INHALTSVERZEI CHNIS EXECUTIVE SUMMARY 3 … · re ghF.",h.,F."gnJ Hoch riskante Applikationen, die compliant mit der organisatorischen Security Policy sind Hoch riskante Applikationen

INHALTSVERZEI CHNIS

EXECUTIVE SUMMARY ....... 3

ERGEBNISSE IM BEREICH ZUGRIFFSKONTROLLE & DATENSCHUTZ....4

Web Security-Events .........4

Data Loss-Events .. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .7

ERGEBNISSE IM BEREICH THREAT PREVENTATION ... . . . . . . . . . . . . . . . . . . . . . . . . .10

Bot-Events .. . . . . . . . . . . . . . . . . . . . . . 10

Virus-Events .. . . . . . . . . . . . . . . . . . . .12

Zero-day-Threats .......... ...................... 13

lntrusion- & Attack-Events .. . . . . . . . . . . . . . . . .15

ERGEBNISSE IM BEREICH ENDPOINT SECURITY . . . . . . . . . . . , . . . .17

coMPLtANCE SECURITY-ANALYSE ... . . . . . . . . . . . . . . . .20

EMPFEHLUNGEN FÜR DIE PROBLEMBEHEBUNG . . . . . . . . . . . . . . . .26

SoFTWARE-DEF|NED PROTECTTON .... . . . . . . . . . . . . . . .35

üeen cHEcK porNT SoFTWARE TEcHNoLoctEs ... . . . . . . . . . . .s9

fr

ffiH thP,.,h,,F-?,,'lJ[

EXECUTIVE SU M MARY

Dieses Dokument stellt die Ergebnisse einer kürzlich durchgeführten Security-Analyse lhrer Infrastruktur dar.Es gibt lhnen sowohl eine Zusammenfassung der Untersuchungsresultate als auch Empfehlungen für dieAdressierung aufgedeckter Sicherheitsprobleme an die Hand.

Die Analyse basiert auf der Sammlung von Daten unter Berücksichtigung nachstehender Charakteristika:

Nachstehend finden Sie eine Übersicht über die häufigsten und risikoreichsten Security-Events, die im Rahmendieser Analyse aufgedeckt wurden

ZUGRIFFSKONTROLLE & DATENSCHUTZ

30.670 hoch riskanteApplication-Events

22 Data Loss-Events

THREAT PREVENTION

q

5

t o

1 8

ENDPOINT

893

Bot-Events

Virus-Events

Zero-day-Events

I ntrusions- & Attacks- Events

Endpoints, die in hoch riskante Events involviert sind

COMPLIANCE

650/o compliant with Check Point Best Practices

58% compliant mit behördlich angeordneten Bestimmungen

Security Analysis Date: 12/01/2014 Dauer der Analyse: 2 Wochen

Industrie: Versicherungsbranche Land USA

Unternehmensgröße: 2.500 EMitarbeiter Analysiertes Netzwerk lnternes LAN

Security Gateway-Version: R77 Analyse-Modus: Mirror Port

Security Gateway Software Blades:Application Control, URL Filtering, Anti-Bot, Anti-Virus, lPS, DLBldentity Awareness , Threat Emulation, Compliance

Security-Device: Check Point 4800 Security Gateway

@2014 Check Point Software Technologies Ltd. All rights reserved.Classification: fRestricted] ONLY for designated groups and individuals

ERGEBNISSE IM BEREICH ZUGRIFFS-KONTROLLE & DATENSCHUTZ

WEB SECURITY.EVENTS

Die risikoreichsten Applikationen & SitesIn den Bereichen Web-Applikationen und Websites weisen nachstehende Elemente die höchsten Risikenl aus:

Application / Site

$ ror

$, ultrasurf

R Coralcdn

@ wunneltO) rugou

g! suresome

I Hota

S PacketiXVPN

ft rpro"y

$ Sopcast

@ DarkComet-RAT

ii Dropbox

$ Gotons$st-Remotesupport, - Lync

Q TeamViewer

@ BitTorrent Protocol

.F Lync-sharing

$ uTorrent

6 qqrv

Q rr"" Download Manager

Q not Desktop

i) ad.adlegent.com/iframe

{ linkuryjs.info

:;f Dropbox-webdownload

@ LogMeln

$ aissuy

$ ZumoDrive

I Aiwangwang

Category

Anonymizer

Anonymizer

Anonymizer

Anonymizer

P2P File Sharing

Anonymizer

Anonymizer

Anonymizer

Anonymizer

P2P File Sharing

Remote Administration

File Storage and Sharing


Instant Messaging


P2P File Sharing

Instant Messaging

P2P File Sharing

Instant Messaging

Download Manager

Anonymizer

Spam

Spam



Instant Messaging



Number of Users

? q

33

2

,t

2

7

5

z

L

I

3573

L573

118

L82

113

93

2

?n

6

47

3

2

z

39

36

t7

z

Number of Events

228

51

45

I ö

1 C

9

z

z

l.

L9,443

I,L44

768

464

443

327

zYl

257

233

228

227

L93

\79

166

148

140

App Risk

B critical

f,l critical

B critical

I critical

B critical

B critical

fl critical

S criticatp critical

f,l criticalp critical

!l critical

!l critical

!l critical

@ critical

!l critical

@ critical

@ Critical

@ critical

I critical

@ critical

@ criticat

@ critical

@ critical

@ critical

@ critical

@ critical

!l critical

Traffic

149 MB

1 G B

2 M B

24 MB

7 M B

1 M B

98 KB

3OO KB

4OO KB

350 KB

260 KB

37 GB

4 G B

937 MB

831 MB

168 MB

70 MB

21 MB

26 MB

373 MB

2MB

32 MB

85 MB

3 M B

30 MB

5 M B

3 M B

3 M B

1 Risiko-Level 5 indiziert eine Applikation, die die Security umgehen oder ldentitäten verbergen kann (2. B.: Tor, Wunnel). Risiko-Level 4indiziert eine Applikation, die ohne Wissen des Anwenders zu Datenlecks oder Malware-lnfeKionen führen kann (2.8.: File Sharing, P2PuTorrent oder P2P Kazaa). Applikationen für die Remote-Administration sind möglicherureise, sofern sie von Admins und Helpdesk genutztwerden, legitimiert.


re ghF.",h.,F."gnJ

Hoch riskante Applikationen, die compliant mit der organisatorischenSecurity Policy sindHoch riskante Applikationen sind Anwendungen, die ohne Wissen des Anwenders die Security umgehen,ldentitäten verbergen und Datenlecks oder sogar Malware-lnfektionen verursachen können. ln den meistenFällen ist die Nutzung solcher Applikationen nicht vereinbar mit der Security Policy des Unternehmens. In einigenFällen können jedoch spezifische Applikationen mit der organisatorischen Policy compliant gemacht werden.Nachstehende, sehr risikoreiche Applikationen wurden während der Analyse entdeckt, gehen jedoch konform mitder bestehenden Security Policy:

Beschreibung der risikoreichsten ApplikationenDie nachstehende Tabelle ist eine zusammenfassende Erläuterung der gefunden Top-Events und der damitverbundenen Securitv- oder Geschäftsrisiken:

Application Organisatorische Security Policy

TeamViewer Zugelassen für die Nutzung durch Support-Teams bei der Remote-Unterstützung der Kunden

LogMeln Zugelassen für die Nutzung durch den Helpdesk bei der Remote-Unterstützung von Mitarbeitern

Applikation und Beschreibung Kategorie App.-Risiko Events

TorTor ist eine Applikation, die Online-Anonymität ermöglichen soll. Die Tor-Client-Softwareleitet Internet-Traffic durch ein weltweites, hierfür frei zur Verfügung gestelltes Netzwerk vonServern, um so bei der Durchführung von Netzwerk-Monitoring oder Traff ic-Analysen denStandod und die Nutzungsgewohnheiten von Anwendern zu verbergen. Die Nutzung von Torerschwert die Rückverfolgung von Internetaktivitäten wie Website-Aufrufen, Online-Posts,Instant Messages und anderen Kommunikationsformen zum Anwender.

Anonymizer Kritisch 228

UltrasurfUltrasud ist ein freies Proxy-Tool, das Anwendern das Umgehen von Firewalls und Software fürdas Blockieren von Internet-Content ermöqlicht.

