Comments
Description
Transcript
脅威分析レポートのサンプルダウンロードはこちら
ご提供先 チェックアップ株式会社 実施者 チェック・ポイント・ソフトウェア・テクノロジーズ 実施日 2014 年 4 月 16 日 ドキュメント・バージョン 2.0 Security Check-up ©2014 Check Point Software Technologies Ltd. All rights reserved [Restricted] ONLY for designated groups and individuals 目次 概要 ......................................................................................................................................3 アクセス制御とデータ保護の調査結果 ..................................................................................4 Web セキュリティ・イベント ................................................................................................................. 4 データ損失イベント ............................................................................................................................ 7 THREAT PREVENTION 調査結果 ................................................................................... 10 ボット・イベント ................................................................................................................................. 10 ウイルス・イベント ............................................................................................................................ 12 ゼロ・デイ脅威 ................................................................................................................................. 13 侵入&攻撃イベント .......................................................................................................................... 15 エンドポイント・セキュリティ調査結果 ................................................................................... 17 COMPLIANCE セキュリティ分析 ....................................................................................... 20 帯域幅分析 ......................................................................................................................... 24 推奨改善対策...................................................................................................................... 26 SOFTWARE-DEFINED PROTECTION ............................................................................ 35 チェック・ポイント・ソフトウェア・テクノロジーズについて........................................................ 39 ©2014 Check Point Software Technologies Ltd. All rights reserved [Restricted] ONLY for designated groups and individuals 2 概要 このドキュメントは、貴社インフラストラクチャに対する最近のセキュリティ分析の調査結果を提供します。本ドキュメン トでは、調査結果のサマリと発見したイベントに対する多くの推奨対応をご説明します。 この分析は、下記の内容で収集されたデータに基づいています: セキュリティ分析実施日: 16/04/2014 分析期間: 2週間 業種: 保険業界 国: 日本 企業規模(従業員数): 2,500人 分析ネットワーク: 内部LAN Security Gateway バージョン: R77 分析モード: ミラー・ポート Security Gateway Software Blades: Application Control, URL Filtering, Anti-Bot, Anti-Virus, IPS, DLP, Identity Awareness , Threat Emulation, Compliance セキュリティ機器: Check Point 4800 Security Gateway 以下は、本調査で検知した、主にリスクが高く危険なセキュリティ・イベントのサマリです: ACCESS CONTROL 30,670 22 THREAT & DATA PROTECTION High Risk Applications Events Data Loss Events PREVENTION 9 Bot Events 5 Viruses Events 16 Zero-day Events 18 Intrusions & Attacks Events ENDPOINT 893 Endpoints Involved in High Risk Events COMPLIANCE 65% Compliant with Check Point Best Practices 58% Compliant with Regulatory Requirements ©2014 Check Point Software Technologies Ltd. All rights reserved [Restricted] ONLY for designated groups and individuals 3 アクセス制御とデータ保護の調査結果 WEB セキュリティ・イベント 上位のハイリスク・アプリケーションとサイト WebアプリケーションとWebサイトの分野では、下記の項目が最も危険度が高いレベルでした¹ ¹ リスク・レベル 5 は、セキュリティをバイパスしたり、ID を隠すことができるアプリケーションを指しています(例: Tor、 VTunnel など)。リスク・レベル 4 は、データの漏洩やマルウェアの感染などを、ユーザの気がつかないうちに引き起こ す可能性のあるアプリケーションを指します(例:ファイル共有、P2P uTorrent、 P2P Kazaa など)。リモート管理アプリ ケーションについては、管理者やヘルプデスクが利用している場合には、適正な利用と考えることもできます。 ©2014 Check Point Software Technologies Ltd. All rights reserved [Restricted] ONLY for designated groups and individuals 4 組織のセキュリティ・ポリシーに準拠しているハイリスク・アプリケーション ハイリスク・アプリケーションは、セキュリティをバイパスしたり、IDを隠したり、ユーザの気がつかないうちにデータ漏 洩やマルウェアの感染を引き起こす可能性のあるアプリケーションです。ほとんどのケースでは、そのようなアプリケ ーションの利用は、組織のセキュリティ・ポリシーに違反しています。しかしいくつかのケースでは、特定のアプリケー ションが組織のポリシーに準拠している場合があります。下記のハイリスク・アプリケーションは、セキュリティ分析の 過程で検知されましたが、その利用は組織のセキュリティ・ポリシーに準拠しています。 アプリケーション 組織のセキュリティ・ポリシー TeamViewer お客様のリモート対応のために、サポート・チームで利用を許可 LogMeIn 社員のリモート対応のため、ヘルプデスクで利用を許可 上位のハイリスク・アプリケーションの説明 以下の表で、発見された上位イベントの概要と、関連するセキュリティ、ビジネス・リスクについて説明します。