CheckPoint. Сергей Чекрыгин. "Check Pont. На шаг впереди"
Transcript of CheckPoint. Сергей Чекрыгин. "Check Pont. На шаг впереди"
![Page 1: CheckPoint. Сергей Чекрыгин. "Check Pont. На шаг впереди"](https://reader031.fdocument.pub/reader031/viewer/2022013117/58723ad41a28ab102f8b6309/html5/thumbnails/1.jpg)
г. Пермь17 ноября 2016#CODEIB
Сергей Чекрыгин
Check Point
На один шаг ВПЕРЕДИ
EMAIL [email protected]
![Page 2: CheckPoint. Сергей Чекрыгин. "Check Pont. На шаг впереди"](https://reader031.fdocument.pub/reader031/viewer/2022013117/58723ad41a28ab102f8b6309/html5/thumbnails/2.jpg)
Традиционный подход
Антивирус
Фильтрация по URL
IPS, СОВ
Анти-бот
Контроль приложений
Атаки
Бот-сети
Опасные приложения
Вредоносный сайт
Вирус
![Page 3: CheckPoint. Сергей Чекрыгин. "Check Pont. На шаг впереди"](https://reader031.fdocument.pub/reader031/viewer/2022013117/58723ad41a28ab102f8b6309/html5/thumbnails/3.jpg)
Больше безопасности в одном устройстве
Межсетевой экран & VPNСистема предотвращения вторженийКонтроль приложений
Интеграция с ADФильтрация по URL
Антивирус АнтиботСетевой DLP
![Page 4: CheckPoint. Сергей Чекрыгин. "Check Pont. На шаг впереди"](https://reader031.fdocument.pub/reader031/viewer/2022013117/58723ad41a28ab102f8b6309/html5/thumbnails/4.jpg)
Модели
4000
Малые офисы До 3 Гб/c МЭ, от $600
Корпоративные шлюзы До 6 Гб/c IPS
Центры обработки данных До 110 Гб/C МЭ Высокая доступность и легкое
обслуживание
15000
23000
41000
61000
1100
Платформа для телеком Мастшабируемость Балансировка нагрузки
2200
![Page 5: CheckPoint. Сергей Чекрыгин. "Check Pont. На шаг впереди"](https://reader031.fdocument.pub/reader031/viewer/2022013117/58723ad41a28ab102f8b6309/html5/thumbnails/5.jpg)
стало известным?
Что делать,чтобы неизвестное
![Page 6: CheckPoint. Сергей Чекрыгин. "Check Pont. На шаг впереди"](https://reader031.fdocument.pub/reader031/viewer/2022013117/58723ad41a28ab102f8b6309/html5/thumbnails/6.jpg)
Интеллектуальное
ВзаимодействиеАнализ
безопасности
IntelliStoreСенсоры
CERTsCERTs
Анализ событий
Сообщество
ИБ
Исследование кода
![Page 7: CheckPoint. Сергей Чекрыгин. "Check Pont. На шаг впереди"](https://reader031.fdocument.pub/reader031/viewer/2022013117/58723ad41a28ab102f8b6309/html5/thumbnails/7.jpg)
CHECK POINT
Мы защищаем
будущее
![Page 8: CheckPoint. Сергей Чекрыгин. "Check Pont. На шаг впереди"](https://reader031.fdocument.pub/reader031/viewer/2022013117/58723ad41a28ab102f8b6309/html5/thumbnails/8.jpg)
Мы не сможем решить проблему,думая также, как когда мы создали еёАльберт Эйнштейн
![Page 9: CheckPoint. Сергей Чекрыгин. "Check Pont. На шаг впереди"](https://reader031.fdocument.pub/reader031/viewer/2022013117/58723ad41a28ab102f8b6309/html5/thumbnails/9.jpg)
Неизвестные угрозыне могут быть пойманытрадиционными технологиями ИБ
![Page 10: CheckPoint. Сергей Чекрыгин. "Check Pont. На шаг впереди"](https://reader031.fdocument.pub/reader031/viewer/2022013117/58723ad41a28ab102f8b6309/html5/thumbnails/10.jpg)
Песочница
Способ работы с тем, что мы не знаем:
![Page 11: CheckPoint. Сергей Чекрыгин. "Check Pont. На шаг впереди"](https://reader031.fdocument.pub/reader031/viewer/2022013117/58723ad41a28ab102f8b6309/html5/thumbnails/11.jpg)
Как работает Песочница
• Системный реестр
• Сетевые соединения
• Файловая активность
• Процессы
![Page 12: CheckPoint. Сергей Чекрыгин. "Check Pont. На шаг впереди"](https://reader031.fdocument.pub/reader031/viewer/2022013117/58723ad41a28ab102f8b6309/html5/thumbnails/12.jpg)
Например:• Другая версия ОС или SP• Тестирование на виртуальную машину• Задержка в атаке
Вирус может скрыться
от Песочницы
![Page 13: CheckPoint. Сергей Чекрыгин. "Check Pont. На шаг впереди"](https://reader031.fdocument.pub/reader031/viewer/2022013117/58723ad41a28ab102f8b6309/html5/thumbnails/13.jpg)
Как работает
Любой вирус
![Page 14: CheckPoint. Сергей Чекрыгин. "Check Pont. На шаг впереди"](https://reader031.fdocument.pub/reader031/viewer/2022013117/58723ad41a28ab102f8b6309/html5/thumbnails/14.jpg)
Способ проникновения
вирусаУязвимость
![Page 15: CheckPoint. Сергей Чекрыгин. "Check Pont. На шаг впереди"](https://reader031.fdocument.pub/reader031/viewer/2022013117/58723ad41a28ab102f8b6309/html5/thumbnails/15.jpg)
Уязвимость Проникновение
Код пользуется уязвимостью
для изменения поведения системы
Способ проникновения
вируса
![Page 16: CheckPoint. Сергей Чекрыгин. "Check Pont. На шаг впереди"](https://reader031.fdocument.pub/reader031/viewer/2022013117/58723ad41a28ab102f8b6309/html5/thumbnails/16.jpg)
Уязвимость Проникновение Shellcode
Вредоносный код загружается
и получает права доступа
Способ проникновения
вируса
![Page 17: CheckPoint. Сергей Чекрыгин. "Check Pont. На шаг впереди"](https://reader031.fdocument.pub/reader031/viewer/2022013117/58723ad41a28ab102f8b6309/html5/thumbnails/17.jpg)
Shellcode Вирус
Код начинает
вредоносные
действия
Способ проникновения
вирусаУязвимость Проникновение
![Page 18: CheckPoint. Сергей Чекрыгин. "Check Pont. На шаг впереди"](https://reader031.fdocument.pub/reader031/viewer/2022013117/58723ad41a28ab102f8b6309/html5/thumbnails/18.jpg)
Shellcode
Уровень
команд
процессора
Уровень
ОС
Способ проникновения
вирусаВирусУязвимость Проникновение
![Page 19: CheckPoint. Сергей Чекрыгин. "Check Pont. На шаг впереди"](https://reader031.fdocument.pub/reader031/viewer/2022013117/58723ad41a28ab102f8b6309/html5/thumbnails/19.jpg)
Проверка на место возврата
AB C D E F21
3
456 Проверка возврата
управления в кодна место вызова в командах процессорадля поиска подозрительного кода
![Page 20: CheckPoint. Сергей Чекрыгин. "Check Pont. На шаг впереди"](https://reader031.fdocument.pub/reader031/viewer/2022013117/58723ad41a28ab102f8b6309/html5/thumbnails/20.jpg)
Песочница с защитой от угроз на уровне процессора• Обнаруживает атаки до заражения• Увеличивает шансы поймать вирус• Не зависит от ОС• Устойчива к техникам обхода песочниц
![Page 21: CheckPoint. Сергей Чекрыгин. "Check Pont. На шаг впереди"](https://reader031.fdocument.pub/reader031/viewer/2022013117/58723ad41a28ab102f8b6309/html5/thumbnails/21.jpg)
Можно ли избежать всех неизвестных угроз?