Anonymizer Kritisch

VTunnelWunnel ist ein frei erhältliches, anonymes Common Gateway Interface (CGl)-Proxy, daslP-Adressen verdeckt und dem Anwender das anonyme Aufrufen und Anschauen vonWebsites sowie das Umgehen von Sicherheitsmaßnahmen für die Netzwerk-Securityermöqlichen.

Anonymizer Kritisch 1 8

BitTorrentBitTorrent ist ein Peer-to-Peer File Sharing-Kommunikationsprotokoll und eine spezifischeMethode für die weite Verbreitung von großen Datenmengen. Es existiert eine Vielzahlkompatibler BitTorrent-Clients, die in unterschiedlichen Programmiörsprachen erstellt undauf einer Vielzahl von Plattformen lauffähig sind. P2P-Applikationen können, ohne dass es derAnwender bemerkt, zu Datenlecks oder Malware-lnfektionen führen.

P2P File

Sharing Hoch 464

ZumoDriveZumoDrive ist eine hybride Cloud Storage-Applikation. Sie ermöglicht Anwendern den Zugriffauf ihre Musik, Fotos und Dokumente über Computer und Mobiltelefone. Daten-Sharing ineiner öffentlichen Cloud kann zum Verlust von sensitiven Daten führen.

File Storageund Sharing

Hoch 148

@2014 Check Point Software Technologies Ltd. All rights reserved.Classification: [Restricted] ONLY for designated groups and individuals

ERGEBNISSE IM BEREICH ZUGRTFFSKONTROLLE & DATENSCHUTZ

Anwender, die hoch riskante Applikationen am häufigsten nutzenNachstehende Anwender waren in die am häufigsten auftretenden Events mit riskanter Applikations- undWeb-Nutzung involvier.t:

*Anmerkung: Benutzernamen werden in der oben stehenden Tabelle nur dann dargestellt,wenn das Check Point ldentity Awareness Software Blade aktiviert und konfiguriert ist.

lvan Whitewash


EX 9*F,",.K"P-?,,,lri

, DArA Loss-EVENrs

lhre Geschäftsdaten gehören zu den wertvollsten Gütern lhrer Organisation. Jede Form von Datenverlust,ob geplant oder unbeabsichtigt, kann lhrem Unternehmen Schaden zufügen. Nachstehend haben wir dieCharakteristika der Vorkommnisse von Datenverlust aufgelistet, die während der Durchführung unserer Analyseidentifiziert wurden.

Die gravierendsten Ereignisse von Datenverlust

Die nachstehende Liste fasst die identifizierte Datenverlust-Aktivität und die Häufigkeit, mit der spezifische Typenvon Datenverlust auftraten. zusammen.

@2014 Check Point SoftwareTechnologies Ltd. All rights reserved.Classification: lRestricted] ONLY for designated groups and individuals

I-*-

ERGEBNISSE IM BEREICH ZUGRIFFSKONTROLLE & DATENSCHUTZ

Wichtige Dateien, die das Unternehmen über HTTP verlassen haben

Nachstehende Tabelle listet Dateien auf, die aus dem Unternehmen heraus qesendet wurden undsensitive Daten enthalten können.

Wichtige Dateien, die das Unternehmen über SMTP verlassen haben

Nachstehende Tabelle listet Dateien auf, die aus dem Unternehmen heraus qesendet wurden undsensitive Daten enthalten können.

Host Datentyp Dateiname URL

192.168.75.26 Kreditkadennummern customer orders.xlsx www.ccvalidator.com

192.168.75.48 Finanzberichte Q4 Report - draft2.docx www.dropbox.com

192.168.125.28 Source Code new feature.C www.java-help.com

192 .168 .12s .10 Kundennamen Customer List.xlsx www.l inkedin.com

192.168j25.78HIPAA - GeschützteGesund heitsi nformation

Medical File - RachelSmith.pdf

www.healthforum.com

Empfänger Datentyp Dateiname Email-Betreff

[email protected] Kreditkartennummern Customer I nvoices.xlsx FW:Rechnungen

[email protected] Business-Plan Q1 2015 Goals.pdf RE: 2015 Plan

[email protected] Namen von Mitarbeitern employees.xls Mitarbeiter

[email protected] Sales Force-Reoorts Q4 sales summary.doc RE: Q4 Sales. Vertraulich!

[email protected] Pressemitteilung desUnternehmens

New Release - draft2.docx

FW: Neues Release PREntwurf - nicht weiter leiten!!

02014 Check Point Software Technologies Ltd. All rights reserved.Classification: [Flestricted] ONLY for designated groups and individuals

E| thP.gh"F-?,,,n{I

Die wichtigsten Ereignisse von Datenverlust nach Email-Absender

Diese Tabelle zeigt den Verlust von Daten nach Email-Absender in lhrem Netzwerk auf.

[email protected]

[email protected]

[email protected]


* , * - . - - " * p

ERGEBNISSE IM BEREICHTHREAT PREVENTATION

t Bor EvENrs

Ein Bot ist eine Schadsoftware, die in lhren Computer eindringt. Sie ermöglicht kriminell motivierten Angreifernohne Wissen der Anwender die Fernkontrolle über deren Computersysteme zu übernehmen und diese für illegaleAktivitäten zu missbrauchen, wie z.B. den Diebstahl von Daten, die Verbreitung von Spam und Malware, dieBeteiligung an Denial of Service-Attacken u.v.m.

Bots werden oft als Werkzeuge für s.g. Advanced Persistent Threats (APTs)-Attacken genutzt. Ein Botnet ist eineSamm I u ng solcher, kompromittierter Com putersysteme.

Die nachstehende llabelle zeigt die mit Bots infizierten Hosts und deren Aktivitäten auf, die in lhrem Netzwerkidentifiziert wurden.

Mit Bots infizierte Hosts 8

Hosts mit installierter Adware 1

Hosts mit SMTP- und DNS Malware-verbundenen Events 2

Schadhafte Bot-Aktivitäten

Bot-Kommunikation mit C&C-Site

Bot-Testverbindung

Andere schadhaft e Aktivität d urch Bot-l nfektion

U nenrvünschte N etzwerkaktivität d u rch i nstal I ierte Adware

@2014 Check Point Software Technologies Ltd. All rights reserved.Classification: [Restrictedl ONLY for designated groups and individuals

re thF,..h^,F-?,.'nJ

Hosts mit hoher und kritischer Bot-Aktivität

Während der Durchführung des Security Check-Ups identifizierte die Check Point-Lösung eine Anzahl Malware-bedingter Events, die auf Bot-Aktivitäten schließen lassen. Diese Tabelle listet einige Beispiele von Hosts auf, diebesonders hohen Risiken ausgesetzt waren.

Weitere Details über die im Rahmen dieses Reports identifizierte Malware finden Sie im Check Point ThreatWiki,Check Points frei verfügbarer Malware-Datenbank, unter threatwiki.checkpoint.com


Host Aktivität Name der Gefährdung Quelle

192.168.75.7 Kommunikation mitc&c

O perator. Vi rus. Wi n 32.Sality.d.dm

yavuztu nci l.ya.f u n pic. de/i mages/logos.gif?f588g1 =1 6091 281

10.10.2.32DNS Client-Anfrageoder DNS Server löst ineine C&C-Site auf

O oerato r. Co nf i c ker. bhv I zsgnmngn.net

192.168.75.22DNS Client-Anfrageoder DNS ServerC&C-Site

Operator.Zeus.bt zsxwd.com


Operator.BelittledCardigan.u zwoppfqnjj.com


Operator.APTl .cji zychpupeydq.biz

10 .1 .1 .22DNS Client-Anfrageoder DNS ServerC&C-Site

Operator.Vi rus.Wi n32.Sality.f.h zykehk.com

ERGEANISSE IM BEREICH THREAT PREVENTATION

Häufigste, aus dem Web heruntergeladen e Zero-day-Malware

Datei Malware-Aktivität Host Quelle

0dd730ed4.pdfUnerwarteter Prozessabbruch/Crash

192.87.2.7www. lostartof bei ngadame. com/wpcontenVplugins/www.fotosupload.php

guide04d88.pdf

Schadhafte DateisystemaktivitätSchadhaft e NetzwerkaktivitätSchadhaft e VerzeichnisaktivitätU nerwartete Prozess-Erzeu gun g

