INHALTSVERZEI CHNIS
Transcription
INHALTSVERZEI CHNIS
INHALTSVERZEI CHNIS EXECUTIVE SUMMARY fr .......3 ERGEBNISSE IM BEREICHZUGRIFFSKONTROLLE & DATENSCHUTZ....4 WebSecurity-Events DataLoss-Events ......... .........4 .........................7 ERGEBNISSE IM BEREICHTHREATPREVENTATION ............................10 Bot-Events ....................... 10 Virus-Events ................ Zero-day-Threats .......... .....12 ...................... 13 lntrusion& Attack-Events ........... ERGEBNISSEIM BEREICHENDPOINTSECURITY coMPLtANCESECURITY-ANALYSE ........... EMPFEHLUNGEN FÜRDIE PROBLEMBEHEBUNG SoFTWARE-DEF|NED PROTECTTON ............ üeen cHEcK porNT SoFTWARE TEcHNoLoctEs ......... .......15 ...........,....17 ........20 ................26 .......35 .....s9 ffiHthP,.,h,,F-?, EXECUTIVE SU M MARY DiesesDokumentstelltdie Ergebnisseeinerkürzlichdurchgeführten Security-Analyse lhrerInfrastruktur dar. Es gibt lhnensowohleineZusammenfassung der Untersuchungsresultate als auch Empfehlungen für die Adressierung aufgedeckterSicherheitsprobleme an die Hand. Die Analysebasiertauf der Sammlungvon DatenunterBerücksichtigung nachstehender Charakteristika: SecurityAnalysisDate: 12/01/2014 Industrie: Versicherungsbranche Land USA Unternehmensgröße: 2.500EMitarbeiter AnalysiertesNetzwerk lnternesLAN Security Gateway-Version: R77 Analyse-Modus: MirrorPort Security GatewaySoftware Blades: ApplicationControl,URL Filtering,Anti-Bot,Anti-Virus,lPS, DLB ldentityAwareness, ThreatEmulation,Compliance Security-Device: Check Point4800 SecurityGateway Dauerder Analyse: 2 Wochen Nachstehend findenSieeineÜbersicht überdie häufigsten undrisikoreichsten Security-Events, die im Rahmen dieserAnalyse aufgedeckt wurden ZUGRIFFSKONTROLLE & DATENSCHUTZ 30.670 22 hoch riskanteApplication-Events Data Loss-Events THREAT PREVENTION q Bot-Events 5 Virus-Events to Zero-day-Events 18 Intrusions-& Attacks-Events ENDPOINT 893 Endpoints,die in hoch riskanteEventsinvolviertsind COMPLIANCE 650/o compliantwith Check PointBest Practices 58% compliantmit behördlichangeordnetenBestimmungen @2014CheckPointSoftwareTechnologies Ltd.All rightsreserved. Classification: ONLYfor designatedgroupsand individuals fRestricted] ERGEBNISSEIM BEREICH ZUGRIFFSKONTROLLE & DATENSCHUTZ WEBSECURITY.EVENTS Die risikoreichsten Applikationen& Sites In den BereichenWeb-Applikationen und WebsitesweisennachstehendeElementedie höchstenRisikenlaus: Application/ Site Category AppRisk $ ror Anonymizer $, ultrasurf R Coralcdn Anonymizer B critical ? q f,l critical 33 @ wunnel tO) rugou g! suresome Anonymizer Hota PacketiXVPN Anonymizer I S ft rpro"y $ Sopcast @ DarkComet-RAT ii Dropbox $ Gotons$st-Remotesupport , - Lync Q TeamViewer @ BitTorrentProtocol .F Lync-sharing $ uTorrent 6 qqrv Numberof Events 149MB 228 1GB 51 2MB 45 24 MB Iö 7MB 1C Anonymizer B critical 2 B critical 7 1MB 9 Anonymizer fl critical 5 98 KB S p criticat z 3OOKB z critical L 4OOKB z I 350KB P2PFileSharing Anonymizer P2PFileSharing RemoteAdministration FileStorageand Sharing RemoteAdministration f,l critical p critical 260 KB l. !l critical 3573 37 GB L9,443 !l critical L573 4GB InstantMessaging !l critical 118 937MB RemoteAdministration @ critical L82 !l critical 1 1 3 8 3 1M B 768 168MB 464 @ critical 93 @ Critical 2 70 MB 443 21MB 327 @ critical ? n I critical 6 26 MB zYl 373MB 257 @ critical 47 @ criticat 3 2MB 233 3 2M B 228 @ critical @ critical 85MB 227 P2PFileSharing InstantMessaging P2PFileSharing InstantMessaging Q DownloadManager Q not Desktop Anonymizer i) ad.adlegent.com/iframe Spam { :;f linkuryjs.info Spam Dropbox-webdownload FileStorageand Sharing @ LogMeln RemoteAdministration $ I Traffic B critical 2 I critical ,t Anonymizer rr"" DownloadManager $ aissuy Numberof Users InstantMessaging ZumoDrive FileStorageand Sharing Aiwangwang FileStorageand Sharing 2 I,L44 3MB L93 @ critical 39 @ critical 36 30MB \79 5MB 166 @ critical t7 !l critical z 3MB 148 3MB 140 z 1 Risiko-Level 5 indiziert eineApplikation, diedieSecurityumgehen oderldentitäten verbergen kann(2.B.:Tor,Wunnel).Risiko-Level 4 indiziert eineApplikation, dieohneWissendesAnwenders zu Datenlecks oderMalware-lnfeKionen führenkann(2.8.:FileSharing,P2P genutzt uTorrent oderP2PKazaa). Applikationen für die Remote-Administration sindmöglicherureise, sofernsievonAdminsund Helpdesk werden,legitimiert. @2014CheckPointSoftwareTechnologies Ltd.All rightsreserved. Classification: ONLYfor designatedgroupsand individuals fRestricted] reghF.",h.,F. HochriskanteApplikationen, die compliantmit der organisatorischen SecurityPolicysind Hoch riskanteApplikationensind Anwendungen,die ohne Wissendes Anwendersdie Securityumgehen, ldentitätenverbergenund Datenlecksoder sogar Malware-lnfektionen verursachenkönnen.ln den meisten Fällenist die NutzungsolcherApplikationennichtvereinbarmit der SecurityPolicydes Unternehmens. In einigen Fällenkönnenjedoch spezifischeApplikationenmit der organisatorischen Policycompliantgemachtwerden. Nachstehende, sehr risikoreiche Applikationen wurdenwährendder Analyseentdeckt,gehenjedoch konformmit der bestehendenSecurityPolicy: Application Organisatorische SecurityPolicy TeamViewer Zugelassen für die NutzungdurchSupport-Teams beiderRemote-Unterstützung der Kunden LogMeln Zugelassen fürdieNutzungdurchdenHelpdeskbeiderRemote-Unterstützung vonMitarbeitern Beschreibungder risikoreichsten Applikationen Die nachstehende Tabelleist einezusammenfassende Erläuterung der gefundenTop-Eventsund der damit verbundenenSecuritv-oder Geschäftsrisiken: Applikationund Beschreibung Kategorie App.-Risiko Events Tor ToristeineApplikation, dieOnline-Anonymität ermöglichen soll.DieTor-Client-Software gestelltes leitetInternet-Traffic durcheinweltweites, hierfürfreizurVerfügung Netzwerk von Servern, umso beiderDurchführung vonNetzwerk-Monitoring oderTraffic-Analysen den StandodunddieNutzungsgewohnheiten vonAnwendern zuverbergen. DieNutzung vonTor erschwert dieRückverfolgung vonInternetaktivitäten wieWebsite-Aufrufen, Online-Posts, InstantMessages undanderen Kommunikationsformen zumAnwender. Anonymizer Kritisch 228 Ultrasurf UltrasudisteinfreiesProxy-Tool, vonFirewalls dasAnwendern dasUmgehen undSoftware für dasBlockieren vonInternet-Content ermöqlicht. VTunnel (CGl)-Proxy, Wunnelisteinfreierhältliches, Interface anonymes CommonGateway das lP-Adressen verdecktunddemAnwender von dasanonyme Aufrufen undAnschauen Websites vonSicherheitsmaßnahmen fürdieNetzwerk-Security sowiedasUmgehen ermöqlichen. Anonymizer Kritisch Anonymizer Kritisch 18 BitTorrent BitTorrent isteinPeer-to-Peer FileSharing-Kommunikationsprotokoll undeinespezifische Methode fürdieweiteVerbreitung vongroßenDatenmengen. Esexistiert eineVielzahl kompatibler BitTorrent-Clients, diein