: Application and Description Category App. Risk Tor Tor is an application intended to enable online anonymity. Tor client software directs internet traffic through a worldwide volunteer network of servers to conceal a user’s location or usage from anyone conducting network monitoring or traffic analysis. Using Tor makes it more difficult to trace Internet activity such as website visits, online posts, instant messages and other communication forms, back to the user. Anonymizer Critical 228 Ultrasurf Ultrasurf is a free proxy tool that enables users to circumvent firewalls and Internet content blocking software. Anonymizer Critical 51 VTunnel VTunnel is a free anonymous common gateway interface (CGI) proxy that masks IP addresses enabling users to connect to and view websites anonymously and bypass network security enforcement. Anonymizer Critical 18 P2P File Sharing High 464 High 148 BitTorrent BitTorrent is a peer-to-peer file sharing P2P communication protocol. It is a method of distributing large amounts of data widely. There are numerous compatible BitTorrent clients, written in a variety of programming languages, and running on a variety of computing platforms. P2P Applications can cause data leakage or malware infection without user knowledge ZumoDrive ZumoDrive is a hybrid cloud storage application. It allows users to access their music, photos, and documents from computers and mobile phones. Sharing data on a public cloud might cause leakage of sensitive data. ©2014 Check Point Software Technologies Ltd. All rights reserved [Restricted] ONLY for designated groups and individuals File Storage and Sharing Events 5 ハイリスク・アプリケーションの上位利用ユーザ 下記のユーザが、危険なアプリケーションやWeb利用イベントに最も多く関与しています: Users Events Ginger Cash 12 Ivan Whitewash 9 Jim Josh 7 Bob Bash 5 Damien Dash 2 *注記: 上記のユーザ名は、チェック・ポイントの Identity Awareness Software Blade を有効化し、設定している場合 にのみ表示されます。 ©2014 Check Point Software Technologies Ltd. All rights reserved [Restricted] ONLY for designated groups and individuals 6 データ損失イベント 企業のデータは、組織で最も重要な資産の一つです。故意、故意ではないに関わらず、データ損失は甚大な被害を組 織に与えます。下記は、分析の過程で発見されたデータ損失イベントの特徴を表します。 上位のデータ損失イベント 下記のリストは、確認されたデータ損失に関わる活動と、特定のタイプのイベントの回数をまとめたものです。 Severity Data Category Events Critical Credit Card Numbers Compliance Regulation 5 Business Plan Business Information 6 Financial Reports Finance Information 3 Source Code Intellectual Property 2 Outlook Message - Confidential Confidential Information 1 Pay Slip File Human Resources 4 U.S. Social Security Numbers Personally Identifiable Information 1 High Medium ©2014 Check Point Software Technologies Ltd. All rights reserved [Restricted] ONLY for designated groups and individuals 7 HTTP で組織外に送られた上位のファイル 下記の表は、HTTPで組織外に送られた、機密データを含んでいる可能性のあるファイルを表します。 Host Data Type File Name URL 192.168.75.26 Credit Card Numbers customer orders.xlsx www.ccvalidator.com 192.168.75.48 Financial Reports Q4 Report - draft2.docx www.dropbox.com 192.168.125.28 Source Code new_feature.C www.java-help.com 192.168.125.10 Customer Names Customer List.xlsx www.linkedin.com 192.168.125.78 HIPAA - Protected Health Information Medical File - Rachel Smith.pdf www.healthforum.com SMTP で組織外に送られた上位のファイル 下記の表は、SMTP で組織外に送られた、機密データを含んでいる可能性のあるファイルを表します。 Recipients Data Type File Name Email Subject [email protected] Credit Card Numbers Customer Invoices.xlsx FW: Invoices [email protected] Business Plan Q1 2015 Goals.pdf RE: 2015 Plan [email protected] Employee Names employees.xls company employees [email protected] Salesforce Reports Q4 sales summary.doc RE: Q4 Sales. Confidential! [email protected] Corporate Press Release New Release draft2.docx FW: new release PR draft - do not forward!! ©2014 Check Point Software Technologies Ltd. All rights reserved [Restricted] ONLY for designated groups and individuals 8 メール送信者ごとの上位データ損失イベント この表では、貴社ネットワーク内のメール送信者ごとのデータ漏洩を表します。 Sender Events [email protected] 4 [email protected] 4 [email protected] 4 [email protected] 3 [email protected] 3 [email protected] 2 [email protected] 2 [email protected] 1 [email protected] 1 [email protected] 1 ©2014 Check Point Software Technologies Ltd. All rights reserved [Restricted] ONLY for designated groups and individuals 9 THREAT PREVENTION 調査結果 ボット・イベント ボットはコンピュータに侵入する悪質なソフトウェアです。ボットは犯罪者がコンピュータの所有者に気づかれることなく、 遠隔地からコンピュータを操作し、データの盗難やスパムやマルウェアの拡散、サービス不能(DoS)攻撃などの違法 な活動を行うことを可能にします。ボットは、APT攻撃として有名な標的型攻撃を行う際のツールとしてしばしば利用さ れます。ボットネットは、これら乗っ取られたコンピュータの集まりで構成されます。 以下の表では、ネットワーク内で検知したボットに感染したホストの数とその活動をまとめます。 Hosts infected with Bots 8 Hosts with Installed Adware 1 Hosts with SMTP and DNS malware-related events 2 ボットの悪質な活動 Description Findings Bot communicating with C&C site 4 Bot testing connectivity 2 Other malicious activity due to Bot infection 1 Unwanted network activity due to installed Adware 1 Total Events 8 ©2014 Check Point Software Technologies Ltd. All rights reserved [Restricted] ONLY for designated groups and individuals 10 危険で重要なボット・イベントに関与したホスト セキュリティ分析を通して、チェック・ポイントのソリューションはボットの活動を示すいくつものマルウェア関連のイベン トを発見しました。この表では、非常に危険なイベントに関与したホストの例を表します。 