INHALTSVERZEI CHNIS

Transcription

INHALTSVERZEI CHNIS

INHALTSVERZEI CHNIS
EXECUTIVE
SUMMARY
fr
.......3
ERGEBNISSE
IM BEREICHZUGRIFFSKONTROLLE
& DATENSCHUTZ....4
WebSecurity-Events
DataLoss-Events
.........
.........4
.........................7
ERGEBNISSE
IM BEREICHTHREATPREVENTATION
............................10
Bot-Events
.......................
10
Virus-Events
................
Zero-day-Threats
..........
.....12
......................
13
lntrusion& Attack-Events
...........
ERGEBNISSEIM BEREICHENDPOINTSECURITY
coMPLtANCESECURITY-ANALYSE
...........
EMPFEHLUNGEN
FÜRDIE PROBLEMBEHEBUNG
SoFTWARE-DEF|NED
PROTECTTON
............
üeen cHEcK porNT SoFTWARE
TEcHNoLoctEs .........
.......15
...........,....17
........20
................26
.......35
.....s9
ffiHthP,.,h,,F-?,
EXECUTIVE SU M MARY
DiesesDokumentstelltdie Ergebnisseeinerkürzlichdurchgeführten
Security-Analyse
lhrerInfrastruktur
dar.
Es gibt lhnensowohleineZusammenfassung
der Untersuchungsresultate
als auch Empfehlungen
für die
Adressierung
aufgedeckterSicherheitsprobleme
an die Hand.
Die Analysebasiertauf der Sammlungvon DatenunterBerücksichtigung
nachstehender
Charakteristika:
SecurityAnalysisDate:
12/01/2014
Industrie:
Versicherungsbranche Land
USA
Unternehmensgröße:
2.500EMitarbeiter
AnalysiertesNetzwerk
lnternesLAN
Security Gateway-Version:
R77
Analyse-Modus:
MirrorPort
Security GatewaySoftware Blades:
ApplicationControl,URL Filtering,Anti-Bot,Anti-Virus,lPS, DLB
ldentityAwareness, ThreatEmulation,Compliance
Security-Device:
Check Point4800 SecurityGateway
Dauerder Analyse:
2 Wochen
Nachstehend
findenSieeineÜbersicht
überdie häufigsten
undrisikoreichsten
Security-Events,
die im Rahmen
dieserAnalyse
aufgedeckt
wurden
ZUGRIFFSKONTROLLE
& DATENSCHUTZ
30.670
22
hoch riskanteApplication-Events
Data Loss-Events
THREAT PREVENTION
q
Bot-Events
5
Virus-Events
to
Zero-day-Events
18
Intrusions-& Attacks-Events
ENDPOINT
893
Endpoints,die in hoch riskanteEventsinvolviertsind
COMPLIANCE
650/o
compliantwith Check PointBest Practices
58%
compliantmit behördlichangeordnetenBestimmungen
@2014CheckPointSoftwareTechnologies
Ltd.All rightsreserved.
Classification:
ONLYfor designatedgroupsand individuals
fRestricted]
ERGEBNISSEIM BEREICH ZUGRIFFSKONTROLLE & DATENSCHUTZ
WEBSECURITY.EVENTS
Die risikoreichsten
Applikationen& Sites
In den BereichenWeb-Applikationen
und WebsitesweisennachstehendeElementedie höchstenRisikenlaus:
Application/ Site
Category
AppRisk
$ ror
Anonymizer
$, ultrasurf
R Coralcdn
Anonymizer
B critical ? q
f,l critical 33
@ wunnel
tO) rugou
g! suresome
Anonymizer
Hota
PacketiXVPN
Anonymizer
I
S
ft rpro"y
$
Sopcast
@ DarkComet-RAT
ii Dropbox
$ Gotons$st-Remotesupport
, - Lync
Q
TeamViewer
@ BitTorrentProtocol
.F Lync-sharing
$
uTorrent
6 qqrv
Numberof Events
149MB
228
1GB
51
2MB
45
24 MB
Iö
7MB
1C
Anonymizer
B critical 2
B critical 7
1MB
9
Anonymizer
fl
critical
5
98 KB
S
p
criticat
z
3OOKB
z
critical
L
4OOKB
z
I
350KB
P2PFileSharing
Anonymizer
P2PFileSharing
RemoteAdministration
FileStorageand Sharing
f,l critical
p critical
260 KB
l.
!l
critical 3573
37 GB
L9,443
!l
critical L573
4GB
InstantMessaging
!l
critical 118
937MB
@ critical L82
!l critical 1 1 3
8 3 1M B
768
168MB
464
@ critical 93
@ Critical 2
70 MB
443
21MB
327
@ critical ? n
I critical 6
26 MB
zYl
373MB
257
@ critical 47
@ criticat 3
2MB
233
3 2M B
228
@ critical
@ critical
85MB
227
P2PFileSharing
InstantMessaging
P2PFileSharing
InstantMessaging
Q
DownloadManager
Q
not Desktop
Anonymizer
i)
ad.adlegent.com/iframe
Spam
{
:;f
linkuryjs.info
Spam
Dropbox-webdownload
@
LogMeln
$
I
Traffic
B critical 2
I critical ,t
Anonymizer
rr"" DownloadManager
$ aissuy
Numberof Users
InstantMessaging
ZumoDrive
Aiwangwang
2
I,L44
3MB
L93
@ critical 39
@ critical 36
30MB
\79
5MB
166
@ critical t7
!l critical z
3MB
148
3MB
140
z
1 Risiko-Level
5 indiziert
eineApplikation,
diedieSecurityumgehen
oderldentitäten
verbergen
kann(2.B.:Tor,Wunnel).Risiko-Level
4
indiziert
eineApplikation,
dieohneWissendesAnwenders
zu Datenlecks
oderMalware-lnfeKionen
führenkann(2.8.:FileSharing,P2P
genutzt
uTorrent
oderP2PKazaa).
Applikationen
für die Remote-Administration
sindmöglicherureise,
sofernsievonAdminsund Helpdesk
werden,legitimiert.
Classification:
fRestricted]
reghF.",h.,F.
HochriskanteApplikationen,
die compliantmit der organisatorischen
SecurityPolicysind
Hoch riskanteApplikationensind Anwendungen,die ohne Wissendes Anwendersdie Securityumgehen,
ldentitätenverbergenund Datenlecksoder sogar Malware-lnfektionen
verursachenkönnen.ln den meisten
Fällenist die NutzungsolcherApplikationennichtvereinbarmit der SecurityPolicydes Unternehmens.
In einigen
Fällenkönnenjedoch spezifischeApplikationenmit der organisatorischen
Policycompliantgemachtwerden.
Nachstehende,
sehr risikoreiche
Applikationen
wurdenwährendder Analyseentdeckt,gehenjedoch konformmit
der bestehendenSecurityPolicy:
Application
Organisatorische
SecurityPolicy
TeamViewer
Zugelassen
für die NutzungdurchSupport-Teams
beiderRemote-Unterstützung
der Kunden
LogMeln
Zugelassen
fürdieNutzungdurchdenHelpdeskbeiderRemote-Unterstützung
vonMitarbeitern
Beschreibungder risikoreichsten
Applikationen
Die nachstehende
Tabelleist einezusammenfassende
Erläuterung
der gefundenTop-Eventsund der damit
verbundenenSecuritv-oder Geschäftsrisiken:
Applikationund Beschreibung
Kategorie App.-Risiko Events
Tor
ToristeineApplikation,
dieOnline-Anonymität
ermöglichen
soll.DieTor-Client-Software
gestelltes
leitetInternet-Traffic
durcheinweltweites,
hierfürfreizurVerfügung
Netzwerk
von
Servern,
umso beiderDurchführung
vonNetzwerk-Monitoring
oderTraffic-Analysen
den
StandodunddieNutzungsgewohnheiten
vonAnwendern
zuverbergen.
DieNutzung
vonTor
erschwert
dieRückverfolgung
vonInternetaktivitäten
wieWebsite-Aufrufen,
Online-Posts,
InstantMessages
undanderen
Kommunikationsformen
zumAnwender.
Anonymizer Kritisch
228
Ultrasurf
UltrasudisteinfreiesProxy-Tool,
vonFirewalls
dasAnwendern
dasUmgehen
undSoftware
für
dasBlockieren
vonInternet-Content
ermöqlicht.
VTunnel
(CGl)-Proxy,
Wunnelisteinfreierhältliches,
Interface
anonymes
CommonGateway
das
lP-Adressen
verdecktunddemAnwender
von
dasanonyme
Aufrufen
undAnschauen
Websites
vonSicherheitsmaßnahmen
fürdieNetzwerk-Security
sowiedasUmgehen
ermöqlichen.
