Check Point. Сергей Чекрыгин. "На один шаг впереди"

©2015 Check Point Software Technologies Ltd. 1

Сергей Чекрыгин

На одиншаг ВПЕРЕДИ


Традиционный подходАнтивирус

Фильтрация по URL

IPS, СОВ

Анти-бот

Контроль приложений

Атаки

Бот-сети

Опасные приложения

Вредоносный сайт

Вирус


Больше безопасности в одном устройстве

Межсетевой экран & VPN

Система предотвращения вторженийКонтроль приложений

Интеграция с ADФильтрация по URL

Антивирус АнтиботСетевой DLP


Модели

4000

Малые офисы До 3 Гб/c МЭ От $600

Enterprise Grade 3 to 11 Gbps firewall throughput 2 to 6 Gbps IPS throughput

Ultra Data Center Protection 15 to 110 Gbps firewall throughput High availability and serviceability Optional acceleration with low

latency

15000

23000

41000

61000

1100

Carrier grade scalable platform Scalable Performance 60x10GbE ports, 8x40GbE ports True Load Balancing

2200


СталоИзвестным?

Что делать,Чтобы неизвестное


ИнтеллектуальноеВзаимодействие

Анализ безопасности

IntelliStoreСенсоры

CERTsCERTs

Анализ событий

Сообщество ИБ

Исследование кода


CHECK POINTWE SECURE THE FUTURE


Мы не сможем решить проблему,Думая также, как когда Мы создали еёАльберт Эйнштейн


Неизвестные угрозыНе могут быть пойманы

Традиционными тенологиями ИБ


Песочница

Способ работы с тем, что мы не знаем


Как работает Песочница

• Системный реестр• Сетевые

соединения• Файловая

активность• Процессы


Например:• Другая версия ОС или SP• Тестирование на виртуальную машину• Задержка в атаке

Вирус может скрыться от Песочницы


Как работает

Любой вирус


Способпроникновения вирусаУязвимость

В системе


Способ

проникновения

вирусаУязвимость Проникновение

Код пользуется уязвимостью для изменения поведения системы


Способ


вирусаУязвимость Проникновение Shellcode

Зловредный код загружаетсяи изменяет работающее приложение


Способ


вирусаУязвимость Проникновение Shellcode Вирус

Вирус начинаетслежку или Действия


Способ


вирусаУязвимость Проникновение Shellcode Вирус

Уровень команд

процессора

Уровень ОС


Проверка на место возврата

AB C D

E F213

456 Проверка возврата

управления в кодна место вызова в командах процессорадля поиска подозрительного кода


Песочница с защитой от угроз на уровне процессора• Обнаруживает атаки до заражения• Увеличивает шансы поймать вирус• Не зависит от ОС• Устойчива к техникам обхода песочниц


Можно ли избежатьвсех неизвестных угроз?

Другой подход


THREAT EXTRACTIONНа шаг впереди

Пересоздание документа для исключения вирусов

©2015 Check Point Software Technologies Ltd. 24 [Restricted] ONLY for designated groups and individuals

Представля ем

AGENTSandBlast

CHECK POINT


Предотвращение угроз на рабочих станциях

[Restricted] ONLY for designated groups and individuals

Незащищенные векторы атаки

Работа вне офиса

M2M внутри периметра

Внешние носители


SANDBLAST АгентЗ а щ и т а о т н а ц е л е н н ы х а т а к н а Р а б о ч и х с т а н ц и я х

THREAT EXTRACTION & песочница

для рабочих станций

• Доставляет безопасные файлы

• Проверяет исходные файлы

• Защищает скачивания из интернета и копирования с внешних носителей

Защита

от нацеленных

атак

Определение и сдерживание

инфекции

Реакция и

восстановление



SANDBLAST

Расширение для браузера

При скачивании из интернета

Мониторинг файловой системы для

копируемых файлов

Как работает защита от направленных атак



Мгновенная защита при скачивании из интернетаДоставка безопасного файла

Конвертация PDF для защиты Или безопасная версия исходного файла



Самостоятельно, без помощи службы поддержки

Доступ к исходному файлупосле проверки документа




Определение и сдерживание

инфекции

Реакция и



Защита


атак Анти-бот

для рабочих станций и карантин

• Обнаруживает и блокирует общение с командным центром

• Указывает на зараженный файл

• Изолирует зараженную рабочую станцию


Блокируем зараженную станцию

Предотвращаем потери• Блокируем управляющий канал• Предотвращаем утечку данных

Sandblast Агент: Анти-ботДля рабочих станций

Определем зараженные станции • Внутри и вне периметра • Изолируем работу внутри

периметра

Определяет управляющий канал – знаем зараженную станцию

Блокирует управляющий канал – изолируем вирус

Управление остановленоУправляющий канал

Анти-бот



Реакция и



Защита


атак Определение и сдерживание

инфекцииАвтоматическое

расследование и ликвидация последствий

• Расследование – экономия времени и денег

• Учет сетевой активности• Взаимодействие с

антивирусом • Восстановление и

ликвидация последствий


Ответ на инцидент предполагает понимание угрозы

Вопросы при расследовании:1. Атака реальна?2. Какие способы проникновения?3. Какие данные были похищены?4. Как ликвидировать

последствия?


