Какие вопросы чаще всего задают вендору при выборе...
-
Upload
denis-batrankov-cissp -
Category
Technology
-
view
215 -
download
2
Transcript of Какие вопросы чаще всего задают вендору при выборе...
![Page 1: Какие вопросы чаще всего задают вендору при выборе решения по информационной безопасности](https://reader035.fdocument.pub/reader035/viewer/2022062400/58ac3fad1a28ab99028b46dd/html5/thumbnails/1.jpg)
Какие вопросы чаще всего задают вендору при выборе решения по информационной безопасности
Уральский форум по информационной безопасности финансовых организаций
Денис Батранков [email protected] @batrankov
![Page 2: Какие вопросы чаще всего задают вендору при выборе решения по информационной безопасности](https://reader035.fdocument.pub/reader035/viewer/2022062400/58ac3fad1a28ab99028b46dd/html5/thumbnails/2.jpg)
АТАКА ANUNAKУспешно получен доступ внутрь корпоративных сетей более чем 50 банков
Как атаковали:• Инфицирование через drive-by-download: Andromeda и Pony • Трояны через Neutrino Exploit Kit• Поддельные письма с вредоносными вложениями от имени ЦБ РФ• Использование существующих ботнетов для проникновения в банк• Снятие денег из банкоматов и через Интернет-кошельки
Подтверждено, что было под удаленным управлением 52 банкомата
Украдено более 1 млрд. рублей с 2013 по 2014 год из банков в России
http://securityaffairs.co/wordpress/31405/cyber-crime/apt-anunak-steals-millions-from-banks.html http://www.group-ib.com/files/Anunak_APT_against_financial_institutions.pdf
![Page 3: Какие вопросы чаще всего задают вендору при выборе решения по информационной безопасности](https://reader035.fdocument.pub/reader035/viewer/2022062400/58ac3fad1a28ab99028b46dd/html5/thumbnails/3.jpg)
Везде была защита, но не помогла: Классический «портовый» межсетевой экран
Системы предотвращения атак (IPS)
Технологии на базе HTTP прокси серверов
Классический антивирус на ПК (лучший из top10)
![Page 4: Какие вопросы чаще всего задают вендору при выборе решения по информационной безопасности](https://reader035.fdocument.pub/reader035/viewer/2022062400/58ac3fad1a28ab99028b46dd/html5/thumbnails/4.jpg)
Почему?
![Page 5: Какие вопросы чаще всего задают вендору при выборе решения по информационной безопасности](https://reader035.fdocument.pub/reader035/viewer/2022062400/58ac3fad1a28ab99028b46dd/html5/thumbnails/5.jpg)
На конференции мы обсуждали это:
![Page 6: Какие вопросы чаще всего задают вендору при выборе решения по информационной безопасности](https://reader035.fdocument.pub/reader035/viewer/2022062400/58ac3fad1a28ab99028b46dd/html5/thumbnails/6.jpg)
Предлагаю механизм. Межсетевой экран может подгрузить список IP, URL, доменных имен с сервера ФинЦЕРТ из текстового файла и сразу заблокировать доступ
Скачивает этот список автоматически
www.paloaltonetworks.com/documentation/71/pan-os/pan-os/policy/external-dynamic-list.html
![Page 7: Какие вопросы чаще всего задают вендору при выборе решения по информационной безопасности](https://reader035.fdocument.pub/reader035/viewer/2022062400/58ac3fad1a28ab99028b46dd/html5/thumbnails/7.jpg)
Threat Intelligence:
Как решение блокирует обратный канал от зараженных пользователей и серверов к внешнему серверу управления злоумышленника (command & control)?
![Page 8: Какие вопросы чаще всего задают вендору при выборе решения по информационной безопасности](https://reader035.fdocument.pub/reader035/viewer/2022062400/58ac3fad1a28ab99028b46dd/html5/thumbnails/8.jpg)
DNS Sinkholing:
Как выполняется блокирование DNS запросов к С&C серверами?
