FAQ – Fortinet Cyber Threat Assessment Programm (CTAP)

Im Laufe unseres Sales Updates, vom 4. Oktober 2023, zum Fortinet Cyber Threat Assessment Programm (CTAP), sind noch ein paar Fragen entstanden, in Bezug auf das Licensing auf den verwendeten CTAP Geräten und dem Reporting. Im Nachgang haben wir diese Fragen geklärt und nachfolgend die Antworten zusammengestellt.

Frage 1: Warum wird auf dem CTAP Gerät eine aktuelle UTP Lizenz empfohlen?

Antwort: Um die Log-Events für den Assessment Report zu generieren, wird der Netzwerkverkehr durch die CTAP FortiGate analysiert und entsprechende Events generiert. Dabei wird vorausgesetzt, dass die CTAP Firewall über eine aktuelle Lizenzierung verfügt, damit die Signaturen und Datenbanken auf einem aktuellen Stand sind. Das CTAP kann ohne gültige Lizenz durchgeführt werden, aber es basiert auf alten Signaturen und Datenbanken. Somit werden aktuelle Bedrohungsmuster nicht erkannt. Der FortiAnalyzer analysiert den Netzwerkverkehr nicht und erstellt den Report nur aufgrund der Log-Daten, welche vom CTAP Gerät an den FortiAnalyzer geschickt werden.

Frage 2: Warum wird für ein OT CTAP eine Enterprise Lizenz empfohlen?

Für das OT Cyber Threat Assessment werden zusätzliche Daten aus der Industrial Security Database benötigt, um die Informationen für den Assessment Report aufzubereiten. Das CTAP kann ohne eine gültige Lizenz durchgeführt werden, aber im Report werden die entsprechenden Informationen nicht vollständig aufbereitet. Der FortiAnalyzer analysiert den Netzwerkverkehr nicht und erstellt den Report nur aufgrund der Log-Daten, welche vom CTAP Gerät an den FortiAnalyzer geschickt werden.

Frage 3: CTAP mit lokalem Logging (NGFW, SD-WAN und OT)

Für das lokale Logging, bei einem CTAP für NGFW, SD-WAN und OT, wird eine FortiGate mit eingebauter SSD benötigt. Die Logging-Daten werden auf der lokalen SSD gespeichert und müssen nach Abschluss der Datensammlung exportiert werden. Die exportierten Daten müssen anschliessend im CTAP Portal hochgeladen/importiert werden, damit der Report erstellt werden kann.

Frage 4: Lokaler FortiAnalyzer für Umgebungen ohne Internetzugang

Alternativ kann – Stand heute – auch ein lokaler FortiAnalyzer verwendet werden, um Reports für die CTAP’s NGFW und SD-WAN zu erstellen. Achtung – Für den OT Report wird neu jedoch der OT Security Service für den FortiAnalyzer benötigt, um die OT Reports auf dem FortiAnalyzer freizuschalten.

Frage 5: Warum sehen die Reports mit dem CTAP FortiAnalyzer und einem lokalen FortiAnalyzer unterschiedlich aus

Die allgemeinen Unterschiede zwischen einem FortiAnalyzer CTAP-Report und einem über das CTAP-Portal generierten Report sind die folgenden:

• Optisch sieht er anders aus – Um eine bessere Übereinstimmung mit anderen herstellerspezifischen Bewertungsprogrammen zu erreichen, verwendet Fortinet für die Erstellung der CTAP Reports eigene Visualisierungen.
• Dynamische Empfehlungen sind nicht integriert – Da die Empfehlungen auf der Grundlage des Erreichens bestimmter Schwellenwerte bestimmt werden, gibt es keine Möglichkeit, Empfehlungen in den CTAP Reports von lokalen FortiAnalyzern zu integrieren.
• FortiSandbox-Abschnitt – Da Fortinet einen eigenen FortiSandbox-Cluster für CTAP betreibt, sind diese entsprechend konfiguriert und eingebunden. Der Sandbox-Abschnitt in den Standard FortiAnalyzer-Berichten enthält möglicherweise nicht die gleichen Daten.
• Outbreak-Spotlights – Gelegentlich integriert Fortinet entsprechende Informationen im CTAP Report, falls signifikante Angriffe festgestellt wurden. Diese sind nicht Teil der Standard FortiAnalyzer-Berichte.
• Aktuelle Version – Da der FortiAnalyzer in regelmässigen Abständen aktualisiert wird, kann es sein, dass Aktualisierungen/Optimierungen erst in einer zukünftigen Version in die Produkt-Codebasis einfliessen und in die Standard FortiAnalyzer-Berichte einfliessen.
• MITRE-Angriffsinformationen – In den CTAP Reports sind MITRE-Informationen enthalten, welche derzeit nicht in den FortiAnalyzer-Berichten verfügbar sind.