Anonymizer Kritisch
Anonymizer Kritisch
18
BitTorrent
BitTorrent
isteinPeer-to-Peer
FileSharing-Kommunikationsprotokoll
undeinespezifische
Methode
fürdieweiteVerbreitung
vongroßenDatenmengen.
Esexistiert
eineVielzahl
kompatibler
BitTorrent-Clients,
diein unterschiedlichen
Programmiörsprachen
erstelltund
vonPlattformen
lauffähig
können,
aufeinerVielzahl
sind.P2P-Applikationen
ohnedassesder
Anwender
bemerkt,
zu Datenlecks
oderMalware-lnfektionen
führen.
P2PFile
Hoch
464
FileStorage
Hoch
undSharing
148
Sharing
ZumoDrive
ZumoDrive
isteinehybride
CloudStorage-Applikation.
Sieermöglicht
Anwendern
denZugriff
aufihreMusik,FotosundDokumente
überComputer
undMobiltelefone.
Daten-Sharing
in
Datenführen.
eineröffentlichen
CloudkannzumVerlustvonsensitiven
Classification:
[Restricted]
E R G E B N I S S EI M B E R E I C HZ U G R T F F S K O N T R O L L&E D A T E N S C H U T Z
Anwender,die hoch riskanteApplikationenam häufigstennutzen
NachstehendeAnwenderwaren in die am häufigstenauftretendenEventsmit riskanterApplikations-und
Web-Nutzunginvolvier.t:
lvanWhitewash
*Anmerkung:Benutzernamen
werdenin der oben stehendenTabellenur dann dargestellt,
wenn das Check Point ldentityAwarenessSoftwareBlade aktiviertund konfiguriertist.
@2014Check Point SoftwareTechnologiesLtd. All rights reserved.
Classification:[Restricted]ONLYfor designatedgroups and individuals
EX9*F,",.K"P-?
,
DArALoss-EVENrs
gehörenzu denwertvollsten
lhreGeschäftsdaten
GüternlhrerOrganisation.
JedeFormvon Datenverlust,
geplant
ob
oderunbeabsichtigt,
kannlhremUnternehmen
Schadenzufügen.Nachstehend
habenwir die
Charakteristika
derVorkommnisse
von Datenverlust
aufgelistet,
die währendder Durchführung
unsererAnalyse
identifiziert
wurden.
Die gravierendstenEreignissevon Datenverlust
Die nachstehendeListe fasst die identifizierteDatenverlust-Aktivität
und die Häufigkeit,mit der spezifischeTypen
von Datenverlustauftraten.zusammen.
Classification:lRestricted]ONLYfor designatedgroups and individuals
E R G E B N I S S EI M B E R E I C HZ U G R I F F S K O N T R O L L E
& DATENSCHUTZ
WichtigeDateien,die das Unternehmenüber HTTPverlassenhaben
Nachstehende
TabellelistetDateienauf, die aus dem Unternehmenherausqesendetwurdenund
sensitiveDatenenthaltenkönnen.
Host
Datentyp
Dateiname
URL
192.168.75.26
Kreditkadennummern
customerorders.xlsx
www.ccvalidator.com
192.168.75.48
Finanzberichte
Q4 Report- draft2.docx
www.dropbox.com
192.168.125.28
SourceCode
new feature.C
www.java-help.com
192.168.12s.10
Kundennamen
CustomerList.xlsx
www.linkedin.com
192.168j25.78
HIPAA- Geschützte
Gesundheitsinformation
MedicalFile- Rachel
Smith.pdf
www.healthforum.com
WichtigeDateien,die das Unternehmenüber SMTPverlassenhaben
Nachstehende
TabellelistetDateienauf, die aus dem Unternehmenherausqesendetwurdenund
sensitiveDatenenthaltenkönnen.
Empfänger
Datentyp
Dateiname
bella@otherBiz.com
Kreditkartennummern
CustomerInvoices.xlsx FW:Rechnungen
betty@otherBiz.com
Business-Plan
Q1 2015Goals.pdf
RE:2015Plan
doreen@otherBiz.com Namenvon Mitarbeitern
employees.xls
Mitarbeiter
zoe@otherBiz.com
Q4 salessummary.doc
RE:Q4 Sales.Vertraulich!
New Release- draft2.
docx
FW:NeuesReleasePR
Entwurf- nichtweiter
leiten!!
SalesForce-Reoorts
des
jordana@otherBiz.com Pressemitteilung
Unternehmens
Email-Betreff
02014 CheckPointSoftwareTechnologies
Classification:
[Flestricted]
I
E|thP.gh"F-?
Die wichtigstenEreignissevon Datenverlustnach Email-Absender
DieseTabellezeigt den Verlustvon Daten nach Email-Absenderin lhrem Netzwerkauf.
tommythrash@myBiz.com
jeffjosh@myBiz.com
chloecash@myBiz.com
Classification:lRestricted]ONLYfor designatedgroups and individuals
*,*-.-
p
ERGEBNISSE IM BEREICH
THREAT PREVENTATION
t
BorEvENrs
EinBot ist eineSchadsoftware,
die in lhrenComputereindringt.Sieermöglichtkriminellmotivierten
Angreifern
ohneWissenderAnwenderdie Fernkontrolle
überderenComputersysteme
zu übernehmen
unddiesefür illegale
Aktivitäten
zu missbrauchen,
wie z.B.den Diebstahl
von Daten,dieVerbreitung
von Spamund Malware,die
Beteiligung
an Denialof Service-Attacken
u.v.m.
genutzt.EinBotnetist eine
Botswerdenoft als Werkzeugefür s.g.AdvancedPersistentThreats(APTs)-Attacken
SammIung solcher,kompromittierter
Computersysteme.
Dienachstehende
llabellezeigtdie mit Botsinfizierten
HostsundderenAktivitäten
auf,die in lhremNetzwerk
identifiziert
wurden.
Mit Botsinfizierte
Hosts
8
Hostsmit installierter
Adware
1
Hostsmit SMTP-und DNSMalware-verbundenen
Events
2
SchadhafteBot-Aktivitäten
Bot-Kommunikation
mit C&C-Site
Bot-Testverbindung
Andereschadhafte Aktivitätd urch Bot-lnfektion
Netzwerkaktivität
Unenrvünschte
durch instalIierteAdware
Classification:[RestrictedlONLYfor designatedgroups and individuals
rethF,..h^,FHosts mit hoher und kritischerBot-Aktivität
Währendder Durchführung
des SecurityCheck-Upsidentifizierte
die Check Point-LösungeineAnzahlMalwarebedingterEvents,die auf Bot-Aktivitäten
schließenlassen.DieseTabellelisteteinigeBeispielevon Hostsauf, die
besondershohenRisikenausgesetztwaren.
Host
Aktivität
Nameder Gefährdung Quelle
192.168.75.7
Kommunikation
mit
c&c
Operator.Virus.Win32.
Sality.d.dm
yavuztuncil.ya.funpic.de/images/
=16091281
logos.gif?f588g1
Ooerator.Confic ker.bhvI
zsgnmngn.net
Operator.Zeus.bt
zsxwd.com
10.10.2.32
DNS Client-Anfrage
oder DNS Serverlöst in
eine C&C-Siteauf
DNS Client-Anfrage
192.168.75.22 oder DNS Server
C&C-Site
172.23.25.35
DNSClient-Anfrage
oderDNSServer
C&C-Site
Operator.
zwoppfqnjj.com
BelittledCardigan.u
10.100.2.33
DNS Client-Anfrage
oder DNS Server
C&C-Site
Operator.APTl
.cji
zychpupeydq.biz
10.1.1.22
DNSClient-Anfrage
oderDNSServer
C&C-Site
Operator.Vi
rus.Win32.