Что вендор говорит про fast-flux?
![Page 9: Какие вопросы чаще всего задают вендору при выборе решения по информационной безопасности](https://reader035.fdocument.pub/reader035/viewer/2022062400/58ac3fad1a28ab99028b46dd/html5/thumbnails/9.jpg)
1. Распространение вредоносного ПО или нелегитимного трафика через открытые порты нестандартное использование
стандартных портов создание новых
специализированных протоколов для атаки
Техники уклонения от IPS/IDS и Firewall
![Page 10: Какие вопросы чаще всего задают вендору при выборе решения по информационной безопасности](https://reader035.fdocument.pub/reader035/viewer/2022062400/58ac3fad1a28ab99028b46dd/html5/thumbnails/10.jpg)
2.Использование стандартных протоколов на нестандартных портах – уклонение от сигнатурного сканирования
HTTP
Port 80
Техники уклонения от IPS/IDS и Firewall
![Page 11: Какие вопросы чаще всего задают вендору при выборе решения по информационной безопасности](https://reader035.fdocument.pub/reader035/viewer/2022062400/58ac3fad1a28ab99028b46dd/html5/thumbnails/11.jpg)
Даже стандартные приложения являются источником рисковПриложения могут быть
“несанкционированными”• P2P, туннельные
приложения, анонимайзеры, мультимедиа, TOR, Bitcoin
Угрозы есть внутри приложений• Угрозы переместились на
уровень приложений – система защиты еще на уровне сети
![Page 12: Какие вопросы чаще всего задают вендору при выборе решения по информационной безопасности](https://reader035.fdocument.pub/reader035/viewer/2022062400/58ac3fad1a28ab99028b46dd/html5/thumbnails/12.jpg)
Через периметр компании проходит 200-300 разных приложений
![Page 13: Какие вопросы чаще всего задают вендору при выборе решения по информационной безопасности](https://reader035.fdocument.pub/reader035/viewer/2022062400/58ac3fad1a28ab99028b46dd/html5/thumbnails/13.jpg)
ПакетSource
AddressTCP Port 80Данные приложения
DestinationAddress
SourceAddressTCP Port 80 Destination
AddressПакет
Как отличает приложения ваш межсетевой экран?
Критерий: Порт – традиционно обозначал приложение (HTTP = порт 80). А что будет, если приложение использует нестандартный порт?
Нужно добавить новый критерий проверки: данные приложенияПриложение использует специфические передаваемые данные и по ним его можно определить вне зависимости от портаflash = данные для анимации внутри браузера от Adobe
Данные приложения
![Page 14: Какие вопросы чаще всего задают вендору при выборе решения по информационной безопасности](https://reader035.fdocument.pub/reader035/viewer/2022062400/58ac3fad1a28ab99028b46dd/html5/thumbnails/14.jpg)
Анализируя данные, мы начинаем идентифицировать приложения вне зависимости от порта.
Например: другого способа определить в трафике Skype, TeamViewer, TOR, Bittorent не существует.
![Page 15: Какие вопросы чаще всего задают вендору при выборе решения по информационной безопасности](https://reader035.fdocument.pub/reader035/viewer/2022062400/58ac3fad1a28ab99028b46dd/html5/thumbnails/15.jpg)
Может ли система защиты определять динамические приложения?
Например: Skype, TeamViewer, TOR, Bittorent.
![Page 16: Какие вопросы чаще всего задают вендору при выборе решения по информационной безопасности](https://reader035.fdocument.pub/reader035/viewer/2022062400/58ac3fad1a28ab99028b46dd/html5/thumbnails/16.jpg)
Может ли система защиты - и видеть приложения- и блокировать приложения?
Пример: если skype блокировать один способ подключения, то он находит другие методы, обходя текущие блокировки
![Page 17: Какие вопросы чаще всего задают вендору при выборе решения по информационной безопасности](https://reader035.fdocument.pub/reader035/viewer/2022062400/58ac3fad1a28ab99028b46dd/html5/thumbnails/17.jpg)
Может ли система защиты определять приложения по их нестандартным портам?