Анализ сетевой активности

[Protected] Non-confidential content

SandBlast Agent Forensics

Обнаружение бота

Обнаружение бота Блокировка

управляющего каналаБлокировка

управляющего канала

Зараженная станция

Зараженная станция

Командный центр

Командный центр

Изучение атакиИзучение атаки

©2015 Check Point Software Technologies Ltd. 35 [Protected] Non-confidential content

Перехват коммуникации

Процесс связывается с командным центром

Перехват коммуникации

Процесс связывается с командным центром

Происхождение атаки

Уязвимость в Chrome

Происхождение атаки

Уязвимость в Chrome

От инцидента к расследованию

Автоматический анализ от начала атаки

От инцидента к расследованию

Автоматический анализ от начала атаки

Код для проникновения

Файл запущен в Chrome

Код для проникновения

Файл запущен в Chrome

Атака отслеживается при перезагузках

Атака отслеживается при перезагузках

Похищенные данные

Вирус обращался к документу

Запуск вируса

Вирус запустится после загрузки

Запуск вируса

Вирус запустится после загрузки

Скачивание вируса

Вирус скачан и установлен

Скачивание вируса

Вирус скачан и установлен

Активация вируса

Запланирована задача после

загрузки

Активация вируса

Запланирована задача после

загрузки


Что обычно делают после взлома?

Традиционное расследование

Традиционное расследование

Надежда на карантин антивируса

Надежда на карантин антивируса

Восстановление из образа

Восстановление из образа

• Работает только для известных угроз • Антивирус пропустит всё, что было до

обнаружения вируса • Данные могут быть похищены до

обнаружения

• Работает только для известных угроз • Антивирус пропустит всё, что было до

обнаружения вируса • Данные могут быть похищены до

обнаружения

• Не возвращает похищенные данные• Затратная и разрушительная процедура• На защитит от повторной атаки

• Не возвращает похищенные данные• Затратная и разрушительная процедура• На защитит от повторной атаки

• Расследование требует времени• Расследование требует редкой

квалификации• Слишком дорого для каждого инцидента

• Расследование требует времени• Расследование требует редкой

квалификации• Слишком дорого для каждого инцидента


Обычный подход после инцидента:


Подозрительная активность

Детали

Степень опасности

Вопрос 1: Это реальная атака?

Понимание инцидента Мгновенный ответ

На важные вопросы


Понимание инцидента

Выводы

Детали

Вопрос 2: Какие способы проникновения?



Понимание инцидента


Утерянные файлы

Вопрос 3: Каков ущерб? Что похищено?


От понимания к действиям

Генерация скрипта для восстановления

Вопрос 4: Как ликвидировать последствия? Как восстановиться?



Взгляд на этапы атаки

Интерактивный отчет• Вся атаки на одном экране• Отслеживание всех

элементов• Обзор всех перезагрузок • Детали по каждому элементу

Интерактивный отчет• Вся атаки на одном экране• Отслеживание всех

элементов• Обзор всех перезагрузок • Детали по каждому элементу




Защита


атак Определение и сдерживание

инфекцииРеакция и


©2015 Check Point Software Technologies Ltd. 43[Protected] Non-confidential content

Единственное решение с автоматическим анализом инцидентов и скриптом для

восстановления

Единственное решение с автоматическим анализом инцидентов и скриптом для

восстановления

SANDBLAST Агент

Другие продукты собирают данные для анализа

Другие продукты собирают данные для анализа

SandBlast Агент анализируетSandBlast Агент анализирует


Демонстрация и пилотирование

Отчет Security Checkup – проверка трафика в сети заказчика, бесплатно и конфиденциально. • Выявляение опасных приложений, • доступ к опасным сайтам, • коммуникации бот-сетей, • вирусные атаки,• утечка данных, • IPS атаки, • объяснение выявленных угроз, • рекомендации по устранению

Обратить к партнеру для заказа услуги


CHECK POINTWE SECURE THE FUTURE

• Сергей Чекрыгин• [email protected]

Check Point. Сергей Чекрыгин. "На один шаг впереди"

Software

Transcript of Check Point. Сергей Чекрыгин. "На один шаг впереди"