Другой подход
![Page 22: CheckPoint. Сергей Чекрыгин. "Check Pont. На шаг впереди"](https://reader031.fdocument.pub/reader031/viewer/2022013117/58723ad41a28ab102f8b6309/html5/thumbnails/22.jpg)
Технология THREAT EXTRACTIONПересоздание документа для исключения активного содержимого
![Page 23: CheckPoint. Сергей Чекрыгин. "Check Pont. На шаг впереди"](https://reader031.fdocument.pub/reader031/viewer/2022013117/58723ad41a28ab102f8b6309/html5/thumbnails/23.jpg)
Threat Extraction
![Page 24: CheckPoint. Сергей Чекрыгин. "Check Pont. На шаг впереди"](https://reader031.fdocument.pub/reader031/viewer/2022013117/58723ad41a28ab102f8b6309/html5/thumbnails/24.jpg)
[Restricted] ONLY for designated groups and individuals
Представля ем
AGE NTSandBlast
CHECK POINT
![Page 25: CheckPoint. Сергей Чекрыгин. "Check Pont. На шаг впереди"](https://reader031.fdocument.pub/reader031/viewer/2022013117/58723ad41a28ab102f8b6309/html5/thumbnails/25.jpg)
Предотвращение угроз на ПКНезащищенные векторы атаки
Работа вне офиса
M2M внутри периметра
Внешние носители
![Page 26: CheckPoint. Сергей Чекрыгин. "Check Pont. На шаг впереди"](https://reader031.fdocument.pub/reader031/viewer/2022013117/58723ad41a28ab102f8b6309/html5/thumbnails/26.jpg)
SANDBLAST Агент
Защита
от нацеленных
атак
Сдерживаниеинфекции
Реакция
[Restricted] ONLY for designated groups and individuals
Threat Extraction & песочница для ПК
• Доставляет безопасные файлы• Проверяет исходные файлы • Защищает скачивания из интернета и
копирования с внешних носителей
![Page 27: CheckPoint. Сергей Чекрыгин. "Check Pont. На шаг впереди"](https://reader031.fdocument.pub/reader031/viewer/2022013117/58723ad41a28ab102f8b6309/html5/thumbnails/27.jpg)
SANDBLAST
Расширение для браузераПри скачивании из интернета
Мониторинг файловой системы
для копируемых файлов
Как работает защита от направленных атак
![Page 28: CheckPoint. Сергей Чекрыгин. "Check Pont. На шаг впереди"](https://reader031.fdocument.pub/reader031/viewer/2022013117/58723ad41a28ab102f8b6309/html5/thumbnails/28.jpg)
Мгновенная защита при загрузке из сетиДоставка безопасного файла
Конвертация PDF для защиты или безопасная версия исходного файла
![Page 29: CheckPoint. Сергей Чекрыгин. "Check Pont. На шаг впереди"](https://reader031.fdocument.pub/reader031/viewer/2022013117/58723ad41a28ab102f8b6309/html5/thumbnails/29.jpg)
Самостоятельно, без помощи службы поддержки
Доступ к исходному файлупосле проверки документа
![Page 30: CheckPoint. Сергей Чекрыгин. "Check Pont. На шаг впереди"](https://reader031.fdocument.pub/reader031/viewer/2022013117/58723ad41a28ab102f8b6309/html5/thumbnails/30.jpg)
SANDBLAST Агент
Анти-ботдля рабочих станций и карантин
• Обнаруживает и блокирует общение с командным центром
• Указывает на зараженный файл• Изолирует зараженную рабочую станцию
Защита
от нацеленных
атак
Сдерживаниеинфекции
Реакция
![Page 31: CheckPoint. Сергей Чекрыгин. "Check Pont. На шаг впереди"](https://reader031.fdocument.pub/reader031/viewer/2022013117/58723ad41a28ab102f8b6309/html5/thumbnails/31.jpg)