Sality.f.h
zykehk.com
WeitereDetailsüber die im RahmendiesesReportsidentifizierte
MalwarefindenSie im Check PointThreatWiki,
Check Pointsfrei verfügbarerMalware-Datenbank,unter threatwiki.checkpoint.com
Classification:
[Restricted]
E R G E A N I S S EI M B E R E I C HT H R E A TP R E V E N T A T I O N
Häufigste,aus dem Web heruntergeladen
e Zero-day-Malware
Datei
Malware-Aktivität
Host
Quelle
0dd730ed4.pdf
Unerwarteter
Prozessabbruch/
Crash
192.87.2.7
www.lostartofbeingadame.com/
wpcontenVplugins/
www.fotosupload.php
guide04d88.pdf
SchadhafteDateisystemaktivität
Schadhafte Netzwerkaktivität
10.23.33.24
Schadhafte Verzeichnisaktivität
g
gun
UnerwarteteProzess-Erzeu
UnerwarteteProzess-Beendigung
silurian.cn/mod
ules/mod cmsfir:/
fix.php
Häufigste,per Email(SMTP)verschickteZero-day-Malware
Datei
Notice231488.doc
invoiceBQWSOY.doc
Summit_Agenda.doc
Sender
Empfänger Betreff
logistics@
asia@
shippingoods.com mybiz.biz
No-Replay@
shop.sip
events@
conferences.org
Malware-Aktivität
MalwareeaeugteinenweiterenProzess
Malwareeaeugtverdächtige
Dateien
VersandinforMalwarefragtModul-Namen
ab
mationen
Malwarevermehdsichselbst
Malwareverändertden Browserverlauf
Malwareschädigteinenanderen
Prozessauf dem System
Malwareeaeugt einenweiterenProzess
Malwareezeugtverdächtige
Dateien
MalwareezeugteinenSuspended
Status
(umeinenProzesszu umgehen)
Malwarelöschtsichselbst
MalwarefragtModul-Namen
ab
Malwareläuftim Kontexteinesanderen
Prozesses
MalwareezeugteinenChildProcess
MalwareverfälschtBrowserverlauf
jhon@
mybiz.biz
lhre
Rechnung
marketing@
mybiz.biz
MalwareezeugteinenweiterenProzess
Malwareezeugt verdächtigeDateien
Agenda
MalwareeaeugteinenSuspended
Status
(umeinenProzesszu umgehen)
für die
anstehende Malwarelöschtsichselbst
Veranstaltung MalwarefragtModul-Namen
ab
Malwareverändert
wichtige
Systemdateien
@2014 CheckPointSoftwareTechnologies
Classification:
[Restricted]
ffiE
thP.gh.,P-?
4
7
TNTRUSToN& ATTAoK-EVENTS
Die häufigstenIntrusion-& Aüack-Events
Die Check Point-Lösungidentifizierte
im Rahmender Security-Analyse
eineAnzahlvon Vorfällen,die
im Zusammenhang
mit IntrusionPreventionstehen.EinigedieserEventswurdenals hochgradigriskant
kategorisiert.Die nachfolgendeTabellelistet die gefundenVorfälleund den entsprechendenSchweregradauf.
Schweregrad EventName
MicrosoftSCCM ReflectedCross-siteScripting(MS12-062)
Kritisch
CVE-Liste*
Häufigkeit
cvE-2012-2536
5
JoomlaUnauthorized
FileUploadRemoteCode Execution
2
Web ServersMaliciousHTTPHeaderDirectoryTraversal
1
lmageMagickGIFCommentProcessingOff-by-oneBuffer
Overflow(CVE-201
3-4298)
cvE-2013-4298
3
Adobe FlashPlayerSWF FileBufferOverflow(APSB13-04)
cvE-2013-0633
2
PHPphp-cgiquerystringparametercode execution
cvE-2012-1823
1
OracledatabaseserverCREATETABLESSQL iniection
cvE-2007-3890
4
Hoch
-CVE(CommonVulnerabilities
and Exposures)ist ein Dictionaryfür öffentlichbekannteSecurity-Schwachstellen.
WeitereInformationen
zu einemspezifischenIPS-EventfindenSie mithilfeder entsprechenden
CVE-lDauf der
NationalVulnerability
DatabaseCVE-Webpage.
Classification:
[Restricted]
ERGEBNISSE IM BEREICH THREAT PREVENTATION
IPS Eventsnach Ländern
NachstehendeKartezeigtdie Verteilungvon IPS-Eventsauf die jeweiligenUrsprungsländer.
.,-Activity Level-'*"---',
-Top 5 Countries-.*-----"-'. . , -'Event Statistics
United Kingdom p3 events)
United States (54 evenB)
Austlalia (37 events)
Japan (36 events)
Germany (24 events)
' : Countrieswith Activity(21)
'
':
,
.i
,
i !rop:.
i $ ruextrops.
i!o.t",,
'
l
:
i f] Noraivity
g 9l]F,gh,F.gn
ERGEBNIS SE IM BEREICH
ENDPOINT SECU R ITY
DieserAbschnittstelltdie Security-Ergebnisse
dar,die im Zusammenhang
mit den Hostsin lhrerInfrastruktur
stehen.Er fasst dieseErgebnissezusammenund gibt detaillier.te
pro Security-Vektor.
Informationen
DerAbschnitt,,Problembehebung"
stelltEmpfehlungen
für die Adressierung
der gefundenen
Ereignisse
vor.
- Zusammenfassung
EndpointSecurity-Events
Endpointsgesamt,auf denenhoch riskanteApplikationen
laufen
o
Endpointsgesamt,die in Vorfällevon Datenverlust
involviertsind
19
Endpointsgesami,die in Intrusion& Attack-Events
involviert
sind
20
Endpointsgesamt,die in Malware-Vorfälle
involviertsind
848
Top-Endpoints,
auf denenhoch riskanteApplikationenlaufen
Nachfolgende
Tabellelistetdie Endpoint-Rechner
auf,auf denenam häufigsten
hoch riskanteApplikationen
laufenoder die auf hoch riskanteWebsiteszuqeqriffenhaben:
Suuree
39tr.16&?#l
1{1J0.10J35
18I.r693.33
19I16&5.ffi
19:.1f&5.33
10.10.33"335
17r-?fJ5,11
1oJn?r.31
1n10.1.335
ÄpSi<*furnlSite
?'irror
* *ursr*
*rn*rpr*
t
*nqpxir*
Coralcdn
p wunne
ü rugi+.r
Anffq4*s
ü? s"t*r""*
*nclWr*s
I
itof*
# poeuxwr'r
1Sr.Ifi85"39
}t rp.oov
{S soe*"rt
LSJ3.tfJ
fl
19x.r68.66.3
h{ütchr*{aüqory
*s D+ltdorr*t-RÄT
# ürspbor
@2014CheckPoiniSoftwareTechnologies
C l a s s i f i c a t i olnR:e s t r i c t e dOl N L Yf o r d e s i g n a t eE
d r o u p sa n d t n d i v t o u a l s
flf
Fh5lratirg
Ino*yct*ler
Äpp Rirle
E g.i*..t
E crttLs
E c**.rl
E
E
E
E
c*."r
g*u.rr
c*i.s
cr;u*t
Anmrfr!*xrr
gnsayn*ra
E c*i..1
FIPFlhstsing
E cticcg
E crffi."t
E ngrt
fiEfimc Ädr*ini*stisn
Fih Storägcard SharirE
E c*t.r
WichtigsteEndpointsmit Intrusion-& Attack-Events
FolgendeTabellelistetdie wichtigstenEndpoint-Rechner
mit IntrusionPrevention-bezogenen
Vorfällenauf.
Schweregrad
Event-Name
192.87.2.47
192.168.75.27 Kritisch
MicrosoftSCCM ReflectedCross-site
Scripting(MS12-062)
192.78.2.214
1 9 2 . 1 6 8 . 7 5 . 5 8 Kritisch
JoomlaUnauthorized
FileUpload
RemoteCode Execution
192.84.2.220
1 9 2 . 1 6 8 . 7 5 . 5 8 Kritisch
WebServersMaliciousHTTPHeader
DirectoryTraversal
CVE-Liste
cvE-2012-2536
1 9 2 . 8 5 . 2 . 1 3 31 9 2 . 1 6 8 . 7 5 . 5 8 Kritisch
lmageMagick
GIFComment
Processing
Off-by-oneBuffer
Overflow(CVE-20
13-4298)
cvE-2013-4298
192.116.2.151 1 9 2 . 1 6 8 . 7 5 . 5 8 Kritisch
Adobe FlashPlayerSWFFileBuffer
Overflow(APSB13-04)
cvE-2013-0633
192.195.2.88
1 9 2 . 1 6 8 . 7 5 . 6 0 Hoch
PHPphp-cgiquerystringparameter
codeexecution
cvE-2012-1823
192.87.2.211
'192.168.86.3
OracledatabaseserverCREATE_
TABLESSQL injection
cvE-2007-3890
Hoch
Classification:
[Restricted]
# LhP.gh,.P-?
WichtigsteEndpoints,die in Vorfällevon Datenverlustinvolviertsind
Nachstehende
Tabellelistetdie Haupt-Endpoint-Rechner
auf, die von DataLoss-Eventsbetroffensind.
Endpoint
Events
Gesendete Daten
4
Kreditkartennummern
1
Business-Plan
192.'168.75.0
5
Finanzberichte
192.168.125.0
4
Source-Code
192.168.86.47
4
- Vertraulich
Outlook-Nachricht
192.168.86.38
2
ngsnummern
US-Sozialversicheru
192.168.125.36
WichtigsteEndpoints,die in Malware-Vorfälle
involviertsind
FolgendeTabellezeigtdie Top-Endpoint-Rechner,
die in Malware-bezogene
SecurityEventsinvolviertsind.
