Check Piont. Чекрыгин Сергей. "На один шаг впереди"
Transcript of Check Piont. Чекрыгин Сергей. "На один шаг впереди"
г. Краснодар31 МАРТА 2016#CODEIB
Сергей Чекрыгин
Check Point
На один шаг ВПЕРЕДИ
EMAIL [email protected]
Традиционный подходАнтивирус
Фильтрация по URL
IPS, СОВ
Анти-ботКонтроль приложений
Атаки
Бот-сетиОпасные приложения
Вредоносный сайтВирус
Больше безопасности в одном устройстве
Межсетевой экран & VPNСистема предотвращения вторженийКонтроль приложений
Интеграция с ADФильтрация по URL
Антивирус АнтиботСетевой DLP
Модели
4000
Малые офисы До 3 Гб/c МЭ, от $600
Корпоративные шлюзыДо 6 Гб/c IPS
Центры обработки данныхДо 110 Гб/C МЭВысокая доступность и легкое обслуживание
1500023000
4100061000
1100
Платформа для телекомМастшабируемостьБалансировка нагрузки
2200
стало известным?
Что делать,чтобы неизвестное
ИнтеллектуальноеВзаимодействие
Исследование кода
CHECK POINTМы защищаембудущее
Мы не сможем решить проблему,думая также, как когда мы создали еёАльберт Эйнштейн
Неизвестные угрозыне могут быть пойманытрадиционными технологиями ИБ
Песочница
Способ работы с тем, что мы не знаем:
Как работает Песочница
• Системный реестр
• Сетевые соединения
• Файловая активность
• Процессы
Например:•Другая версия ОС или SP•Тестирование на виртуальную машину•Задержка в атаке
Вирус может скрыться от Песочницы
Как работает Любой вирус
Способ проникновения вирусаУязвимость
Уязвимость Проникновение
Код пользуется уязвимостью для изменения поведения системы
Способ проникновения вируса
Уязвимость Проникновение Shellcode
Вредоносный код загружаетсяи получает права доступа
Способ проникновения вируса
Shellcode Вирус
Код начинаетвредоносныедействия
Способ проникновения вирусаУязвимость Проникновение
Shellcode
Уровень команд
процессора
Уровень ОС
Способ проникновения вируса
ВирусУязвимость Проникновение
Проверка на место возврата
A B C D E F213
456 Проверка возвратауправления в кодна место вызова в командах процессорадля поиска подозрительного кода
Песочница с защитой от угроз на уровне процессора•Обнаруживает атаки до заражения•Увеличивает шансы поймать вирус•Не зависит от ОС•Устойчива к техникам обхода песочниц
Можно ли избежать всех неизвестных угроз?
Технология THREAT EXTRACTIONПересоздание документа для исключения активного содержимого
Threat Extraction
[Restricted] ONLY for designated groups and individuals
Представляем
AGENTSandBlast
CHECK POINT
Предотвращение угроз на ПКНезащищенные векторы атаки
Работа вне офиса
M2M внутри периметра
Внешние носители
SANDBLAST Агент
Защита от нацеленных атак
Сдерживаниеинфекции
Реакция
[Restricted] ONLY for designated groups and individuals
Threat Extraction & песочница для ПК
•Доставляет безопасные файлы•Проверяет исходные файлы •Защищает скачивания из интернета и копирования с внешних носителей
SANDBLAST
Расширение для браузера
При скачивании из интернета
Мониторинг файловой системы
для копируемых файлов
Как работает защита от направленных атак
Мгновенная защита при загрузке из сетиДоставка безопасного файла
Конвертация PDF для защиты или безопасная версия исходного файла
Самостоятельно, без помощи службы поддержки
Доступ к исходному файлупосле проверки документа
SANDBLAST Агент
Анти-ботдля рабочих станций и карантин
•Обнаруживает и блокирует общение с командным центром•Указывает на зараженный файл•Изолирует зараженную рабочую станцию
Защита от нацеленных атак
Сдерживаниеинфекции
Реакция
Блокируем зараженную Блокируем зараженную станциюстанцию
