Check Point Security CheckUPで検出できる一般的な企業ネットワークセキュリティの問題

すべてのキャラクターは架空のもので、実際の会社との試合はすべて完全にランダムです！

最も一般的な企業ネットワークのセキュリティ問題は何ですか？ この質問に対する答えはそれほど単純ではありません。 ただし、 Check Point Security CheckUPを使用してネットワークセキュリティ監査を実施することで取得した統計情報を共有できます。 Security CheckUPの概要とその実行方法に関する一連の記事を既に公開しています。 最初のビデオチュートリアルでは、なぜ必要なのかを説明しました。 私たちが実施したCheckUPの数は、100をはるかに超えています。 この間ずっと、Security CheckUPを使用して検出できる最も一般的なネットワークセキュリティの問題に関する統計が蓄積されてきました。 以下に説明する脅威は、ほぼすべての企業に存在しました（ある企業はより多く、他の企業は少ない）。

1）従業員はVPNとプロキシを使用します

現代の企業では、Internet Explorerのみを使用してブックマークされたサイトにのみアクセスできる「小さなもの」はほとんど残っていません。 ユーザーはより高度になり、VPN、プロキシ、アノニマイザーなどの言葉で誰も驚かないでしょう。 CheckUPの結果が示すように、ほぼすべての会社にTor、Betternet、Freegateなどを使用する従業員がいます。 Roskomnadzorのロックをバイパスするため、または会社自体のロックをバイパスするために使用されます（ログインしてポーカーをプレイしたり、成人向けのビデオを視聴したりします）。 境界でNGFWクラスソリューションを使用せずにこれをブロックすることはほとんど不可能です。

VPNを使用する危険性は何ですか？

VPNの使用に関する最も危険なことは、ユーザーがブロッキングをバイパスできるという事実ではありません。 主な問題は、暗号化されたトラフィックがネットワーク境界を通過することです。 Anti-VirusとIPSの機能を備えた非常に優れたエッジデバイスを使用している場合でも、何もチェックできません。 暗号化されたチャネルを介して、ウイルスファイルを含め、好きなものを「ドラッグ」できます（ユーザー自身は、何か悪いものをダウンロードしているとは思わないかもしれません）。 HTTPSトラフィックに関する同様の問題。 レッスン「 Check Point to the maximum 」で説明しました。 ネットワークエッジでSSLインスペクションを使用しない場合、インターネットチャネルの帯域幅のサイズに大きな穴があります。

レポート例

多くのセキュリティ関係者にとって、非常に多くの人々がネットワーク上でアノニマイザーを使用し、非常に多くのトラフィックが通過することは驚きです。 これらのチャネル内を通過したものを見つけることはできなくなります。

2）トレント

正直に言うと、同様の統計情報を受け取ったときは驚きました。 ほとんどすべての企業で、トレント（または他のp2pアプリケーション）を介したダウンロードが確認されました。 さらに、ダウンロードされたトラフィックの量は単にスケーリングします。 ある顧客は、ユーザーが1週間で2 TBをダウンロードしたことを発見しました！ 誰もが長い間、自宅と非常に高速なインターネットを持っているようです。 職場で急流をダウンロードする理由

トレントを使用する危険性は何ですか？

主な問題は、インターネットチャネルの帯域幅に対する膨大な負荷です。 多くの場合、これはIPテレフォニー、企業のクラウドリソース（CRM、電子メール）などのビジネスアプリケーションの作業に悪影響を及ぼします。 さらに、ネットワークの境界にあるファイアウォールの購入を計画するとき、多くの人が利用可能なチャネル負荷統計に基づいてソリューションを選択します。 過去1か月で、400メガビット/秒の領域の平均負荷が発生したことがわかりました。つまり、ファイアウォールをより強力に、したがってより高価にする必要があるということです。 現在、「左」のトラフィックをすべてブロックすれば、NGFWの購入を大幅に節約できます。