Unerwartete Prozess-Beendigung

10.23.33.24silurian.cn/mod ules/mod cmsf ir:/f ix.php

Häufigste, per Email (SMTP) verschickte Zero-day-Malware

Datei Sender Empfänger Betreff Malware-Aktivität

[email protected]

[email protected]

Versandinfor-mationen

Malware eaeugt einen weiteren ProzessMalware eaeugt verdächtige DateienMalware fragt Modul-Namen abMalware vermehd sich selbstMalware verändert den Browserverlauf

[email protected]

jhon@

mybiz.bizlhreRechnung

Malware schädigt einen anderenProzess auf dem System

Malware eaeugt einen weiteren ProzessMalware ezeugt verdächtige DateienMalware ezeugt einen Suspended Status

(um einen Prozess zu umgehen)Malware löscht sich selbstMalware fragt Modul-Namen abMalware läuft im Kontext eines anderen

ProzessesMalware ezeugt einen Child ProcessMalware verfälscht Browserverlauf

[email protected]

[email protected]

Agendafür dieanstehendeVeranstaltung

Malware ezeugt einen weiteren ProzessMalware ezeugt verdächtige DateienMalware eaeugt einen Suspended Status

(um einen Prozess zu umgehen)Malware löscht sich selbstMalware fragt Modul-Namen abMalware verändert wichtige

Systemdateien

@201 4 Check Point Software Technologies Ltd. All rights reserved.Classification: [Restricted] ONLY for designated groups and individuals

ffiE thP.gh.,P-?*,n'{

4 TNTRUSToN- & ATTAoK-EVENTS7

Die häufigsten Intrusion- & Aüack-Events

Die Check Point-Lösung identifizierte im Rahmen der Security-Analyse eine Anzahl von Vorfällen, dieim Zusammenhang mit Intrusion Prevention stehen. Einige dieser Events wurden als hochgradig riskantkategorisiert. Die nachfolgende Tabelle listet die gefunden Vorfälle und den entsprechenden Schweregrad auf.

-CVE (Common Vulnerabilities and Exposures) ist ein Dictionary für öffentlich bekannte Security-Schwachstellen.Weitere Informationen zu einem spezifischen IPS-Event finden Sie mithilfe der entsprechenden CVE-lD auf derNational Vulnerability Database CVE-Webpage.

Schweregrad EventName CVE-Liste* Häufigkeit

Kritisch

Microsoft SCCM Reflected Cross-site Scripting (MS12-062) cvE-2012-2536 5

Joomla Unauthorized File Upload Remote Code Execution 2

Web Servers Malicious HTTP Header DirectoryTraversal 1

lmageMagick GIF Comment Processing Off-by-one BufferOverflow (CVE-201 3-4298)

cvE-201 3-4298 3

Adobe Flash Player SWF File Buffer Overflow (APSB13-04) cvE-2013-0633 2

Hoch

PHP php-cgi query string parameter code execution cvE-2012-1823 1

Oracle database server CREATE TABLES SQL iniection cvE-2007-3890 4

02014 Check Point Software Technologies Ltd. All rights reserved.Classification: [Restricted] ONLY for designated groups and individuals

ERGEBNISSE IM BEREICH THREAT PREVENTATION

IPS Events nach Ländern

Nachstehende Karte zeigt die Verteilung von IPS-Events auf die jeweiligen Ursprungsländer.

-Top 5 Countries -.*-----"-'.

United Kingdom p3 events)

United States (54 evenB)

Austlalia (37 events)

Japan (36 events)

Germany (24 events)

. , -'Event Statistics' : Countries with Activity (21) ,'

' :. i

,

.,-Activity Level -'*"---',

i ! r op : . '

i $ ruextrops. li ! o . t " , , :i f] No raivity

@2014 Check Point SoftwareTechnologies Ltd. All rights reserved.Classification: [Restricted] ONLY for designated groups and individuals

g 9l]F,gh,F.gnJ

ERGEBNIS BEREICHENDPOINT R ITY

Dieser Abschnit t stel l t d ie Securi ty-Ergebnisse dar, die im Zusammenhang mit den Hosts in lhrer Infrastrukturstehen. Er fasst diese Ergebnisse zusammen und gibt detaill ier.te Informationen pro Security-Vektor. Der Ab-schnit t , ,Problembehebung" stel l t Empfehlungen für die Adressierung der gefundenen Ereignisse vor.

Endpoint Security-Events - Zusammenfassung

Endpoints gesamt, auf denen hoch r iskante Appl ikat ionen laufen o

Endpoints gesamt, die in Vorfälle von Datenverlust involviert sind 1 9

Endpoints gesami, die in Intrusion- & Attack-Events involviert s ind 20

Endpoints gesamt, die in Malware-Vorfälle involviert sind 848

Top-Endpoints, auf denen hoch riskante Applikationen laufen

Nachfolgende Tabel le l istet die Endpoint-Rechner auf, auf denen am häuf igsten hoch r iskante Appl ikat ionenlaufen oder die auf hoch riskante Websites zuqeqriffen haben:

SE IMSECU

Suuree

39tr.16&?#l1{1J0.10J3518I.r693.3319I16&5.ffi

19:.1f&5.3310.10.33"335

17r-?fJ5,11

1oJn?r.31

1n10.1.335

1Sr.Ifi8 5"39

LSJ3.tfJ

19x.r68.66.3

D+ltdorr*t-RÄT

ürspbor

h{ütchr*{aüqory

*rn*rpr*

*nqpxir*

Anffq4*s

flf Fh5lratirg

*nclWr*s

Ino*yct*ler

Anmrfr!*xrr

gnsayn*ra

FIP Flhstsing

fiE fimc Ädr*ini*stisn

Fih Storägc ard SharirE

ÄpSi<*furnlSite

?'ir ror* *ursr*t Coralcdnp wunneü rugi+.r

ü? s"t*r""*I itof*

# poeuxwr'r}t rp.oov

{S soe*"rt*sfl

#

Äpp Rirle

E g.i*..t

E crttLsE c**.rlE c*."rE g*u.rr

E c*i.sE cr;u*tE c*i..1E c*t.rE cticcg

E crffi."t

E ngrt

@2014 Check Poini Software Technologies Ltd. All rights reserved.Classi f icat ion: lRestr ic tedl ONLY for designated Eroups and tndivtouals

Wichtigste Endpoints mit Intrusion- & Attack-Events

Folgende Tabelle listet die wichtigsten Endpoint-Rechner mit Intrusion Prevention-bezogenen Vorfällen auf.

Schweregrad Event-Name CVE-Liste

192.87.2.47 192.168.75.27 KritischMicrosoft SCCM Reflected Cross-siteScripting (MS12-062)

cvE-2012-2536

192.78.2.214 192.168.75 .58 KritischJoomla Unauthorized File UploadRemote Code Execution

192.84.2.220 192.168.75 .58 KritischWeb Servers Malicious HTTP HeaderDirectory Traversal

192.85.2.133192.168.75 .58 KritischlmageMagick GIF CommentProcessing Off-by-one BufferOverf low (CVE-20 1 3-4298)

cvE-2013-4298

192.116.2.151 192.168.75 .58 KritischAdobe Flash Player SWF File BufferOverflow (APSB13-04) cvE-2013-0633

192.195.2.88 192.168.75 .60 HochPHP php-cgi query string parametercode execution

cvE-2012-1823

192.87.2.211 '192.168.86 .3 HochOracle database server CREATE_TABLES SQL injection

cvE-2007-3890


# LhP.gh,.P-?,.'nI'Wichtigste Endpoints, die in Vorfälle von Datenverlust involviert sind

Nachstehende Tabelle listet die Haupt-Endpoint-Rechner auf, die von Data Loss-Events betroffen sind.

Endpoint Events Gesendete Daten

192.168.125.364 Kreditkartennummern

1 Business-Plan

192. '168.75 .0 5 Finanzberichte

1 9 2 . 1 6 8 . 1 2 5 . 0 4 Source-Code

192.168.86.47 4 Outlook-Nachricht - Vertraulich

192.168.86 .38 2 US-Sozialversicheru ngsnu mmern

Wichtigste Endpoints, die in Malware-Vorfälle involviert sind

Folgende Tabelle zeigt die Top-Endpoint-Rechner, die in Malware-bezogene Security Events involviert sind.