unterschiedlichen Programmiörsprachen erstelltund vonPlattformen lauffähig können, aufeinerVielzahl sind.P2P-Applikationen ohnedassesder Anwender bemerkt, zu Datenlecks oderMalware-lnfektionen führen. P2PFile Hoch 464 FileStorage Hoch undSharing 148 Sharing ZumoDrive ZumoDrive isteinehybride CloudStorage-Applikation. Sieermöglicht Anwendern denZugriff aufihreMusik,FotosundDokumente überComputer undMobiltelefone. Daten-Sharing in Datenführen. eineröffentlichen CloudkannzumVerlustvonsensitiven @2014CheckPointSoftwareTechnologies Ltd.All rightsreserved. Classification: ONLYfor designatedgroupsand individuals [Restricted] E R G E B N I S S EI M B E R E I C HZ U G R T F F S K O N T R O L L&E D A T E N S C H U T Z Anwender,die hoch riskanteApplikationenam häufigstennutzen NachstehendeAnwenderwaren in die am häufigstenauftretendenEventsmit riskanterApplikations-und Web-Nutzunginvolvier.t: lvanWhitewash *Anmerkung:Benutzernamen werdenin der oben stehendenTabellenur dann dargestellt, wenn das Check Point ldentityAwarenessSoftwareBlade aktiviertund konfiguriertist. @2014Check Point SoftwareTechnologiesLtd. All rights reserved. Classification:[Restricted]ONLYfor designatedgroups and individuals EX9*F,",.K"P-? , DArALoss-EVENrs gehörenzu denwertvollsten lhreGeschäftsdaten GüternlhrerOrganisation. JedeFormvon Datenverlust, geplant ob oderunbeabsichtigt, kannlhremUnternehmen Schadenzufügen.Nachstehend habenwir die Charakteristika derVorkommnisse von Datenverlust aufgelistet, die währendder Durchführung unsererAnalyse identifiziert wurden. Die gravierendstenEreignissevon Datenverlust Die nachstehendeListe fasst die identifizierteDatenverlust-Aktivität und die Häufigkeit,mit der spezifischeTypen von Datenverlustauftraten.zusammen. @2014Check Point SoftwareTechnologiesLtd. All rights reserved. Classification:lRestricted]ONLYfor designatedgroups and individuals E R G E B N I S S EI M B E R E I C HZ U G R I F F S K O N T R O L L E & DATENSCHUTZ WichtigeDateien,die das Unternehmenüber HTTPverlassenhaben Nachstehende TabellelistetDateienauf, die aus dem Unternehmenherausqesendetwurdenund sensitiveDatenenthaltenkönnen. Host Datentyp Dateiname URL 192.168.75.26 Kreditkadennummern customerorders.xlsx www.ccvalidator.com 192.168.75.48 Finanzberichte Q4 Report- draft2.docx www.dropbox.com 192.168.125.28 SourceCode new feature.C www.java-help.com 192.168.12s.10 Kundennamen CustomerList.xlsx www.linkedin.com 192.168j25.78 HIPAA- Geschützte Gesundheitsinformation MedicalFile- Rachel Smith.pdf www.healthforum.com WichtigeDateien,die das Unternehmenüber SMTPverlassenhaben Nachstehende TabellelistetDateienauf, die aus dem Unternehmenherausqesendetwurdenund sensitiveDatenenthaltenkönnen. Empfänger Datentyp Dateiname [email protected] Kreditkartennummern CustomerInvoices.xlsx FW:Rechnungen [email protected] Business-Plan Q1 2015Goals.pdf RE:2015Plan [email protected] Namenvon Mitarbeitern employees.xls Mitarbeiter [email protected] Q4 salessummary.doc RE:Q4 Sales.Vertraulich! New Release- draft2. docx FW:NeuesReleasePR Entwurf- nichtweiter leiten!! SalesForce-Reoorts des [email protected] Pressemitteilung Unternehmens Email-Betreff Ltd.All rightsreserved. 02014 CheckPointSoftwareTechnologies Classification: ONLYfor designatedgroupsand individuals [Flestricted] I E|thP.gh"F-? Die wichtigstenEreignissevon Datenverlustnach Email-Absender DieseTabellezeigt den Verlustvon Daten nach Email-Absenderin lhrem Netzwerkauf. [email protected] [email protected] [email protected] @2014Check Point SoftwareTechnologiesLtd. All rights reserved. Classification:lRestricted]ONLYfor designatedgroups and individuals *,*-.- p ERGEBNISSE IM BEREICH THREAT PREVENTATION t BorEvENrs EinBot ist eineSchadsoftware, die in lhrenComputereindringt.Sieermöglichtkriminellmotivierten Angreifern ohneWissenderAnwenderdie Fernkontrolle überderenComputersysteme zu übernehmen unddiesefür illegale Aktivitäten zu missbrauchen, wie z.B.den Diebstahl von Daten,dieVerbreitung von Spamund Malware,die Beteiligung an Denialof Service-Attacken u.v.m. genutzt.EinBotnetist eine Botswerdenoft als Werkzeugefür s.g.AdvancedPersistentThreats(APTs)-Attacken SammIung solcher,kompromittierter Computersysteme. Dienachstehende llabellezeigtdie mit Botsinfizierten HostsundderenAktivitäten auf,die in lhremNetzwerk identifiziert wurden. Mit Botsinfizierte Hosts 8 Hostsmit installierter Adware 1 Hostsmit SMTP-und DNSMalware-verbundenen Events 2 SchadhafteBot-Aktivitäten Bot-Kommunikation mit C&C-Site Bot-Testverbindung Andereschadhafte Aktivitätd urch Bot-lnfektion Netzwerkaktivität Unenrvünschte durch instalIierteAdware @2014Check Point SoftwareTechnologiesLtd. All rights reserved. Classification:[RestrictedlONLYfor designatedgroups and individuals rethF,..h^,FHosts mit hoher und kritischerBot-Aktivität Währendder Durchführung des SecurityCheck-Upsidentifizierte die Check Point-LösungeineAnzahlMalwarebedingterEvents,die auf Bot-Aktivitäten schließenlassen.DieseTabellelisteteinigeBeispielevon Hostsauf, die besondershohenRisikenausgesetztwaren. Host Aktivität Nameder Gefährdung Quelle 192.168.75.7 Kommunikation mit c&c Operator.Virus.Win32. Sality.d.dm yavuztuncil.ya.funpic.de/images/ =16091281 logos.gif?f588g1 Ooerator.Confic ker.bhvI zsgnmngn.net Operator.Zeus.bt zsxwd.com 10.10.2.32 DNS Client-Anfrage oder DNS Serverlöst in eine C&C-Siteauf DNS Client-Anfrage 192.168.75.22 oder DNS Server C&C-Site 172.23.25.35 DNSClient-Anfrage oderDNSServer C&C-Site Operator. zwoppfqnjj.com BelittledCardigan.u 10.100.2.33 DNS Client-Anfrage oder DNS Server C&C-Site Operator.APTl .cji zychpupeydq.biz 10.1.1.22 DNSClient-Anfrage oderDNSServer C&C-Site Operator.Vi rus.Win32. Sality.f.h zykehk.com WeitereDetailsüber die im RahmendiesesReportsidentifizierte MalwarefindenSie im Check PointThreatWiki, Check Pointsfrei verfügbarerMalware-Datenbank,unter threatwiki.checkpoint.com @2014CheckPointSoftwareTechnologies Ltd.All rightsreserved. Classification: ONLYfor designatedgroupsand individuals [Restricted] E R G E A N I S S EI M B E R E I C HT H R E A TP R E V E N T A T I O N Häufigste,aus dem Web heruntergeladen e Zero-day-Malware Datei Malware-Aktivität Host Quelle 0dd730ed4.pdf Unerwarteter Prozessabbruch/ Crash 192.87.2.7 www.lostartofbeingadame.com/ wpcontenVplugins/ www.fotosupload.php guide04d88.pdf SchadhafteDateisystemaktivität Schadhafte Netzwerkaktivität 10.23.33.24 Schadhafte Verzeichnisaktivität g gun UnerwarteteProzess-Erzeu UnerwarteteProzess-Beendigung silurian.cn/mod ules/mod cmsfir:/ fix.php Häufigste,per Email(SMTP)verschickteZero-day-Malware Datei Notice231488.doc invoiceBQWSOY.doc Summit_Agenda.doc Sender Empfänger Betreff logistics@ asia@ shippingoods.com mybiz.biz No-Replay@ shop.sip events@ conferences.org Malware-Aktivität MalwareeaeugteinenweiterenProzess Malwareeaeugtverdächtige Dateien VersandinforMalwarefragtModul-Namen ab mationen Malwarevermehdsichselbst Malwareverändertden Browserverlauf Malwareschädigteinenanderen Prozessauf dem System Malwareeaeugt einenweiterenProzess Malwareezeugtverdächtige Dateien MalwareezeugteinenSuspended Status (umeinenProzesszu umgehen) Malwarelöschtsichselbst MalwarefragtModul-Namen ab Malwareläuftim Kontexteinesanderen Prozesses MalwareezeugteinenChildProcess MalwareverfälschtBrowserverlauf jhon@ mybiz.biz lhre Rechnung marketing@ mybiz.biz MalwareezeugteinenweiterenProzess Malwareezeugt verdächtigeDateien Agenda MalwareeaeugteinenSuspended Status (umeinenProzesszu umgehen) für die anstehende Malwarelöschtsichselbst Veranstaltung MalwarefragtModul-Namen ab Malwareverändert wichtige Systemdateien Ltd.All rightsreserved. @2014 CheckPointSoftwareTechnologies Classification: ONLYfor designatedgroupsand individuals [Restricted] ffiE thP.gh.,P-? 4 7 TNTRUSToN& ATTAoK-EVENTS Die häufigstenIntrusion-& Aüack-Events Die Check Point-Lösungidentifizierte im Rahmender Security-Analyse eineAnzahlvon Vorfällen,die im Zusammenhang mit IntrusionPreventionstehen.EinigedieserEventswurdenals hochgradigriskant kategorisiert.Die nachfolgendeTabellelistet die gefundenVorfälleund den entsprechendenSchweregradauf. Schweregrad EventName MicrosoftSCCM ReflectedCross-siteScripting(MS12-062) Kritisch CVE-Liste* Häufigkeit cvE-2012-2536 5 JoomlaUnauthorized FileUploadRemoteCode Execution 2 Web ServersMaliciousHTTPHeaderDirectoryTraversal 1 lmageMagickGIFCommentProcessingOff-by-oneBuffer Overflow(CVE-201 3-4298) cvE-2013-4298 3 Adobe FlashPlayerSWF FileBufferOverflow(APSB13-04) cvE-2013-0633 2 PHPphp-cgiquerystringparametercode execution cvE-2012-1823 1 OracledatabaseserverCREATETABLESSQL iniection cvE-2007-3890 4 Hoch -CVE(CommonVulnerabilities and Exposures)ist ein Dictionaryfür öffentlichbekannteSecurity-Schwachstellen. WeitereInformationen zu einemspezifischenIPS-EventfindenSie mithilfeder entsprechenden CVE-lDauf der NationalVulnerability DatabaseCVE-Webpage. 02014 CheckPointSoftwareTechnologies Ltd.All rightsreserved. Classification: ONLYfor designatedgroupsand individuals [Restricted] ERGEBNISSE IM BEREICH THREAT PREVENTATION IPS Eventsnach Ländern NachstehendeKartezeigtdie Verteilungvon IPS-Eventsauf die jeweiligenUrsprungsländer. .,-Activity Level-'*"---', -Top 5 Countries-.*-----"-'. . , -'Event Statistics United Kingdom p3 events) United States (54 evenB) Austlalia (37 events) Japan (36 events) Germany (24 events) ' : Countrieswith Activity(21) ' ': , .i , i !rop:. i $ ruextrops. i!o.t",, ' l : i f] Noraivity @2014Check Point SoftwareTechnologiesLtd. All rights reserved. Classification:[Restricted]ONLYfor designatedgroups and individuals g 9l]F,gh,F.gn ERGEBNIS SE IM BEREICH ENDPOINT SECU R ITY DieserAbschnittstelltdie Security-Ergebnisse dar,die im Zusammenhang mit den Hostsin lhrerInfrastruktur stehen.Er fasst dieseErgebnissezusammenund gibt detaillier.te pro Security-Vektor. Informationen DerAbschnitt,,Problembehebung" stelltEmpfehlungen für die Adressierung der gefundenen Ereignisse vor. - Zusammenfassung EndpointSecurity-Events Endpointsgesamt,auf denenhoch riskanteApplikationen laufen o Endpointsgesamt,die in Vorfällevon Datenverlust involviertsind 19 Endpointsgesami,die in Intrusion& Attack-Events involviert sind 20 Endpointsgesamt,die in Malware-Vorfälle involviertsind 848 Top-Endpoints, auf denenhoch riskanteApplikationenlaufen Nachfolgende Tabellelistetdie Endpoint-Rechner auf,auf denenam häufigsten hoch riskanteApplikationen laufenoder die auf hoch riskanteWebsiteszuqeqriffenhaben: Suuree 39tr.16&?#l 1{1J0.10J35 18I.r693.33 19I16&5.ffi 19:.1f&5.33 10.10.33"335 17r-?fJ5,11 1oJn?r.31 1n10.1.335 ÄpSi<*furnlSite ?'irror * *ursr* *rn*rpr* t *nqpxir* Coralcdn p wunne ü rugi+.r Anffq4*s ü? s"t*r""* *nclWr*s I itof* # poeuxwr'r 1Sr.Ifi85"39 }t rp.oov {S soe*"rt LSJ3.tfJ fl 19x.r68.66.3 h{ütchr*{aüqory *s D+ltdorr*t-RÄT # ürspbor @2014CheckPoiniSoftwareTechnologies Ltd.All rightsreserved. C l a s s i f i c a t i olnR:e s t r i c t e dOl N L Yf o r d e s i g n a t eE d r o u p sa n d t n d i v t o u a l s flf Fh5lratirg Ino*yct*ler Äpp Rirle E g.i*..t E crttLs E c**.rl E E E E c*."r g*u.rr c*i.s cr;u*t Anmrfr!*xrr gnsayn*ra E c*i..1 FIPFlhstsing E cticcg E crffi."t E ngrt fiEfimc Ädr*ini*stisn Fih Storägcard SharirE E c*t.r WichtigsteEndpointsmit Intrusion-& Attack-Events FolgendeTabellelistetdie wichtigstenEndpoint-Rechner mit IntrusionPrevention-bezogenen Vorfällenauf. Schweregrad Event-Name 192.87.2.47 192.168.75.27 Kritisch MicrosoftSCCM ReflectedCross-site Scripting(MS12-062) 192.78.2.214 1 9 2 . 1 6 8 . 7 5 . 5 8 Kritisch JoomlaUnauthorized FileUpload RemoteCode Execution 192.84.2.220 1 9 2 . 1 6 8 . 7 5 . 5 8 Kritisch WebServersMaliciousHTTPHeader DirectoryTraversal CVE-Liste cvE-2012-2536 1 9 2 . 8 5 . 2 . 1 3 31 9 2 . 1 6 8 . 7 5 . 5 8 Kritisch lmageMagick GIFComment Processing Off-by-oneBuffer Overflow(CVE-20 13-4298) cvE-2013-4298 192.116.2.151 1 9 2 . 1 6 8 . 7 5 . 5 8 Kritisch Adobe FlashPlayerSWFFileBuffer Overflow(APSB13-04) cvE-2013-0633 192.195.2.88 1 9 2 . 1 6 8 . 7 5 . 6 0 Hoch PHPphp-cgiquerystringparameter codeexecution cvE-2012-1823 192.87.2.211 '192.168.86.3 OracledatabaseserverCREATE_ TABLESSQL injection cvE-2007-3890 Hoch @2014CheckPointSoftwareTechnologies Ltd.All rightsreserved. Classification: ONLYfor designatedgroupsand individuals [Restricted] # LhP.gh,.P-? WichtigsteEndpoints,die in Vorfällevon Datenverlustinvolviertsind Nachstehende Tabellelistetdie Haupt-Endpoint-Rechner auf, die von DataLoss-Eventsbetroffensind. Endpoint Events Gesendete Daten 4 Kreditkartennummern 1 Business-Plan 192.'168.75.0 5 Finanzberichte 192.168.125.0 4 Source-Code 192.168.86.47 4 - Vertraulich Outlook-Nachricht 192.168.86.38 2 ngsnummern US-Sozialversicheru 192.168.125.36 WichtigsteEndpoints,die in Malware-Vorfälle involviertsind FolgendeTabellezeigtdie Top-Endpoint-Rechner, die in Malware-bezogene SecurityEventsinvolviertsind. Host Threat-Name Malware-Aktivität 1 9 2 . 1 6 8 . 8 6 . 8 Operator.Vi rus.Win32.Sality.f .h DNS ClientQueryoder DNS Serverbeseitigteine C&C Site 1 9 2 . 1 6 8 . 7 5 . 