Например: POP3 по порту 10000
![Page 18: Какие вопросы чаще всего задают вендору при выборе решения по информационной безопасности](https://reader035.fdocument.pub/reader035/viewer/2022062400/58ac3fad1a28ab99028b46dd/html5/thumbnails/18.jpg)
Адаптируется ли аналитика средства защиты, если приложение использует нестандартный порт?
Например: FTP по 80 порту
![Page 19: Какие вопросы чаще всего задают вендору при выборе решения по информационной безопасности](https://reader035.fdocument.pub/reader035/viewer/2022062400/58ac3fad1a28ab99028b46dd/html5/thumbnails/19.jpg)
Квалификаторы Firewall и UTM
rule1
• Если совпал source, destination, port
• Действие
rule2
• Если совпал source, destination, port
• Действие
rule3
• Если совпал source, destination, port
• Действие
По каким критериям мы принимаем решение о потоке трафика?
![Page 20: Какие вопросы чаще всего задают вендору при выборе решения по информационной безопасности](https://reader035.fdocument.pub/reader035/viewer/2022062400/58ac3fad1a28ab99028b46dd/html5/thumbnails/20.jpg)
rule1
• Если совпал source, destination, port, приложение, URL, пользователь
• Действие
rule2
• Если совпал source, destination, port, приложение, URL, пользователь
• Действие
rule3
• Если совпал source, destination, port, приложение, URL, пользователь
• Действие
Есть разница?
Квалификаторы NGFW Palo Alto NetworksПо каким критериям мы принимаем решение о потоке трафика?
![Page 21: Какие вопросы чаще всего задают вендору при выборе решения по информационной безопасности](https://reader035.fdocument.pub/reader035/viewer/2022062400/58ac3fad1a28ab99028b46dd/html5/thumbnails/21.jpg)
Является ли приложение квалификатором в вашем
межсетевом экране?
![Page 22: Какие вопросы чаще всего задают вендору при выборе решения по информационной безопасности](https://reader035.fdocument.pub/reader035/viewer/2022062400/58ac3fad1a28ab99028b46dd/html5/thumbnails/22.jpg)
User-ID: Как вы распознаете пользователя на входе в сеть?
Пользователь = SOURCE IP + SOURCE PORT в каждый момент времени
1) Соответствие пользователь-IP-порт получаем из :• активная аутентификация (Captive Portal, локальный агент)• пассивная идентификация• активная идентификация2) user-group-mapping
Чем больше источников информации,тем лучше:MS AD, сетевые ресурсы,VDI, Wi-Fi, NAC,SSL VPN, BYOD, …
![Page 23: Какие вопросы чаще всего задают вендору при выборе решения по информационной безопасности](https://reader035.fdocument.pub/reader035/viewer/2022062400/58ac3fad1a28ab99028b46dd/html5/thumbnails/23.jpg)
User-ID в распределенной сети очень полезнаСовмещение активной и пассивной аутентификации/идентификации, агентской и безагентской схемы, репликация данных User-ID между NGFW
• Captive Portal
• Event log monitoring
• WMI Probing
•Server session monitoring
•User-ID Replication
![Page 24: Какие вопросы чаще всего задают вендору при выборе решения по информационной безопасности](https://reader035.fdocument.pub/reader035/viewer/2022062400/58ac3fad1a28ab99028b46dd/html5/thumbnails/24.jpg)
Из каких источников средство защиты берет соответствие конкретного пользователя и его текущего IP?
Например: из журналов Active Directory
![Page 25: Какие вопросы чаще всего задают вендору при выборе решения по информационной безопасности](https://reader035.fdocument.pub/reader035/viewer/2022062400/58ac3fad1a28ab99028b46dd/html5/thumbnails/25.jpg)
Сегментация сети
Почему не смотреть свой же трафик внутри?