Host
Threat-Name
Malware-Aktivität
1 9 2 . 1 6 8 . 8 6 . 8 Operator.Vi
rus.Win32.Sality.f
.h DNS ClientQueryoder DNS Serverbeseitigteine C&C Site
1 9 2 . 1 6 8 . 7 5 . 0 Operator.APTl.cji
DNS ClientQueryoder DNS ServerbeseitigteineC&C Site
192.168.75.3
Sality.d.dm
Kommunikation
mit C&C
192.168.75.7
REP.yjjde
Zugriflauf bekanntlich Malware-infiziefte Site
RogueSoftware.Hack_Style_
192.168.75.10
RAT.pbco
Kommunikation
mit C&C
192.168.75.1T
3 rojan.Win32.Agent.aaeyr.cj
DownloadeinesschadhaftenFiles/Exploits
Ltd-All rightsreserved.
Classification:
lRestricted]
COM PLIANCE SECU RITY-ANALYSE
DieserAbschnitt stellt eine detaillierteAnalyseder SecurityPoliciesfür lhre bestehendeCheck point NetzwerkSecurity-Umgebungdar. Die Analysewurde mithilfedes Check Point ComplianceSoftwareBladesdurchgeführt,
das eine umfassendeBibliothekvon hundertenvon SecurityBest Practicesund Empfehlungen
für eine
Verbesserungder Netzwerksicherheitlhrer Organisationnutzt.
SecurityPolicyCompliance
DasCompliance
SoftwareBladeüberprüftdie Konfiguration
lhresSecurity-Managements,
lhrerGatewaysund
installierten
SoftwareBlades.
DieErgebnisse
wurdendannverglichen
mit Beispielen
für unsereSecurityBestpractices.Dabeiwurde
festgestellt,
dassvonunseren102empfohlenen
BestPractices
67 vollständig
compliant
waren,jedoch35 fehlten
odernichtmit unseren
Empfehlungen
konformgingen.Diesresultiert
insgesamt
in einemCompliance-Level
von
650/o.
650/o
compliantmit denempfohlenen
checkpointsecuritvBestpractices
102
Analysierte
SecurityKonfigurationen
67
Configurations
foundcompliant
35
Für compliantbefundeneKonfigurationen
12
ÜberwachteSecurityGateways
rethF..,h,,F."
Zusammenfassungzu den gesetzlichgeregelten
GomplianceBestimmungen
Die nachstehende
Tabellestelltdas Compliance-Level
lhrerNetzwerk-Security
bezüglichder gesetzlich
vorgegebenen
Compliance-Regeln
dar.DieserStatuswird durch die Analyseverschiedener
Check Point
SecurityGateway-Konfigurationen
und SoftwareBlade-Einstellungen
sowie derenVergleichmit den gesetzlichen
Anforderungenfestgestellt.
Anzahlder Anforderungen
Anzahl der Security
Best Practices
lso 27001
27
102
7B%
PCI DSS
55
102
86%
HIPAA
16
102
78%
DSD
14
68
67%
GLBA
5
102
45o/o
NtsT800-41
22
25
B5%
tso 27002
198
102
77o/o
NtsT800-53
25
71
86%
tc
102
66o/o
I
29
49%
FirewallSTlG
30
54
87%
G P G1 3
9
31
87%
N E R CC I P
B
56
74o/o
MASTRM
25
102
77o/o
tc
102
66%
25
71
87%
Bestimmung
CobiT4.1
UKData
Protection
Act
SOX
FIPS2OO
Classification:
lRestricted]
Compliance-Status
C O M P L I A N C E S E C UR I T Y - A N A L Y S E
Best PracticesCompliancenach SecuritySoftwareBlade
Nachstehende
Tabellezeigtden allgemeinenSecurity-Status
für jedes SoftwareBlade.Check Pointempfiehlt
für jedes SoftwareBladeeine Reihevon Best Practices.Bei einemWertvon 100% wurdefestgestellt,dass
für diesesBladesämtlicheBest Practicesrichtigkonfigurierlsind. EinWertvon wenigerals 100% weist auf
Konfigurationen
hin, die nicht mit dem empfohlenenBest Practicesübereinstimmen
und daherein potentielles
Sicherheitsrisiko
für lhre Umgebungdarstellen.
Anzahl der
Best Practices
Security-Status
Data Loss Prevention
2
7%6
IPS
4
29o/o
ApplicationControl
'13
MobileAccess
3
66%
lPSecVPN
to
73%
URLFiltering
5
87%
Firewall
35
BB%
Anti-Virus
13
91%
Anti-Spam& Mail
3
100%
Anti-Bot
8
100%
Security Software Blade
54o/o
@2014 CheckPointSoftwareTechnologies
Classification:
[Restricted]
ffi ghP.gh*P."g
Die wichtigstenResultate
SecurityBest Practices-Gompliance:
Nachstehende
Tabellelistetdie wichtigstenSecurityBest Practicesauf, die als fehlendoder nichtvollständig
konfiguriertfestgestel
lt wurden.
Status
Blade
ID
Name
Firewall
FW101
Überprüfen,ob die "Cleanup"-Regelin der FirewallRuleBasedefiniertist
0%
Firewall
FW102
Überprüfen,ob Anti-Spoofingauf jedem Gatewayaktiviertwordenist
0%
Firewall
FW103
Überprüfen,ob Anti-Spoofingauf jedem Gatewayauf Prevent
eingestelltist
o%
Firewall
FW105
Überprüfen,
ob jede FirewalldefinierleTrackSettingshat
0%
Firewall
FW130
Uberprüfen,ob ,,StealthRule"in der FirewallRuleBasedefiniertist
o%
Firewall
FW152
einenNamendefinierthat
Überprüfen,ob jede Firewall-Regel
0%
Firewall
FWl53
einenCommentdefinierthat
Überprüfen,ob jede Firewall-Regel
o%
Firewall
FWl07
Überprüfen,ob für jedes Gatewayein zusätzlicherLog-Serverfür die
definiertist
Speicherungder Firewall-Logs
o%
Firewall
FW116
aktiviertist
in den Firewall-Settings
Überprüfen,ob NAT/PAT
87%
Firewall
FW146
Überprüfen,ob in der FirewallRuleBasekeine,,AnyAny Accept"-Regel
definiertist
0%
Firewall
FW'159
accountafter"
dass ,,LockoutAdministratorYs
Überprüfen,ob Feststellen,
ausoewähltist
o%
Firewall
FW160
nach 3 fehl geschlagenenLoginÜberprüfen,ob Administratoren
Versuchenausgeloggtwerden
o%
Firewall
FW161
accountafter"ausgewähltist
ob ,,UnlockAdministratorVs
Uberprüfen,
0%
Firewall
FW162
accountsnach 30 Minutenentsperft
Überprüfen,ob AdministratorYs
werden
0%
Firewall
FW163
einedetaillierte
Überprüfen,ob für abgemeldeteAdministratoren
Nachrichtangezeigtwird
o%
Classification:
IRestricted]
BANDBREITEN-ANALYSE
Nachfolgender
Abschnittfasst die Bandbreitennutzung
und das Webbrowsing-Profil
lhrerOrganisation
während
der DauerdieserAnalvsezusammen.
StärksteBandbreitenbelegung
nach Applikationen& Websites
Classification:
ONLYfor designatedgroupsand rnd;viduals
[Restricted]
regrP.gh,P,"
WichtigsteWeb-Kategorien
FolgendeTabellelistetdie 10 meistgenutztenKategorienund die Anzahlder Trefferdurch Internetnutzung
der
Mitarbeiterauf.
AnzahlTreffer
o/oaller Treffer
SocialNetworking
113
31,65%
Webmail
42
11,760/o
VideoStreamino
36
10,o8yo
SearchEngines/ Poftals
35
9,80%
Multimedia
29
8,12%io
Browser
Plugin
25
7,OOo/o
Business
Applications
15
4,20Vo
MediaSharing
13
3,64yo
NetworkUtilities
9
2,52yo
Other
40
11,200/o
Total
357
lOOo/o
Kategorie
(MB)durch SocialNetworking
Bandbreitenbelegung
Die NutzungSozialerNetzwerkeist nicht mehr nur zu Hausesondernauch am Arbeitsplatzgebräuchlich.
