CHECK POINT...©2018 Check Point Software Technologies Ltd. 8Обнаружение и...

CHECK POINT

Практический подход к предотвращению кибер-атак: новые возможности семейства SandBlast

Дмитрий Кудра | Консультант по безопасности

Последние события…

рекламу

THE WANNACRY

150Стран

230,000Инфицированных компьютеров

За одни сутки

Malware that has not previously been seen

can often get past traditional technology

WHAT YOUDON’T KNOW…

…ZERO-DAY

How do you protect against

Традиционных мер защиты недостаточно

Большинство зловредов встречаются лишь единожды

99% зловредов существуют не более 58 секунд

Злоумышленники постоянно модифицируют код,чтобы избежать обнаружения

Источник: Verizon 2016 Data Breach Investigations Report

Malware that has not previously been seencan often get past traditional technology

WHAT YOUDON’T KNOW…

…ZERO-DAY

How do you protect against

ЧЕГО ВЫНЕ ЗНАЕТЕ?

Как защитить свою инфраструктуру от того

Зловреды, о которых ничего не известно, не могутбыть остановлены традиционными технологиями

ZERO-DAY

[Protected] Distribution or modification is subject to approval

ПРЕДСТАВЛЯЕМCHECK POINT SANDBLAST

Обнаружение и

блокирование

угроз нулевого дня

Мгновенная

доставка

очищенных

документов

Защита вводимых

учетных данных

в веб-формах

Ускорение

расследования

инцидентов

безопасности

Защита рабочих

станций от кибер-

вымогателей

ПРОГРЕССИВНЫЕ ТЕХНОЛОГИИ ЗАЩИТЫ

THREAT EMULATION

THREAT

EXTRACTION

ZERO PHISHING

FORENSICSANTI RANSOMWARE

Обнаружение и

блокирование

угроз нулевого дня

Мгновенная

доставка

очищенных

Защита вводимых

учетных данных

в веб-формах

Ускорение

расследования

Защита рабочих

станций от кибер-

вымогателей

ПРОГРЕССИВНЫЕ ТЕХНОЛОГИИ ЗАЩИТЫ

THREAT EMULATION

THREAT

EXTRACTION

ZERO PHISHING

FORENSICSANTI RANSOMWAREСТАНДАРТНЫЕ ТЕХНОЛОГИИ ЗАЩИТЫ

INTRUSION PREVENTION

ANTI VIRUS ANTI BOT

СЕМЕЙСТВО ТЕХНОЛОГИЙ ЗАЩИТЫ ОТ УГРОЗ

NGTX GATEWAYS

Защита периметра сети и дата-центра

SANDBLAST AGENT

Защита рабочих станций и браузеров

SANDBLAST API

Защита собственных приложений

SANDBLAST CLOUD

Защита облачных приложений

SANDBLAST

THREAT EMULATION

Бескомпромиссное

обнаружение

угроз

ОБНАРУЖЕНИЕ УГРОЗ

Устойчивая к

обходам

песочница*

УСТОЙЧИВАЯК ОБХОДАМ

Вердикт выносится

менее чем за три

минуты

БЫСТРАЯ И ЭФФЕКТИВНАЯ

*Источник: 2016 NSS Labs Breach Detection Systems Test Report

Устойчивая к попыткам обхода песочница

Блокирует неизвестное вредоносное ПО и атаки нулевого дня

Мониторинг:

• Системный реестр

• Сетевые соединения

• Файловая активность

• Системные процессы

Эмуляция файлов в виртуальной среде

ТРАДИЦИОННЫЕ ПЕСОЧНИЦЫ 1ГО ПОКОЛЕНИЯ

Поиск признаков заражения на уровне операционной системы

T H R E AT C O N T AI N E D

INSPECT

FILEEMULATE

PREVENT

Защита от неизвестных атак с помощью

Check Point Threat Emulation

Exe файлы, PDF и

MS-Office документы

(и архивы)

Определение файлов в

аттачах и при скачивание с

(Mail, Web, CIFS)

Загрузка файлов в

виртуальную песочницу

на локальном ПАК

или в облаке

INSPECT

Без изменения существующей

инфраструктуры

Поддержка HTTPS и MTA

EMULATE

Файл открывается и

происходит анализ

поведения

Эмуляций

файла в

разных ОСWIN 7, 8, 10, XP

Мониторинг поведения:• Файловая система

• Системный реестр

• Сетевые подключения

• Системные процессы

PREVENT

Шлюз

Блокировка вредоносных

файлов в реальном времени

Автоматическое создание новой

сигнатуры и обновление на всех шлюзах

INSPECT EMULATE

PREVENTSHARE

Защита от неизвестных атак с помощью

Check Point Threat Emulation

Joseph_Nyee.pdf

Файловая

активность Системный реестр

Системные

процессыСетевые соединения

Некорректная файловая активность

Операции с системным реестром

Сетевая активность

Операции с процессами

Threat Emulation за работой

Отчет работы Threat Emulation

Использование песочниц стало очень популярным

Злоумышленники изобретают способы обхода

КАКИМ ОБРАЗОМ МОЖНО ОБОЙТИ ПЕСОЧНИЦУ?