Разделите сеть на зоны и контролируйте приложения и угрозы внутри и заражения станций
Пример: В атаке ANUNAK взломав компьютер сотрудника банка, следующим этапом проникали в банкоматы по RDP, потому что не было внутренней сегментации
![Page 26: Какие вопросы чаще всего задают вендору при выборе решения по информационной безопасности](https://reader035.fdocument.pub/reader035/viewer/2022062400/58ac3fad1a28ab99028b46dd/html5/thumbnails/26.jpg)
Хватит ли производительности устройства защиты на внутренний трафик между сегментами?
Например: вы хотите проверять приложения, вирусы и атаки на суммарной скорости 10Гбит/с
![Page 27: Какие вопросы чаще всего задают вендору при выборе решения по информационной безопасности](https://reader035.fdocument.pub/reader035/viewer/2022062400/58ac3fad1a28ab99028b46dd/html5/thumbnails/27.jpg)
У вас 200-300 приложений в сети. Сколько из них вы защищаете сегодня?Чаще всего защита только HTTP и SMTP
HTTP – Port 80
HTTPS – Port 443
???
???
??????
???
???
Фокус на HTTP/SMTP оставляет злоумышленнику доступным большой арсенал атак по другим приложениям. Проверяете ли вы FTP, IMAP, POP3?
![Page 28: Какие вопросы чаще всего задают вендору при выборе решения по информационной безопасности](https://reader035.fdocument.pub/reader035/viewer/2022062400/58ac3fad1a28ab99028b46dd/html5/thumbnails/28.jpg)
Проверка файлов на NGFW
Межсетевые экраны нового поколения видят файлы (которые приложения передают), дают возможность блокировать передачу файлов по различным критериям, например:
- Запретить передачу данного типа файлов- Запретить передачу файла, потому что там содержится вирус
Например: запретить передачу зашифрованного архива RAR в GMAIL
![Page 29: Какие вопросы чаще всего задают вендору при выборе решения по информационной безопасности](https://reader035.fdocument.pub/reader035/viewer/2022062400/58ac3fad1a28ab99028b46dd/html5/thumbnails/29.jpg)
В каких именно приложениях ваше средство защиты видит файлы?
HTTP (S)
SMTP (S)
POP3 (S)
IMAP (S)
FTP (S)
SMB
Например:
![Page 30: Какие вопросы чаще всего задают вендору при выборе решения по информационной безопасности](https://reader035.fdocument.pub/reader035/viewer/2022062400/58ac3fad1a28ab99028b46dd/html5/thumbnails/30.jpg)
В каких именно приложениях работает сигнатурный антивирус?
HTTP (S)
SMTP (S)
POP3 (S)
IMAP (S)
FTP (S)
SMB
Например:
![Page 31: Какие вопросы чаще всего задают вендору при выборе решения по информационной безопасности](https://reader035.fdocument.pub/reader035/viewer/2022062400/58ac3fad1a28ab99028b46dd/html5/thumbnails/31.jpg)
Как устройство защиты определяет тип файла: по имени или по внутреннему формату?
Например: Злоумышленник может переименовать exe файл в расширение txt и передатьЗлоумышленник может переименовать doc файл в jpg и передать
![Page 32: Какие вопросы чаще всего задают вендору при выборе решения по информационной безопасности](https://reader035.fdocument.pub/reader035/viewer/2022062400/58ac3fad1a28ab99028b46dd/html5/thumbnails/32.jpg)
Пример Контроль файлов для разных веб-приложений
Разрешить веб-почту только по HTTPS (но не по HTTP) Разрешить отдельные онлайн файловые сервисы для VIP Запретить получение/скачивание исполняемых файлов (высокий уровень риска) Запретить отправку архивов с паролем, которые не могут быть проверены на
внешнем DLP Разрешить отправку документов только для веб-почты, но не для файловых
сервисов
![Page 33: Какие вопросы чаще всего задают вендору при выборе решения по информационной безопасности](https://reader035.fdocument.pub/reader035/viewer/2022062400/58ac3fad1a28ab99028b46dd/html5/thumbnails/33.jpg)
Может ли ваш межсетевой экран пройти NGFW тест на сайте http://pdftest.ngfw-test.com/ ?