Host Threat-Name Malware-Aktivität

192.168.86 .8 Operator.Vi rus.Win32.Sality.f . h DNS Client Query oder DNS Server beseitigt eine C&C Site

192.168.75 .0 Operator.APTl.cji DNS Client Query oder DNS Server beseitigt eine C&C Site

192.168.75 .3Operator.Virus.Win32.Sality.d.dm

Kommunikation mit C&C

192.168.75.7 REP.yjjde Zugrifl auf bekanntl ich Malware- i nf izieft e Site

1 9 2 . 1 6 8 . 7 5 . 1 0Rog ueSoft ware. Hack_Style_RAT.pbco

Kommunikation mit C&C

1 9 2 . 1 6 8 . 7 5 . 1 3Trojan.Wi n32.Agent. aaeyr.cj Download eines schadhaften Files/Exploits

@2014 Check Point Software Technologies Ltd- All rights reserved.Classification: lRestricted] ONLY for designated groups and individuals

COM PLIANCE SECU RITY-ANALYSE

Dieser Abschnitt stellt eine detaillierte Analyse der Security Policies für lhre bestehende Check point Netzwerk-Security-Umgebung dar. Die Analyse wurde mithilfe des Check Point Compliance Software Blades durchgeführt,das eine umfassende Bibliothek von hunderten von Security Best Practices und Empfehlungen für eineVerbesserung der Netzwerksicherheit lhrer Organisation nutzt.

Security Policy Compliance

Das Compliance Software Blade überprüft die Konfiguration lhres Security-Managements, lhrer Gateways undinstallierten Software Blades.

Die Ergebnisse wurden dann verglichen mit Beispielen für unsere Security Best practices. Dabei wurdefestgestellt, dass von unseren 102 empfohlenen Best Practices 67 vollständig compliant waren, jedoch 35 fehltenoder nicht mit unseren Empfehlungen konform gingen. Dies resultiert insgesamt in einem Compliance-Level von650/o.

650/o compliant mit den empfohlenen check point securitv Best practices

102 Analysierte Security- Konf i g u rationen

67 Configurations found compliant

35 Für compliant befundene Konfigurationen

1 2 Ü berwachte Security Gateways


re thF..,h,,F."gtnJ

Zusammenfassung zu den gesetzlich geregeltenGompliance- Bestimmungen

Die nachstehende Tabelle stellt das Compliance-Level lhrer Netzwerk-Security bezüglich der gesetzlichvorgegebenen Compliance-Regeln dar. Dieser Status wird durch die Analyse verschiedener Check PointSecurity Gateway-Konfigurationen und Software Blade-Einstellungen sowie deren Vergleich mit den gesetzlichenAnforderungen festgestel lt.

Bestimmung Anzahl der AnforderungenAnzahl der Security

Best PracticesCompliance-Status

lso 27001 27 102 7B%

PCI DSS 55 102 86%

HIPAA 1 6 102 78%

DSD 1 4 68 67%

GLBA 5 102 45o/o

NtsT 800-41 22 25 B5%

tso 27002 1 9 8 102 77o/o

NtsT 800-53 25 71 86%

CobiT4.1 t c 102 66o/o

UK DataProtection Act

I 29 49%

Firewal lSTlG 30 54 87%

G P G 1 3 9 31 87%

NERC CIP B 56 74o/o

MASTRM 25 102 77o/o

SOX t c 102 66%

FIPS 2OO 25 71 87%

02014 Check Point Software Technologies Ltd. All rights reserved.Classification: lRestricted] ONLY for designated groups and individuals

C O M P L I A N C E S E C U R I T Y - A N A L Y S E

Best Practices Compliance nach Security Software BladeNachstehende Tabelle zeigt den allgemeinen Security-Status für jedes Software Blade. Check Point empfiehltfür jedes Software Blade eine Reihe von Best Practices. Bei einem Wert von 100% wurde festgestellt, dassfür dieses Blade sämtliche Best Practices richtig konfigurierl sind. Ein Wert von weniger als 100% weist aufKonfigurationen hin, die nicht mit dem empfohlenen Best Practices übereinstimmen und daher ein potentiellesSicherheitsrisiko für lhre Umgebung darstellen.

Security Software BladeAnzahl der

Best PracticesSecurity-Status

Data Loss Prevention 2 7%6

IPS 4 29o/o

Application Control '1354o/o

Mobile Access 3 66%

lPSec VPN t o 73%

URL Fi l ter ing 5 87%

Firewall 35 BB%

Anti-Virus 13 91%

Anti-Spam & Mail 3 100%

Anti-Bot 8 100%

@201 4 Check Point Software Technologies Ltd. All rights reserved.Classification: [Restricted] ONLY for designated groups and individuals

ffi ghP.gh*P."grnJ

Security Best Practices-Gompliance: Die wichtigsten Resultate

Nachstehende Tabelle listet die wichtigsten Security Best Practices auf, die als fehlend oder nicht vollständig

konf i guriert festgestel lt wurden.

Blade ID Name Status

Firewall FW101 Überprüfen, ob die "Clean up"-Regel in der Firewall Rule Base definiert ist 0%

Firewall FW102 Überprüfen, ob Anti-Spoofing auf jedem Gateway aktiviert worden ist 0 %

Firewall FW103Überprüfen, ob Anti-Spoofing auf jedem Gateway auf Prevent

eingestellt isto%

Firewall FW105 Überprüfen, ob jede Firewall definierle Track Settings hat 0%

Firewall FW130 Uberprüfen, ob ,,Stealth Rule" in der Firewall Rule Base definiert ist o%

Firewall FW152 Überprüfen, ob jede Firewall-Regel einen Namen definiert hat 0%

Firewall FWl53 Überprüfen, ob jede Firewall-Regel einen Comment definiert hat o%

Firewall FWl07Überprüfen, ob für jedes Gateway ein zusätzlicher Log-Server für die

Speicherung der Firewall-Logs definiert isto%

Firewall F W 1 1 6 Überprüfen, ob NAT/PAT in den Firewall-Settings aktiviert ist 87%

Firewall FW146Überprüfen, ob in der Firewall Rule Base keine ,,Any Any Accept"-Regeldefiniert ist

0%

Firewall FW'159Überprüfen, ob Feststellen, dass ,,Lockout AdministratorYs account after"

ausoewählt isto%

Firewall FW160Überprüfen, ob Administratoren nach 3 fehl geschlagenen Login-

Versuchen ausgeloggt werdeno%

Firewall FW161 Uberprüfen, ob ,,Unlock AdministratorVs account after" ausgewählt ist 0%

Firewall FW162Überprüfen, ob AdministratorYs accounts nach 30 Minuten entsperft

werden0 %

Firewall FW163Überprüfen, ob für abgemeldete Administratoren eine detaill ierte

Nachricht angezeigt wirdo%

02014 Check Point Software Technologies Ltd. All rights reserved.Classification: IRestricted] ONLY for designated groups and individuals

BANDBREITEN-ANALYSE

Nachfolgender Abschnitt fasst die Bandbreitennutzung und das Webbrowsing-Profil lhrer Organisation währendder Dauer dieser Analvse zusammen.

Stärkste Bandbreitenbelegung nach Applikationen & Websites

@2014 Check Point Software Technologies Ltd. All rights reserved.Classification: [Restricted] ONLY for designated groups and rnd;viduals

re grP.gh,P,"gn*

Wichtigste Web- Kategorien

Folgende Tabelle listet die 10 meist genutzten Kategorien und die Anzahl der Treffer durch Internetnutzung derMitarbeiter auf.

Kategorie AnzahlTreffer o/o aller Treffer

Social Networking 1 1 3 31,65%

Webmail 42 11,760/o

Video Streamino 36 10,o8yo

Search Engines / Poftals 35 9,80%

Mult imedia 29 8,12%io

Browser Plugin 25 7,OOo/o

Business Applications 1 5 4,20Vo

Media Sharing 13 3,64yo

Network Utilities 9 2,52yo

Other 40 11,200/o

Total 357 lOOo/o

Bandbreitenbelegung (MB) durch Social Networking

Die Nutzung Sozialer Netzwerke ist nicht mehr nur zu Hause sondern auch am Arbeitsplatz gebräuchlich. VieleUnternehmen nutzen Social Network-Technologien für lhre Marketing- und Vertriebsmaßnahmen sowie ihrePersonalbeschaffung

lm Laufe dieser Analyse und in Übereinstimmung mit generell erkennbaren Markttrends belegten nachstehendeSocial Network-Seiten die meiste Netzwerkbandbreite:

600

500

400

300

200

100

0

\o,%%

518MB


EMPFEHLUNGEN FUR DIEPROBLEMBEHEBUNG

EMpFEHLUNGEN rün ZUcRIFFSKoNTRoLLE &DATENSCHUTZ

Dieser Report adressieft in verschiedenen Securitv-Bereichen identifizierte und unterschiedlich kritischeSicherheitsvorfälle.