さらに、トレントダウンロードを介してダウンロードされたほぼすべてのファイルが部分的にダウンロードされます。 また、これにより、Anti-VirusやIPSなどのシステムによるトラフィックのチェックが非常に難しくなります。

レポート例

3）ボットネット

90％のケースで、ボットネットの一部である感染したコンピューターを検出することができました。 正式には、感染したコンピューターがユーザーの作業を妨げることはありません。 ファイルは削除されず、暗号化されず、情報はマージされません。 ただし、コンピューターには「小さな」ユーティリティがあり、コマンドセンターで常に「ノック」して指示を待ちます。 Check Pointが正当なトラフィックをボットネットとして定義する場合、誤検知もあることを認識する価値があります。 各インシデントは慎重に検討する必要があります。

ボットコンピューターが危険なのはなぜですか？

感染したコンピューターは、ネットワーク上で何年も生き続けることができます。 彼らはあなたに害を与えないかもしれませんが、彼らが「ある晴れた日」をすることができることを予測することは完全に不可能です。 ランサムウェアウイルスをダウンロードしてネットワーク全体に感染するコマンドを受け取ります。

レポート例

4）リモートアクセスユーティリティ

別の不快な事件。 大多数の企業は、職場のコンピューターにリモートアクセスユーティリティ（TeamViewer、RDP、LogMeInなど）を使用している人々を紹介しています。 このリモートアクセスが従業員自身によって使用されることを誰も保証しませんが。 おそらく、これらは元従業員またはバイラル会社の一部です。

リモートアクセスユーティリティが危険なのはなぜですか？

ネットワークへの不正アクセスの問題に加えて、もう1つ、ファイル転送があります。 適切なトラフィック（ギガバイト）がこれらのリモートセッションを介してポンピングされていることを確認するのは特に「悲しい」ことです。 ほとんどのリモートアクセスユーティリティは接続を暗号化するため、ダウンロード中またはダウンロード中のものを見つけることはできません。 しかし、全体として、これは企業情報の漏洩の可能性のある大きなチャネルです。

レポート例

5）ポルノおよびその他の「エンターテイメント」

どんなに驚くべきことが聞こえるかもしれませんが、人々は実際に職場でアダルトビデオを見ています。 さらに、トラフィック量は驚くべきものです。 CheckUPの1つで、会社の従業員が2週間、26ギガバイトのポルノを「見た」ことがわかりました。

職場での危険なポルノとは何ですか？

質問は非常に面白そうです。 道徳的および倫理的基準を考慮しない場合、問題はおそらく少し異なります-ユーザーはエンターテイメントに多くの時間を費やします。 YouTube、ソーシャルネットワーク、インスタントメッセンジャー。 これはすべて、明らかに生産性を助長するものではありません（ただし、ここでも議論できます）。 一般に、CheckUPを使用すると、だれが何に時間を費やしているかを確認できます。

レポート例

6）メール内のウイルス

CheckUPを使用すると、ユーザートラフィックだけでなく、すべての受信メールもチェックできます。 これは、スパムチェックだけでなく、添付ファイル（doc、pdf、zipなど）およびメッセージ本文のリンクのチェックでもあります。 さらに、検証の設定は非常に簡単です。 メールサーバーは、MTA（Mail Transfer Agent）が実行されているチェックポイントにすべての文字のコピーを直接転送するように構成されています。 Exchangeでは、これはブラインドカーボンコピー（Bcc）を使用して実行できます。 このチェックの主な利点は、クライアントの既存のスパム対策ソリューションの後にすでに手紙をチェックしていることです。 そして、このクライアントが、悪意のある電子メールがまだかなりの数で通過していることを発見したとき、何と驚くでしょう。 つまり ほとんどの場合、メールトラフィックの保護の現在の手段が対処できないことがわかりました。