Включить блокировку pdf файлов только в приложении Application1. Показать в журнале межсетевого экрана соответствующую запись где есть следующие поля: имя приложения, имя файла (должно быть PowerShell_ISE_v4.pdf) и примененное действие (должно быть заблокировано)
Включить блокировку вирусов только от приложения Application1. Показать в журнале межсетевого экрана соответствующую запись где есть следующие поля: имя приложения, имя вируса (должно быть Eicar) и действие (должно быть заблокировано)
![Page 34: Какие вопросы чаще всего задают вендору при выборе решения по информационной безопасности](https://reader035.fdocument.pub/reader035/viewer/2022062400/58ac3fad1a28ab99028b46dd/html5/thumbnails/34.jpg)
Good?Две стороны одного протокола SSL
SSL для защиты данных или чтобы скрыть вредоносную активность?
Bad?
TDL-4
Poison IVYRustock
APT1Ramnit
CitadelAurora
BlackPOS
![Page 35: Какие вопросы чаще всего задают вендору при выборе решения по информационной безопасности](https://reader035.fdocument.pub/reader035/viewer/2022062400/58ac3fad1a28ab99028b46dd/html5/thumbnails/35.jpg)
Исходящий SSL требует перехвата сессии
Установить SSL соединение
Session Key 1
Клиент думает, что проверяет сертификат от сервера, а на самом деле от NGFW
Сервер отправляет свой сертификат на NGFW
NGFW создает сертификат и отправляет пользователю
Session Key 2
Внутренний пользователь
Внешнийсервер
![Page 36: Какие вопросы чаще всего задают вендору при выборе решения по информационной безопасности](https://reader035.fdocument.pub/reader035/viewer/2022062400/58ac3fad1a28ab99028b46dd/html5/thumbnails/36.jpg)
Входящий SSL не требует перехвата
Сессия между сервером и пользователем остается неизменной, однако NGFW видит сессионный ключ и расшифровывает трафик
Создать SSL подключение
Клиент проверяет сертификат сервера
Сервер посылает свой сертификат
NGFW уже содержит сертификат сервера
Session Key
Внешнийпользователь
Внутреннийсервер
![Page 37: Какие вопросы чаще всего задают вендору при выборе решения по информационной безопасности](https://reader035.fdocument.pub/reader035/viewer/2022062400/58ac3fad1a28ab99028b46dd/html5/thumbnails/37.jpg)
Схема работы расшифрования SSL После расшифрования трафик будет проверен и он может быть также
отослан на внешний зеркальный порт (например во внешний DLP)
![Page 38: Какие вопросы чаще всего задают вендору при выборе решения по информационной безопасности](https://reader035.fdocument.pub/reader035/viewer/2022062400/58ac3fad1a28ab99028b46dd/html5/thumbnails/38.jpg)
Вы расшифровываете SSL?
![Page 39: Какие вопросы чаще всего задают вендору при выборе решения по информационной безопасности](https://reader035.fdocument.pub/reader035/viewer/2022062400/58ac3fad1a28ab99028b46dd/html5/thumbnails/39.jpg)
Насколько сильно падает производительность оборудования при включении расшифрования SSL?
![Page 40: Какие вопросы чаще всего задают вендору при выборе решения по информационной безопасности](https://reader035.fdocument.pub/reader035/viewer/2022062400/58ac3fad1a28ab99028b46dd/html5/thumbnails/40.jpg)
SSL и URL фильтрация
URL категории без расшифрования IP адрес сервера Common Name and SubjectAlternativeName in a Server
Certificate SNI (Server Name Indicator) in TLS Handshake Extension
URL фильтрация после расшифрования URL база с категориями (60+ Cayegories, millions of URLs) Собственные URL ссылки и категории
До 200K собственных URL ссылок в PA-7050
![Page 41: Какие вопросы чаще всего задают вендору при выборе решения по информационной безопасности](https://reader035.fdocument.pub/reader035/viewer/2022062400/58ac3fad1a28ab99028b46dd/html5/thumbnails/41.jpg)
Как работает URL фильтрация для HTTPS?