Nachstehende Tabelle fasst die kritischsten dieser VorJälle zusammen und stellt Ansätze vot die damitverbundenen Risiken zu entschärfen.

Check Point bietet zahlreiche Methoden für die Adressierung dieser Gefahren und entsprechenderSicherheitsbedenken an. Für jeden Sicherheitsvorfall werden anhand des Software Blades, das die hierfürgeeigneten Abwehrmechanismen umfasst, die entsprechend relevanten Schutzmaßnahmen vorgestellt.

Weitere Informationen hierzu finden Sie unter http://wwwcheckooint.com/products/apolication-control-software-blade/index.html und http://www.checkpoint.com/products/url-filtering-software-blade/.

Empfehlungen für die Problembehebung bei Web Security-Events

Applikation/Site App.-Risiko Vorfälle Schritte zurAbhilfe

Tor Kritisch 228 Mit Hilfe der Application Control- und URL Filtering-Software Blades können Sie die Nutzung allergenannten Applikationen und Websites aktivieren,nachverfolgen und unterbinden. Sie können einegranulare Policy definieren, um z. B. nur bestimmtenGruppen die Nutzung bestimmter Applikationen zuerlauben.

Nutzen Sie UserCheck um

o die Anwender über die Regeln für die Web- undApplikationsnutzung im Unternehmen aufzuklären

r lhre Anwender soforl darüber zu informieren, wennderen Aktionen die Security Policy verletzen.

Ultrasurf Kritisch 51

Vtunnel Kritisch 1 8

BitTorrent Hoch 464

ZumoDrive Hoch 148

@2014 Check Point Software Technologies Ltd. All rights reserved.Classification: lRestricted] ONLY for designated groups and individuals

ffiE thP,.,h^,F-?,.'lrJ

Empfehlungen für die Problembehebung bei Data Loss-Events

Für weitere lnformationen klicken Sie aufhttp://www.checkpoint.com/products/dl p-software-blade/index.html

Schweregrad Daten 'Events Schritte zur Abhilfe

Kritisch Kreditkartennummern 1 4 Aktivieren Sie das DLP SoftwareBlade, um die entdeckten Vodälle zubeheben. Konfigurieren Sie eine DLPPolicy, basierend auf dem entdecktenDlP-Datentyp, und wählen Sie eineAktion (ErkennenA/erhindern/Benutzer

fragen/etc.). Wenn Sie den entdecktenDatentyp als sensitive Informationeinstufen, ist die empfohlene Aktion

,,Verhindern".

Setzen Sie UserCheck ein, um

e die Mitarbeiter über die Daten-nutzungsregeln im Unternehmenaufzuklären.

den Mitarbeitern sofortige Rück-meldung zu geben, wenn ihreAktivitäten die Sicherheitsregeln fürdie Datennutzung verletzen.

Hoch

Business-Plan 1

Finanzberichte 3

Source Code 1 2

Outlook-Nachricht. vertraulich 1 4 7

Mittel

Lohnabrechnung 25

US-Sozialversicherungsnummern 1 5

O2014 Check Point Software Technologies Ltd. All rights reserved.Classification: [Restricted] ONLY for designated groups and individuals

EMPFEHLUNGEN FÜR DtE PROBLEMBEHEBUNG

EMPFEHLUNGEN

Empfehlungen für die

FUR THREAT PREVENTION

Problembehebung bei Vorfällen von Malware

Malware Schweregrad Events Schritte zur Abhilfe

REP.yjjde Kritisch 36Aktivieren Sie das Check Point Anti-Bot SoftwareBlade, um Bot-infizierte Rechner zu erkennen undentsprechende Schäden zu verhindern. Aktivieren Siedas Check Point Anti-Virus Software Blade, um dasHerunterladen von Malware zu verhindern.

Aktivieren Sie das Check Point Threat EmulationSoftware Blade für den Schutz vor neuen undunentdeckten Malware-Gefahren.

Für die Wiederherstellung einer infizieden Maschinefinden Sie im Check Point ThreatWiki weitereInformationen zu der gefundenen Malware undEmpfehlungen zur Fehlerbeseitigung. Folgen Sie imnächsten Schritt den Problembehebungsinstruktionenauf der,,Malware Remediation Steps"-Webpage.

Operator.Virus.Win32.Sality.d.dm

Kritisch 28

Operator.Conficker.bhvl

Hoch z t

Operator.Zeus.bt Hoch 1 1

Operator.BelittledCardioan.u

Hoch 8

Weitere Informationen hierzu finden Sie auf

http://www.checkpoint.com/products/anti-bot-software-blade/index.html

http://www.checkpoi nt.com/products/antivirus-software-blade/

http://www. checkpoi nt.com/products/threat-emulation/.

28 O2014 Check Point Software Technologies Ltd. All rights reserved.Classification: [Restricted] ONLY for designated groups and individuals

E| 9SF,gh"P-?,-,rJJEmpfehlungen für die Problembehebung bei Intrusion- & Attack-Events

M icrosoft SCCM Reflected Cross-siteScripting (MS12-062)

Aktivieren Sie folgende Schutzvorrichtungim Check Point IPS Software Blade:Microsoft SCCM ReflectedCross-site

Scripting (MSl2-062)

Joomla Unauthorized File UploadRemote Code Execution

Aktivieren Sie folgende Schutzvor-richtung im Check Point IPS SoftwareBlade:Joomla Unauthorized File UploadRemote

Gode Execution

M icrosoft Active Directory LSASSRecursive Stack Overf low [M509-066]

Aktivieren Sie folgende Schutzvorrichtungim Check Point IPS Software Blade:Microsoft Active Directory LSASS

Recursive Stack Overflow [MS09-066]

Weitere Informationen hierzu finden Sie unter http://www.checkpoint.com/products/ips-software-blade/.

@2014 Check Point Software Technologies Ltd. AII rights reserved.Classification: [Restricted] ONLY for designated groups and individuals

- E : : . . " : . , : : ' - : - - - -

29

E M P F E H L U N G E N F Ü R D I E P R O B L E M B E H E B U N G

EMPFEHLUNGEN FUR DIE PROBLEMBEHEBUNG BEIEN DPOI NT SECU RITY- EVENTS

Dieser Abschnitt adressiert identifizierte Endpoint Security-Events in verschiedenen Security-Bereichen undvon unterschiedlichem Schweregrad. Die nachstehenden Tabellen zeigen die kritischsten dieser Vorfälle auf undstellen Ansätze vor, die damit verbundenen Risiken zu entschärfen.

Check Point bietet zahlreiche Methoden für die Adressierung dieser Gefahren und entsprechenden Sicherheits-bedenken an. Für jeden Sicherheitsvorfallwerden anhand der Endpoint Software Blades, die die hierfürgeeigneten Abwehrmechanismen umfassen, die entsprechend relevanten Schutzmaßnahmen vorgestellt.

Web Security Events - Empfehlungen für die Problembehebung am Endpoint

Hier erhalten weitere Informationen zu den Check Point Endpoint Security Software Blades:

. ZumProgram Control Endpoint Security Software Blade unter:http://www.checkpoi nt.com/prod ucts/anti -ma lwa re-program -control/i ndex.htm I

. Zum WebCheck Endpoint Security Software Blade unter:_http://www.checkpoi nt.com/prod ucts/webcheck/index. htm I

. Zum Compliance Check Endpoint Security Software Blade unter:http://www.checkpoint.com/products/f irewall-compliance-check/index.html

. Zum Firewall Endpoint Security Software Blade unter:http://www.checkpoint.com/products/firewall-compliance-check/index.html

Host Applikation/Site Risiko Schritte zur Abhilfe

192.168.75 .36 Tor Kritisch

Check Point Endpoint Security kontrolliert dieNutzung hoch riskanter Applikationen und Websitesselbst dann, wenn sich der Endpoint außerhalb desUnternehmensnetzwerks befindet und keine Netzwerk-Security- Lösung aufweist.