Методики обхода песочниц 1ГО поколения

Задержкаисполнения кода

Ускорение системных

часов

Применение собственных

часов…

Поиск песочницыСокрытие

атрибутов ВМ

Запоминание характеристик

песочницы…

Ожиданиедействий человека

Имитациядействий человека

Определение «виртуального

человека»…

Цепочка развития атаки

Атакующий использует непропатченные версии ПО или 0-day уязвимость

Обход защитных механизмов CPU и ОС с использованием техник обхода

Внедрение эксплойтом кода для загрузки вредоносного ПО

У Я З В И М О С Т И

Э К С П Л О Й Т Ы

S H E L L C O D E

Запуск вредоносного кодаВ Р Е Д О Н О С Н О Е П О

Обход защитных механизмов CPU и ОС

• Исследование эксплойтом загруженного в память кода:

Исполняемые файлы и библиотеки операционной системы

Исполняемые файлы и библиотеки приложения

• Поиск доступных «гаджетов»

Короткие фрагменты кода, заканчивающиеся инструкцией «ret»

• Составление исполняемого кода с использованием гаджетов в качестве примитивов

ВОЗВРАТНО-ОРИЕНТИРОВННОЕПРОГРАММИРОВАНИЕ

Обычное исполнение кода ROP-исполнение кода

Shellcode

push ebp

mov ebp, esp

mov eax, ebx

pop ebp

retn 4

push ebp

mov ebp, esp

mov ebx,[var1]

lea eax,[var2]

call ebx

mov eax,0xc394

pop ebp

push ebp

mov ebp, esp

push 0xC359

call F2

add eax, eax

inc eax

pop ebp

F0_ptr

push ebp

mov ebp, esp

mov eax, ebx

pop ebp

retn 4

push ebp

mov ebp, esp

mov ebx,[var1]

lea eax,[var2]

call ebx

mov eax,0xc394

pop ebp

push ebp

mov ebp, esp

push 0xC359

call F2

add eax, eax

inc eax

pop ebp

F1_ptr

F0_ptr

F1_ptr

G2_ptr

SH_ptr

G1_ptr

Stack2

G0_ptr

Stack2

var1var2

G0 retxchg esp, eax

Составление словаря гаджетовС точки зрения центрального процессора

УЯЗВИМОСТИ

ЭКСПЛОЙТЫ

SHELLCODE

ВРЕДОНОСНОЕ ПО

ЕДИНСТВЕННАЯ песочница с обнаружениемна уровне процессора (CPU-LEVEL DETECTION)

Традиционные песочницы

• Поведенческое обнаружение

• Можно обойти защиту

Check Point SandBlast

• Обнаружение на уровне CPU

• УСТОЙЧИВ К ОБХОДУ

Тысячи их

Десятки

Миллионы

Противодействие детекту

Семейство решений SANDBLASTБольше, чем песочница

Threat Emulation

Устойчивая к обходу песочница с обнаружением

угроз на уровне CPU

Threat Extraction

Проактивное

предотвращение за

счет мгновенной

доставки очищенного

контента

ForensicsАнализ и расследование

Anti-ransomwareЗащита от програм-шифровальщиков

Zero PhishingЗащита от фишинга

THREAT EMULATION

Устойчивая к обходу песочница

Менее двух минутсреднее время анализа

CPU-LEVEL PUSH-FORWARD

Dropped File Emulation

Shellcode Detector

DGA Generator

Decoys

Image Sanitation

Icon Similarity

Link Scanner

Virtual Network Service

Macro AnalysisEvasion Detection

SMEP Detector

Static Analyzer

DeepScanUAC Monitor

FP GuardNetwork Activity Monitor

Human Interaction Simulator

И ЕЩЕ ДЕСЯТКИ ТЕХНОЛОГИЙ …

SANDBLAST

THREAT EXTRACTION

Доставка

очищенных

файлов

ПРОАКТИВНАЯ ЗАЩИТА

Удаление опасного

содержимого

ОТЛИЧНАЯ БЕЗОПАСНОСТЬ

Доставка данных

за секунды

БЫСТРАЯ ДОСТАВКА

Доставка очищенных файлов в режиме реального времени

Оригинальные файлы в это время проходят эмуляцию

SANDBLAST THREAT EXTRACTIONМгновенная доставка очищенных файлов

Д О О Ч И С Т К И П О С Л Е О Ч И С Т К И

Запуск вредоносного ПО Удаление вредоносного ПО

Мгновенный доступ. Проактивная защита.