![Page 42: Какие вопросы чаще всего задают вендору при выборе решения по информационной безопасности](https://reader035.fdocument.pub/reader035/viewer/2022062400/58ac3fad1a28ab99028b46dd/html5/thumbnails/42.jpg)
Вы расшифровываете SSH?
![Page 43: Какие вопросы чаще всего задают вендору при выборе решения по информационной безопасности](https://reader035.fdocument.pub/reader035/viewer/2022062400/58ac3fad1a28ab99028b46dd/html5/thumbnails/43.jpg)
Интеграция в сетевую инфраструктуру?
Tap режим - SPAN порт свитча для аудита или обзора приложений в сети
Virtual Wire - для прозрачного контроля и сохранения текущей топологии
На 2 уровне OSI идеально для фильтрации между VLAN
На 3 уровне OSI меняем портовые МЭ и HTTP прокси на NGFW
Tap Layer 3
OSPF RIP BGP PBF PIM-SM/SMM IGMP IPv6 NAT VLAN LACP VPN QoS
Virtual Wire Layer 2
Виртуальные системы, кластер А/А, А/Р
![Page 44: Какие вопросы чаще всего задают вендору при выборе решения по информационной безопасности](https://reader035.fdocument.pub/reader035/viewer/2022062400/58ac3fad1a28ab99028b46dd/html5/thumbnails/44.jpg)
Какие системы виртуализации защищает решение?
Например: VmWare, Hyper-V, KVM, Citrix
![Page 45: Какие вопросы чаще всего задают вендору при выборе решения по информационной безопасности](https://reader035.fdocument.pub/reader035/viewer/2022062400/58ac3fad1a28ab99028b46dd/html5/thumbnails/45.jpg)
Построение защиты от современных угроз и
целенаправленных атак (APT)
![Page 46: Какие вопросы чаще всего задают вендору при выборе решения по информационной безопасности](https://reader035.fdocument.pub/reader035/viewer/2022062400/58ac3fad1a28ab99028b46dd/html5/thumbnails/46.jpg)
Anunak – письмо с вредоносным вложением
![Page 47: Какие вопросы чаще всего задают вендору при выборе решения по информационной безопасности](https://reader035.fdocument.pub/reader035/viewer/2022062400/58ac3fad1a28ab99028b46dd/html5/thumbnails/47.jpg)
Технологии Palo Alto Networks, применяемые для защиты от современных угроз
App-ID
URL
IPS Threat License
Spyware
AV
Files
Sandboxing &Adv.Endpoint Protection
Block high-risk apps
Block known malware sites
Block the exploit
Prevent drive-by-downloads
Detect / prevent unknown malware
Block malware
Block spyware, C&C traffic
Block C&C on non-standard portsBlock malware, fast-flux domains
Correlate and block C&C: malware URL, DNS sinkholing
Координи-рованное блокирование активных атак по сигнатурам, источникам, поведению
Приманка ЭксплоитЗагрузка ПО для «черного хода»
Установление обратного канала
Разведка и кража данных
Anti-Exploitation – prevent 0-day
Check e-mail links
![Page 48: Какие вопросы чаще всего задают вендору при выборе решения по информационной безопасности](https://reader035.fdocument.pub/reader035/viewer/2022062400/58ac3fad1a28ab99028b46dd/html5/thumbnails/48.jpg)
Анализируем поведение: помещаем файл в песочницу Wildfire – защита от неизвестных угроз на уровне сети
Корпоративная сеть
Internet
Palo Alto Networkssecurity platform
center
Локальная песочница (WF-500)
Фай
лы
Сигнатуры
Публичная песочница – облачный сервис
СигнатурыФ
айлы
WildFireTM
Исполняемые файлы (*.exe,*.dll, *.bat, *.sys, и т.д.) , flash, JAR, Android APK, ссылки в почте
Офисные документы, PDF
Анализируем протоколы SMB, FTP, HTTP, SMTP, POP3, IMAP Анализируем файлы exe, dll, bat, sys, flash, jar, apk, doc, pdf и т.д.
