На один шаг ВПЕРЕДИ Сергей Чекрыгин Check Point

На один шаг ВПЕРЕДИ Сергей Чекрыгин Check Point г. Пермь 11 августа 2016

Традиционный подход Антивирус Вредоносный сайт Фильтрация по URL Атаки Бот-сети Опасные приложения IPS, СОВ Анти-бот Контроль приложений

Больше безопасности в одном устройстве Межсетевой экран & VPN Система предотвращения вторжений Контроль приложений Фильтрация по URL Интеграция с AD Антивирус Антибот Сетевой DLP

Модели 1100 2200 4000 15000 23000 41000 61000 Малые офисы § До 3 Гб/c МЭ, от $600 Корпоративные шлюзы § До 6 Гб/c IPS Центры обработки данных § До 110 Гб/C МЭ § Высокая доступность и легкое обслуживание Платформа для телеком § Мастшабируемость § Балансировка нагрузки

Что делать, чтобы неизвестное стало известным?

Интеллектуальное Взаимодействие Анализ событий Анализ безопасности CERTs Сообщество ИБ Исследование кода Сенсоры Intelli. Store

CHECK POINT Мы защищаем будущее

Неизвестные угрозы не могут быть пойманы традиционными технологиями ИБ

Способ работы с тем, что мы не знаем: Песочница

Как работает Песочница • • Системный реестр Сетевые соединения Файловая активность Процессы

Вирус может скрыться от Песочницы Например: • Другая версия ОС или SP • Тестирование на виртуальную машину • Задержка в атаке

Как работает Любой вирус

Способ проникновения вируса Уязвимость

Способ проникновения вируса Уязвимость Проникновение Код пользуется уязвимостью для изменения поведения системы

Способ проникновения вируса Уязвимость Проникновение Shellcode Вредоносный код загружается и получает права доступа

Способ проникновения вируса Уязвимость Проникновение Shellcode Вирус Код начинает вредоносные действия

Способ проникновения вируса Уязвимость Проникновение Shellcode Уровень команд процессора Вирус Уровень ОС

Проверка на место возврата 3 A 6 1 2 D BC 5 4 E F Проверка возврата управления в код на место вызова в командах процессора для поиска подозрительного кода

Песочница с защитой от угроз на уровне процессора • • Обнаруживает атаки до заражения Увеличивает шансы поймать вирус Не зависит от ОС Устойчива к техникам обхода песочниц

Другой подход Можно ли избежать всех неизвестных угроз?

Технология THREAT EXTRACTION Пересоздание документа для исключения активного содержимого

Threat Extraction

Представляем [Restricted] ONLY for designated groups and individuals

Предотвращение угроз на ПК Незащищенные векторы атаки Работа вне офиса Внешние носители M 2 M внутри периметра

SANDBLAST Агент Защита Сдерживание инфекции от нацеленных атак Threat Extraction & песочница для ПК • Доставляет безопасные файлы • Проверяет исходные файлы • Защищает скачивания из интернета и копирования с внешних носителей [Restricted] ONLY for designated groups and Реакция

Как работает защита от направленных атак Расширение для браузера При скачивании из интернета SANDBLAST Мониторинг файловой системы для копируемых файлов

Мгновенная защита при загрузке из сети Доставка безопасного файла Конвертация PDF для защиты или безопасная версия исходного файла

Доступ к исходному файлу после проверки документа Самостоятельно, без помощи службы поддержки

SANDBLAST Агент Защита от нацеленных Сдерживание инфекции атак Анти-бот для рабочих станций и карантин • Обнаруживает и блокирует общение с командным центром • Указывает на зараженный файл • Изолирует зараженную рабочую станцию Реакция

Sandblast Агент: Анти-бот Для рабочих станций Определяет управляющий канал – знаем зараженную станцию Блокирует управляющий канал – изолируем вирус Управляющий канал Управление остановлено Анти-бот Определяем зараженные станции • • Внутри и вне периметра Изолируем работу внутри периметра Блокируем зараженную станцию Предотвращаем потери • • Блокируем управляющий канал Предотвращаем утечку данных

SANDBLAST Агент Защита Сдерживание инфекции от нацеленных атак Реакция Автоматическое расследование и ликвидация последствий • • Расследование – экономия времени и денег Учет сетевой активности Взаимодействие с антивирусом Восстановление и ликвидация последствий [Restricted] ONLY for designated groups and

Вопросы при расследовании: 1. Атака реальна? 2. Какие способы проникновения? 3. Какие данные были похищены? 4. Как ликвидировать последствия? Ответ на инцидент предполагает понимание угрозы [Restricted] ONLY for designated groups and individuals

Анализ сетевой активности Обнаружение бота Блокировка управляющего канала Зараженная станция Командный центр Изучение атаки Sand. Blast Agent Forensics

Происхождение атаки Уязвимость в Chrome От инцидента к расследованию Автоматический анализ от начала атаки Перехват коммуникации Процесс связывается с командным центром Код для проникновения Файл запущен в Chrome Скачивание вируса Запуск вируса Вирус скачан и установлен Вирус запустится после загрузки Атака отслеживается Похищенные данные при перезагузках Вирус обращался к документу Активация вируса Запланирована задача после загрузки

Что обычно делают после взлома? Обычный подход после инцидента: Надежда на карантин антивируса • Работает только для известных угроз • Антивирус пропустит всё, что было до обнаружения вируса • Данные могут быть похищены до обнаружения Восстановление из образа • Не возвращает похищенные данные • Затратная и разрушительная процедура • На защитит от повторной атаки Традиционное расследование • Расследование требует времени • Расследование требует редкой квалификации • Слишком дорого для каждого инцидента

Понимание инцидента Мгновенный ответ На важные вопросы Степень опасности Подозрительная активность Детали Вопрос 1: Это реальная атака?

Понимание инцидента Выводы Детали Вопрос 2: Какие способы проникновения?

Понимание инцидента Утерянные файлы Вопрос 3: Каков ущерб? Что похищено?

От понимания к действиям Генерация скрипта для восстановления Вопрос 4: Как ликвидировать последствия? Как восстановиться?

Взгляд на этапы атаки • • Интерактивный отчет Вся атаки на одном экране Отслеживание всех элементов Обзор всех перезагрузок Детали по каждому элементу

SANDBLAST Агент Защита от нацеленных атак Сдерживание инфекции [Restricted] ONLY for designated groups and Реакция

SANDBLAST Агент Другие продукты собирают данные для анализа Sand. Blast Агент анализирует Единственное решение с автоматическим анализом инцидентов и скриптом для восстановления

Демонстрация и пилотирование Отчет Security Checkup – проверка трафика в сети заказчика, бесплатно и конфиденциально. • Выявляение опасных приложений, • доступ к опасным сайтам, • коммуникации бот-сетей, • вирусные атаки, • утечка данных, • IPS атаки, • объяснение выявленных угроз, • рекомендации по устранению Обратить к партнеру для заказа услуги

© 2015 Check Point Software Technologies Ltd. [Restricted] ONLY for designated groups and individuals