Host Activity Threat Name Resource 192.168.75.7 Communication with C&C Operator.Virus.Win32. Sality.d.dm yavuztuncil.ya.funpic.de/images/logos.gi f?f58891=16091281 10.10.2.32 DNS client query or DNS server resolving a C&C site Operator.Conficker.bh vl zsgnmngn.net 192.168.75.22 DNS client query or DNS server resolving a C&C site Operator.Zeus.bt zsxwd.com 172.23.25.35 DNS client query or DNS server resolving a C&C site Operator.BelittledCard igan.u zwoppfqnjj.com 10.100.2.33 DNS client query or DNS server resolving a C&C site Operator.APT1.cji zychpupeydq.biz 10.1.1.22 DNS client query or DNS server resolving a C&C site Operator.Virus.Win32. Sality.f.h zykehk.com 本レポートで確認されたマルウェアの更なる詳細につきましては、チェック・ポイントの公開マルウェア・データベース、 Check Point ThreatWiki (threatwiki.checkpoint.com)にてご確認いただけます。 ©2014 Check Point Software Technologies Ltd. All rights reserved [Restricted] ONLY for designated groups and individuals 11 ウイルス・イベント サイバー犯罪者がマルウェアを拡散させるために利用する経路は、多数あります。最も一般的な方法は、メールに感 染したファイルを添付して開かせたり、感染したファイルをダウンロードさせたり、悪意のあるサイトへアクセスするリン クをクリックするように、ユーザを仕向けることです。 以下の表では、貴社ネットワークで検知された、マルウェアのダウンロードとマルウェアに感染したサイトへのアクセス をまとめます。 マルウェアのダウンロード Description Findings Hosts downloaded a malware 8 Number of events detected 9 悪意のあるサイトへのアクセス Description Findings Hosts accessed a site known to contain malware 5 Number of events detected 8 危険で重要なウイルス・イベントに関与したホスト セキュリティ分析を通じて、チェック・ポイント・ソリューションは悪質なファイルのダウンロードや、マルウェアに感染した サイトへの接続を指す幾つものマルウェア関連のイベントを確認しました。以下の表は、高リスクなイベントに関与した ホストのサンプルです。 Host Activity Resource 192.168.75.78 Malicious file/exploit download r.openx.net/set?pid=619cb264-acb9-5a1889edc1503429c217&rtb=3105223559/basic.pdf 192.168.125.76 Malicious file/exploit download lavilla.de/links.jpg 192.168.125.10 Access to site known to contain malware zzoygsulaeli.com/img_cache.php 192.168.125.48 DNS server resolving a site known to contain malware for a client behind it zzoygsulaeli.com 本レポートで確認されたマルウェアの更なる詳細につきましては、チェック・ポイントの公開マルウェア・データベース、 Check Point ThreatWiki (threatwiki.checkpoint.com)にてご確認いただけます。 ©2014 Check Point Software Technologies Ltd. All rights reserved [Restricted] ONLY for designated groups and individuals 12 ゼロ・デイ脅威 サイバー脅威がますます巧妙になっていく中、先進の脅威にはしばしば、ほぼ毎日のように拡散し、かつまだ防御手 法が存在しない新しいエクスプロイトが含まれます。これらのエクスプロイトには、新しい脆弱性に対するゼロ・デイ攻 撃や、数えきれないほどの新しいマルウェアの亜種が含まれます。 このセクションでは、貴社ネットワークで発見されたゼロ・デイ攻撃をまとめます。特定のイベントについての詳細なマ ルウェアの分析については、本レポートを実施したチェック・ポイントの担当者までお問い合わせ下さい。 Total files scanned Event 169 Findings Hosts involved Zero-day malware downloaded from web 7 6 Zero-day malware sent via email (SMTP) 9 9 ©2014 Check Point Software Technologies Ltd. All rights reserved [Restricted] ONLY for designated groups and individuals 13 Web からダウンロードされた上位の悪質なゼロ・デイ・マルウェア 下記の表では、Web通信で検知された上位のゼロ・デイ・マルウェアをまとめます: File Malware Activity Host Resource 0dd730ed4.pdf Unexpected Process Crash 192.87.2.7 www.lostartofbeingadame.c om/wpcontent/plugins/www.f otosupload.php guide04d88.pdf Malicious Filesystem Activity Malicious Network Activity Malicious Registry Activity Unexpected Process Creation Unexpected Process Termination 10.23.33.24 silurian.cn/modules/mod_cm sfix/fix.php E メール(SMTP)経由で送られた上位のゼロ・デイ・マルウェア 下記の表では、SMTPでのEメール通信で検知した、上位のゼロ・デイ・マルウェアをまとめます: File Notice231488.doc invoiceBQW8OY.d oc Summit_Agenda.d oc Sender asia@shippin goods.com NoReplay@sho p.sip events@conf erences.org Recipient logistics@myb iz.biz [email protected] iz marketing@m ybiz.biz ©2014 Check Point Software Technologies Ltd. All rights reserved [Restricted] ONLY for designated groups and individuals Subject Malware Activity Parcel details Malware create another process Malware create suspicious files Malware retrieve module name Malware spawns another instance of self Malware tampers browser history Your invoice Malware affects other process on the system Malware create another process Malware create suspicious files Malware creates a process in suspended state (used to escape process Malware delete itself Malware retrieve module name Malware runs on a context of a different process Malware spawns a child process Malware tampers browser history The agenda for the upcomin g event Malware create another process Malware create suspicious files Malware creates a process in suspended state (used to escape process Malware delete itself Malware retrieve module name Malware tampers important system files 14 侵入&攻撃イベント 上位の侵入&攻撃イベント セキュリティ分析の過程で、チェック・ポイントのソリューションはいくつもの侵入防御関連のイベントを確認しました。こ れらのうちいくつかのイベントは、非常に危険なカテゴリに分類されました。 下記の表では、危険度に応じたイベントの分布を表しています: Severity Critical Event Name CVE List* Events Microsoft SCCM Reflected Cross-site Scripting (MS12-062) CVE-2012-2536 5 Joomla Unauthorized File Upload Remote Code Execution - 2 Web Servers Malicious HTTP Header Directory Traversal - 1 ImageMagick GIF Comment Processing Off-by-one Buffer Overflow (CVE-2013-4298) CVE-2013-4298 3 Adobe Flash Player SWF File Buffer Overflow (APSB13-04) CVE-2013-0633 2 PHP php-cgi query string parameter code execution CVE-2012-1823 1 Oracle database server CREATE_TABLES SQL injection CVE-2007-3890 4 High *CVE (Common Vulnerabilities and Exposures)は、一般的に知られているセキュリティ脆弱性に関する辞書です。 特定のIPSイベントの詳細については、National Vulnerability Database CVE 検索WebページでCVE IDを用いて 確認して下さい。 ©2014 Check Point Software Technologies Ltd. All rights reserved [Restricted] ONLY for designated groups and individuals 15 国別の IPS イベント 以下の地図は、送信元の国でのIPSイベントの分布を表します。 ©2014 Check Point Software Technologies Ltd. All rights reserved [Restricted] ONLY for designated groups and individuals 16 エンドポイント・セキュリティ調査結果 このレポートの本セクションでは、貴社インフラストラクチャのホストに関するセキュリティ調査結果をご提供します。こ のセクションは、セキュリティ・ベクトルごとに検知結果のサマリと詳細な情報をご案内します。このレポートの改善対 策セクションでは、検知されたイベントに対する一連の推奨対策をご説明します。 エンドポイント・セキュリティ・イベントのサマリ Total Endpoints Running High Risk Web Applications 6 Total Endpoints involved in a Data Loss Incident 19 Total Endpoints involved in Intrusion and Attack Events 20 Total Endpoints involved in a Malware Incident 848 高リスクなアプリケーションを実行している上位のエンドポイント 下記の表は、高リスク・アプリケーションを実行、または高リスクなWebサイトへアクセスしたエンドポイント・マシンをま とめます: ©2014 Check Point Software Technologies Ltd. All rights reserved [Restricted] ONLY for designated groups and individuals 17 上位のエンドポイントでの侵入&攻撃イベント 下記の表は、侵入防御関連のイベントに関与したエンドポイント・マシンをまとめます。 Source Destination Severity Event Name CVE List 192.87.2.47 192.168.75.27 Critical Microsoft SCCM Reflected Cross-site Scripting (MS12062) CVE-2012-2536 192.78.2.214 192.168.75.58 Critical Joomla Unauthorized File Upload Remote Code Execution - 192.84.2.220 192.168.75.58 Critical Web Servers Malicious HTTP Header Directory Traversal - 192.85.2.133 192.168.75.58 Critical ImageMagick GIF Comment Processing Off-by-one Buffer Overflow (CVE-2013-4298) CVE-2013-4298 192.116.2.151 192.168.75.58 Critical Adobe Flash Player SWF File Buffer Overflow (APSB13-04) CVE-2013-0633 192.195.2.88 192.168.75.60 High PHP php-cgi query string parameter code execution CVE-2012-1823 192.87.2.211 192.168.86.3 High Oracle database server CREATE_TABLES SQL injection CVE-2007-3890 ©2014 Check Point Software Technologies Ltd. All rights reserved [Restricted] ONLY for designated groups and individuals 18 データ損失イベントに関与した上位のエンドポイント 下記の表は、データ損失イベントに関与した上位のエンドポイント・マシンです。 Endpoint Events Data Sent 192.168.125.36 4 Credit Card Numbers 192.168.22.22 1 Business Plan 192.168.75.0 5 Financial Reports 192.168.125.0 4 Source Code 192.168.86.47 4 Outlook Message – Confidential 192.168.86.38 2 U.S. Social Security Numbers マルウェア・イベントに関与した上位のエンドポイント 下記の表は、マルウェア関連のセキュリティ・イベントに関与したエンドポイントです。 Host Threat Name Malware Activity 192.168.86.8 Operator.Virus.Win32.Sality.f.h DNS client query or DNS server resolving a C&C site 192.168.75.0 Operator.APT1.cji DNS client query or DNS server resolving a C&C site 192.168.75.3 Operator.Virus.Win32.Sality.d.d m Communication with C&C 192.168.75.7 REP.yjjde Access to site known to contain malware 192.168.75.10 RogueSoftware.Hack_Style_R AT.pbco Communication with C&C 192.168.75.13 Trojan.Win32.Agent.aaeyr.cj Malicious file/exploit download ©2014 Check Point Software Technologies Ltd. All rights reserved [Restricted] ONLY for designated groups and individuals 19 COMPLIANCE セキュリティ分析 このセクションでは、既存のチェック・ポイントのネットワーク・セキュリティ導入におけるセキュリティ・ポリシーの詳細な 分析をご提供します。 この分析は、貴社組織のネットワーク・セキュリティを改良するための数百のセキュリティの最適な運用や推奨対策情 報などの拡張ライブラリを持つ、チェック・ポイントの Compliance Software Blade を用いて実施しました。 セキュリティ・ポリシーの準拠 Compliance Software Bladeは、貴社のセキュリティ管理、ゲートウェイ、インストールされたSoftware Bladesの設定 をスキャンします。そして結果を、最適なセキュリティの運用サンプルと比較します。102の最適な推奨セキュリティ運 用対策の中で、67は完全に準拠しており、35は準拠していない、もしくは満たしていないことが分かりました。この結 果、全体の準拠レベルは65%でした。 65% Compliant with Check Point recommended security best practices 102 Analyzed security configurations 67 Configurations found compliant 35 Configurations found not compliant or missing 12 Security gateways monitored ©2014 Check Point Software Technologies Ltd. All rights reserved [Restricted] ONLY for designated groups and individuals 20 法令順守サマリ 下記の表は、貴社ネットワーク・セキュリティの法令順守レベルをご案内します。このステータスは、チェック・ポイント のセキュリティ・ゲートウェイの様々な設定とSoftware Blades設定を分析し、それらを法令順守要件と比較しています。 Regulation Number of Requirements Number of Security Best Practices Compliance Status ISO 27001 27 102 78% PCI DSS 55 102 86% HIPAA 16 102 78% DSD 14 68 67% GLBA 5 102 45% NIST 800-41 22 25 85% ISO 27002 198 102 77% NIST 800-53 25 71 86% CobiT 4.1 15 102 66% UK Data Protection Act 1 29 49% Firewall STIG 30 54 87% GPG 13 9 31 87% NERC CIP 8 56 74% MAS TRM 25 102 77% SOX 15 102 66% FIPS 200 25 71 87% ©2014 Check Point Software Technologies Ltd. All rights reserved [Restricted] ONLY for designated groups and individuals 21 Security Software Blade での最適な運用順守 下記の表は、それぞれのSoftware Bladesごとの全体的なセキュリティ・ステータスを表します。 それぞれのSoftware Bladeで、チェック・ポイントは一連の最適な推奨運用をご案内します。100%というスコアは、そ のSoftware Bladeにおいて最適な運用がすべてできるよう、安全に設定されていることが確認されたことを意味しま す。100%以下のスコアは、設定は最適な運用ではなく、貴社環境においてセキュリティにおける問題点がある可能性 があることを指します。 