0 Operator.APTl.cji DNS ClientQueryoder DNS ServerbeseitigteineC&C Site 192.168.75.3 Operator.Virus.Win32. Sality.d.dm Kommunikation mit C&C 192.168.75.7 REP.yjjde Zugriflauf bekanntlich Malware-infiziefte Site RogueSoftware.Hack_Style_ 192.168.75.10 RAT.pbco Kommunikation mit C&C 192.168.75.1T 3 rojan.Win32.Agent.aaeyr.cj DownloadeinesschadhaftenFiles/Exploits Ltd-All rightsreserved. @2014CheckPointSoftwareTechnologies Classification: ONLYfor designatedgroupsand individuals lRestricted] COM PLIANCE SECU RITY-ANALYSE DieserAbschnitt stellt eine detaillierteAnalyseder SecurityPoliciesfür lhre bestehendeCheck point NetzwerkSecurity-Umgebungdar. Die Analysewurde mithilfedes Check Point ComplianceSoftwareBladesdurchgeführt, das eine umfassendeBibliothekvon hundertenvon SecurityBest Practicesund Empfehlungen für eine Verbesserungder Netzwerksicherheitlhrer Organisationnutzt. SecurityPolicyCompliance DasCompliance SoftwareBladeüberprüftdie Konfiguration lhresSecurity-Managements, lhrerGatewaysund installierten SoftwareBlades. DieErgebnisse wurdendannverglichen mit Beispielen für unsereSecurityBestpractices.Dabeiwurde festgestellt, dassvonunseren102empfohlenen BestPractices 67 vollständig compliant waren,jedoch35 fehlten odernichtmit unseren Empfehlungen konformgingen.Diesresultiert insgesamt in einemCompliance-Level von 650/o. 650/o compliantmit denempfohlenen checkpointsecuritvBestpractices 102 Analysierte SecurityKonfigurationen 67 Configurations foundcompliant 35 Für compliantbefundeneKonfigurationen 12 ÜberwachteSecurityGateways @2014CheckPointSoftwareTechnologies Ltd.All rightsreserved. Classification:[Restricted]ONLYfor designatedgroups and individuals rethF..,h,,F." Zusammenfassungzu den gesetzlichgeregelten GomplianceBestimmungen Die nachstehende Tabellestelltdas Compliance-Level lhrerNetzwerk-Security bezüglichder gesetzlich vorgegebenen Compliance-Regeln dar.DieserStatuswird durch die Analyseverschiedener Check Point SecurityGateway-Konfigurationen und SoftwareBlade-Einstellungen sowie derenVergleichmit den gesetzlichen Anforderungenfestgestellt. Anzahlder Anforderungen Anzahl der Security Best Practices lso 27001 27 102 7B% PCI DSS 55 102 86% HIPAA 16 102 78% DSD 14 68 67% GLBA 5 102 45o/o NtsT800-41 22 25 B5% tso 27002 198 102 77o/o NtsT800-53 25 71 86% tc 102 66o/o I 29 49% FirewallSTlG 30 54 87% G P G1 3 9 31 87% N E R CC I P B 56 74o/o MASTRM 25 102 77o/o tc 102 66% 25 71 87% Bestimmung CobiT4.1 UKData Protection Act SOX FIPS2OO 02014 CheckPointSoftwareTechnologies Ltd.All rightsreserved. Classification: ONLYfor designatedgroupsand individuals lRestricted] Compliance-Status C O M P L I A N C E S E C UR I T Y - A N A L Y S E Best PracticesCompliancenach SecuritySoftwareBlade Nachstehende Tabellezeigtden allgemeinenSecurity-Status für jedes SoftwareBlade.Check Pointempfiehlt für jedes SoftwareBladeeine Reihevon Best Practices.Bei einemWertvon 100% wurdefestgestellt,dass für diesesBladesämtlicheBest Practicesrichtigkonfigurierlsind. EinWertvon wenigerals 100% weist auf Konfigurationen hin, die nicht mit dem empfohlenenBest Practicesübereinstimmen und daherein potentielles Sicherheitsrisiko für lhre Umgebungdarstellen. Anzahl der Best Practices Security-Status Data Loss Prevention 2 7%6 IPS 4 29o/o ApplicationControl '13 MobileAccess 3 66% lPSecVPN to 73% URLFiltering 5 87% Firewall 35 BB% Anti-Virus 13 91% Anti-Spam& Mail 3 100% Anti-Bot 8 100% Security Software Blade 54o/o @2014 CheckPointSoftwareTechnologies Ltd.All rightsreserved. Classification: ONLYfor designatedgroupsand individuals [Restricted] ffi ghP.gh*P."g Die wichtigstenResultate SecurityBest Practices-Gompliance: Nachstehende Tabellelistetdie wichtigstenSecurityBest Practicesauf, die als fehlendoder nichtvollständig konfiguriertfestgestel lt wurden. Status Blade ID Name Firewall FW101 Überprüfen,ob die "Cleanup"-Regelin der FirewallRuleBasedefiniertist 0% Firewall FW102 Überprüfen,ob Anti-Spoofingauf jedem Gatewayaktiviertwordenist 0% Firewall FW103 Überprüfen,ob Anti-Spoofingauf jedem Gatewayauf Prevent eingestelltist o% Firewall FW105 Überprüfen, ob jede FirewalldefinierleTrackSettingshat 0% Firewall FW130 Uberprüfen,ob ,,StealthRule"in der FirewallRuleBasedefiniertist o% Firewall FW152 einenNamendefinierthat Überprüfen,ob jede Firewall-Regel 0% Firewall FWl53 einenCommentdefinierthat Überprüfen,ob jede Firewall-Regel o% Firewall FWl07 Überprüfen,ob für jedes Gatewayein zusätzlicherLog-Serverfür die definiertist Speicherungder Firewall-Logs o% Firewall FW116 aktiviertist in den Firewall-Settings Überprüfen,ob NAT/PAT 87% Firewall FW146 Überprüfen,ob in der FirewallRuleBasekeine,,AnyAny Accept"-Regel definiertist 0% Firewall FW'159 accountafter" dass ,,LockoutAdministratorYs Überprüfen,ob Feststellen, ausoewähltist o% Firewall FW160 nach 3 fehl geschlagenenLoginÜberprüfen,ob Administratoren Versuchenausgeloggtwerden o% Firewall FW161 accountafter"ausgewähltist ob ,,UnlockAdministratorVs Uberprüfen, 0% Firewall FW162 accountsnach 30 Minutenentsperft Überprüfen,ob AdministratorYs werden 0% Firewall FW163 einedetaillierte Überprüfen,ob für abgemeldeteAdministratoren Nachrichtangezeigtwird o% Ltd.All rightsreserved. 02014 CheckPointSoftwareTechnologies ONLYfor designatedgroupsand individuals Classification: IRestricted] BANDBREITEN-ANALYSE Nachfolgender Abschnittfasst die Bandbreitennutzung und das Webbrowsing-Profil lhrerOrganisation während der DauerdieserAnalvsezusammen. StärksteBandbreitenbelegung nach Applikationen& Websites @2014CheckPointSoftwareTechnologies Ltd.All rightsreserved. Classification: ONLYfor designatedgroupsand rnd;viduals [Restricted] regrP.gh,P," WichtigsteWeb-Kategorien FolgendeTabellelistetdie 10 meistgenutztenKategorienund die Anzahlder Trefferdurch Internetnutzung der Mitarbeiterauf. AnzahlTreffer o/oaller Treffer SocialNetworking 113 31,65% Webmail 42 11,760/o VideoStreamino 36 10,o8yo SearchEngines/ Poftals 35 9,80% Multimedia 29 8,12%io Browser Plugin 25 7,OOo/o Business Applications 15 4,20Vo MediaSharing 13 3,64yo NetworkUtilities 9 2,52yo Other 40 11,200/o Total 357 lOOo/o Kategorie (MB)durch SocialNetworking Bandbreitenbelegung Die NutzungSozialerNetzwerkeist nicht mehr nur zu Hausesondernauch am Arbeitsplatzgebräuchlich. Viele UnternehmennutzenSocialNetwork-Technologien für lhre Marketing-und Vertriebsmaßnahmen sowie ihre Personalbeschaffung lm LaufedieserAnalyseund in Übereinstimmung mit generellerkennbarenMarkttrendsbelegtennachstehende SocialNetwork-Seiten die meisteNetzwerkbandbreite: 600 518MB 500 400 300 200 100 0 % % @2014CheckPointSoftwareTechnologies Ltd.All rightsreserved. Classification: ONLYfor designatedgroupsand individuals fRestricted] \o, EMPFEHLUNGEN FUR DIE PROBLEMBEHEBUNG EMpFEHLUNGEN rün ZUcRIFFSKoNTRoLLE & DATENSCHUTZ DieserReportadressieftin verschiedenen Securitv-Bereichen identifizierte und unterschiedlich kritische Sicherheitsvorfälle. Nachstehende Tabellefasst die kritischstendieserVorJälle zusammenund stelltAnsätzevot die damit verbundenenRisikenzu entschärfen. Check PointbietetzahlreicheMethodenfür die Adressierung dieserGefahrenund entsprechender Sicherheitsbedenken an. FürjedenSicherheitsvorfall werdenanhanddes SoftwareBlades,das die hierfür geeignetenAbwehrmechanismen umfasst,die entsprechendrelevantenSchutzmaßnahmen vorgestellt. Empfehlungen für die Problembehebung bei Web Security-Events Applikation/Site App.