Nutzen Sie das Check Point Program Control SoftwareBlade um nur genehmigte Programme auf demEndpoint zuzulassen und nicht genehmigte oder nichtvedrauenswürdige Programme zu unterbinden.

Nutzen Sie das WebGheck Endpoint Software Blade umdas Unternehmen vor Web-basierten Gefahren wie Driveby-Downloads, Phishing Sites und Zero-day-Attacken zuschützen.

Nutzen Sie das Check Point Compliance Gheck SoftwareBlade um festzustellen, ob ein bestimmtes Programm aufdem Endpoint-Gerät ausgeführl wird und begrenzen Siedessen Netzwerkzugriff, soweit erforderlich.

Kontrollieren Sie den eingehenden und ausgehendenDatenverkehr mit dem EndpointFirewall Software Blade um den Zugriff auf spezifischePorls und Netzwerk-Services einzuschränken.

Nutzen Sie UserGheck um:

. Die Mitarbeiter über die Nutzungsregeln lhres Unter-nehmens für Browser und Applikationen aufzuklären

. Die Nutzer sofort zu informieren, wenn ihre Aktivitätengegen die Security Policy verstoßen.

192.168.75.71 Ultrasurf Kritisch

192.168.86 .0 Wunnel Kritisch

1 9 2 . 1 6 8 . 8 6 . 1 9 BitTorrent Hoch

192.168.86 .30 ZumoDrive Hoch


ffi ghF.",.h-P*?,.'lrJ

Quelle Zieladresse Event-Name Schritte zur Abhilfe

192.87.2.47 192.168.75.27Microsoft SCCM ReflectedCross-site Scripting (MS1 2-062)

Nutzen Sie das EndpointCompliance Software Bladeum zu prüfen, ob die Endpointsin lhrer Organisation mit denjüngsten Security-Patches undUodates aktualisiert sind.

Das Endpoint ComplianceSoftware Blade wird sicher-stellen, dass die Endpointsselbst dann geschützt sind,wenn sie sich außerhalb desUnternehmensnetzwerksbefinden und keinen Netzwerk-Security-Schutz haben, etwabeim Arbeiten von zu Hauseoder von unterwegs aus.

192.78.2.214 192.168.75 .58Joomla Unauthorized File UoloadRemote Code Execution

192.84.2.220 192.168.75 .58Web Servers Malicious HTTPHeader Directory Traversal

192.85 .2 .133 192.168.75 .58lmageMagick GIF CommentProcessing Off-by-one BufferOverf low (CVE-2 0 1 3- 4298)

192.116.2.151 1 92 .168.75 .58Adobe Flash Player SWF File BufferOverflow (APSB13-04)

192.195.2.88 192.168.75 .60PHP php-cai query string parametercode execution

192.87.2.211 192.168.86 .3Oracle database serverCREATE_TABLES SQL injection

Intrusion & Attack Events - Empfehlungen für dieProblembehebung am Endpoint

Sie erhalten weitere Informationen zu nachstehenden Check Point Endpoint Security Software Blades unter:

. Firewall Endpoint Security Software Blade -

http://www.checkpoi nt.com/products/f i rewal l-compliance-check/index. htm I u nd

. Compliance Check Endpoint Security Software Blade -

http://www.checkpoint.com/products/firewall-compliance-check/index.html


J I

Host Tvp Schritte zur Abhilfe

192.168.75.0 Kreditkartennummern

Nutzen Sie das Check Point Full Disk EncryptionSoftware Blade um sensitive Informationen aufEndpoi nt-Festplatten einschl ießlich Benutzerdaten,Betriebssystemdateien und temporäre oder gelöschte

192.168.86.47 Business-Plan

verloren gehen oder gestohlen werden.

Nutzen Sie das Check Point Media Encryption SoftwareBlade für die Verschlüsselung sensitiver Daten, dieauf mobilen Datenträgern hinterlegt sind, sowie für dieindividuelle Verwaltung dieser Devices.

Durch den Einsatz des Gheck Point Document SecuritySoftware Blades gestatten Sie den Zugrifi auf sensitiveDokumente ausschließlich den dafür autorisiertenPersonen.

Setzen Sie UserOheck ein, um

o die Mitarbeiter über die Datennutzungsregeln imU nternehmen aufzu klären.

. den Mitarbeitern sofortige Rückmeldung zu geben, wennihre Aktivitäten die Sicherheitsreqeln für die Datennutzunoverletzen.

1 9 2 . 1 6 8 . 1 2 5 . 0 Source-Code

192. '168.125.36 Lohnabrechnung

Data Loss Events - Empfehlungen für die Problembehebung am Endpoint

Klicken Sie auf nachstehende Links, um weitere Informationen zu folgenden Check Point Endpoint SoftwareSecurity Blades zu erhalten:

. Full Disk Encryption Endpoint Security Software Blade:http://www.checkpoi nt.com/products/f u Il -disk-encryption/i ndex. htm I

r Media Encryption Endpoint Security Software Blade:http://www.checkpoi nt.com/products/med ia-encryption/index. htm I

o Document Security Endpoint Security Software Blade:httos://documentsecurity.checkpoi nt.com/ds-portal/


ry ghF..,h,.F-?*'rJ.{

Malware Events - Empfehlungen für die Problembehebung am Endpoint

Klicken Sie auf nachstehende Links. um weitere Informationen zu folqenden Check Point Endooint SoftwareSecurity Blades zu erhalten:

o Anti-Malware Endpoint Security Software Blade:http://www.checkpoint.com/products/anti-ma lware-program -control/index. htm I

e Firewall & Compliance Check Endpoint Security Software Blade:_http://www.checkpoint.com/oroducts/firewall-compliance-check/index.html

Durchführung eines umfassenden Endpoint Security Analysis-ReportsFür eine umfassendere Analyse lhrer Endpoints im Hinblick auf deren Security-Status und potentielle Risikenführen Sie den Endpoint Security Analysis-Report aus oder kontaktieren Sie den lokal für Sie zuständigen CheckPoint-Reoräsentanten.

Endpoint Security2t412014 10:55:38 AM

Overall ron;-.i iar<e r-.: ; i je

€- High Risl

*+ Data icss I Low Risk' : o l e n ü a l e r D . t r ' e c ; { e n 5 i t : . e j : T . - , E r e d 3 t ! : c

Lnartacras:93n'€j

e Äe-ov.b!. t.n<e! Fdnd 57

4ir 8lu.laö:i f,eecs

I i - inr ir lhL)r ized Access I Medium RiskE ' \ ! , ^ E r r ' i i l ) o f i c m p " 1 e . 9 l c b e - 9 e c b j

JGü1h3ßieO patre

S *ei,: lc(äi Äd-in:i.re.;. Found

fand 5

Found I

w

Threats I High RiskPotentä l i s l 1 f mah\Bre in fd :o .9 :^ r _ r . -s : - -_

O üp{c-cd!e m:lf,.re ''an"*,r. No, Fourd

itl Mili.icls Arp:'caricns Found I

Q rni v "rs

acr.ue lct<:::: Found

I ii*-,.ü, sch.röre Fourd

@ !s ,e 'Apo; ,carcn : Not Found

Found 2

O lrt{H+j aAI E4{'cnt Nor FdM

O P:q rFi{-t,ö.5 Not Found

I Frk 5r3.rg !rpr;rn!.ns Not Found

g Sh.red frld..!

g Fe" , . re&{es

g t te:Ä..c!r :aont i : i NotFosnd

B r,*".1r Föünd

Q : : - r " r e e l r t e ' e : : : r o : d a n F o u n d

Host Schweregrad Schritte zur Abhilfe

192.53.2.161 KritischNutzen Sie das Check Point Endpoint Anti-Malware Software Bladeum Gefahren wie Malware, Viren, Keystroke Logger, Trojaner und RootKits zu erkennen und lhre Endpoints vor Infektionen zu schützen.