Number of Security Best Practices Security Status Data Loss Prevention 2 7% IPS 4 29% Application Control 13 54% Mobile Access 3 66% IPSec VPN 16 73% URL Filtering 5 87% Firewall 35 88% Anti-Virus 13 91% Anti-Spam & Mail 3 100% Anti-Bot 8 100% Security Software Blade ©2014 Check Point Software Technologies Ltd. All rights reserved [Restricted] ONLY for designated groups and individuals 22 法令順守における最適なセキュリティ運用での上位調査結果 下記の表は、検知された最も重要であるセキュリティの最適な運用において、できていない、もしくは完全に設定がさ れていない項目を示します。 Blade ID Name Firewall FW101 Check that "Clean up Rule" is Defined in Firewall Rule Base 0% Firewall FW102 Check that Anti-Spoofing has been activated on each Gateway 0% Firewall FW103 Check that Anti-Spoofing is set to Prevent on each Gateway 0% Firewall FW105 Check that each Firewall rule has defined Track settings 0% Firewall FW130 Check that "Stealth Rule" is Defined in Firewall Rule Base 0% Firewall FW152 Check that each Firewall rule has a Name defined 0% Firewall FW153 Check that each Firewall rule has a Comment defined 0% Firewall FW107 Check that there is an additional log server defined for each Gateway for the storage of Firewall logs 0% Firewall FW116 Check that NAT/PAT is enabled in the Firewall settings 87% Firewall FW146 Check that an "Any Any Accept" rule is not defined in the Firewall Rule Base 0% Firewall FW159 Check that "Lockout Administrator\'s account after" is selected 0% Firewall FW160 Check that Administrators are locked out after 3 login failures 0% Firewall FW161 Check that "Unlock Administrator\'s account after" is selected 0% Firewall FW162 Check that Administrators\' accounts are unlocked after 30 minutes 0% Firewall FW163 Check that a detailed message is displayed to locked out Administrators 0% ©2014 Check Point Software Technologies Ltd. All rights reserved [Restricted] ONLY for designated groups and individuals Status 23 帯域幅分析 以下のセクションでは、分析時の貴社ネットワークの帯域幅の利用状況と、Web参照プロファイルをまとめます。 アプリケーション&Web サイトごとの上位の帯域幅利用 下記の表は、検知された上位のWebアプリケーションとWebサイトを、消費された帯域幅ごとにまとめます。 ©2014 Check Point Software Technologies Ltd. All rights reserved [Restricted] ONLY for designated groups and individuals 24 上位の Web カテゴリ 下記の表で、貴社の社員の方のインターネット・ブラウズに関連した、上位10のWebカテゴリとヒット数をご確認下さ い: Category Number of Hits % of Total Hits Social Networking 113 31.65% Webmail 42 11.76% Video Streaming 36 10.08% Search Engines / Portals 35 9.80% Multimedia 29 8.12% Browser Plugin 25 7.00% Business Applications 15 4.20% Media Sharing 13 3.64% Network Utilities 9 2.52% Other 40 11.20% Total 357 100% ソーシャル・ネットワーキングの帯域幅 (MB) ソーシャル・ネットワーキング・サイトの利用は、職場や家庭で一般的となってきています。多くの企業では、マーケティ ングや販売活動だけでなく、採用活動でもソーシャル・ネットワーキング技術を活用しています。このプロジェクトを通じ て、そして全体の市場動向にも沿っていますが、下記のソーシャル・ネットワーキング・サイトが最もネットワークの帯 域を消費していました: ©2014 Check Point Software Technologies Ltd. All rights reserved [Restricted] ONLY for designated groups and individuals 25 推奨改善対策 アクセス制御 & データ保護における推奨対策 このレポートは、複数のセキュリティ領域や様々な重要度のレベルで識別されたセキュリティ・イベントに対応していま す。下記の表では、これらの中で最も重要なイベントを考察し、それらのリスクを軽減する方法を示します。チェック・ポ イントでは、これらの脅威や懸念に対する複数の対応策を提供します。それぞれのイベントに関連する防御は、その 防御が組み込まれているSoftware Bladesとともに、イベントごとに記載されています。 Web セキュリティ・イベントにおける推奨改善対策 Application/ Site App. Risk Events Tor Critical 228 Ultrasurf Critical 51 Vtunnel Critical 18 BitTorrent High 464 ZumoDrive High 148 Remediation Steps In Application Control and URL Filtering Software Blades, you can activate, track and prevent the use of all the mentioned applications & web sites. You can define a granular policy to allow certain applications to specific groups only. Use UserCheck to: • Educate users about the organization’s web browsing and application usage policy. • Provide users with instant feedback when their actions violate the security policy. チェック・ポイントの Application Control と URL Filtering Security Gateway Software Blade に ついては、クリックして詳細を確認して下さい。 . ©2014 Check Point Software Technologies Ltd. All rights reserved [Restricted] ONLY for designated groups and individuals 26 データ損失イベント推奨改善対策 Severity Data Critical Credit Card Numbers Events Remediation Steps 14 Business Plan 1 Financial Reports 3 Source Code 12 Outlook Message - Confidential 147 Pay Slip File 25 U.S. Social Security Numbers 15 High Medium To remediate the detected events activate DLP Software Blade. Configure DLP policy based on the detected DLP data type and choose an action (Detect/Prevent/Ask User/etc..). If you consider the detected data type as sensitive information the recommended action is prevent. Use UserCheck to: • Educate users about the organization’s data usage policy. • Provide users with instant feedback when their actions violate the data usage security policy. チェック・ポイントの DLP security gateway software blade の詳細については、クリックして確認して下さい。 ©2014 Check Point Software Technologies Ltd. All rights reserved [Restricted] ONLY for designated groups and individuals 27 THREAT PREVENTION 推奨対策 マルウェア脅威の推奨改善対策 Malware Severity Events REP.yjjde Critical 36 Operator.Virus.Win32 .Sality.d.dm Critical 28 Operator.Conficker.b hvl High 27 Operator.Zeus.bt High 11 Operator.BelittledCar digan.u High 8 Remediation Steps Enable Check Point Anti-Bot Software Blade to detect bot infected machines and prevent bot damages. Enable Check Point Anti-Virus Software Blade to prevent malware downloads. Enable Check Point Threat Emulation Software Blade to protect from new and undiscovered malware threats. To remediate an infected machine, first search for the detected malware in Check Point ThreatWiKi to find information about it. Next, follow the remediation instructions appears in the Malware Remediation Steps web page. チェック・ポイントのAnti-Bot, Anti-Virus とThreat Emulation Security Gateway Software Bladeについては、クリッ クして詳細を確認して下さい。 ©2014 Check Point Software Technologies Ltd. All rights reserved [Restricted] ONLY for designated groups and individuals 28 侵入 & 攻撃イベント推奨改善対策 Threat Microsoft SCCM Reflected Crosssite Scripting (MS12-062) Joomla Unauthorized File Upload Remote Code Execution Microsoft Active Directory LSASS Recursive Stack Overflow [MS09066] Severity Critical Critical High Events Remediation Steps 15 In Check Point IPS Software Blade, enable the following protection: Microsoft SCCM Reflected Cross-site Scripting (MS12-062) 13 In Check Point IPS Software Blade, enable the following protection: Joomla Unauthorized File Upload Remote Code Execution 4 In Check Point IPS Software Blade, enable the following protection: Microsoft Active Directory LSASS Recursive Stack Overflow [MS09-066] チェック・ポイントのIPS Security Gateway Software Bladeについては、クリックして詳細を確認して下さい。 ©2014 Check Point Software Technologies Ltd. All rights reserved [Restricted] ONLY for designated groups and individuals 29 エンドポイント・セキュリティ推奨改善対策 本セクションは、複数のセキュリティ領域や様々な重要度のレベルで識別されたエンドポイント関連のセキュリティ・イ ベントに対応しています。下記の表では、これらの中で最も重要なイベントを考察し、それらのリスクを軽減する方法を 示します。チェック・ポイントでは、これらの脅威や懸念に対する複数の対応策を提供します。それぞれのイベントに関 連する防御は、その防御が組み込まれているEndpoint Security Software Bladeとともに、イベントごとに記載されて います。 Web セキュリティ・イベント – エンドポイント推奨改善対策 Host App/Site Risk Remediation Steps 192.168.75.36 Tor Critical Check Point Endpoint Security controls the usage of high risk applications and websites even when the endpoint is off-the corporate network and without network security solution. 192.168.75.71 Ultrasurf Critical 192.168.86.0 VTunnel Critical 192.168.86.19 192.168.86.30 BitTorrent ZumoDrive Use Check Point Program Control Software Blade to allow only approved programs to run on the endpoint and terminate not approved or untrusted programs. Use Check Point Compliance Check Software Blade to verify if a certain program is running on the endpoint device and restrict its network access if needed. High Control inbound and outbound traffic with Endpoint Firewall Software Blade to restrict access to specific ports and network services. High Use UserCheck to: • Educate users about the organization’s web browsing and application usage policy. • Provide users with instant feedback when their actions violate the security policy. 詳細については、下記のCheck Point Endpoint Security Software Bladesをご参照下さい: Program Control Endpoint Security Software Blade Firewall & Compliance Check Endpoint Security Software Blade ©2014 Check Point Software Technologies Ltd. All rights reserved [Restricted] ONLY for designated groups and individuals 30 侵入 & 攻撃イベント – エンドポイント推奨改善対策 Source Destination Event Name 192.87.2.47 192.168.75.27 Microsoft SCCM Reflected Crosssite Scripting (MS12-062) 192.78.2.214 192.168.75.58 Joomla Unauthorized File Upload Remote Code Execution 192.84.2.220 192.168.75.58 Web Servers Malicious HTTP Header Directory Traversal 192.85.2.133 192.168.75.58 ImageMagick GIF Comment Processing Off-by-one Buffer Overflow (CVE-2013-4298) 192.116.2.151 192.168.75.58 Adobe Flash Player SWF File Buffer Overflow (APSB13-04) 192.195.2.88 192.168.75.60 PHP php-cgi query string parameter code execution 192.87.2.211 192.168.86.3 Oracle database server CREATE_TABLES SQL injection Remediation Steps Use Endpoint Compliance Software Blade to verify the endpoints in your organization are up to date with the latest security patches and updates. The Endpoint Compliance Software Blade will ensure the endpoints are secured even when off the organizational network and without network security protection. For example working from home or on the road. 