corrigidas na versão 5111 ou com um hotfix da NSA. Não sei o que eles estão querendo dizer.
Eu simplesmente não confio em seguradoras como fonte de informações confiáveis sobre risco cibernético. Uma cliente me entregou um orçamento recente e parte dele dizia que eles forneceriam um desconto por “assegurar seus sistemas” instalando uma extensão de navegador gratuita que exfiltrava uma quantidade significativa de dados e tinha uma política de privacidade muito vaga.
Outra tentou forçar um cliente a usar o Office 365 porque não segurariam se ele tivesse Exchange local, independentemente do nível de segurança.
Então, sempre que ouço “não segurável” isso ou aquilo… podem morder meu rabo. As seguradoras são muitas.
Por que seu firewall teria HTTPS exposto? A interface de gerenciamento? Se sim, sim, seu departamento de TI deveria ser refeito e reconstruído o mais rápido possível.
Parece que é outra pessoa que enfrentou essa situação porque usam firewalls Fortinet. O OP pediu detalhes do porquê, mas não foram fornecidos, apenas fofocas. Eu recomendaria procurar outra seguradora, você não vai mudar a opinião deles se eles adotarem essa abordagem de forçar o uso de certas marcas de equipamentos.
Dito isso, se sua empresa estiver disposta a gastar dinheiro para trocar de marca, eu aproveitaria para mudar para Palo Alto ou Fortinet, mas certifique-se de que a seguradora também não vá marcá-los.
Preciso de mais informações, mas acho que a /u/Virtual_Historian255 está certo. A menos que você tenha uma regra NAT para HTTPS para um servidor interno. Isso parece um risco identificado e você precisará mostrar que foi remediado antes de conseguir seguro.
Sonicwall foi adquirido e depois abandonado pela Dell. O Gartner os mostra no quadrante inferior esquerdo para NGFW.
Minha suposição é que a seguradora não gosta do risco na sua configuração atual e, portanto, não pode segurá-la. Descubra se é o dispositivo ou sua configuração. Se for o dispositivo e você não puder trocá-lo, então mude de seguradora.
Todos os firewalls têm vulnerabilidades de segurança, Fortinet/Cisco/etc.
Mas a interface de gerenciamento nunca deve ser exposta na rede pública ou corporativa, deve estar em uma rede de gerenciamento acessível apenas pelo administrador.
Se eu visse alguma empresa com uma interface de gerenciamento exposta até mesmo via https + MFA, eu demitiria a equipe de segurança imediatamente. Isso é simplesmente estúpido.