-Risiko Vorfälle Tor Kritisch 228 Ultrasurf Kritisch 51 Vtunnel Kritisch 18 BitTorrent Hoch 464 ZumoDrive Hoch 148 Schritte zurAbhilfe Mit Hilfeder ApplicationControl-und URL FilteringSoftwareBladeskönnenSie die Nutzungaller genanntenApplikationenund Websitesaktivieren, nachverfolgen und unterbinden.Sie könneneine granularePolicydefinieren,um z. B. nur bestimmten Gruppendie NutzungbestimmterApplikationenzu erlauben. NutzenSie UserCheckum o die Anwenderüber die Regelnfür die Web- und Applikationsnutzung im Unternehmenaufzuklären r lhreAnwendersoforl darüberzu informieren, wenn derenAktionendie SecurityPolicyverletzen. WeitereInformationenhierzufinden Sie unter http://wwwcheckooint.com/products/apolication-controlsoftware-blade/index.html und http://www.checkpoint.com/products/url-filtering-software-blade/. @2014CheckPointSoftwareTechnologies Ltd.All rightsreserved. Classification: ONLYfor designatedgroupsand individuals lRestricted] ffiEthP,.,h^,F-? Empfehlungen für die Problembehebung bei Data Loss-Events 'Events Schweregrad Daten Kritisch Kreditkartennummern 14 Business-Plan 1 Finanzberichte 3 SourceCode 12 Hoch Schritte zur Abhilfe AktivierenSie das DLP Software Blade,um die entdecktenVodällezu beheben.Konfigurieren Sie eine DLP Policy,basierendauf dem entdeckten DlP-Datentyp,und wählenSie eine Aktion (ErkennenA/erhindern/Benutzer fragen/etc.).Wenn Sie den entdeckten Datentypals sensitiveInformation einstufen,ist die empfohleneAktion ,,Verhindern". vertraulich Outlook-Nachricht. 147 SetzenSie UserCheckein, um e die Mitarbeiterüber die Daten- Lohnabrechnung 25 Mittel US-Sozialversicherungsnummern 15 Für weiterelnformationen klickenSie auf http://www.checkpoint.com/products/dl p-software-blade/index.html Ltd.All rightsreserved. O2014CheckPointSoftwareTechnologies Classification: ONLYfor designatedgroupsand individuals [Restricted] nutzungsregeln im Unternehmen aufzuklären. den MitarbeiternsofortigeRückmeldungzu geben,wenn ihre Aktivitätendie Sicherheitsregeln für verletzen. die Datennutzung E M P F E H L U N G E NF Ü R D t E P R O B L E M B E H E B U N G EMPFEHLUNGEN FURTHREATPREVENTION Empfehlungenfür die Problembehebung bei Vorfällenvon Malware Malware REP.yjjde Schweregrad Events Kritisch 36 Operator.Virus.Win32. Kritisch Sality.d.dm 28 Operator.Conficker. bhvl Hoch zt Operator.Zeus.bt Hoch 11 Operator. BelittledCardioan.u Hoch 8 Schritte zur Abhilfe AktivierenSie das Check Point Anti-Bot Software Blade,um Bot-infizierte Rechnerzu erkennenund entsprechende Schädenzu verhindern.AktivierenSie das Check PointAnti-VirusSoftwareBlade,um das Herunterladen von Malwarezu verhindern. AktivierenSie das Check PointThreatEmulation SoftwareBladefür den Schutzvor neuenund unentdecktenMalware-Gefahren. Für die Wiederherstellung einerinfiziedenMaschine findenSie im Check PointThreatWikiweitere Informationen zu der gefundenenMalwareund Empfehlungen zur Fehlerbeseitigung. FolgenSie im nächstenSchrittden Problembehebungsinstruktionen auf der,,MalwareRemediationSteps"-Webpage. WeitereInformationen hierzufindenSie auf http://www.checkpoint.com/products/anti-bot-software-blade/index.html http://www.checkpoi nt.com/products/antivirus-software-blade/ http://www. checkpoi nt.com/products/threat-emulation/. 28 O2014CheckPointSoftwareTechnologies Ltd.All rightsreserved. Classification: ONLYfor designatedgroupsand individuals [Restricted] E| 9SF,gh"P-? Empfehlungenfür die Problembehebungbei Intrusion-& Attack-Events MicrosoftSCCMReflectedCross-site (MS12-062) Scripting Joomla UnauthorizedFileUpload Remote Code Execution Aktivieren SiefolgendeSchutzvorrichtung im CheckPointIPSSoftwareBlade: MicrosoftSCCMReflected Cross-site Scripting(MSl2-062) AktivierenSie folgendeSchutzvorrichtungim CheckPointIPSSoftware Blade: Joomla UnauthorizedFile Upload Remote Gode Execution MicrosoftActiveDirectoryLSASS Recursive StackOverflow[M509-066] AktivierenSie folgendeSchutzvorrichtung im Check Point IPS SoftwareBlade: Microsoft Active Directory LSASS Recursive Stack Overflow [MS09-066] WeitereInformationenhierzufinden Sie unter http://www.checkpoint.com/products/ips-software-blade/. @2014Check Point SoftwareTechnologiesLtd. AII rights reserved. Classification:[Restricted]ONLYfor designatedgroups and individuals -E::..":.,:: '-:---- 29 E M P F E H L U N G EF NÜ R D I E P R O B L E M B E H E B U N G EMPFEHLUNGEN FURDIEPROBLEMBEHEBUNG BEI ENDPOINT SECURITY-EVENTS in verschiedenen DieserAbschnittadressiertidentifizierte EndpointSecurity-Events Security-Bereichen und von unterschiedlichem Die nachstehenden Tabellen zeigen die kritischsten dieser Vorfälle auf und Schweregrad. stellenAnsätzevor,die damit verbundenenRisikenzu entschärfen. SicherheitsCheck PointbietetzahlreicheMethodenfür die Adressierung dieserGefahrenund entsprechenden bedenkenan. FürjedenSicherheitsvorfallwerden anhandder EndpointSoftwareBlades,die die hierfür geeignetenAbwehrmechanismen vorgestellt. umfassen,die entsprechendrelevantenSchutzmaßnahmen WebSecurityEvents- Empfehlungen für die Problembehebung am Endpoint Host 192.168.75.36 192.168.75.71 Applikation/Site Tor Ultrasurf Risiko Schritte zur Abhilfe Kritisch Check Point Endpoint Security kontrolliertdie Nutzunghoch riskanterApplikationenund Websites selbstdann,wenn sich der Endpointaußerhalbdes befindetund keineNetzwerkUnternehmensnetzwerks Security-Lösungaufweist. Kritisch NutzenSie das Check Point Program Control Software Blade um nur genehmigteProgrammeauf dem Endpointzuzulassenund nichtgenehmigteoder nicht vedrauenswürdige Programmezu unterbinden. NutzenSie das WebGheck Endpoint Software Blade um das Unternehmenvor Web-basierten Gefahrenwie Drivebyzu Downloads,PhishingSitesund Zero-day-Attacken schützen. 