checkpoint. Сергей Чекрыгин. "check pont. На шаг впереди"
TRANSCRIPT
г. Пермь17 ноября 2016#CODEIB
Сергей Чекрыгин
Check Point
На один шаг ВПЕРЕДИ
EMAIL [email protected]
Традиционный подход
Антивирус
Фильтрация по URL
IPS, СОВ
Анти-бот
Контроль приложений
Атаки
Бот-сети
Опасные приложения
Вредоносный сайт
Вирус
Больше безопасности в одном устройстве
Межсетевой экран & VPNСистема предотвращения вторженийКонтроль приложений
Интеграция с ADФильтрация по URL
Антивирус АнтиботСетевой DLP
Модели
4000
Малые офисы До 3 Гб/c МЭ, от $600
Корпоративные шлюзы До 6 Гб/c IPS
Центры обработки данных До 110 Гб/C МЭ Высокая доступность и легкое
обслуживание
15000
23000
41000
61000
1100
Платформа для телеком Мастшабируемость Балансировка нагрузки
2200
стало известным?
Что делать,чтобы неизвестное
Интеллектуальное
ВзаимодействиеАнализ
безопасности
IntelliStoreСенсоры
CERTsCERTs
Анализ событий
Сообщество
ИБ
Исследование кода
CHECK POINT
Мы защищаем
будущее
Мы не сможем решить проблему,думая также, как когда мы создали еёАльберт Эйнштейн
Неизвестные угрозыне могут быть пойманытрадиционными технологиями ИБ
Песочница
Способ работы с тем, что мы не знаем:
Как работает Песочница
• Системный реестр
• Сетевые соединения
• Файловая активность
• Процессы
Например:• Другая версия ОС или SP• Тестирование на виртуальную машину• Задержка в атаке
Вирус может скрыться
от Песочницы
Как работает
Любой вирус
Способ проникновения
вирусаУязвимость
Уязвимость Проникновение
Код пользуется уязвимостью
для изменения поведения системы
Способ проникновения
вируса
Уязвимость Проникновение Shellcode
Вредоносный код загружается
и получает права доступа
Способ проникновения
вируса
Shellcode Вирус
Код начинает
вредоносные
действия
Способ проникновения
вирусаУязвимость Проникновение
Shellcode
Уровень
команд
процессора
Уровень
ОС
Способ проникновения
вирусаВирусУязвимость Проникновение
Проверка на место возврата
AB C D E F21
3
456 Проверка возврата
управления в кодна место вызова в командах процессорадля поиска подозрительного кода
Песочница с защитой от угроз на уровне процессора• Обнаруживает атаки до заражения• Увеличивает шансы поймать вирус• Не зависит от ОС• Устойчива к техникам обхода песочниц
Можно ли избежать всех неизвестных угроз?
Другой подход
Технология THREAT EXTRACTIONПересоздание документа для исключения активного содержимого
Threat Extraction
[Restricted] ONLY for designated groups and individuals
Представля ем
AGE NTSandBlast
CHECK POINT
Предотвращение угроз на ПКНезащищенные векторы атаки
Работа вне офиса
M2M внутри периметра
Внешние носители
SANDBLAST Агент
Защита
от нацеленных
атак
Сдерживаниеинфекции
Реакция
[Restricted] ONLY for designated groups and individuals
Threat Extraction & песочница для ПК
• Доставляет безопасные файлы• Проверяет исходные файлы • Защищает скачивания из интернета и
копирования с внешних носителей
SANDBLAST
Расширение для браузераПри скачивании из интернета
Мониторинг файловой системы
для копируемых файлов
Как работает защита от направленных атак
Мгновенная защита при загрузке из сетиДоставка безопасного файла
Конвертация PDF для защиты или безопасная версия исходного файла
Самостоятельно, без помощи службы поддержки
Доступ к исходному файлупосле проверки документа
SANDBLAST Агент
Анти-ботдля рабочих станций и карантин
• Обнаруживает и блокирует общение с командным центром
• Указывает на зараженный файл• Изолирует зараженную рабочую станцию
Защита
от нацеленных
атак
Сдерживаниеинфекции
Реакция
Блокируем зараженную станцию
Предотвращаем потери• Блокируем управляющий канал• Предотвращаем утечку данных
Sandblast Агент: Анти-ботДля рабочих станций
Определем зараженные станции • Внутри и вне периметра • Изолируем работу
внутри периметра
Определяет управляющий канал – знаем зараженную станцию
Блокирует управляющий канал – изолируем вирус
Управление остановленоУправляющий канал
Анти-бот
SANDBLAST Агент
[Restricted] ONLY for designated groups and individuals
Автоматическое расследование и ликвидация последствий
• Расследование – экономия времени и денег• Учет сетевой активности• Взаимодействие с антивирусом • Восстановление и ликвидация последствий
Защита
от нацеленных
атак
Сдерживаниеинфекции
Реакция
[Restricted] ONLY for designated groups and individuals
Ответ на инцидент предполагает понимание угрозы
Вопросы при расследовании:
1. Атака реальна?