Viele
UnternehmennutzenSocialNetwork-Technologien
für lhre Marketing-und Vertriebsmaßnahmen
sowie ihre
Personalbeschaffung
lm LaufedieserAnalyseund in Übereinstimmung
mit generellerkennbarenMarkttrendsbelegtennachstehende
SocialNetwork-Seiten
die meisteNetzwerkbandbreite:
600
518MB
500
400
300
200
100
0
% %
Classification:
fRestricted]
\o,
EMPFEHLUNGEN FUR DIE
PROBLEMBEHEBUNG
EMpFEHLUNGEN
rün ZUcRIFFSKoNTRoLLE
&
DATENSCHUTZ
DieserReportadressieftin verschiedenen
Securitv-Bereichen
identifizierte
und unterschiedlich
kritische
Sicherheitsvorfälle.
Nachstehende
Tabellefasst die kritischstendieserVorJälle
zusammenund stelltAnsätzevot die damit
verbundenenRisikenzu entschärfen.
Check PointbietetzahlreicheMethodenfür die Adressierung
dieserGefahrenund entsprechender
Sicherheitsbedenken
an. FürjedenSicherheitsvorfall
werdenanhanddes SoftwareBlades,das die hierfür
geeignetenAbwehrmechanismen
umfasst,die entsprechendrelevantenSchutzmaßnahmen
vorgestellt.
Empfehlungen
für die Problembehebung
bei Web Security-Events
Applikation/Site
App.-Risiko
Vorfälle
Tor
Kritisch
228
Ultrasurf
Kritisch
51
Vtunnel
Kritisch
18
BitTorrent
Hoch
464
ZumoDrive
Hoch
148
Schritte zurAbhilfe
Mit Hilfeder ApplicationControl-und URL FilteringSoftwareBladeskönnenSie die Nutzungaller
genanntenApplikationenund Websitesaktivieren,
nachverfolgen
und unterbinden.Sie könneneine
granularePolicydefinieren,um z. B. nur bestimmten
Gruppendie NutzungbestimmterApplikationenzu
erlauben.
NutzenSie UserCheckum
o die Anwenderüber die Regelnfür die Web- und
Applikationsnutzung
im Unternehmenaufzuklären
r lhreAnwendersoforl darüberzu informieren,
wenn
derenAktionendie SecurityPolicyverletzen.
WeitereInformationenhierzufinden Sie unter http://wwwcheckooint.com/products/apolication-controlsoftware-blade/index.html und http://www.checkpoint.com/products/url-filtering-software-blade/.
Classification:
lRestricted]
ffiEthP,.,h^,F-?
Empfehlungen
bei Data Loss-Events
'Events
Schweregrad
Daten
Kritisch
Kreditkartennummern
14
Business-Plan
1
Finanzberichte
3
SourceCode
12
Hoch
Schritte zur Abhilfe
AktivierenSie das DLP Software
Blade,um die entdecktenVodällezu
beheben.Konfigurieren
Sie eine DLP
Policy,basierendauf dem entdeckten
DlP-Datentyp,und wählenSie eine
Aktion (ErkennenA/erhindern/Benutzer
fragen/etc.).Wenn Sie den entdeckten
Datentypals sensitiveInformation
einstufen,ist die empfohleneAktion
,,Verhindern".
vertraulich
Outlook-Nachricht.
147
SetzenSie UserCheckein, um
e die Mitarbeiterüber die Daten-
Lohnabrechnung
25
Mittel
US-Sozialversicherungsnummern
15
Für weiterelnformationen
klickenSie auf
http://www.checkpoint.com/products/dl p-software-blade/index.html
O2014CheckPointSoftwareTechnologies
Classification:
[Restricted]
nutzungsregeln
im Unternehmen
aufzuklären.
den MitarbeiternsofortigeRückmeldungzu geben,wenn ihre
Aktivitätendie Sicherheitsregeln
für
verletzen.
die Datennutzung
E M P F E H L U N G E NF Ü R D t E P R O B L E M B E H E B U N G
EMPFEHLUNGEN
FURTHREATPREVENTION
Empfehlungenfür die Problembehebung
bei Vorfällenvon Malware
Malware
REP.yjjde
Schweregrad
Events
Kritisch
36
Kritisch
Sality.d.dm
28
Operator.Conficker.
bhvl
Hoch
zt
Operator.Zeus.bt
Hoch
11
Operator.
BelittledCardioan.u
Hoch
8
AktivierenSie das Check Point Anti-Bot Software
Blade,um Bot-infizierte
Rechnerzu erkennenund
entsprechende
Schädenzu verhindern.AktivierenSie
das Check PointAnti-VirusSoftwareBlade,um das
Herunterladen
von Malwarezu verhindern.
AktivierenSie das Check PointThreatEmulation
SoftwareBladefür den Schutzvor neuenund
unentdecktenMalware-Gefahren.
Für die Wiederherstellung
einerinfiziedenMaschine
findenSie im Check PointThreatWikiweitere
Informationen
zu der gefundenenMalwareund
Empfehlungen
zur Fehlerbeseitigung.
FolgenSie im
nächstenSchrittden Problembehebungsinstruktionen
auf der,,MalwareRemediationSteps"-Webpage.
WeitereInformationen
hierzufindenSie auf
http://www.checkpoint.com/products/anti-bot-software-blade/index.html
http://www.checkpoi nt.com/products/antivirus-software-blade/
http://www. checkpoi nt.com/products/threat-emulation/.
28
O2014CheckPointSoftwareTechnologies
Classification:
[Restricted]
E| 9SF,gh"P-?
Empfehlungenfür die Problembehebungbei Intrusion-& Attack-Events
MicrosoftSCCMReflectedCross-site
(MS12-062)
Scripting
Joomla UnauthorizedFileUpload
Remote Code Execution
Aktivieren
SiefolgendeSchutzvorrichtung
im CheckPointIPSSoftwareBlade:
MicrosoftSCCMReflected
Cross-site
Scripting(MSl2-062)
AktivierenSie folgendeSchutzvorrichtungim CheckPointIPSSoftware
Blade:
Joomla UnauthorizedFile Upload
Remote
Gode Execution
MicrosoftActiveDirectoryLSASS
Recursive
StackOverflow[M509-066]
AktivierenSie folgendeSchutzvorrichtung
im Check Point IPS SoftwareBlade:
Microsoft Active Directory LSASS
Recursive Stack Overflow [MS09-066]
WeitereInformationenhierzufinden Sie unter http://www.checkpoint.com/products/ips-software-blade/.
@2014Check Point SoftwareTechnologiesLtd. AII rights reserved.
-E::..":.,::
'-:----
29
E M P F E H L U N G EF
NÜ R D I E P R O B L E M B E H E B U N G
EMPFEHLUNGEN
FURDIEPROBLEMBEHEBUNG
BEI
ENDPOINT SECURITY-EVENTS
in verschiedenen
DieserAbschnittadressiertidentifizierte
EndpointSecurity-Events
Security-Bereichen
und
von unterschiedlichem
Die
nachstehenden
Tabellen
zeigen
die
kritischsten
dieser
Vorfälle
auf und
Schweregrad.
stellenAnsätzevor,die damit verbundenenRisikenzu entschärfen.
SicherheitsCheck PointbietetzahlreicheMethodenfür die Adressierung
dieserGefahrenund entsprechenden
bedenkenan. FürjedenSicherheitsvorfallwerden
anhandder EndpointSoftwareBlades,die die hierfür
geeignetenAbwehrmechanismen
vorgestellt.
umfassen,die entsprechendrelevantenSchutzmaßnahmen
WebSecurityEvents- Empfehlungen
am Endpoint
Host
192.168.75.36
192.168.75.71
Applikation/Site
Tor
Ultrasurf
Risiko
Kritisch
Check Point Endpoint Security kontrolliertdie
Nutzunghoch riskanterApplikationenund Websites
selbstdann,wenn sich der Endpointaußerhalbdes
befindetund keineNetzwerkUnternehmensnetzwerks
Security-Lösungaufweist.
Kritisch
NutzenSie das Check Point Program Control Software
Blade um nur genehmigteProgrammeauf dem
Endpointzuzulassenund nichtgenehmigteoder nicht
vedrauenswürdige
Programmezu unterbinden.
NutzenSie das WebGheck Endpoint Software Blade um
das Unternehmenvor Web-basierten
Gefahrenwie Drivebyzu
Downloads,PhishingSitesund Zero-day-Attacken
schützen.
192.168.86.0
192.168.86.19
Wunnel
BitTorrent
Kritisch
Hoch
NutzenSie das Check Point ComplianceGheck Software
Blade um festzustellen,
ob ein bestimmtesProgrammauf
dem Endpoint-Gerät
ausgeführlwird und begrenzenSie
soweiterforderlich.
dessenNetzwerkzugriff,
Kontrollieren
Sie den eingehendenund ausgehenden
Datenverkehr
mit dem Endpoint
FirewallSoftware Blade um den Zugriffauf spezifische
Porls und Netzwerk-Services
einzuschränken.