192.168.86.0 192.168.86.19 Wunnel BitTorrent Kritisch Hoch NutzenSie das Check Point ComplianceGheck Software Blade um festzustellen, ob ein bestimmtesProgrammauf dem Endpoint-Gerät ausgeführlwird und begrenzenSie soweiterforderlich. dessenNetzwerkzugriff, Kontrollieren Sie den eingehendenund ausgehenden Datenverkehr mit dem Endpoint FirewallSoftware Blade um den Zugriffauf spezifische Porls und Netzwerk-Services einzuschränken. NutzenSie UserGheckum: . Die Mitarbeiterüber die Nutzungsregeln lhresUnternehmensfür Browserund Applikationenaufzuklären 192.168.86.30 ZumoDrive Hoch . Die Nutzersofortzu informieren, wenn ihreAktivitäten gegendie SecurityPolicyverstoßen. zu den Check PointEndpointSecuritySoftwareBlades: HiererhaltenweitereInformationen . ZumProgramControlEndpointSecuritySoftwareBladeunter: http://www.checkpoi nt.com/prod ucts/anti -ma lwa re-program -control/i ndex.htmI . ZumWebCheckEndpointSecuritySoftwareBladeunter:_ http://www.checkpoi nt.com/prod ucts/webcheck/index. htm I . Zum Compliance CheckEndpointSecuritySoftwareBladeunter: http://www.checkpoint.com/products/firewall-compliance-check/index.html . Zum FirewallEndpointSecuritySoftwareBladeunter: http://www.checkpoint.com/products/firewall-compliance-check/index.html Ltd.All rightsreserved. @2014CheckPointSoftwareTechnologies ONLYfor designatedgroupsand individuals Classification: lRestricted] ffi ghF.",.h-P*? Intrusion& Attack Events- Empfehlungen für die Problembehebung am Endpoint Quelle Zieladresse Event-Name 192.87.2.47 192.168.75.27 MicrosoftSCCM Reflected Cross-siteScripting(MS12-062) 192.78.2.214 192.168.75.58 JoomlaUnauthorized FileUoload RemoteCode Execution 192.84.2.220 192.168.75.58 Web ServersMaliciousHTTP HeaderDirectoryTraversal 192.85.2.133 192.168.75.58 192.116.2.151 19 2 . 1 6 8 . 7 5 . 5 8 192.195.2.88 192.168.75.60 192.87.2.211 192.168.86.3 Schritte zur Abhilfe NutzenSie das Endpoint Compliance Software Blade um zu prüfen,ob die Endpoints in lhrerOrganisation mit den jüngstenSecurity-Patches und Uodatesaktualisiert sind. Das Endpoint Compliance Software Blade wird sicherstellen,dass die Endpoints selbstdann geschütztsind, des Adobe FlashPlayerSWFFileBuffer wennsie sichaußerhalb Unternehmensnetzwerks Overflow(APSB13-04) befindenund keinenNetzwerkPHPphp-caiquerystringparameter Security-Schutz haben,etwa codeexecution beim Arbeitenvon zu Hause oder von unterwegsaus. Oracledatabaseserver CREATE_TABLES SQL injection lmageMagick GIFComment ProcessingOff-by-oneBuffer Overflow (CVE-20 13- 4298) Sie erhaltenweitereInformationen zu nachstehenden Check PointEndpointSecuritySoftwareBladesunter: . FirewallEndpointSecuritySoftwareBladehttp://www.checkpoi nt.com/products/f i rewall-compliance-check/index.htm I und . ComplianceCheck EndpointSecuritySoftwareBladehttp://www.checkpoint.com/products/firewall-compliance-check/index.html @2014CheckPointSoftwareTechnologies Ltd.All rightsreserved. ONLYfor designatedgroupsand individuals Classification: [Restricted] JI Data Loss Events- Empfehlungen für die Problembehebung am Endpoint Host Tvp 192.168.75.0 NutzenSie das Check Point Full Disk Encryption Software Blade um sensitiveInformationen auf Kreditkartennummern Endpoint-Festplatten einschließlichBenutzerdaten, Betriebssystemdateien und temporäreoder gelöschte Schritte zur Abhilfe verlorengehenoder gestohlenwerden. 192.168.86.47 Business-Plan NutzenSie das Check Point Media EncryptionSoftware Blade für die Verschlüsselung sensitiverDaten,die auf mobilenDatenträgern hinterlegtsind,sowiefür die individuelle VerwaltungdieserDevices. 192.168.125.0 Source-Code Durchden Einsatzdes Gheck Point Document Security Software Blades gestattenSie den Zugrifi auf sensitive Dokumenteausschließlich den dafürautorisierten Personen. SetzenSie UserOheckein, um o die Mitarbeiterüber die Datennutzungsregeln im 192.'168.125.36 Lohnabrechnung Unternehmenaufzuklären. . den MitarbeiternsofortigeRückmeldungzu geben,wenn ihreAktivitätendie Sicherheitsreqeln für die Datennutzuno verletzen. KlickenSie auf nachstehendeLinks,um weitereInformationen zu folgendenCheck Point Endpoint Software Security Blades zu erhalten: . FullDisk EncryptionEndpointSecuritySoftwareBlade: http://www.checkpoi nt.com/products/f u Il-disk-encryption/i ndex.htm I r MediaEncryptionEndpointSecuritySoftwareBlade: http://www.checkpoi nt.com/products/med ia-encryption/index.htm I o DocumentSecurityEndpointSecuritySoftwareBlade: httos://documentsecurity.checkpoint.com/ds-portal/ Ltd.All rightsreserved. @2014CheckPointSoftwareTechnologies Classification: lRestricted]ONLYfor designatedgroupsand individuals ry ghF..,h,.F-? MalwareEvents- Empfehlungen für die Problembehebung am Endpoint Host Schweregrad Schritte zur Abhilfe 192.53.2.161 Kritisch NutzenSie das Check Point Endpoint Anti-Malware Software Blade um Gefahrenwie Malware,Viren,KeystrokeLogger,Trojanerund Root Kits zu erkennenund lhre Endpointsvor Infektionen zu schützen. Kritisch unternehmensweiten Endpointsauch dann schützen,wenn sie sich außerhalbdes Unternehmensnetzwerks befindenund nicht über einen Netzwerk-Security-Schutz verfügen,etwa beim Arbeitenvon zu Hause oder von unterwegsaus. Kritisch SetzenSie das Endpoint ComplianceSoftware Blade ein um sicherzustellen, dass die Endpointsmit den jüngstenSecurity-Updates aktualisiert sind und mit der Security-Policy lhrerOrganisation konform gehen. 192.59.2.27 Kritisch Zur Unterstützung der Problembehebung auf eineminfiziertenRechner findenSie im Gheck Point ThreatWikizusätzlicheInformationen und Lösungsempfehlungen zur gefundenenMalwareund den damit potentiellen verbundenen, Risiken. 192.59.2.79 Kritisch NutzenSie UserCheckum lhre Mitarbeiterüber die Nutzungsregeln für den Einsatzvon Webbrowsernund Applikationenin lhrem Unternehmenaufzuklären. lPvll 192.57.2.32 192.57.2.209 lt Äl ltl-lvl(ttwctt ti KlickenSie auf nachstehendeLinks.um weitereInformationen zu folqendenCheck PointEndoointSoftware SecurityBladeszu erhalten: o Anti-MalwareEndpointSecuritySoftwareBlade: http://www.checkpoint.com/products/anti-ma lware-program -control/index. htm I e Firewall& ComplianceCheck EndpointSecuritySoftwareBlade:_ http://www.checkpoint.com/oroducts/firewall-compliance-check/index.html Durchführungeines umfassendenEndpointSecurityAnalysis-Reports Für eineumfassendere AnalyselhrerEndpointsim Hinblickauf derenSecurity-Status und potentielleRisiken führenSie den EndpointSecurityAnalysis-Report aus oder kontaktieren Sie den lokalfür Sie zuständigenCheck Point-Reoräsentanten. w Endpoint Security 2t41201410:55:38 AM Overall ron;-.iiar<e r-.:;ije High Risl €*+ ' Dataicss I Low Risk :olenüalerD.tr'ec;{en5it:.ej:T.-,Ered3t!:c Lnartacras:93n'€j e Äe-ov.b!. I i-inrirlhL)rized Access I MediumRisk E'\!,^Err'iil) ThreatsI High Risk Potentäl isl 1f mah\Bre infd:o.9:^r of icmp"1e.9lc be -9ec bj patre JGü1h3ßieO 57 S *ei,: O üp{c-cd!e Found 2 g Sh.red frld..! fand 5 itl Mili.icls Arp:'caricns Nor FdM g Fe",.re&{es Found I Q rni v acr.ue lct<:::: P:q rFi{-t,ö.5 Not Found g tte:Ä..c!r:aonti:i I ii*-,.ü, Frk 5r3.rg !rpr;rn!.ns Not Found B r,*".1r Föünd @ !s,e'Apo;,carcn: Q ::-r"re elrte'e:::ro:dan Found t.n<e! 4ir 8lu.laö:i f,eecs O lrt{H+j aAI E4{'cnt O I Fdnd Ltd.All rightsreserved. @2014CheckPointSoftwareTechnologies Classification: ONLYfor designatedgroupsand individuals [Restricted] lc(äi Äd-in:i.re.;. Found NotFosnd _r.