Check Piont. Чекрыгин Сергей. "На один шаг впереди"

г. Краснодар31 МАРТА 2016#CODEIB

Сергей Чекрыгин

Check Point

На один шаг ВПЕРЕДИ

EMAIL [email protected]

Традиционный подходАнтивирус

Фильтрация по URL

IPS, СОВ

Анти-ботКонтроль приложений

Атаки

Бот-сетиОпасные приложения

Вредоносный сайтВирус

Больше безопасности в одном устройстве

Межсетевой экран & VPNСистема предотвращения вторженийКонтроль приложений

Интеграция с ADФильтрация по URL

Антивирус АнтиботСетевой DLP

Модели

4000

Малые офисы До 3 Гб/c МЭ, от $600

Корпоративные шлюзыДо 6 Гб/c IPS

Центры обработки данныхДо 110 Гб/C МЭВысокая доступность и легкое обслуживание

1500023000

4100061000

1100

Платформа для телекомМастшабируемостьБалансировка нагрузки

2200

стало известным?

Что делать,чтобы неизвестное

ИнтеллектуальноеВзаимодействие

Исследование кода

CHECK POINTМы защищаембудущее

Мы не сможем решить проблему,думая также, как когда мы создали еёАльберт Эйнштейн

Неизвестные угрозыне могут быть пойманытрадиционными технологиями ИБ

Песочница

Способ работы с тем, что мы не знаем:

Как работает Песочница

• Системный реестр

• Сетевые соединения

• Файловая активность

• Процессы

Например:•Другая версия ОС или SP•Тестирование на виртуальную машину•Задержка в атаке

Вирус может скрыться от Песочницы

Как работает Любой вирус

Способ проникновения вирусаУязвимость

Уязвимость Проникновение

Код пользуется уязвимостью для изменения поведения системы

Способ проникновения вируса

Уязвимость Проникновение Shellcode

Вредоносный код загружаетсяи получает права доступа


Shellcode Вирус

Код начинаетвредоносныедействия

Способ проникновения вирусаУязвимость Проникновение

Shellcode

Уровень команд

процессора

Уровень ОС


ВирусУязвимость Проникновение

Проверка на место возврата

A B C D E F213

456 Проверка возвратауправления в кодна место вызова в командах процессорадля поиска подозрительного кода

Песочница с защитой от угроз на уровне процессора•Обнаруживает атаки до заражения•Увеличивает шансы поймать вирус•Не зависит от ОС•Устойчива к техникам обхода песочниц

Можно ли избежать всех неизвестных угроз?

Технология THREAT EXTRACTIONПересоздание документа для исключения активного содержимого

Threat Extraction

[Restricted] ONLY for designated groups and individuals

Представляем

AGENTSandBlast

CHECK POINT

Предотвращение угроз на ПКНезащищенные векторы атаки

Работа вне офиса

M2M внутри периметра

Внешние носители

SANDBLAST Агент

Защита от нацеленных атак

Сдерживаниеинфекции

Реакция


Threat Extraction & песочница для ПК

•Доставляет безопасные файлы•Проверяет исходные файлы •Защищает скачивания из интернета и копирования с внешних носителей

SANDBLAST

Расширение для браузера

При скачивании из интернета

Мониторинг файловой системы

для копируемых файлов

Как работает защита от направленных атак

Мгновенная защита при загрузке из сетиДоставка безопасного файла

Конвертация PDF для защиты или безопасная версия исходного файла

Самостоятельно, без помощи службы поддержки

Доступ к исходному файлупосле проверки документа


Анти-ботдля рабочих станций и карантин

•Обнаруживает и блокирует общение с командным центром•Указывает на зараженный файл•Изолирует зараженную рабочую станцию



Реакция

Блокируем зараженную Блокируем зараженную станциюстанцию

Предотвращаем потериПредотвращаем потери• Блокируем управляющий каналБлокируем управляющий канал• Предотвращаем утечку данныхПредотвращаем утечку данных

Sandblast Агент: Анти-ботДля рабочих станций

Определем Определем зараженные станции зараженные станции • Внутри и вне периметра Внутри и вне периметра • Изолируем работу Изолируем работу

внутри периметравнутри периметра

Определяет управляющий канал Определяет управляющий канал – знаем зараженную станцию – знаем зараженную станцию

Блокирует управляющий канал Блокирует управляющий канал – – изолируем вирусизолируем вирус

Управление остановленоУправляющий канал

Анти-бот



Автоматическое расследование и ликвидация последствий

•Расследование – экономия времени и денег•Учет сетевой активности•Взаимодействие с антивирусом •Восстановление и ликвидация последствий



Реакция


Ответ на инцидент предполагает понимание угрозы

Вопросы при расследовании:1.Атака реальна?2.Какие способы проникновения?3.Какие данные были похищены?4.Как ликвидировать последствия?

Анализ сетевой активности

SandBlast Agent Forensics

Обнаружение бота

Блокировка управляющего канала

Зараженная станция

Командный центр

Изучение атаки

Перехват коммуникации

Процесс связывается с

командным центром

Происхождение атаки

Уязвимость в Chrome

От инцидента к расследованию

Автоматический анализ от начала атаки

Код для проникновенияФайл запущен в Chrome

Атака отслеживается

при перезагузкахПохищенные данные

Вирус обращался к документу

Запуск вирусаВирус запустится

после загрузки

Скачивание вируса

Вирус скачан и установлен

Активация вирусаЗапланирована задача

после загрузки

Что обычно делают после взлома?

Традиционное расследование

Надежда на карантин антивируса

Восстановление из образа

• Работает только для известных угроз • Антивирус пропустит всё, что было до

обнаружения вируса • Данные могут быть похищены до обнаружения

• Не возвращает похищенные данные• Затратная и разрушительная процедура• На защитит от повторной атаки

• Расследование требует времени• Расследование требует редкой квалификации• Слишком дорого для каждого инцидента

Обычный подход после инцидента:

Подозрительная активность

Детали

Степень опасности

Вопрос 1: Это реальная атака?

Понимание инцидента Мгновенный ответНа важные вопросы

Понимание инцидентаВыводы

Детали

Вопрос 2: Какие способы проникновения?

Утерянные файлы

Вопрос 3: Каков ущерб? Что похищено?

Понимание инцидента

От понимания к действиям

Генерация скрипта для восстановления

Вопрос 4: Как ликвидировать последствия? Как восстановиться?

Взгляд на этапы атакиИнтерактивный отчет

•Вся атаки на одном экране•Отслеживание всех элементов•Обзор всех перезагрузок •Детали по каждому элементу



СдерживаниеинфекцииЗащита

от нацеленных атак Реакция

Единственное решение с автоматическим анализом инцидентов и скриптом для

восстановления

SANDBLAST SANDBLAST АгентАгентДругие продукты собирают

данные для анализаSandBlast Агент анализируетанализирует

Демонстрация и пилотирование Отчет Security Checkup – проверка трафика в сети заказчика, бесплатно и конфиденциально. •Выявляение опасных приложений, •доступ к опасным сайтам, •коммуникации бот-сетей, •вирусные атаки,•утечка данных, •IPS атаки, •объяснение выявленных угроз, •рекомендации по устранению

Обратить к партнеру для заказа услуги

CHECK POINTМы защищаем будущее

Сергей Чекрыгин[email protected]

Check Piont. Чекрыгин Сергей. "На один шаг впереди"

Software

Transcript of Check Piont. Чекрыгин Сергей. "На один шаг впереди"