NutzenSie UserGheckum:
. Die Mitarbeiterüber die Nutzungsregeln
lhresUnternehmensfür Browserund Applikationenaufzuklären
192.168.86.30
ZumoDrive
Hoch
. Die Nutzersofortzu informieren,
wenn ihreAktivitäten
gegendie SecurityPolicyverstoßen.
zu den Check PointEndpointSecuritySoftwareBlades:
HiererhaltenweitereInformationen
. ZumProgramControlEndpointSecuritySoftwareBladeunter:
http://www.checkpoi nt.com/prod ucts/anti -ma lwa re-program -control/i ndex.htmI
. ZumWebCheckEndpointSecuritySoftwareBladeunter:_
http://www.checkpoi nt.com/prod ucts/webcheck/index. htm I
. Zum Compliance
CheckEndpointSecuritySoftwareBladeunter:
http://www.checkpoint.com/products/firewall-compliance-check/index.html
. Zum FirewallEndpointSecuritySoftwareBladeunter:
http://www.checkpoint.com/products/firewall-compliance-check/index.html
Classification:
lRestricted]
ffi ghF.",.h-P*?
Intrusion& Attack Events- Empfehlungen
für die
Problembehebung
am Endpoint
Quelle
Zieladresse
Event-Name
192.87.2.47
192.168.75.27
MicrosoftSCCM Reflected
Cross-siteScripting(MS12-062)
192.78.2.214
192.168.75.58
JoomlaUnauthorized
FileUoload
RemoteCode Execution
192.84.2.220
192.168.75.58
Web ServersMaliciousHTTP
HeaderDirectoryTraversal
192.85.2.133
192.168.75.58
192.116.2.151
19 2 . 1 6 8 . 7 5 . 5 8
192.195.2.88
192.168.75.60
192.87.2.211
192.168.86.3
NutzenSie das Endpoint
Compliance Software Blade
um zu prüfen,ob die Endpoints
in lhrerOrganisation
mit den
jüngstenSecurity-Patches
und
Uodatesaktualisiert
sind.
Das Endpoint Compliance
Software Blade wird sicherstellen,dass die Endpoints
selbstdann geschütztsind,
des
Adobe FlashPlayerSWFFileBuffer wennsie sichaußerhalb
Unternehmensnetzwerks
Overflow(APSB13-04)
befindenund keinenNetzwerkPHPphp-caiquerystringparameter Security-Schutz
haben,etwa
codeexecution
beim Arbeitenvon zu Hause
oder von unterwegsaus.
Oracledatabaseserver
CREATE_TABLES
SQL injection
lmageMagick
GIFComment
ProcessingOff-by-oneBuffer
Overflow (CVE-20 13- 4298)
Sie erhaltenweitereInformationen
zu nachstehenden
Check PointEndpointSecuritySoftwareBladesunter:
. FirewallEndpointSecuritySoftwareBladehttp://www.checkpoi nt.com/products/f i rewall-compliance-check/index.htm I und
. ComplianceCheck EndpointSecuritySoftwareBladehttp://www.checkpoint.com/products/firewall-compliance-check/index.html
Classification:
[Restricted]
JI
Data Loss Events- Empfehlungen
am Endpoint
Host
Tvp
192.168.75.0
NutzenSie das Check Point Full Disk Encryption
Software Blade um sensitiveInformationen
auf
Kreditkartennummern
Endpoint-Festplatten
einschließlichBenutzerdaten,
Betriebssystemdateien
und temporäreoder gelöschte
verlorengehenoder gestohlenwerden.
192.168.86.47
Business-Plan
NutzenSie das Check Point Media EncryptionSoftware
Blade für die Verschlüsselung
sensitiverDaten,die
auf mobilenDatenträgern
hinterlegtsind,sowiefür die
individuelle
VerwaltungdieserDevices.
192.168.125.0
Source-Code
Durchden Einsatzdes Gheck Point Document Security
Software Blades gestattenSie den Zugrifi auf sensitive
Dokumenteausschließlich
den dafürautorisierten
Personen.
SetzenSie UserOheckein, um
o die Mitarbeiterüber die Datennutzungsregeln
im
192.'168.125.36
Lohnabrechnung
Unternehmenaufzuklären.
. den MitarbeiternsofortigeRückmeldungzu geben,wenn
ihreAktivitätendie Sicherheitsreqeln
für die Datennutzuno
verletzen.
KlickenSie auf nachstehendeLinks,um weitereInformationen
zu folgendenCheck Point Endpoint Software
Security Blades zu erhalten:
. FullDisk EncryptionEndpointSecuritySoftwareBlade:
http://www.checkpoi nt.com/products/f u Il-disk-encryption/i ndex.htm I
r MediaEncryptionEndpointSecuritySoftwareBlade:
http://www.checkpoi nt.com/products/med ia-encryption/index.htm I
o DocumentSecurityEndpointSecuritySoftwareBlade:
httos://documentsecurity.checkpoint.com/ds-portal/
Classification:
lRestricted]ONLYfor designatedgroupsand individuals
ry ghF..,h,.F-?
MalwareEvents- Empfehlungen
am Endpoint
Host
Schweregrad
192.53.2.161
Kritisch
NutzenSie das Check Point Endpoint Anti-Malware Software Blade
um Gefahrenwie Malware,Viren,KeystrokeLogger,Trojanerund Root
Kits zu erkennenund lhre Endpointsvor Infektionen
zu schützen.
Kritisch
unternehmensweiten
Endpointsauch dann schützen,wenn sie sich
außerhalbdes Unternehmensnetzwerks
befindenund nicht über einen
Netzwerk-Security-Schutz
verfügen,etwa beim Arbeitenvon zu Hause
oder von unterwegsaus.
Kritisch
SetzenSie das Endpoint ComplianceSoftware Blade ein um
sicherzustellen,
dass die Endpointsmit den jüngstenSecurity-Updates
aktualisiert
sind und mit der Security-Policy
lhrerOrganisation
konform
gehen.
192.59.2.27
Kritisch
Zur Unterstützung
der Problembehebung
auf eineminfiziertenRechner
findenSie im Gheck Point ThreatWikizusätzlicheInformationen
und Lösungsempfehlungen
zur gefundenenMalwareund den damit
potentiellen
verbundenen,
Risiken.
192.59.2.79
Kritisch
NutzenSie UserCheckum lhre Mitarbeiterüber die Nutzungsregeln
für den Einsatzvon Webbrowsernund Applikationenin lhrem
Unternehmenaufzuklären.
lPvll
192.57.2.32
192.57.2.209
lt
Äl
ltl-lvl(ttwctt
ti
KlickenSie auf nachstehendeLinks.um weitereInformationen
zu folqendenCheck PointEndoointSoftware
SecurityBladeszu erhalten:
o Anti-MalwareEndpointSecuritySoftwareBlade:
http://www.checkpoint.com/products/anti-ma lware-program -control/index. htm I
e Firewall& ComplianceCheck EndpointSecuritySoftwareBlade:_
http://www.checkpoint.com/oroducts/firewall-compliance-check/index.html
Durchführungeines umfassendenEndpointSecurityAnalysis-Reports
Für eineumfassendere
AnalyselhrerEndpointsim Hinblickauf derenSecurity-Status
und potentielleRisiken
führenSie den EndpointSecurityAnalysis-Report
aus oder kontaktieren
Sie den lokalfür Sie zuständigenCheck
Point-Reoräsentanten.
w
Endpoint Security
2t41201410:55:38
AM
Overall ron;-.iiar<e r-.:;ije
High Risl
€*+
'
Dataicss I Low Risk
:olenüalerD.tr'ec;{en5it:.ej:T.-,Ered3t!:c
Lnartacras:93n'€j
e
Äe-ov.b!.
I
i-inrirlhL)rized
Access
I MediumRisk
E'\!,^Err'iil)
ThreatsI High Risk
Potentäl isl 1f mah\Bre infd:o.9:^r
of icmp"1e.9lc be -9ec bj
patre
JGü1h3ßieO
57
S
*ei,:
O
üp{c-cd!e
Found 2
g
Sh.red frld..!
fand
5
itl
Mili.icls
Arp:'caricns
Nor FdM
g
Fe",.re&{es
Found
I
Q
rni v
acr.ue lct<::::
P:q rFi{-t,ö.5
Not Found
g
tte:Ä..c!r:aonti:i
I
ii*-,.ü,
Frk 5r3.rg !rpr;rn!.ns
Not Found
B
r,*".1r
Föünd
@
!s,e'Apo;,carcn:
Q
::-r"re elrte'e:::ro:dan
Found
t.n<e!