-s:--_ m:lf,.re ''an"*,r. No, Fourd "rs sch.röre Found I Found Fourd Not Found EMPFEHLUNGEF NÜ R D I E P R O B L E M B E H E B U N G ./ BLADE- EMPFEHLUNGEN FÜRDIEPRoBLEMBEHEBUNG COMPLIANCE 7 DieserReportadressiertidentifizierte Security-Konfigurationen, die sich über sämtlicheCheck PointSoftware Bladeshinwegauswirkenund zu beachtensind. Nachstehende TabellelisteteinigedieserKonfigurationen auf und gibt Anleitungfür eineVerbesserung des Securitv-Levels. Risiko Schrittezur Abhilfe Relevante Objekte Hoch ErstellenSieeineneueStealthRuleoder modifizieren die bestehende StealthRulein den relevantenPolicyPackagesin Übereinstimmung = GW's; mit der folgendenDefinition: Source= Any ; Destination * Service Any ; Action= Drop; InstallOn = PolicyTarget ; Time- Any. PolicyPackageA Hoch ErstellenSie eine neueClean-up-Rule oder modifizieren Sie die bestehendeClean-up-Rule in den relevantenPolicyPackagesin Übereinstimmung mit der folgendenDefinition:Source= Any ; Destination= Any; VPN = Any Traffic; Service- Any ; Action = PolicyPackageB Drop;Track Log; InstallOn = PolicyTargets;Time = Any; Beachten Sie,dass die Clean-up-Rule die letztein der FirewallRuleBase aufgeführteZeilesein muss. Hoch AktivierenSie das automatischeUpdatender Schutzvorrichtungen im IPSBlade IPSGateway CorporateGateway Hoch ErstellenSie eine neue Policyoder modifizieren Sie die bestehende Policyim ApplicationControlBlade,so dass kritischeRisikoApplikationenund Websitesblockiertwerden PolicyPackageA Hoch Modifizieren Sie die Timeout-Settings für die Authentifizierung in den GlobalProperties,so dass sie zwischen20 und 120 Minutenlieqen. GlobalProoerties GlobalProoerties Hoch Definieren für sämtlicheFirewall-Regeln Sie ein Track-Setting über alle PolicyPackageshinweg. PolicyPackageA Regelnummer 18 Regelnummer 35 Regelnummer 64 PolicyPackageB Regelnummer'11 Regelnummer 23 Regelnummer 88 @2014CheckPointSoftwareTechnologies Ltd.All rightsreserved. ONLYfor designatedgroupsand individuals Classification: lRestricted] ghP,",.h,,P* ryE SOFTWARE- DEFI N ED PROTECTION HeutigelT-lnfrastrukturen und Netzwerkesind nicht nur erheblichkomplexerund anspruchsvoller, als noch vor einigenJahren.Sie sind einemstetenWandelunterworfenund weisenvor allemauch keineklardefinierten Grenzenmehrauf. Damitstehensie nicht nur für den erwünschtenZugriffdurch mobileMitarbeiterund Drittanbieter offen,sondernauch für immerneue,immerintelligentere Sicherheitsgefahren. Wie könnensich Unternehmendennochnachhaltigschützen? Meistsetzendie Organisationen bereitszahlreiche,punktuelleSecurity-Produkte ein - Produkte,die von ihrem Ursprungher aber eher reaktivund taktischals architektonisch ausgerichtetsind. ModerneUnternehmen performante benötigendagegeneineeinzigeArchitektur,die hoch Vorrichtungen für die Netzwerk-Security mit proaktiven,in EchtzeitarbeitendenSchutzmaßnahmen verbindet. proaktivschützen,müssenwir also umdenken,ein neuesParadigma Wollenwir heutigeOrganisationen entwerfen. Software-DefinedProtection(SDP)ist eine neue, pragmatischeSecurity-Architekturund Methodologie.Sie bietet eine Infrastruktur, die modular,agil und vor allemSICHERist. EinesolcheArchitekturmuss in der Lagesein,Unternehmenganz unabhängigvon ihrerGrößeund ihrem Standortzu schützen,sowohldie Netzwerkein der Zenlraleals auch die in den Zweigstellen, das Roamingüber Smartphonesund anderemobileEndgeräteund auch die Nutzungvon Cloud-Umgebungen. Die Schutzmaßnahmen solltensich automatischan veränderteGefährdungen anpassen,so dass sich SecurityAdministratoren nicht manuellmit zahllosenRatschlägen und Empfehlungen beschäftigenmüssen.Sie müssensich außerdemnahtlosin die übergreifende lT-Umgebungeinbinden lassen,und die Architekturmuss eineschützendeBasisbilden, die sowohl die bereitsvorhandeneninternenals auch externen Ressourcenintelligentund kollaborativzu nutzenweiß. Die Software-Defined Protection-Architektur unterteilt d ie in drei miteinanderverbundeneEbenen: Security-lnfrastruktur o EinenEnforcementLaye6 der auf physischen,virtuellen und Host-basierten Lösungenfür die Durchsetzung der Securityberuhtund sowohldas Netzwerksegmentiert,als auch die hinterden Schutzmaßnahmen stehendeLogik selbstin sehr anspruchsvollen Umgebungenausführt. o EinenControl Layer,der unterschiedliche Quellenzu Gefährdungsinformationen analysiertund Schutzmaßnahmen sowie Policiesgeneriert,die von dem EnforcementLayer ausgeführtwerden. o EinenManagementLayer,der die gesamteInfrastruktur orchestriertund für die gesamteArchitekturein Höchstmaß an Agilitätsicherstellt. @2014Check Point SoftwareTechnologiesLtd. All rights reserved. Classification: ONLYfor designatedgroupsand individuals [Restricted] Die Software-DefinedProtection(SDP)-Architektur Durchdie Kombinationdes hoch performantenEnforcementLayersmit dem sich kontinuierlich entwickelnden, dynamischenund Software-basierten ControlLayerbietetdie SDP-Architektur nicht nur einehohe,operative Belastbarkeit, sondernsorgt auch für die proaktiveAbwehrsich stetigändernderGefahren. Auf die Zukunftausgelegt,unterstütztdie SDP-Architektur Anforderungen sowohltraditionelle an Policiesfür die Netzwerk-Security und Zugriffskontrolle, als auch neue Herausforderungen an die Gefahrenprävention, wie sie für heutigeUnternehmenerforderlichist, die auf moderneTechnologien wie MobileComputingund SoftwaredefinierteNetzwerke(SDN)setzen. PROTECTION CHECKPOINTSOFTWARE.DEFINED Check PointstelltsämtlicheKomponentenzur Verfügung,die für die lmplementierung einervollständigenSDPArchitekturmit herausragendem Managementund bestmöglicher Securityerforderlichsind. Die Software-definieden von Check Pointhaltenjederzeitflexibelmit neuen Schutzvorrichtungen GefahrenSchrittund beziehenneueTechnologien ein. UnsereLösungengenerierenneue und aktualisierte Schutzmaßnahmen für bekannteund unbekannteGefährdungen und stellendas neu gewonnene Wissenproaktivin die Cloud.Die lmplementierung der Check PointSecurity-Lösungen auf Basisdieses gibt Unternehmendie Möglichkeit,selbstmodernste fundierten,architektonischen Security-Designs Informationssystem lösungen bedenkenlos in ihre Umgebungenzu integrieren. Ltd.All rightsreserved. @2014CheckPointSoftwareTechnologies Classification: ONLYfor designatedgroupsand indivrduals lRestricted] gnP-gh,P."g ffiffi CHECKPOINTSDP.ENFORCEMENT LAYER Für die Absicherungder Grenzenjedes Netzwerksegments bietetCheck PointeineVielzahlvon Lösungen,sog. EnforcementPoints,die für die Durchsetzung der Securitysorgen.Dazugehörenhoch pedormanteNetzwerkSecurity-Appliances, virtuelleGateways,Endpoint-Host-Software und Applikationen für mobileEndgeräte.Check Pointgibt UnternehmensämtlicheKomponentenan die Hand,die für den Aufbausegmentierter, konsolidierter und sichererSystemeund Netzwerkeerforderlichsind. CHECKPOINTSDP-CONTROL LAYER Der Check Point SDP Control Layerberuht auf der Check Point SoftwareBlade-Architektur, auf deren Basisder Kundeflexibleund