詳細については、下記の Check Point Endpoint Security Software Bladesをご参照下さい: Firewall & Compliance Check Endpoint Security Software Blade ©2014 Check Point Software Technologies Ltd. All rights reserved [Restricted] ONLY for designated groups and individuals 31 データ損失イベント – エンドポイント推奨改善対策 Host Type Remediation Steps Use Check Point Full Disk Encryption Software Blade to secure sensitive information installed on endpoint hard drives, including user data, operating system files and temporary and erased files, from unauthorized access when laptops are lost or stolen 192.168.75.0 Credit Card Numbers 192.168.86.47 Business Plan Use Check Point Media Encryption Software Blade to encrypt sensitive data stored on removable devices and to track and manage removable devices individually 192.168.125.0 Source Code By using Check Point Document Security Software Blade you can grant access to sensitive documents only to authorized individuals 192.168.125.36 Pay Slip File Use UserCheck to: • Educate users about the organization’s data usage policy. • Provide users with instant feedback when their actions violate the data usage security policy. 詳細については、下記の Check Point Endpoint Security Software Bladeをご参照下さい: Full Disk Encryption Endpoint Security Software Blade Media Encryption Endpoint Security Software Blade Document Security Endpoint Security Software Blade ©2014 Check Point Software Technologies Ltd. All rights reserved [Restricted] ONLY for designated groups and individuals 32 マルウェア・イベント- エンドポイント推奨改善対策 Host Severity Remediation Steps 192.53.2.161 Critical Use Check Point Endpoint Anti-Malware Software Blade to detect and prevent threats such as malware, viruses, keystroke loggers, Trojans, and root kits from infecting enterprise endpoints. 192.57.2.32 Critical Check Point Endpoint Anti-Malware Software Blade will keep your enterprise endpoints are protected even when off the organizational network and without network security protection. For example working from home or on the road. 192.57.2.209 Critical Use the Endpoint Compliance Software Blade to ensure the endpoints are updated with the latest security updates and compliant with the organization security policy. 192.59.2.27 Critical To start the remediation process on an infected machine, search the detected Malware in Check Point ThreatWiki to find additional remediation supporting information about the Malware. This information can help you better understand the infection and its potential risks. 192.59.2.79 Critical Use UserCheck to educate users about the organization web browsing and web applications usage policy. 詳細については、下記のCheck Point Endpoint Security Software Bladesをご覧下さい: Anti-Malware Endpoint Security Software Blade Firewall & Compliance Check Endpoint Security Software Blade 包括的なエンドポイント・セキュリティ分析レポートの実施 エンドポイントでのセキュリティの配置や潜在的なリスクをより包括的に分析するには、Endpoint Security analysis report を実行するか、チェック・ポイントの担当者までお問い合わせ下さい。 ©2014 Check Point Software Technologies Ltd. All rights reserved [Restricted] ONLY for designated groups and individuals 33 COMPLIANCE ブレードでの推奨改善対策 このレポートでは、チェック・ポイントのSoftware Bladeで確認されたセキュリティ設定で、注意が必要な項目をまとめ ます。下記の表では、それぞれの項目を考察し、セキュリティ・レベルをどのようにして改善できるかを説明します。 Risk Remediation Steps Relevant Objects High Create a new Stealth Rule or modify the existing Stealth Rule in the relevant Policy Packages in accordance with the following definition: Source= Any ; Destination=GW’s ; Service=Any ; Action=Drop ; Install On=Policy Target ; Time=Any. Policy Package A High Create a new Clean-up-Rule or modify the existing Clean-upRule in the relevant Policy Packages in accordance with the following definition: Source=Any ; Destination=Any ; VPN=Any Traffic ; Service=Any ; Action=Drop ; Track=Log ; Install On=Policy Targets ; Time=Any ; Note that the Clean-up-Rule must be the last row listed in the Firewall Rule Base. Policy Package B High Activate automatic update protections in the IPS Blade IPS Gateway Corporate Gateway High Create a new policy or modify the existing policy in the Application Control Blade so that critical risk applications and websites will be blocked. Policy Package A High Modify the Authentication Timeout settings in the Global Properties so that it is between 20 and 120 minutes. Global Properties Define a Track settings for all Firewall rules across all policy packages. Policy Package A Rule number 18 Rule number 35 Rule number 64 Policy Package B Rule number 11 Rule number 23 Rule number 88 High ©2014 Check Point Software Technologies Ltd. All rights reserved [Restricted] ONLY for designated groups and individuals 34 SOFTWARE-DEFINED PROTECTION 今日、IT インフラストラクチャやネットワークの社会的な重要性は高まる一方です。そして外部と内部の境界線が曖昧 になり、またセキュリティ脅威が巧妙化の一途を辿る中、組織を確実に守る革新的な対応策が求められています。 現在広く使用されている単機能型のセキュリティ・ソリューションは、戦術的な事後対応型(リアクティブ)で応急処置的 であり、入念に設計されたアーキテクチャに基づくものではありません。最新のセキュリティ脅威に対処するには、高 パフォーマンスなネットワーク・セキュリティ・デバイスと戦略的な事前対応型(プロアクティブ)でリアルタイムの保護を 組み合わせた、単一のアーキテクチャが必要です。 すなわち、組織をプロアクティブに保護する新たなパラダイムが求められているのです。 Software-Defined Protection(SDP)は、新しい実践的なセキュリティ・アーキテクチャであり方法論です。モジュール 型で即応的、そして何よりセキュアなインフラストラクチャの構築を可能にします。 セキュアなインフラストラクチャを実現するアーキテクチャでは、環境の規模や種類を問わず、組織全体を保護できな ければなりません。例えば、本社や支社・支店のネットワーク、スマートフォンなどの携帯端末を利用したモバイル環 境、クラウド環境などを網羅的に保護できる必要があります。 また保護機能は、膨大な数のアドバイザリや推奨 事項に基づいてセキュリティ管理者が手動で設定 するのではなく、脅威動向の変化に自動で適応で きる必要があります。