Check Point. Сергей Чекрыгин. "На один шаг впереди"
Transcript of Check Point. Сергей Чекрыгин. "На один шаг впереди"
©2015 Check Point Software Technologies Ltd. 1
Сергей Чекрыгин
На одиншаг ВПЕРЕДИ
©2015 Check Point Software Technologies Ltd. 2
Традиционный подходАнтивирус
Фильтрация по URL
IPS, СОВ
Анти-бот
Контроль приложений
Атаки
Бот-сети
Опасные приложения
Вредоносный сайт
Вирус
©2015 Check Point Software Technologies Ltd. 3
Больше безопасности в одном устройстве
Межсетевой экран & VPN
Система предотвращения вторженийКонтроль приложений
Интеграция с ADФильтрация по URL
Антивирус АнтиботСетевой DLP
©2015 Check Point Software Technologies Ltd. 4
Модели
4000
Малые офисы До 3 Гб/c МЭ От $600
Enterprise Grade 3 to 11 Gbps firewall throughput 2 to 6 Gbps IPS throughput
Ultra Data Center Protection 15 to 110 Gbps firewall throughput High availability and serviceability Optional acceleration with low
latency
15000
23000
41000
61000
1100
Carrier grade scalable platform Scalable Performance 60x10GbE ports, 8x40GbE ports True Load Balancing
2200
©2015 Check Point Software Technologies Ltd. 5
СталоИзвестным?
Что делать,Чтобы неизвестное
©2015 Check Point Software Technologies Ltd. 6
ИнтеллектуальноеВзаимодействие
Анализ безопасности
IntelliStoreСенсоры
CERTsCERTs
Анализ событий
Сообщество ИБ
Исследование кода
©2015 Check Point Software Technologies Ltd. 7
CHECK POINTWE SECURE THE FUTURE
©2015 Check Point Software Technologies Ltd. 8
Мы не сможем решить проблему,Думая также, как когда Мы создали еёАльберт Эйнштейн
©2015 Check Point Software Technologies Ltd. 9
Неизвестные угрозыНе могут быть пойманы
Традиционными тенологиями ИБ
©2015 Check Point Software Technologies Ltd. 10
Песочница
Способ работы с тем, что мы не знаем
©2015 Check Point Software Technologies Ltd. 11
Как работает Песочница
• Системный реестр• Сетевые
соединения• Файловая
активность• Процессы
©2015 Check Point Software Technologies Ltd. 12
Например:• Другая версия ОС или SP• Тестирование на виртуальную машину• Задержка в атаке
Вирус может скрыться от Песочницы
©2015 Check Point Software Technologies Ltd. 13
Как работает
Любой вирус
©2015 Check Point Software Technologies Ltd. 14
Способпроникновения вирусаУязвимость
В системе
©2015 Check Point Software Technologies Ltd. 15
Способ
проникновения
вирусаУязвимость Проникновение
Код пользуется уязвимостью для изменения поведения системы
©2015 Check Point Software Technologies Ltd. 16
Способ
проникновения
вирусаУязвимость Проникновение Shellcode
Зловредный код загружаетсяи изменяет работающее приложение
©2015 Check Point Software Technologies Ltd. 17
Способ
проникновения
вирусаУязвимость Проникновение Shellcode Вирус
Вирус начинаетслежку или Действия
©2015 Check Point Software Technologies Ltd. 18
Способ
проникновения
вирусаУязвимость Проникновение Shellcode Вирус
Уровень команд
процессора
Уровень ОС
©2015 Check Point Software Technologies Ltd. 19
Проверка на место возврата
AB C D
E F213
456 Проверка возврата
управления в кодна место вызова в командах процессорадля поиска подозрительного кода
©2015 Check Point Software Technologies Ltd. 20
Песочница с защитой от угроз на уровне процессора• Обнаруживает атаки до заражения• Увеличивает шансы поймать вирус• Не зависит от ОС• Устойчива к техникам обхода песочниц
©2015 Check Point Software Technologies Ltd. 21
Можно ли избежатьвсех неизвестных угроз?