Блокируем зараженную станцию
Предотвращаем потери• Блокируем управляющий канал• Предотвращаем утечку данных
Sandblast Агент: Анти-ботДля рабочих станций
Определем зараженные станции • Внутри и вне периметра • Изолируем работу
внутри периметра
Определяет управляющий канал – знаем зараженную станцию
Блокирует управляющий канал – изолируем вирус
Управление остановленоУправляющий канал
Анти-бот
![Page 32: CheckPoint. Сергей Чекрыгин. "Check Pont. На шаг впереди"](https://reader031.fdocument.pub/reader031/viewer/2022013117/58723ad41a28ab102f8b6309/html5/thumbnails/32.jpg)
SANDBLAST Агент
[Restricted] ONLY for designated groups and individuals
Автоматическое расследование и ликвидация последствий
• Расследование – экономия времени и денег• Учет сетевой активности• Взаимодействие с антивирусом • Восстановление и ликвидация последствий
Защита
от нацеленных
атак
Сдерживаниеинфекции
Реакция
![Page 33: CheckPoint. Сергей Чекрыгин. "Check Pont. На шаг впереди"](https://reader031.fdocument.pub/reader031/viewer/2022013117/58723ad41a28ab102f8b6309/html5/thumbnails/33.jpg)
[Restricted] ONLY for designated groups and individuals
Ответ на инцидент предполагает понимание угрозы
Вопросы при расследовании:
1. Атака реальна?
2. Какие способы проникновения?
3. Какие данные были похищены?
4. Как ликвидировать последствия?
![Page 34: CheckPoint. Сергей Чекрыгин. "Check Pont. На шаг впереди"](https://reader031.fdocument.pub/reader031/viewer/2022013117/58723ad41a28ab102f8b6309/html5/thumbnails/34.jpg)
Анализ сетевой активности
SandBlast Agent Forensics
Обнаружение бота
Обнаружение бота
Блокировка управляющего канала
Блокировка управляющего канала
Зараженная станция
Зараженная станция
Командный центрКомандный центр
Изучение атакиИзучение атаки
![Page 35: CheckPoint. Сергей Чекрыгин. "Check Pont. На шаг впереди"](https://reader031.fdocument.pub/reader031/viewer/2022013117/58723ad41a28ab102f8b6309/html5/thumbnails/35.jpg)
Перехват коммуникации
Процесс связывается с командным
центром
Перехват коммуникации
Процесс связывается с командным
центром
Происхождение атаки
Уязвимость в Chrome
Происхождение атаки
Уязвимость в Chrome
От инцидента к расследованию
Автоматический анализ от начала атаки
От инцидента к расследованию
Автоматический анализ от начала атаки
Код для проникновения
Файл запущен в Chrome
Код для проникновения
Файл запущен в Chrome
Атака отслеживается
при перезагузках
Атака отслеживается
при перезагузкахПохищенные данные
Вирус обращался к документу
Запуск вируса
Вирус запустится после загрузки
Запуск вируса
Вирус запустится после загрузки
Скачивание вируса
Вирус скачан и установлен
Скачивание вируса
Вирус скачан и установлен
Активация вируса
Запланирована задача после загрузки
Активация вируса
Запланирована задача после загрузки
![Page 36: CheckPoint. Сергей Чекрыгин. "Check Pont. На шаг впереди"](https://reader031.fdocument.pub/reader031/viewer/2022013117/58723ad41a28ab102f8b6309/html5/thumbnails/36.jpg)
Что обычно делают после взлома?