これらの保護機能は、IT 環境 全体とシームレスに統合されている必要があり、ア ーキテクチャは、組織内外の防御情報源を協調し て活用できる体系を構築できなければなりません。 SDP アーキテクチャのセキュリティ・インフラストラ クチャは、相互接続された以下の 3 つのレイヤで 構成されています。 実施レイヤ:物理、仮想、またはホスト・ベ ースのセキュリティ実施ポイントに基づくレ イヤです。ネットワークをセグメント化する と共に、ミッション・クリティカルな環境にお いて保護ロジックを実行します。 制御レイヤ:複数の情報源から得た脅威 情報を分析し、実施レイヤが実行する保護 機能とポリシーを生成します。 管理レイヤ:インフラストラクチャ全体を 協調させ、アーキテクチャ全体の即応性 を最大限に高めます。 SDP アーキテクチャでは、高パフォーマンスな実 施レイヤと、迅速な機能強化を可能にするソフトウ ©2014 Check Point Software Technologies Ltd. All rights reserved [Restricted] ONLY for designated groups and individuals The Software-defined Protection (SDP) architecture 35 ェア・ベースの動的な制御レイヤを組み合わせることで、不測の事態への対応能力を高めると同時に、変化し続ける 脅威によるインシデントの発生を未然に防ぐプロアクティブな体制の構築を可能にします。 将来を見据えた SDP アーキテクチャは、従来のネットワーク・セキュリティ要件やアクセス制御要件に対応しながら、 モバイル・コンピューティングや Software-Defined Network(SDN)などの最新技術を採用する場合に欠かせない高 度な脅威対策を実現します。 CHECK POINT SOFTWARE-DEFINED PROTECTION チェック・ポイントは、最高の管理性とセキュリティを実現する SDP アーキテクチャに必要なコンポーネントを全て提供 しています。 Check Point SDP では、新たな脅威に対処し、新しいテクノロジーを採用するために必要となる高い柔軟性を提供し ます。チェック・ポイントのソリューションは、既知および未知の脅威に対する新たな保護機能を生成し、短い時間でク ラウドを介して防御情報を配信しています。適切なセキュリティ設計アーキテクチャに基づいてチェック・ポイントのセキ ュリティ・ソリューションを実装すると、新たなリスクを招くことなく、最新の情報システム・ソリューションを導入できるよ うになります。 Check Point SDP ©2014 Check Point Software Technologies Ltd. All rights reserved [Restricted] ONLY for designated groups and individuals 36 チェック・ポイントでは、各セグメントの境界を保護する幅広い種類の実施ポイントを提供しています。ラインナップには、 高パフォーマンスなネットワーク・セキュリティ・アプライアンスや仮想ゲートウェイ、エンドポイント・ホスト用のソフトウェ ア、モバイル・デバイス向けのアプリケーションが含まれます。各実施ポイントを構成要素として組み合わせることで、 セグメント化と統合に対応した安全なシステムおよびネットワークを設計できます。 SDP における制御レイヤは、環境固有のニーズに応える柔軟で効果的なセキュリティ・ソリューションを実現するチェ ック・ポイントの Software Blade アーキテクチャに基づいています。20 種類以上の Software Blade を自由に選択し て導入できるモジュール型アーキテクチャで、実施ポイントごとの最適なセキュリティ・ソリューション構築が実現する ほか、要件に合わせ徐々にセキュリティ・インフラストラクチャを拡張していくことが可能です。 次世代型脅威保護 チェック・ポイントは、既知と未知の脅威に対応する管理を実現。チェック・ポイントは、IPS、ネットワークベースのアン チウイルス、サンドボックス技術を活用した Threat Emulation、アンチボットなどを含む脅威保護ソリューションを提供 しています。またチェック・ポイントは、独自のクラウドベースの脅威情報データベースと保護ジェネレータである Check Point ThreatCloud™を構築し、運用しています。Check Point ThreatCloud は、サイバー犯罪などに対応でき るコラボレーションを実現するほか、リアルタイムで脅威データを管理レイヤでのセキュリティ対策に活用しています。 次世代型ファイアウォールとデータ保護 チェック・ポイントのアクセス管理は次世代ファイアウォールと VPN を User identity Awareness、Application Control、Data and Content Awareness などの複数のソフトウェアブレードと組み合わせ、統一したコンテキストベー スのセキュリティ・ポリシーを可能にしています。 次世代型データ保護 チェック・ポイントの次世代型データ保護は、データ認識機能に対応。コンテンツ検知を行ない、エンタープライズのリ ポジトリに格納されているファイルとのコンテンツ・マッチングを行なう Data Loss Prevention(DLP)Software Blade が含まれています。さらに、チェック・ポイントは、保管されている静的なデータを暗号化技術によって、保護することが 可能です。これらの技術は全ての実施ポイントで導入することができ、重要なドキュメントを守り、機密データへのアク セス、またはリムーバブル・メディアへの保存、許可されていないユーザの閲覧などを防ぐことができます。 チェック・ポイントのすべての保護機能と実施ポイントは、単一の統合セキュリティ管理コンソールで管理します。チェッ ク・ポイントのセキュリティ管理製品は高い拡張性を備えており、超高速動作のインタフェースを使用して膨大なオブジ ェクトを効率よく管理できます。 チェック・ポイントのモジュール型/レイヤでのポリシー管理 Check Point Security Management では、レイヤとサブレイヤという新しい概念を使用して各要件に対応します。複 数の管理者の職務分掌を実現し、担当するセグメントごとにセキュリティ・ポリシーを定義することが可能なネットワー ©2014 Check Point Software Technologies Ltd. All rights reserved [Restricted] ONLY for designated groups and individuals 37 クのセグメント化に対応した管理が求められます ポリシーはセグメントごとに定義し、個別のレイヤごとにてアクセス 制御ポリシーを定義すれば、各ポリシーを複数の管理者に割り当てられます。複数の管理者が同じポリシーを同時並 行で管理することが可能となります。 自動化と連携 Check Point Security Management は、CLI と Web サービス API を提供しています。ネットワーク管理や CRM、ト ラブル・チケット発行、アイデンティティ管理、クラウド連携などのシステムとの統合が可能となります。 チェック・ポイント SmartEvent による可視化 Check Point SmartEvent では、ビッグデータ分析とリアルタイムのセキュリティ・イベントの相関分析を実施します。 複数の情報源から収集されたインシデント情報を 1 つに集約し、相関分析を行います。セキュリティ・イベント解析が 終了すると、対策の実施に役立つ実用的な情報が脅威指標という形で生成されます。生成された情報は ThreatCloud 経由で配布され、脅威をリアルタイムでブロックするために使用されます。 Event Management with Check Point SmartEvent チェック・ポイントの Software-Defined Protection がどうのように変化し続ける最新の脅威環境に対応するセキュリ ティ・インフラストラクチャを構築できるかについては、www.checkpoint.com/securitycheckup をご参照ください。 ©2014 Check Point Software Technologies Ltd. All rights reserved [Restricted] ONLY for designated groups and individuals 38 チェック・ポイント・ソフトウェア・テクノロジーズに ついて チェック・ポイント・ソフトウェア・テクノロジーズ・リミテッド(www.checkpoint.com)は、インターネット・セキュリティにお けるトップ企業として、セキュリティの複雑さと総所有コスト(TCO)を低減しつつ、あらゆるタイプの脅威からお客様の ネットワーク環境を確実に保護するための妥協のないセキュリティ機能を実現しています。チェック・ポイントは、 FireWall-1 と特許技術のステートフル・インスペクションを開発した業界のパイオニアです。チェック・ポイントは、革新 的セキュリティ技術である Software Blade アーキテクチャをベースとした一層の技術革新に努めています。Software Blade アーキテクチャは、導入先に合わせカスタマイズすることで、あらゆる組織のセキュリティ・ニーズにも的確に対 応できる、柔軟でシンプルなソリューションの構築を可能にします。チェック・ポイントは、技術偏重から脱却してセキュ リティをビジネス・プロセスの一環として定義する唯一のベンダーです。チェック・ポイント独自のビジョン 3D Security は、ポリシー、ユーザ、実施という 3 つの要素を統合して情報資産の保護を強化し、導入環境のニーズに合わせて高 度なセキュリティを確保できるようにします。チェック・ポイントは、Fortune 100 社および Global 100 企業の全社を含 む、何万ものあらゆる規模の企業や組織を顧客としています。数々の受賞歴のあるチェック・ポイントの ZoneAlarm ソリューションは、世界中で何百万にも及ぶお客様の PC をハッカー、スパイウェア、および情報窃盗から未然に保護 しています。 チェック・ポイント・ソフトウェア・テクノロジーズの全額出資日本法人、チェック・ポイント・ソフトウェア・テクノロジーズ株 式会社は、1997 年 10 月 1 日設立、東京都新宿区に拠点を置いています。 ©2014 Check Point Software Technologies Ltd. All rights reserved [Restricted] ONLY for designated groups and individuals 39