Другой подход
©2015 Check Point Software Technologies Ltd. 22
THREAT EXTRACTIONНа шаг впереди
Пересоздание документа для исключения вирусов
©2015 Check Point Software Technologies Ltd. 23
©2015 Check Point Software Technologies Ltd. 24 [Restricted] ONLY for designated groups and individuals
Представля ем
AGENTSandBlast
CHECK POINT
©2015 Check Point Software Technologies Ltd. 25
Предотвращение угроз на рабочих станциях
[Restricted] ONLY for designated groups and individuals
Незащищенные векторы атаки
Работа вне офиса
M2M внутри периметра
Внешние носители
©2015 Check Point Software Technologies Ltd. 26
SANDBLAST АгентЗ а щ и т а о т н а ц е л е н н ы х а т а к н а Р а б о ч и х с т а н ц и я х
THREAT EXTRACTION & песочница
для рабочих станций
• Доставляет безопасные файлы
• Проверяет исходные файлы
• Защищает скачивания из интернета и копирования с внешних носителей
Защита
от нацеленных
атак
Определение и сдерживание
инфекции
Реакция и
восстановление
[Restricted] ONLY for designated groups and individuals
©2015 Check Point Software Technologies Ltd. 27
SANDBLAST
Расширение для браузера
При скачивании из интернета
Мониторинг файловой системы для
копируемых файлов
Как работает защита от направленных атак
[Restricted] ONLY for designated groups and individuals
©2015 Check Point Software Technologies Ltd. 28
Мгновенная защита при скачивании из интернетаДоставка безопасного файла
Конвертация PDF для защиты Или безопасная версия исходного файла
[Restricted] ONLY for designated groups and individuals
©2015 Check Point Software Technologies Ltd. 29
Самостоятельно, без помощи службы поддержки
Доступ к исходному файлупосле проверки документа
[Restricted] ONLY for designated groups and individuals
©2015 Check Point Software Technologies Ltd. 30
SANDBLAST АгентЗ а щ и т а о т н а ц е л е н н ы х а т а к н а Р а б о ч и х с т а н ц и я х
Определение и сдерживание
инфекции
Реакция и
восстановление
[Restricted] ONLY for designated groups and individuals
Защита
от нацеленных
атак Анти-бот
для рабочих станций и карантин
• Обнаруживает и блокирует общение с командным центром
• Указывает на зараженный файл
• Изолирует зараженную рабочую станцию
©2015 Check Point Software Technologies Ltd. 31
Блокируем зараженную станцию
Предотвращаем потери• Блокируем управляющий канал• Предотвращаем утечку данных
Sandblast Агент: Анти-ботДля рабочих станций
Определем зараженные станции • Внутри и вне периметра • Изолируем работу внутри
периметра
Определяет управляющий канал – знаем зараженную станцию
Блокирует управляющий канал – изолируем вирус
Управление остановленоУправляющий канал
Анти-бот
©2015 Check Point Software Technologies Ltd. 32
SANDBLAST АгентЗ а щ и т а о т н а ц е л е н н ы х а т а к н а Р а б о ч и х с т а н ц и я х
Реакция и
восстановление
[Restricted] ONLY for designated groups and individuals
Защита
от нацеленных
атак Определение и сдерживание
инфекцииАвтоматическое
расследование и ликвидация последствий
• Расследование – экономия времени и денег
• Учет сетевой активности• Взаимодействие с
антивирусом • Восстановление и
ликвидация последствий
©2015 Check Point Software Technologies Ltd. 33 [Restricted] ONLY for designated groups and individuals
Ответ на инцидент предполагает понимание угрозы
Вопросы при расследовании:1. Атака реальна?2. Какие способы проникновения?3. Какие данные были похищены?4. Как ликвидировать
последствия?
©2015 Check Point Software Technologies Ltd. 34
Анализ сетевой активности
[Protected] Non-confidential content
SandBlast Agent Forensics
Обнаружение бота
Обнаружение бота Блокировка
управляющего каналаБлокировка
управляющего канала
Зараженная станция
Зараженная станция
Командный центр
Командный центр
Изучение атакиИзучение атаки
©2015 Check Point Software Technologies Ltd. 35 [Protected] Non-confidential content
Перехват коммуникации
Процесс связывается с командным центром
Перехват коммуникации
Процесс связывается с командным центром
Происхождение атаки
Уязвимость в Chrome
Происхождение атаки
Уязвимость в Chrome
От инцидента к расследованию
Автоматический анализ от начала атаки
От инцидента к расследованию
Автоматический анализ от начала атаки
Код для проникновения
Файл запущен в Chrome
Код для проникновения
Файл запущен в Chrome
Атака отслеживается при перезагузках
Атака отслеживается при перезагузках
Похищенные данные
Вирус обращался к документу
Запуск вируса
Вирус запустится после загрузки
Запуск вируса
Вирус запустится после загрузки
Скачивание вируса
Вирус скачан и установлен
Скачивание вируса
Вирус скачан и установлен
Активация вируса
Запланирована задача после
загрузки
Активация вируса
Запланирована задача после
загрузки
©2015 Check Point Software Technologies Ltd. 36
Что обычно делают после взлома?