![Page 49: Какие вопросы чаще всего задают вендору при выборе решения по информационной безопасности](https://reader035.fdocument.pub/reader035/viewer/2022062400/58ac3fad1a28ab99028b46dd/html5/thumbnails/49.jpg)
Песочница для WEB
Песочница для emailПесочница для файл-сервера
Центр управления
Ручной анализ
Много песочниц: на каждое приложение: HTTP, SMTP, POP3, IMAP, FTP, SMBПри масштабировании нужны снова все эти песочницы
WildFireTM
WildFire облако или устройство WF-500
Один межсетевой экран + одна песочница Wildfire. При масштабировании новая песочница не нужна
Легкая интеграция Легко расширяется Эффективное
расходование средств Перехват файлов на
NGFW и отправка в WildFire
Отправка файлов в WildFire через XML API
Сложно управлять Сложно масштабировать Дорого Множество устройств для
перехвата файлов из разных приложений
Разные архитектуры песочниц
![Page 50: Какие вопросы чаще всего задают вендору при выборе решения по информационной безопасности](https://reader035.fdocument.pub/reader035/viewer/2022062400/58ac3fad1a28ab99028b46dd/html5/thumbnails/50.jpg)
Сколько файлов может обработать песочница в день?
![Page 51: Какие вопросы чаще всего задают вендору при выборе решения по информационной безопасности](https://reader035.fdocument.pub/reader035/viewer/2022062400/58ac3fad1a28ab99028b46dd/html5/thumbnails/51.jpg)
Скорость создания сигнатуры в песочнице?
![Page 52: Какие вопросы чаще всего задают вендору при выборе решения по информационной безопасности](https://reader035.fdocument.pub/reader035/viewer/2022062400/58ac3fad1a28ab99028b46dd/html5/thumbnails/52.jpg)
Есть сигнатура в песочнице – чем блокировать теперь трафик с вредоносным кодом?
![Page 53: Какие вопросы чаще всего задают вендору при выборе решения по информационной безопасности](https://reader035.fdocument.pub/reader035/viewer/2022062400/58ac3fad1a28ab99028b46dd/html5/thumbnails/53.jpg)
Будет ли перехватывать файлы песочница по нестандартному порту?
Как работает с нестандартными портами потоковый антивирус?
Как работает с нестандартными портами сетевой IPS?
![Page 54: Какие вопросы чаще всего задают вендору при выборе решения по информационной безопасности](https://reader035.fdocument.pub/reader035/viewer/2022062400/58ac3fad1a28ab99028b46dd/html5/thumbnails/54.jpg)
Какие типы файлов можно запускать в песочнице?
Пример:exe, dll, bat, sys, flash, jar, apk, doc, xls, pdf, Mach-O, DMG, PKG
![Page 55: Какие вопросы чаще всего задают вендору при выборе решения по информационной безопасности](https://reader035.fdocument.pub/reader035/viewer/2022062400/58ac3fad1a28ab99028b46dd/html5/thumbnails/55.jpg)
В каких приложениях работает песочница?
HTTP (S)
SMTP (S)
POP3 (S)
IMAP (S)
FTP (S)
SMB
Например:
![Page 56: Какие вопросы чаще всего задают вендору при выборе решения по информационной безопасности](https://reader035.fdocument.pub/reader035/viewer/2022062400/58ac3fad1a28ab99028b46dd/html5/thumbnails/56.jpg)
Проверяет ли песочница URL ссылки в почтовых сообщениях песочница?