effektiveSecurity-Lösungen erhält,die exakt seinenErfordernissen entsprechen.Bei einer Auswahlvon mehrals 20 SoftwareBladesermöglichtdie modulareNaturder SoftwareBlade-Architektur dem Kundenzunächsteine relevanteSecurity-Lösung für einenbestimmtenEnforcementPointzu erstellenund - bei Bedarf- seineSecurityInfrastruktur späterallmählichauszubauen. Next GenerationThreat Prevention Check Pointstellteffiziente,automatisierte Kontrollenzur Verfügung,die vielender bekanntenund unbekannten Gefährdungen entgegenwirken.Die Check PointThreatPrevention-Lösung umfasst:ein integriertesIntrusion PreventionSystem(lPS),Netzwerk-basiertes Anti-Virus,ThreatEmulationund Anti-Bot. Darüberhinaushat Check Pointmit Check PointThreatCloudrM eineeinzigartige, Cloud-basierte Lösung entwickelt,die aus großenDatenmengenintelligenteInformationen zu Gefährdungen und Schutzmaßnahmen generlert. Check PointThreatCloudunterstütztdie kollaborative Bekämpfungdes Cybercrime,indemdie Lösungdem Control Layerin Echtzeitintelligente,zu Security-lndikatorenkonvertierteThreat-lnformationen zur Verfügung stellt. Next GenerationFirewallund Data Protection Die Check Point-Zugriffskontrolle basiertauf unsererNext GenerationFirewallin Kombinationmit zahlreichen SoftwareBladesund ermöglichtdamit eineeinheitliche, Kontext-basierte SecurityPolicy:Next Generation Firewallund VPN, User ldentityAwareness,ApplicationControl,Daten-und ContentAwareness. Next GenerationData Protection Check PointNext GenerationData Protectionerweiterldie Lösungum DataAwareness.Sie umfasstunser DataLoss Prevention(DLP)SoftwareBlade,das die Überprüfungvon Contentausführtund die Inhaltevon Filesmit Dateienabgleicht,die in den Repositories des Unternehmens hinterlegtsind. Darüberhinausbietet für den Schutzvon Datenim Ruhezustand sowieabgespeicherten Check PointVerschlüsselungstechnologien Datenan. DieseTechnologien könnenan allenEnforcementPointsimplementiert werden.Sie schützensensitive durch nicht Dokumenteund vertraulicheDatenvor dem Zugriffoder der Übertragungauf mobileDatenträger autorisierteNutzer. @2014CheckPointSoftwareTechnologies Ltd.All rightsreserved. Classification: ONLYfor designatedgroupsand individuals [Restricted] CHECKPOINTSDP.MANAGEMENT LAYER SämtlicheSchutzvorrichtungen und EnforcementPointsvon Check Pointwerdenüber eineeinzige,einheitliche SecurityManagement-Konsole verwaltet.Das hoch skalierbareCheck PointSecurityManagementist in der Lage,Millionenvon Objektenzu verwaltenund bietetgleichzeitigextremschnelleAntwortzeiten. Modulares/mehrschichtigesCheck Point Policy Management Check PointSecurityManagementunterstütztdie unternehmensweite Segmentierung, so dass Administratoren für jedesSegmenteinespezifischeSecurityPolicydefinierenund dabeianhanddes neuen,,Layersund Sub Layers"-Konzepts eineAufgabentrennung durchsetzenkönnen.Policieskönnenfür jedes Segmentdefiniert werden.Policiesfür die Zugriffskontrolle könnenunterNutzungverschiedener Layerdefinierlwerden,die verschiedenen Administratoren zugeordnetwerdenkönnen.So könnendann mehrereAdministratoren simultan an der gleichenPolicyarbeiten. Automationund Steuerung Check PointSecurityManagementbietetCLls und Webservice-APls, die Unternehmendie Integrationmit anderenSystemenwie Netzwerkmanagement, CRM,Trouble-Ticketing, ldentityManagementund CloudSteuerungerlauben. Überblickmit Check PointSmartEvent Check PointSmartEventführt Big Data-Analysen und die Echtzeit-Korrelation von Security-Vorfällen aus. Es bietetdie Möglichkeit,auf BasismehrererInformationsquellen eine konsolidierte und korrelierteÜbersicht zu einemspezifischen Vorfallzu erstellen.DieAnalyseder Security-Events liefertanwendbare,intelligente Informationen in Formvon Threat-lndikatoren, die über die ThreatOloudverbreitetund so die erkannten Gefährdungen in Echtzeitblockierenkönnen. .i."*rBrM i- ,, , t i d* Tfir*äl Frrlr,rfrntr*il a a]} ! ril_l ] Ü: r.,i EventManagementmit CheckPointSmadEvent ErfahrenSie mehr über Check PointSoftwareDefinedProtection(SDP)und wie Sie dieseinnovativeArchitektur dabei unterstützenkann,dass lhreSecurity-lnfrastruktur mit immerneuen,sich stetigänderndenGefahren für lhre Geschäftsdaten Schritthaltenkann.BesuchenSie uns unterwww.checkpoint.com/securitycheckup. 02014 CheckPointSoftwareTechnologies Ltd.All rrghtsreserved. Classification: ONLYfor designatedgroupsand individuals fRestricted] m 9l]F.gh,,F-? UBER CHECK POINT SOFTWARE TECHNOLOGIES http://www.checkpoint.com/gehöd zu den führendenAnbietern Check PointSoftwareTechnologies von Lösungenfür die Absicherungdes lnternets.Das Unternehmenwurde 1993gegründetund hat seither von Unternehmenund Verbrauchern Technologien im entwickelt,um die Kommunikationund Transaktionen Internetzu schützen. Mit FireWall-1und seinerpatentiertenStatefulInspection-Technologie war Check PointPionieram Marktfür Security-Technologie. habenwir unserelT SecurityDurchdie EntwicklungunsererSoftwareBlade-Architektur jetzt Innovationen weiter ausgebaut.Die dynamischeSoftwareBlade-Architekturbietet sichere,flexibleund jedes Unternehmens einfachzu nutzendeLösungen,die an die spezifischenSecurity-Anforderungen und jeder Umgebungangepasstwerdenkönnen. Check Pointentwickeltund vermarkteteine breitePalettevon Softwaresowie Produktkombinationen aus Software-,Hardware-und Servicelösungen für die lT Security.Wir bietenunserenKundenein umfassendes Portfoliovon Netzwerk-und GatewaySecurity-Lösungen an, sowie Daten-,EndpointSecurity-und Management-Lösungen. UnsereProduktearbeitenunterdem Dacheinereinheitlichen Security-Architektut die mit nur einerProduktreihe aus einheitlichen SecurityGatewaysdurchgängigeEnd-to-End-Security ermöglicht.Dabeiwird die gesamteEndpoint-Security mithilfeeineseinzigenAgentenüber nur eine,einheitliche Managementkonsole verwaltet.DieseseinheitlicheManagementermöglichtden einfachenEinsatzder Produkte sowiederenzentraleKontrolleund wird durch Echtzeit-Security-Updates unterstütztund aktualisiert. UnsereProdukteund Serviceswerdenfür Organisationen, ServiceProvider,kleineund mittelgroBeUnternehmen und Endverbraucher angeboten.Unsere,,OpenPlatformfor Security"(OPSEC)-Struktur ermöglichtAnwendern den Ausbau unsererProdukt- und Service-Kapazitäten mit Hardware-und SecuritySoftware-Anwendungen von Drittanbietern. vertrieben,integriertund UnsereProduktewerdenüber unserweltweitesPartnernetzwerk gepflegt.Zu unserenKundengehörenZehntausende von Organisationen und UnternehmenallerGrößen, einschließlich ZoneAlarmallerFortune100-Unternehmen. Unseremehrfachmit Preisenausgezeichneten vor Hackern,Spywareund ldentitätsdiebstahl. LösungenschützenMillionenvon Verbrauchern Ltd.All rightsreserved. @2014CheckPointSoftwareTechnologies Classification: lRestrictedlONLYfor designatedgroupsand individuals