4ir
8lu.laö:i
f,eecs
O
lrt{H+j
aAI E4{'cnt
O
I
Fdnd
Classification:
[Restricted]
lc(äi Äd-in:i.re.;.
Found
NotFosnd
_r.-s:--_
m:lf,.re ''an"*,r.
No, Fourd
"rs
sch.röre
Found
I
Found
Fourd
Not Found
EMPFEHLUNGEF
NÜ R D I E P R O B L E M B E H E B U N G
./
BLADE- EMPFEHLUNGEN
FÜRDIEPRoBLEMBEHEBUNG
COMPLIANCE
7
DieserReportadressiertidentifizierte
Security-Konfigurationen,
die sich über sämtlicheCheck PointSoftware
Bladeshinwegauswirkenund zu beachtensind.
Nachstehende
TabellelisteteinigedieserKonfigurationen
auf und gibt Anleitungfür eineVerbesserung
des
Securitv-Levels.
Risiko
Schrittezur Abhilfe
Relevante Objekte
Hoch
ErstellenSieeineneueStealthRuleoder modifizieren
die bestehende
StealthRulein den relevantenPolicyPackagesin Übereinstimmung
= GW's;
mit der folgendenDefinition:
Source= Any ; Destination
*
Service Any ; Action= Drop; InstallOn = PolicyTarget
; Time- Any.
PolicyPackageA
Hoch
ErstellenSie eine neueClean-up-Rule
oder modifizieren
Sie die
bestehendeClean-up-Rule
in den relevantenPolicyPackagesin
Übereinstimmung
mit der folgendenDefinition:Source= Any ;
Destination= Any; VPN = Any Traffic; Service- Any ; Action =
PolicyPackageB
Drop;Track Log; InstallOn = PolicyTargets;Time = Any; Beachten
Sie,dass die Clean-up-Rule
die letztein der FirewallRuleBase
aufgeführteZeilesein muss.
Hoch
AktivierenSie das automatischeUpdatender Schutzvorrichtungen
im IPSBlade
IPSGateway
CorporateGateway
Hoch
ErstellenSie eine neue Policyoder modifizieren
Sie die bestehende
Policyim ApplicationControlBlade,so dass kritischeRisikoApplikationenund Websitesblockiertwerden
PolicyPackageA
Hoch
Modifizieren
Sie die Timeout-Settings
für die Authentifizierung
in den
GlobalProperties,so dass sie zwischen20 und 120 Minutenlieqen.
GlobalProoerties
GlobalProoerties
Hoch
Definieren
für sämtlicheFirewall-Regeln
Sie ein Track-Setting
über
alle PolicyPackageshinweg.
PolicyPackageA
Regelnummer
18
Regelnummer
35
Regelnummer
64
PolicyPackageB
Regelnummer'11
Regelnummer
23
Regelnummer
88
Classification:
lRestricted]
ghP,",.h,,P*
ryE
SOFTWARE- DEFI N ED PROTECTION
HeutigelT-lnfrastrukturen
und Netzwerkesind nicht nur erheblichkomplexerund anspruchsvoller,
als noch vor
einigenJahren.Sie sind einemstetenWandelunterworfenund weisenvor allemauch keineklardefinierten
Grenzenmehrauf. Damitstehensie nicht nur für den erwünschtenZugriffdurch mobileMitarbeiterund
Drittanbieter
offen,sondernauch für immerneue,immerintelligentere
Sicherheitsgefahren.
Wie könnensich
Unternehmendennochnachhaltigschützen?
Meistsetzendie Organisationen
bereitszahlreiche,punktuelleSecurity-Produkte
ein - Produkte,die von ihrem
Ursprungher aber eher reaktivund taktischals architektonisch
ausgerichtetsind. ModerneUnternehmen
performante
benötigendagegeneineeinzigeArchitektur,die hoch
Vorrichtungen
für die Netzwerk-Security
mit
proaktiven,in EchtzeitarbeitendenSchutzmaßnahmen
verbindet.
proaktivschützen,müssenwir also umdenken,ein neuesParadigma
Wollenwir heutigeOrganisationen
entwerfen.
Software-DefinedProtection(SDP)ist eine neue, pragmatischeSecurity-Architekturund Methodologie.Sie bietet
eine Infrastruktur,
die modular,agil und vor allemSICHERist.
EinesolcheArchitekturmuss in der Lagesein,Unternehmenganz unabhängigvon ihrerGrößeund ihrem
Standortzu schützen,sowohldie Netzwerkein der Zenlraleals auch die in den Zweigstellen,
das Roamingüber
Smartphonesund anderemobileEndgeräteund auch die Nutzungvon Cloud-Umgebungen.
Die Schutzmaßnahmen
solltensich automatischan
veränderteGefährdungen
anpassen,so dass sich SecurityAdministratoren
nicht manuellmit zahllosenRatschlägen
und Empfehlungen
beschäftigenmüssen.Sie müssensich
außerdemnahtlosin die übergreifende
lT-Umgebungeinbinden
lassen,und die Architekturmuss eineschützendeBasisbilden,
die sowohl die bereitsvorhandeneninternenals auch externen
Ressourcenintelligentund kollaborativzu nutzenweiß.
Die Software-Defined Protection-Architektur
unterteilt d ie
in drei miteinanderverbundeneEbenen:
Security-lnfrastruktur
o EinenEnforcementLaye6 der auf physischen,virtuellen
und Host-basierten
Lösungenfür die Durchsetzung
der
Securityberuhtund sowohldas Netzwerksegmentiert,als
auch die hinterden Schutzmaßnahmen
stehendeLogik
selbstin sehr anspruchsvollen
Umgebungenausführt.
o EinenControl Layer,der unterschiedliche
Quellenzu
Gefährdungsinformationen
analysiertund Schutzmaßnahmen
sowie Policiesgeneriert,die von dem EnforcementLayer
ausgeführtwerden.
o EinenManagementLayer,der die gesamteInfrastruktur
orchestriertund für die gesamteArchitekturein Höchstmaß
an Agilitätsicherstellt.
Classification:
[Restricted]
Die Software-DefinedProtection(SDP)-Architektur
Durchdie Kombinationdes hoch performantenEnforcementLayersmit dem sich kontinuierlich
entwickelnden,
dynamischenund Software-basierten
ControlLayerbietetdie SDP-Architektur
nicht nur einehohe,operative
Belastbarkeit,
sondernsorgt auch für die proaktiveAbwehrsich stetigändernderGefahren.
Auf die Zukunftausgelegt,unterstütztdie SDP-Architektur
Anforderungen
sowohltraditionelle
an Policiesfür die
Netzwerk-Security
und Zugriffskontrolle,
als auch neue Herausforderungen
an die Gefahrenprävention,
wie sie
für heutigeUnternehmenerforderlichist, die auf moderneTechnologien
wie MobileComputingund SoftwaredefinierteNetzwerke(SDN)setzen.
PROTECTION
CHECKPOINTSOFTWARE.DEFINED
Check PointstelltsämtlicheKomponentenzur Verfügung,die für die lmplementierung
einervollständigenSDPArchitekturmit herausragendem
Managementund bestmöglicher
Securityerforderlichsind.
Die Software-definieden
von Check Pointhaltenjederzeitflexibelmit neuen
Schutzvorrichtungen
GefahrenSchrittund beziehenneueTechnologien
ein. UnsereLösungengenerierenneue und aktualisierte
Schutzmaßnahmen
für bekannteund unbekannteGefährdungen
und stellendas neu gewonnene
Wissenproaktivin die Cloud.Die lmplementierung
der Check PointSecurity-Lösungen
auf Basisdieses
gibt Unternehmendie Möglichkeit,selbstmodernste
fundierten,architektonischen
Security-Designs
Informationssystem
lösungen bedenkenlos in ihre Umgebungenzu integrieren.
Classification:
ONLYfor designatedgroupsand indivrduals
lRestricted]
gnP-gh,P."g
ffiffi
CHECKPOINTSDP.ENFORCEMENT
LAYER
Für die Absicherungder Grenzenjedes Netzwerksegments
bietetCheck PointeineVielzahlvon Lösungen,sog.
EnforcementPoints,die für die Durchsetzung
der Securitysorgen.Dazugehörenhoch pedormanteNetzwerkSecurity-Appliances,
virtuelleGateways,Endpoint-Host-Software
und Applikationen
für mobileEndgeräte.Check
Pointgibt UnternehmensämtlicheKomponentenan die Hand,die für den Aufbausegmentierter,
konsolidierter
und sichererSystemeund Netzwerkeerforderlichsind.