2. Какие способы проникновения?
3. Какие данные были похищены?
4. Как ликвидировать последствия?
Анализ сетевой активности
SandBlast Agent Forensics
Обнаружение бота
Обнаружение бота
Блокировка управляющего канала
Блокировка управляющего канала
Зараженная станция
Зараженная станция
Командный центрКомандный центр
Изучение атакиИзучение атаки
Перехват коммуникации
Процесс связывается с командным
центром
Перехват коммуникации
Процесс связывается с командным
центром
Происхождение атаки
Уязвимость в Chrome
Происхождение атаки
Уязвимость в Chrome
От инцидента к расследованию
Автоматический анализ от начала атаки
От инцидента к расследованию
Автоматический анализ от начала атаки
Код для проникновения
Файл запущен в Chrome
Код для проникновения
Файл запущен в Chrome
Атака отслеживается
при перезагузках
Атака отслеживается
при перезагузкахПохищенные данные
Вирус обращался к документу
Запуск вируса
Вирус запустится после загрузки
Запуск вируса
Вирус запустится после загрузки
Скачивание вируса
Вирус скачан и установлен
Скачивание вируса
Вирус скачан и установлен
Активация вируса
Запланирована задача после загрузки
Активация вируса
Запланирована задача после загрузки
Что обычно делают после взлома?
Традиционное расследование
Традиционное расследование
Надежда на карантин антивируса
Надежда на карантин антивируса
Восстановление из образа
Восстановление из образа
• Работает только для известных угроз • Антивирус пропустит всё, что было до
обнаружения вируса • Данные могут быть похищены до обнаружения
• Работает только для известных угроз • Антивирус пропустит всё, что было до
обнаружения вируса • Данные могут быть похищены до обнаружения
• Не возвращает похищенные данные• Затратная и разрушительная процедура• На защитит от повторной атаки
• Не возвращает похищенные данные• Затратная и разрушительная процедура• На защитит от повторной атаки
• Расследование требует времени• Расследование требует редкой квалификации• Слишком дорого для каждого инцидента
• Расследование требует времени• Расследование требует редкой квалификации• Слишком дорого для каждого инцидента
Обычный подход после инцидента:
Подозрительная активность
Детали
Степень опасности
Вопрос 1: Это реальная атака?
Понимание инцидента Мгновенный ответ
На важные вопросы
Понимание инцидентаВыводы
Детали
Вопрос 2: Какие способы проникновения?
Утерянные файлы
Вопрос 3: Каков ущерб? Что похищено?
Понимание инцидента
От понимания к действиям
Генерация скрипта для восстановления
Вопрос 4: Как ликвидировать последствия? Как восстановиться?
Взгляд на этапы атакиИнтерактивный отчет
• Вся атаки на одном экране• Отслеживание всех элементов• Обзор всех перезагрузок • Детали по каждому элементу
Интерактивный отчет• Вся атаки на одном экране• Отслеживание всех элементов• Обзор всех перезагрузок • Детали по каждому элементу
SANDBLAST Агент
[Restricted] ONLY for designated groups and individuals
Сдерживаниеинфекции
Защита
от нацеленных
атак Реакция
Единственное решение с автоматическим анализом инцидентов и скриптом для
восстановления
Единственное решение с автоматическим анализом инцидентов и скриптом для
восстановления
SANDBLAST Агент
Другие продукты собирают данные для анализа
Другие продукты собирают данные для анализа
SandBlast Агент анализируетSandBlast Агент анализирует
Демонстрация и пилотирование Отчет Security Checkup – проверка трафика в сети заказчика, бесплатно и конфиденциально. • Выявляение опасных приложений, • доступ к опасным сайтам, • коммуникации бот-сетей, • вирусные атаки,• утечка данных, • IPS атаки, • объяснение выявленных угроз, • рекомендации по устранению
Обратить к партнеру для заказа услуги
CHECK POINTМы защищаем будущее
Сергей Чекрыгин[email protected]