![Page 57: Какие вопросы чаще всего задают вендору при выборе решения по информационной безопасности](https://reader035.fdocument.pub/reader035/viewer/2022062400/58ac3fad1a28ab99028b46dd/html5/thumbnails/57.jpg)
Как «песочница» предотвращает отложенное исполнение вредоносных файлов с целью избежать обнаружения?
![Page 58: Какие вопросы чаще всего задают вендору при выборе решения по информационной безопасности](https://reader035.fdocument.pub/reader035/viewer/2022062400/58ac3fad1a28ab99028b46dd/html5/thumbnails/58.jpg)
Что предлагает производитель делать с файлом, в то время пока файл анализируется и еще нет вердикта?
Пример: сотрудник скачал файл по FTP на свой компьютер. Сигнатурный антивирус говорит, что файл чистый. Песочница еще не вернула результат анализа. Что делать?
![Page 59: Какие вопросы чаще всего задают вендору при выборе решения по информационной безопасности](https://reader035.fdocument.pub/reader035/viewer/2022062400/58ac3fad1a28ab99028b46dd/html5/thumbnails/59.jpg)
Сколько будет стоить техническая поддержка на следующий год?
![Page 60: Какие вопросы чаще всего задают вендору при выборе решения по информационной безопасности](https://reader035.fdocument.pub/reader035/viewer/2022062400/58ac3fad1a28ab99028b46dd/html5/thumbnails/60.jpg)
Есть ли у вендора первый уровень техподдержки на русском языке?
Круглосуточно 24x7 или 8x5?
![Page 61: Какие вопросы чаще всего задают вендору при выборе решения по информационной безопасности](https://reader035.fdocument.pub/reader035/viewer/2022062400/58ac3fad1a28ab99028b46dd/html5/thumbnails/61.jpg)
Как происходит замена оборудования? Сколько по времени это занимает?
![Page 62: Какие вопросы чаще всего задают вендору при выборе решения по информационной безопасности](https://reader035.fdocument.pub/reader035/viewer/2022062400/58ac3fad1a28ab99028b46dd/html5/thumbnails/62.jpg)
Средний срок жизни системы?
![Page 63: Какие вопросы чаще всего задают вендору при выборе решения по информационной безопасности](https://reader035.fdocument.pub/reader035/viewer/2022062400/58ac3fad1a28ab99028b46dd/html5/thumbnails/63.jpg)
Туннелирование в DNS запросах?
tcp-over-dns – мы видим почти в каждой сети этот туннель
Например: Номера кредитных карточек из компании Sony после взлома Sony Playstation Network
отправляли внутри DNS запросов
![Page 64: Какие вопросы чаще всего задают вендору при выборе решения по информационной безопасности](https://reader035.fdocument.pub/reader035/viewer/2022062400/58ac3fad1a28ab99028b46dd/html5/thumbnails/64.jpg)
А видите ли вы туннелирование? Например, внутри трафика DNS:
Примеры
tcp-over-dns dns2tcp Iodine Heyoka OzymanDNS NSTX
Использование рекурсивных запросов для передачи инкапсулированных сообщений по TCP в запросах удаленному DNS серверу и ответах клиенту
![Page 65: Какие вопросы чаще всего задают вендору при выборе решения по информационной безопасности](https://reader035.fdocument.pub/reader035/viewer/2022062400/58ac3fad1a28ab99028b46dd/html5/thumbnails/65.jpg)
Какие туннели видит продукт? И как блокирует?
![Page 66: Какие вопросы чаще всего задают вендору при выборе решения по информационной безопасности](https://reader035.fdocument.pub/reader035/viewer/2022062400/58ac3fad1a28ab99028b46dd/html5/thumbnails/66.jpg)
Платформа Palo Alto NetworksМы работаем для вашей защиты
Обеспечиваем заданную производительность при всех включенных сервисах безопасностиEmail офиса в России: [email protected]