CHECKPOINTSDP-CONTROL
LAYER
Der Check Point SDP Control Layerberuht auf der Check Point SoftwareBlade-Architektur,
auf deren Basisder
Kundeflexibleund effektiveSecurity-Lösungen
erhält,die exakt seinenErfordernissen
entsprechen.Bei einer
Auswahlvon mehrals 20 SoftwareBladesermöglichtdie modulareNaturder SoftwareBlade-Architektur
dem
Kundenzunächsteine relevanteSecurity-Lösung
für einenbestimmtenEnforcementPointzu erstellenund - bei
Bedarf- seineSecurityInfrastruktur
späterallmählichauszubauen.
Next GenerationThreat Prevention
Check Pointstellteffiziente,automatisierte
Kontrollenzur Verfügung,die vielender bekanntenund unbekannten
Gefährdungen
entgegenwirken.Die Check PointThreatPrevention-Lösung
umfasst:ein integriertesIntrusion
PreventionSystem(lPS),Netzwerk-basiertes
Anti-Virus,ThreatEmulationund Anti-Bot.
Darüberhinaushat Check Pointmit Check PointThreatCloudrM
eineeinzigartige,
Cloud-basierte
Lösung
entwickelt,die aus großenDatenmengenintelligenteInformationen
zu Gefährdungen
und Schutzmaßnahmen
generlert.
Check PointThreatCloudunterstütztdie kollaborative
Bekämpfungdes Cybercrime,indemdie Lösungdem
Control Layerin Echtzeitintelligente,zu Security-lndikatorenkonvertierteThreat-lnformationen
zur Verfügung
stellt.
Next GenerationFirewallund Data Protection
Die Check Point-Zugriffskontrolle
basiertauf unsererNext GenerationFirewallin Kombinationmit zahlreichen
SoftwareBladesund ermöglichtdamit eineeinheitliche,
Kontext-basierte
SecurityPolicy:Next Generation
Firewallund VPN, User ldentityAwareness,ApplicationControl,Daten-und ContentAwareness.
Next GenerationData Protection
Check PointNext GenerationData Protectionerweiterldie Lösungum DataAwareness.Sie umfasstunser
DataLoss Prevention(DLP)SoftwareBlade,das die Überprüfungvon Contentausführtund die Inhaltevon
Filesmit Dateienabgleicht,die in den Repositories
des Unternehmens
hinterlegtsind. Darüberhinausbietet
für den Schutzvon Datenim Ruhezustand
sowieabgespeicherten
Check PointVerschlüsselungstechnologien
Datenan. DieseTechnologien
könnenan allenEnforcementPointsimplementiert
werden.Sie schützensensitive
durch nicht
Dokumenteund vertraulicheDatenvor dem Zugriffoder der Übertragungauf mobileDatenträger
autorisierteNutzer.
Classification:
[Restricted]
CHECKPOINTSDP.MANAGEMENT
LAYER
SämtlicheSchutzvorrichtungen
und EnforcementPointsvon Check Pointwerdenüber eineeinzige,einheitliche
SecurityManagement-Konsole
verwaltet.Das hoch skalierbareCheck PointSecurityManagementist in der
Lage,Millionenvon Objektenzu verwaltenund bietetgleichzeitigextremschnelleAntwortzeiten.
Modulares/mehrschichtigesCheck Point Policy Management
Check PointSecurityManagementunterstütztdie unternehmensweite
Segmentierung,
so dass Administratoren
für jedesSegmenteinespezifischeSecurityPolicydefinierenund dabeianhanddes neuen,,Layersund Sub
Layers"-Konzepts
eineAufgabentrennung
durchsetzenkönnen.Policieskönnenfür jedes Segmentdefiniert
werden.Policiesfür die Zugriffskontrolle
könnenunterNutzungverschiedener
Layerdefinierlwerden,die
verschiedenen
Administratoren
zugeordnetwerdenkönnen.So könnendann mehrereAdministratoren
simultan
an der gleichenPolicyarbeiten.
Automationund Steuerung
Check PointSecurityManagementbietetCLls und Webservice-APls,
die Unternehmendie Integrationmit
anderenSystemenwie Netzwerkmanagement,
CRM,Trouble-Ticketing,
ldentityManagementund CloudSteuerungerlauben.
Überblickmit Check PointSmartEvent
Check PointSmartEventführt Big Data-Analysen
und die Echtzeit-Korrelation
von Security-Vorfällen
aus. Es
bietetdie Möglichkeit,auf BasismehrererInformationsquellen
eine konsolidierte
und korrelierteÜbersicht
zu einemspezifischen
Vorfallzu erstellen.DieAnalyseder Security-Events
liefertanwendbare,intelligente
Informationen
in Formvon Threat-lndikatoren,
die über die ThreatOloudverbreitetund so die erkannten
Gefährdungen
in Echtzeitblockierenkönnen.
.i."*rBrM
i-
,,
,
t
i
d*
Tfir*äl Frrlr,rfrntr*il
a
a]}
! ril_l
]
Ü:
r.,i
EventManagementmit CheckPointSmadEvent
ErfahrenSie mehr über Check PointSoftwareDefinedProtection(SDP)und wie Sie dieseinnovativeArchitektur dabei unterstützenkann,dass lhreSecurity-lnfrastruktur
mit immerneuen,sich stetigänderndenGefahren
für lhre Geschäftsdaten
Schritthaltenkann.BesuchenSie uns unterwww.checkpoint.com/securitycheckup.
Ltd.All rrghtsreserved.
Classification:
fRestricted]
m 9l]F.gh,,F-?
UBER CHECK POINT
SOFTWARE TECHNOLOGIES
http://www.checkpoint.com/gehöd zu den führendenAnbietern
Check PointSoftwareTechnologies
von Lösungenfür die Absicherungdes lnternets.Das Unternehmenwurde 1993gegründetund hat seither
von Unternehmenund Verbrauchern
Technologien
im
entwickelt,um die Kommunikationund Transaktionen
Internetzu schützen.
Mit FireWall-1und seinerpatentiertenStatefulInspection-Technologie
war Check PointPionieram Marktfür
Security-Technologie.
habenwir unserelT SecurityDurchdie EntwicklungunsererSoftwareBlade-Architektur
jetzt
Innovationen
weiter ausgebaut.Die dynamischeSoftwareBlade-Architekturbietet sichere,flexibleund
jedes Unternehmens
einfachzu nutzendeLösungen,die an die spezifischenSecurity-Anforderungen
und jeder
Umgebungangepasstwerdenkönnen.
Check Pointentwickeltund vermarkteteine breitePalettevon Softwaresowie Produktkombinationen
aus
Software-,Hardware-und Servicelösungen
für die lT Security.Wir bietenunserenKundenein umfassendes
Portfoliovon Netzwerk-und GatewaySecurity-Lösungen
an, sowie Daten-,EndpointSecurity-und
Management-Lösungen.
UnsereProduktearbeitenunterdem Dacheinereinheitlichen
Security-Architektut
die mit nur einerProduktreihe
aus einheitlichen
SecurityGatewaysdurchgängigeEnd-to-End-Security
ermöglicht.Dabeiwird die gesamteEndpoint-Security
mithilfeeineseinzigenAgentenüber nur eine,einheitliche
Managementkonsole
verwaltet.DieseseinheitlicheManagementermöglichtden einfachenEinsatzder Produkte
sowiederenzentraleKontrolleund wird durch Echtzeit-Security-Updates
unterstütztund aktualisiert.
UnsereProdukteund Serviceswerdenfür Organisationen,
ServiceProvider,kleineund mittelgroBeUnternehmen
und Endverbraucher
angeboten.Unsere,,OpenPlatformfor Security"(OPSEC)-Struktur
ermöglichtAnwendern
den Ausbau unsererProdukt- und Service-Kapazitäten
mit Hardware-und SecuritySoftware-Anwendungen
von Drittanbietern.
vertrieben,integriertund
UnsereProduktewerdenüber unserweltweitesPartnernetzwerk
gepflegt.Zu unserenKundengehörenZehntausende
von Organisationen
und UnternehmenallerGrößen,
einschließlich
ZoneAlarmallerFortune100-Unternehmen.
Unseremehrfachmit Preisenausgezeichneten
vor Hackern,Spywareund ldentitätsdiebstahl.
LösungenschützenMillionenvon Verbrauchern
Classification:
lRestrictedlONLYfor designatedgroupsand individuals

INHALTSVERZEI CHNIS

Transcription

Similar documents

50 recent changes in ITInfo Web retrieved at 16:31 (GMT)

März/April 2006

LehrplanPLUS – konkret - ISB

East India Company Manual

Über Check Point Software Technologies - IT

Medienkoffer Wetter Für Grundschulen

handbuch