Предотвращаем потериПредотвращаем потери• Блокируем управляющий каналБлокируем управляющий канал• Предотвращаем утечку данныхПредотвращаем утечку данных
Sandblast Агент: Анти-ботДля рабочих станций
Определем Определем зараженные станции зараженные станции • Внутри и вне периметра Внутри и вне периметра • Изолируем работу Изолируем работу
внутри периметравнутри периметра
Определяет управляющий канал Определяет управляющий канал – знаем зараженную станцию – знаем зараженную станцию
Блокирует управляющий канал Блокирует управляющий канал – – изолируем вирусизолируем вирус
Управление остановленоУправляющий канал
Анти-бот
SANDBLAST Агент
[Restricted] ONLY for designated groups and individuals
Автоматическое расследование и ликвидация последствий
•Расследование – экономия времени и денег•Учет сетевой активности•Взаимодействие с антивирусом •Восстановление и ликвидация последствий
Защита от нацеленных атак
Сдерживаниеинфекции
Реакция
[Restricted] ONLY for designated groups and individuals
Ответ на инцидент предполагает понимание угрозы
Вопросы при расследовании:1.Атака реальна?2.Какие способы проникновения?3.Какие данные были похищены?4.Как ликвидировать последствия?
Анализ сетевой активности
SandBlast Agent Forensics
Обнаружение бота
Блокировка управляющего канала
Зараженная станция
Командный центр
Изучение атаки
Перехват коммуникации
Процесс связывается с
командным центром
Происхождение атаки
Уязвимость в Chrome
От инцидента к расследованию
Автоматический анализ от начала атаки
Код для проникновенияФайл запущен в Chrome
Атака отслеживается
при перезагузкахПохищенные данные
Вирус обращался к документу
Запуск вирусаВирус запустится
после загрузки
Скачивание вируса
Вирус скачан и установлен
Активация вирусаЗапланирована задача
после загрузки
Что обычно делают после взлома?
Традиционное расследование
Надежда на карантин антивируса
Восстановление из образа
• Работает только для известных угроз • Антивирус пропустит всё, что было до
обнаружения вируса • Данные могут быть похищены до обнаружения
• Не возвращает похищенные данные• Затратная и разрушительная процедура• На защитит от повторной атаки
• Расследование требует времени• Расследование требует редкой квалификации• Слишком дорого для каждого инцидента
Обычный подход после инцидента:
Подозрительная активность
Детали
Степень опасности
Вопрос 1: Это реальная атака?
Понимание инцидента Мгновенный ответНа важные вопросы
Понимание инцидентаВыводы
Детали
Вопрос 2: Какие способы проникновения?
Утерянные файлы
Вопрос 3: Каков ущерб? Что похищено?
Понимание инцидента
От понимания к действиям
Генерация скрипта для восстановления
Вопрос 4: Как ликвидировать последствия? Как восстановиться?
Взгляд на этапы атакиИнтерактивный отчет
•Вся атаки на одном экране•Отслеживание всех элементов•Обзор всех перезагрузок •Детали по каждому элементу
SANDBLAST Агент
[Restricted] ONLY for designated groups and individuals
СдерживаниеинфекцииЗащита
от нацеленных атак Реакция
Единственное решение с автоматическим анализом инцидентов и скриптом для
восстановления
SANDBLAST SANDBLAST АгентАгентДругие продукты собирают
данные для анализаSandBlast Агент анализируетанализирует
Демонстрация и пилотирование Отчет Security Checkup – проверка трафика в сети заказчика, бесплатно и конфиденциально. •Выявляение опасных приложений, •доступ к опасным сайтам, •коммуникации бот-сетей, •вирусные атаки,•утечка данных, •IPS атаки, •объяснение выявленных угроз, •рекомендации по устранению
Обратить к партнеру для заказа услуги
CHECK POINTМы защищаем будущее
Сергей Чекрыгин[email protected]