Традиционное расследование
Традиционное расследование
Надежда на карантин антивируса
Надежда на карантин антивируса
Восстановление из образа
Восстановление из образа
• Работает только для известных угроз • Антивирус пропустит всё, что было до
обнаружения вируса • Данные могут быть похищены до обнаружения
• Работает только для известных угроз • Антивирус пропустит всё, что было до
обнаружения вируса • Данные могут быть похищены до обнаружения
• Не возвращает похищенные данные• Затратная и разрушительная процедура• На защитит от повторной атаки
• Не возвращает похищенные данные• Затратная и разрушительная процедура• На защитит от повторной атаки
• Расследование требует времени• Расследование требует редкой квалификации• Слишком дорого для каждого инцидента
• Расследование требует времени• Расследование требует редкой квалификации• Слишком дорого для каждого инцидента
Обычный подход после инцидента:
![Page 37: CheckPoint. Сергей Чекрыгин. "Check Pont. На шаг впереди"](https://reader031.fdocument.pub/reader031/viewer/2022013117/58723ad41a28ab102f8b6309/html5/thumbnails/37.jpg)
Подозрительная активность
Детали
Степень опасности
Вопрос 1: Это реальная атака?
Понимание инцидента Мгновенный ответ
На важные вопросы
![Page 38: CheckPoint. Сергей Чекрыгин. "Check Pont. На шаг впереди"](https://reader031.fdocument.pub/reader031/viewer/2022013117/58723ad41a28ab102f8b6309/html5/thumbnails/38.jpg)
Понимание инцидентаВыводы
Детали
Вопрос 2: Какие способы проникновения?
![Page 39: CheckPoint. Сергей Чекрыгин. "Check Pont. На шаг впереди"](https://reader031.fdocument.pub/reader031/viewer/2022013117/58723ad41a28ab102f8b6309/html5/thumbnails/39.jpg)
Утерянные файлы
Вопрос 3: Каков ущерб? Что похищено?
Понимание инцидента
![Page 40: CheckPoint. Сергей Чекрыгин. "Check Pont. На шаг впереди"](https://reader031.fdocument.pub/reader031/viewer/2022013117/58723ad41a28ab102f8b6309/html5/thumbnails/40.jpg)
От понимания к действиям
Генерация скрипта для восстановления
Вопрос 4: Как ликвидировать последствия? Как восстановиться?
![Page 41: CheckPoint. Сергей Чекрыгин. "Check Pont. На шаг впереди"](https://reader031.fdocument.pub/reader031/viewer/2022013117/58723ad41a28ab102f8b6309/html5/thumbnails/41.jpg)
Взгляд на этапы атакиИнтерактивный отчет
• Вся атаки на одном экране• Отслеживание всех элементов• Обзор всех перезагрузок • Детали по каждому элементу
Интерактивный отчет• Вся атаки на одном экране• Отслеживание всех элементов• Обзор всех перезагрузок • Детали по каждому элементу
![Page 42: CheckPoint. Сергей Чекрыгин. "Check Pont. На шаг впереди"](https://reader031.fdocument.pub/reader031/viewer/2022013117/58723ad41a28ab102f8b6309/html5/thumbnails/42.jpg)
SANDBLAST Агент
[Restricted] ONLY for designated groups and individuals
Сдерживаниеинфекции
Защита
от нацеленных
атак Реакция
![Page 43: CheckPoint. Сергей Чекрыгин. "Check Pont. На шаг впереди"](https://reader031.fdocument.pub/reader031/viewer/2022013117/58723ad41a28ab102f8b6309/html5/thumbnails/43.jpg)
Единственное решение с автоматическим анализом инцидентов и скриптом для
восстановления
Единственное решение с автоматическим анализом инцидентов и скриптом для
восстановления
SANDBLAST Агент
Другие продукты собирают данные для анализа
Другие продукты собирают данные для анализа
SandBlast Агент анализируетSandBlast Агент анализирует
![Page 44: CheckPoint. Сергей Чекрыгин. "Check Pont. На шаг впереди"](https://reader031.fdocument.pub/reader031/viewer/2022013117/58723ad41a28ab102f8b6309/html5/thumbnails/44.jpg)
Демонстрация и пилотирование Отчет Security Checkup – проверка трафика в сети заказчика, бесплатно и конфиденциально. • Выявляение опасных приложений, • доступ к опасным сайтам, • коммуникации бот-сетей, • вирусные атаки,• утечка данных, • IPS атаки, • объяснение выявленных угроз, • рекомендации по устранению
Обратить к партнеру для заказа услуги