メール内のウイルスの危険性は何ですか？

愚かな質問。 最近のレポートによると、メールは依然としてユーザーへのウイルスの配信を先導しています。 さらに、マルウェアは、添付ファイルまたはリソース（Googleドライブ、yandexディスクなど）へのリンクのいずれかです。 Check Pointを使用すると、SandBlastテクノロジーを使用して、こうしたことのより深い分析を実装できます（これについては説明しませんが、現在はそれについてではありません）。

レポート例

ご覧のとおり、ウイルスの間ではSMTPトラフィックが優勢です。 プラスウイルスは、exeファイルだけでなく、ユーザーが通常恐れることなく開く通常の.docまたは.pdfドキュメントでもあります。

7）フィッシング

ほとんどすべてのCheckUPは、ユーザーがフィッシングリンクをクリックすることを検出します。 Office 356、paypai、sbenbank、fasebook、appie、...フィッシングサイトの例は永遠に続く可能性があります。 一般に、フィッシング攻撃の方向は前例のない増加を経験しています。 だまされやすいユーザーをだますことができるのであれば、なぜトリッキーなウイルスを発明し、保護技術と戦うのかは理解できます。 人は常に企業の情報セキュリティにおける最も弱いリンクのままです。

フィッシングの危険性は何ですか？

フィッシングはユーザーにとって個人的な問題であると言えます。 まあ、彼らは彼らからカードからお金を盗み、次回はより賢くなるでしょう。 ただし、フィッシングの結果、企業データが盗まれる可能性があります！ 住所、パスワード、重要な文書。 ユーザーが企業のパスワードを使用して公開サイト（ソーシャルネットワーク、トレントトラッカーなど）に登録することを非常に頻繁に好むことは注目に値します。 どこででも使用できるのに、なぜたくさんのパスワードを覚えているのですか？

レポート例

8）企業ネットワークからクラウドにアップロードする

もう1つの大きなセキュリティ上の懸念は、クラウドストレージです。 Dropbox、GoogleDrive、Yandexドライブなど 誰もがこれらのサービスを例外なく使用しています。 しかし、企業ネットワークで誰かがこれを使用している可能性があることを知っていることと、ギガバイトのトラフィックがこれらのチャネルを通過していることを確認することは別のことです。 ケースの80％で、監査対象企業で同様の問題が見つかりました。

なぜこのアップロードが危険なのですか？

ここではすべてが明らかです。 誰かが企業データをマージできます。 また、DLPソリューションがない場合、正確に「マージ」されるものを確認することはできません。 ただし、これらのクラウドリソースにアップロードするだけでは危険ではありません。 それほど危険ではなく、ダウンロードしてください！ ハッカーは、パブリックファイルストレージを使用してウイルスを広めることに長い間慣れています。

レポート例

これは単なる例です。 ロシアでは、Yandex.Disk、Cloud.Mail.ru、OneDriveなどがより一般的です。 上の図はファイルの数のみを示していますが、ボリュームに関する統計も表示できます。

その他の問題

Check Point Security CheckUPを使用して検出できる最も一般的な問題のみをリストしました。 ほとんどすべての監査で発見されます。 しかし、さらに多くの問題があり、さらに深刻な問題があります。

エクスプロイト攻撃

さらに、ユーザーのコンピューターだけでなく、会社のサーバーも攻撃できます。

企業リソースへのDDoS

もちろん、現在の保護ツールでは検出できないウイルス（0デイを含む）のダウンロードも発生します。 同様の問題も非常に一般的です。 しかし、それらはアーキテクチャがより複雑であり、常により詳細な調査が必要です（最終的に、誰も誤検知をキャンセルしませんでした）。

おわりに

これで、小さなTOP-8の典型的なセキュリティ問題を終了します。 覚えておくべき主なことは、 情報セキュリティは結果ではなく、継続的なプロセスであることです。 この点で、Check Point Security CheckUPは、セキュリティに関して非常に優れた（ただし完全ではありません！）分析を提供します。 また、この監査を無料で実施できるという事実により、CheckUPはその分野でほぼ最良のソリューションになります。



Security CheckUPに関する追加情報。