192.57.2.32 Kritisch

l P v l l l t Ä l l t l - l v l ( t t w c t t t i

unternehmensweiten Endpoints auch dann schützen, wenn sie sichaußerhalb des Unternehmensnetzwerks befinden und nicht über einenNetzwerk-Security-Schutz verfügen, etwa beim Arbeiten von zu Hauseoder von unterwegs aus.

Setzen Sie das Endpoint Compliance Software Blade ein umsicherzustellen, dass die Endpoints mit den jüngsten Security-Updatesaktualisiert sind und mit der Security-Policy lhrer Organisation konformgehen.

Zur Unterstützung der Problembehebung auf einem infizierten Rechnerfinden Sie im Gheck Point ThreatWiki zusätzliche Informationenund Lösungsempfehlungen zur gefundenen Malware und den damitverbundenen, potentiellen Risiken.

Nutzen Sie UserCheck um lhre Mitarbeiter über die Nutzungsregelnfür den Einsatz von Webbrowsern und Applikationen in lhremUnternehmen aufzuklären.

192.57.2.209 Kritisch




E M P F E H L U N G E N F Ü R D I E P R O B L E M B E H E B U N G

./ COMPLIANCE BLADE - EMPFEHLUNGEN FÜR DIE PRoBLEMBEHEBUNG7

Dieser Report adressiert identifizierte Security-Konfigurationen, die sich über sämtliche Check Point SoftwareBlades hinweg auswirken und zu beachten sind.

Nachstehende Tabelle listet einige dieser Konfigurationen auf und gibt Anleitung für eine Verbesserung desSecuritv-Levels.

Risiko Schritte zur Abhilfe Relevante Objekte

Hoch

Erstellen Sie eine neue Stealth Rule oder modifizieren die bestehendeStealth Rule in den relevanten Policy Packages in Übereinstimmungmit der folgenden Definition: Source = Any ; Destination = GW's ;Service * Any ; Action = Drop ; Install On = PolicyTarget ; Time - Any.

Policy Package A

Hoch

Erstellen Sie eine neue Clean-up-Rule oder modifizieren Sie diebestehende Clean-up-Rule in den relevanten Policy Packages inÜbereinstimmung mit der folgenden Definition: Source = Any ;Destination = Any; VPN = Any Traffic ; Service - Any ; Action =

Drop; Track - Log; Install On = Policy Targets; Time = Any; BeachtenSie, dass die Clean-up-Rule die letzte in der Firewall Rule Baseaufgeführte Zeile sein muss.

Policy Package B

HochAktivieren Sie das automatische Updaten der Schutzvorrichtungenim IPS Blade

IPS GatewayCorporate Gateway

HochErstellen Sie eine neue Policy oder modifizieren Sie die bestehendePolicy im Application Control Blade, so dass kritische Risiko-Applikationen und Websites blockiert werden

Policy Package A

HochModifizieren Sie die Timeout-Settings für die Authentifizierung in denGlobal Properties, so dass sie zwischen 20 und 120 Minuten lieqen.Global Prooerties

Global Prooerties

HochDefinieren Sie ein Track-Setting für sämtliche Firewall-Regeln überalle Policy Packages hinweg.

Policy Package ARegelnummer 18Regelnummer 35Regelnummer 64

Policy Package BRege lnummer '11Regelnummer 23Regelnummer 88


ryE ghP,",.h,,P*?,,,llJ

SOFTWARE- DEFI N ED PROTECTION

Heutige lT-lnfrastrukturen und Netzwerke sind nicht nur erheblich komplexer und anspruchsvoller, als noch voreinigen Jahren. Sie sind einem steten Wandel unterworfen und weisen vor allem auch keine klar definiertenGrenzen mehr auf. Damit stehen sie nicht nur für den erwünschten Zugriff durch mobile Mitarbeiter undDrittanbieter offen, sondern auch für immer neue, immer intelligentere Sicherheitsgefahren. Wie können sichUnternehmen dennoch nachhaltig schützen?

Meist setzen die Organisationen bereits zahlreiche, punktuelle Security-Produkte ein - Produkte, die von ihremUrsprung her aber eher reaktiv und taktisch als architektonisch ausgerichtet sind. Moderne Unternehmenbenötigen dagegen eine einzige Architektur, die hoch performante Vorrichtungen für die Netzwerk-Security mitproaktiven, in Echtzeit arbeitenden Schutzmaßnahmen verbindet.

Wollen wir heutige Organisationen proaktiv schützen, müssen wir also umdenken, ein neues Paradigmaentwerfen.

Software-Defined Protection (SDP) ist eine neue, pragmatische Security-Architektur und Methodologie. Sie bieteteine Infrastruktur, die modular, agil und vor allem SICHER ist.

Eine solche Architektur muss in der Lage sein, Unternehmen ganz unabhängig von ihrer Größe und ihremStandort zu schützen, sowohl die Netzwerke in der Zenlrale als auch die in den Zweigstellen, das Roaming überSmartphones und andere mobile Endgeräte und auch die Nutzung von Cloud-Umgebungen.

Die Schutzmaßnahmen sollten sich automatisch anveränderte Gefährdungen anpassen, so dass sich Security-Administratoren nicht manuell mit zahllosen Ratschlägenund Empfehlungen beschäftigen müssen. Sie müssen sichaußerdem nahtlos in die übergreifende lT-Umgebung einbindenlassen, und die Architektur muss eine schützende Basis bilden,die sowohl die bereits vorhandenen internen als auch externenRessourcen intelligent und kollaborativ zu nutzen weiß.

Die Soft ware-Def i ned Protection-Architektur u ntertei lt d ieSecurity-lnfrastruktur in drei miteinander verbundene Ebenen:

o Einen Enforcement Laye6 der auf physischen, virtuellenund Host-basierten Lösungen für die Durchsetzung derSecurity beruht und sowohl das Netzwerk segmentiert, alsauch die hinter den Schutzmaßnahmen stehende Logikselbst in sehr anspruchsvollen Umgebungen ausführt.

o Einen Control Layer, der unterschiedliche Quellen zuGefährdungsinformationen analysiert und Schutzmaßnahmensowie Policies generiert, die von dem Enforcement Layerausgeführt werden.

o Einen Management Layer, der die gesamte Infrastrukturorchestriert und für die gesamte Architektur ein Höchstmaßan Agilität sicherstellt. Die Software-Defined Protection (SDP)-Architektur


Durch die Kombination des hoch performanten Enforcement Layers mit dem sich kontinuierlich entwickelnden,dynamischen und Software-basierten Control Layer bietet die SDP-Architektur nicht nur eine hohe, operativeBelastbarkeit, sondern sorgt auch für die proaktive Abwehr sich stetig ändernder Gefahren.

Auf die Zukunft ausgelegt, unterstützt die SDP-Architektur sowohl traditionelle Anforderungen an Policies für dieNetzwerk-Security und Zugriffskontrolle, als auch neue Herausforderungen an die Gefahrenprävention, wie siefür heutige Unternehmen erforderlich ist, die auf moderne Technologien wie Mobile Computing und Software-definierte Netzwerke (SDN) setzen.

CHECK POINT SOFTWARE.DEFINED PROTECTION

Check Point stellt sämtliche Komponenten zur Verfügung, die für die lmplementierung einer vollständigen SDP-Architektur mit herausragendem Management und bestmöglicher Security erforderlich sind.

Die Software-definieden Schutzvorrichtungen von Check Point halten jederzeit flexibel mit neuenGefahren Schritt und beziehen neue Technologien ein. Unsere Lösungen generieren neue und aktualisierteSchutzmaßnahmen für bekannte und unbekannte Gefährdungen und stellen das neu gewonneneWissen proaktiv in die Cloud. Die lmplementierung der Check Point Security-Lösungen auf Basis diesesfundierten, architektonischen Security-Designs gibt Unternehmen die Möglichkeit, selbst modernsteI nformationssystem lösun gen beden ken los in ihre Umgebu ngen zu integrieren.

@2014 Check Point Software Technologies Ltd. All rights reserved.Classification: lRestricted] ONLY for designated groups and indivrduals

ffiffi gnP-gh,P."gnJ

CHECK POINT SDP.ENFORCEMENT LAYER

Für die Absicherung der Grenzen jedes Netzwerksegments bietet Check Point eine Vielzahl von Lösungen, sog.Enforcement Points, die für die Durchsetzung der Security sorgen. Dazu gehören hoch pedormante Netzwerk-Security-Appliances, virtuelle Gateways, Endpoint-Host-Software und Applikationen für mobile Endgeräte. CheckPoint gibt Unternehmen sämtliche Komponenten an die Hand, die für den Aufbau segmentierter, konsolidierterund sicherer Systeme und Netzwerke erforderlich sind.