Традиционное расследование
Традиционное расследование
Надежда на карантин антивируса
Надежда на карантин антивируса
Восстановление из образа
Восстановление из образа
• Работает только для известных угроз • Антивирус пропустит всё, что было до
обнаружения вируса • Данные могут быть похищены до
обнаружения
• Работает только для известных угроз • Антивирус пропустит всё, что было до
обнаружения вируса • Данные могут быть похищены до
обнаружения
• Не возвращает похищенные данные• Затратная и разрушительная процедура• На защитит от повторной атаки
• Не возвращает похищенные данные• Затратная и разрушительная процедура• На защитит от повторной атаки
• Расследование требует времени• Расследование требует редкой
квалификации• Слишком дорого для каждого инцидента
• Расследование требует времени• Расследование требует редкой
квалификации• Слишком дорого для каждого инцидента
[Restricted] ONLY for designated groups and individuals
Обычный подход после инцидента:
©2015 Check Point Software Technologies Ltd. 37 [Restricted] ONLY for designated groups and individuals
Подозрительная активность
Детали
Степень опасности
Вопрос 1: Это реальная атака?
Понимание инцидента Мгновенный ответ
На важные вопросы
©2015 Check Point Software Technologies Ltd. 38
Понимание инцидента
Выводы
Детали
Вопрос 2: Какие способы проникновения?
[Restricted] ONLY for designated groups and individuals
©2015 Check Point Software Technologies Ltd. 39
Понимание инцидента
[Restricted] ONLY for designated groups and individuals
Утерянные файлы
Вопрос 3: Каков ущерб? Что похищено?
©2015 Check Point Software Technologies Ltd. 40
От понимания к действиям
Генерация скрипта для восстановления
Вопрос 4: Как ликвидировать последствия? Как восстановиться?
[Restricted] ONLY for designated groups and individuals
©2015 Check Point Software Technologies Ltd. 41 [Restricted] ONLY for designated groups and individuals
Взгляд на этапы атаки
Интерактивный отчет• Вся атаки на одном экране• Отслеживание всех
элементов• Обзор всех перезагрузок • Детали по каждому элементу
Интерактивный отчет• Вся атаки на одном экране• Отслеживание всех
элементов• Обзор всех перезагрузок • Детали по каждому элементу
©2015 Check Point Software Technologies Ltd. 42
SANDBLAST АгентЗ а щ и т а о т н а ц е л е н н ы х а т а к н а Р а б о ч и х с т а н ц и я х
[Restricted] ONLY for designated groups and individuals
Защита
от нацеленных
атак Определение и сдерживание
инфекцииРеакция и
восстановление
©2015 Check Point Software Technologies Ltd. 43[Protected] Non-confidential content
Единственное решение с автоматическим анализом инцидентов и скриптом для
восстановления
Единственное решение с автоматическим анализом инцидентов и скриптом для
восстановления
SANDBLAST Агент
Другие продукты собирают данные для анализа
Другие продукты собирают данные для анализа
SandBlast Агент анализируетSandBlast Агент анализирует
©2015 Check Point Software Technologies Ltd. 44
Демонстрация и пилотирование
Отчет Security Checkup – проверка трафика в сети заказчика, бесплатно и конфиденциально. • Выявляение опасных приложений, • доступ к опасным сайтам, • коммуникации бот-сетей, • вирусные атаки,• утечка данных, • IPS атаки, • объяснение выявленных угроз, • рекомендации по устранению
Обратить к партнеру для заказа услуги
©2015 Check Point Software Technologies Ltd. 45
CHECK POINTWE SECURE THE FUTURE
• Сергей Чекрыгин• [email protected]