CHECK POINT SDP-CONTROL LAYER

Der Check Point SDP Control Layer beruht auf der Check Point Software Blade-Architektur, auf deren Basis derKunde flexible und effektive Security-Lösungen erhält, die exakt seinen Erfordernissen entsprechen. Bei einerAuswahl von mehr als 20 Software Blades ermöglicht die modulare Natur der Software Blade-Architektur demKunden zunächst eine relevante Security-Lösung für einen bestimmten Enforcement Point zu erstellen und - beiBedarf - seine Security Infrastruktur später allmählich auszubauen.

Next Generation Threat Prevention

Check Point stellt effiziente, automatisierte Kontrollen zur Verfügung, die vielen der bekannten und unbekanntenGefährdungen entgegen wirken. Die Check Point Threat Prevention-Lösung umfasst: ein integriertes IntrusionPrevention System (lPS), Netzwerk-basiertes Anti-Virus, Threat Emulation und Anti-Bot.

Darüber hinaus hat Check Point mit Check Point ThreatCloudrM eine einzigartige, Cloud-basierte Lösungentwickelt, die aus großen Datenmengen intelligente Informationen zu Gefährdungen und Schutzmaßnahmengenerlert.

Check Point ThreatCloud unterstützt die kollaborative Bekämpfung des Cybercrime, indem die Lösung demControl Layer in Echtzeit intelligente, zu Security-lndikatoren konvertierte Threat-lnformationen zur Verfügungstellt.

Next Generation Firewall und Data Protection

Die Check Point-Zugriffskontrolle basiert auf unserer Next Generation Firewall in Kombination mit zahlreichenSoftware Blades und ermöglicht damit eine einheitliche, Kontext-basierte Security Policy: Next GenerationFirewall und VPN, User ldentity Awareness, Application Control, Daten- und Content Awareness.

Next Generation Data Protection

Check Point Next Generation Data Protection erweiterl die Lösung um Data Awareness. Sie umfasst unserData Loss Prevention (DLP) Software Blade, das die Überprüfung von Content ausführt und die Inhalte vonFiles mit Dateien abgleicht, die in den Repositories des Unternehmens hinterlegt sind. Darüber hinaus bietetCheck Point Verschlüsselungstechnologien für den Schutz von Daten im Ruhezustand sowie abgespeichertenDaten an. Diese Technologien können an allen Enforcement Points implementiert werden. Sie schützen sensitiveDokumente und vertrauliche Daten vor dem Zugriff oder der Übertragung auf mobile Datenträger durch nichtautorisierte Nutzer.


CHECK POINT SDP.MANAGEMENT LAYER

Sämtliche Schutzvorrichtungen und Enforcement Points von Check Point werden über eine einzige, einheitlicheSecurity Management-Konsole verwaltet. Das hoch skalierbare Check Point Security Management ist in derLage, Millionen von Objekten zu verwalten und bietet gleichzeitig extrem schnelle Antwortzeiten.

Modulares/mehrschichtiges Check Point Policy ManagementCheck Point Security Management unterstützt die unternehmensweite Segmentierung, so dass Administratorenfür jedes Segment eine spezifische Security Policy definieren und dabei anhand des neuen ,,Layers und SubLayers"-Konzepts eine Aufgabentrennung durchsetzen können. Policies können für jedes Segment definiertwerden. Policies für die Zugriffskontrolle können unter Nutzung verschiedener Layer definierl werden, dieverschiedenen Administratoren zugeordnet werden können. So können dann mehrere Administratoren simultanan der gleichen Policy arbeiten.

Automation und SteuerungCheck Point Security Management bietet CLls und Webservice-APls, die Unternehmen die Integration mitanderen Systemen wie Netzwerkmanagement, CRM, Trouble-Ticketing, ldentity Management und Cloud-Steuerung erlauben.

Überblick mit Check Point SmartEventCheck Point SmartEvent führt Big Data-Analysen und die Echtzeit-Korrelation von Security-Vorfällen aus. Esbietet die Möglichkeit, auf Basis mehrerer Informationsquellen eine konsolidierte und korrelierte Übersichtzu einem spezifischen Vorfall zu erstellen. Die Analyse der Security-Events liefert anwendbare, intelligenteInformationen in Form von Threat-lndikatoren, die über die ThreatOloud verbreitet und so die erkanntenGefährdungen in Echtzeit blockieren können.

. i . " * r B r M i - , , , t

Tfir*äl Frrlr,rfrntr*il

i d *

a

a]}]

! r i l _ l

Ü : r . , i

Event Management mit Check Point SmadEvent

Erfahren Sie mehr über Check Point Software Defined Protection (SDP) und wie Sie diese innovative Architek-tur dabei unterstützen kann, dass lhre Security-lnfrastruktur mit immer neuen, sich stetig ändernden Gefahrenfür lhre Geschäftsdaten Schritt halten kann. Besuchen Sie uns unter www.checkpoint.com/securitycheckup.

02014 Check Point Software Technologies Ltd. All rrghts reserved.Classification: fRestricted] ONLY for designated groups and individuals

m 9l]F.gh,,F-?Jn*

UBER CHECK POINTSOFTWARE TECHNOLOGIES

Check Point Software Technologies http://www.checkpoint.com/ gehöd zu den führenden Anbieternvon Lösungen für die Absicherung des lnternets. Das Unternehmen wurde 1993 gegründet und hat seitherTechnologien entwickelt, um die Kommunikation und Transaktionen von Unternehmen und Verbrauchern imInternet zu schützen.

Mit FireWall-1 und seiner patentierten Stateful Inspection-Technologie war Check Point Pionier am Markt fürSecurity-Technologie. Durch die Entwicklung unserer Software Blade-Architektur haben wir unsere lT Security-Innovationen jetzt weiter ausgebaut. Die dynamische Software Blade-Architektur bietet sichere, flexible undeinfach zu nutzende Lösungen, die an die spezifischen Security-Anforderungen jedes Unternehmens und jeder

Umgebung angepasst werden können.

Check Point entwickelt und vermarktet eine breite Palette von Software sowie Produktkombinationen ausSoftware-, Hardware- und Servicelösungen für die lT Security. Wir bieten unseren Kunden ein umfassendesPortfolio von Netzwerk- und Gateway Security-Lösungen an, sowie Daten-, Endpoint Security- undManagement-Lösungen. Unsere Produkte arbeiten unter dem Dach einer einheitlichen Security-Architektutdie mit nur einer Produktreihe aus einheitlichen Security Gateways durchgängige End-to-End-Securityermöglicht. Dabei wird die gesamte Endpoint-Security mithilfe eines einzigen Agenten über nur eine, einheitlicheManagementkonsole verwaltet. Dieses einheitliche Management ermöglicht den einfachen Einsatz der Produktesowie deren zentrale Kontrolle und wird durch Echtzeit-Security-Updates unterstützt und aktualisiert.

Unsere Produkte und Services werden für Organisationen, Service Provider, kleine und mittelgroBe Unternehmenund Endverbraucher angeboten. Unsere ,,Open Platform for Security" (OPSEC)-Struktur ermöglicht Anwendernden Ausbau unserer Produkt- und Service-Kapazitäten mit Hardware- und Security Software-Anwendungenvon Drittanbietern. Unsere Produkte werden über unser weltweites Partnernetzwerk vertrieben, integriert undgepflegt. Zu unseren Kunden gehören Zehntausende von Organisationen und Unternehmen aller Größen,einschließlich aller Fortune 100-Unternehmen. Unsere mehrfach mit Preisen ausgezeichneten ZoneAlarm-Lösungen schützen Millionen von Verbrauchern vor Hackern, Spyware und ldentitätsdiebstahl.

@2014 Check Point Software Technologies Ltd. All rights reserved.Classification: lRestrictedl ONLY for designated groups and individuals

Documents

INHALTSVERZEI CHNIS EXECUTIVE SUMMARY 3 … · re ghF.",h.,F."gnJ Hoch riskante Applikationen, die compliant mit der organisatorischen Security Policy sind Hoch riskante Applikationen