Доставка очищенной версии файла в оригинальном формате либо конвертация в формат PDF

SANDBLAST THREAT EXTRACTIONБыстрая доставка безопасного контента

invoice.cleaned.pdf

Без привлечения службы поддержки!

ДОСТУП К ОРИГИНАЛЬНОМУ ФАЙЛУПосле вынесения положительного вердикта

Различные варианты внедренияДля средств защиты периметра сети

DEDICATED APPLIANCEInline SandBlast TE Appliance

SandBlast TE Appliance

• LEVERAGE SECURITY GATEWAYS – Масштабируемое решение

Варианты установки шлюзов и песочниц:

• Inline / SPAN / TAP

• MTA – защита почтового трафика

• ICAP server – интеграция со сторонними решениями

CLOUD SERVICEGateways + SandBlast Service

NGTX Security Gateways

SandBlast ServiceHosted on Check Point Cloud

ON-PREM SERVICEGateways + SandBlast TE Appliance

NGTX Security Gateways

SandBlast TE Appliance

ПРЕДОТВРАЩЕНИЕ

Применение прогрессивных технологий

для предотвращения неизвестных атак

УСПЕШНАЯ СТРАТЕГИЯ ЗАЩИТЫ

РЕАГИРОВАНИЕ

Быстрое обнаружение восстановление системы

после атаки

SANDBLAST

ОСТАНОВИТЬнеизвестную

атаку

Остановить НЕИЗВЕСТНОЕ вредоносное ПО

Остановить ПРОГРАММЫ-ВЫМОГАТЕЛИ

Остановить УТЕЧКУ УЧЕТНЫХ ДАННЫХ

SANDBLAST AGENT: ПРЕДОТВРАЩЕНИЕ

Расширение браузераДля контроля веб-загрузок

Threat Extraction &

Threat Emulation

Монитор файловой системы

Для контроля файлов на носителях

Threat Emulation

ДВА УРОВНЯ ЗАЩИТЫ ОТ НЕИЗВЕСТНЫХ УГРОЗ

SANDBLASTЛокальный или публичный

Защита от неизвестных угроз на рабочей станции

Скачиваемые файлы отправляются в устройство SandBlast1

Пользователю доставляется очищенная версия2

Оригинальный файл эмулируется в фоновом режиме3

КОНВЕРТАЦИЯ в формат PDF либо

ОЧИСТКА с сохранением исходного формата

Мгновенная защита для загружаемых файлов

Простой доступ к оригинальному файлу

Только после эмуляциии вынесения вердикта «чисто»

Самообслуживаниебез обращения в поддержку

ЗАЩИТА ДАННЫХ ОТ ПРОГРАММ-ВЫМОГАТЕЛЕЙ

СПЕЦСРЕДСТВО

Защита рабочих станций от атак

программ-вымогателей

НАДЕЖНОЕ РЕШЕНИЕ

Защита в том числе от

неизвестных угроз

ЗАЩИТАДАННЫХ

Быстрое и надежное

восстановление зашифрованных

файлов

ANTI-RANSOMWARE

Входит в состав SandBlast Agent

Как шифровальщики скачиваются ?

Скачивание инфицированных документовЗараженные веб-сайты

Инфицированные вложения

Вредоносные ссылки

Вредоносный файлы с USB

Использование уязвимости сервера

Скачивание инфицированных

Зараженные веб-сайты

Инфицированные вложения

Вредоносные ссылки

Вредоносный файлы с USB

Использование уязвимости

сервера

Организационные меры борьбы с кибер-вымогательствомСтандартный подход

Каждый пункт важен, однако их недостаточно!

Хорошее начало

ОбучениеОбучите пользователей,

как избежать вымогательства

Длительный процесс восстановления

Может быть сбой при восстановлении

Может также быть зашифрован

BackupНепрерывное резервное

копирование всех данных

Зависит от обновлений

Anti-VirusТрадиционная защита

конечных точек

Как это работает

321Обнаружение Карантин Восстановление

ANTI-RANSOMWARE: Обнаружение и карантин

ОбнаружениеRansomware

Ransomware карантин

Все элементы вредоносного ПО анализируются и идентифицируются модулем расследования инцидентов и помещаются в карантин

Поведенческий анализ

Обнаружение шифрования

Постоянный мониторинг и обнаружение вредоносной активности:• Удаление backup• Удаление теневых копий• Создание страниц с требованием выкупа• …

Мониторинг всех файлов

Обнаружение бесконтрольного шифрования пользовательских данных

ANTI-RANSOMWARE: DATA RESTORATION

РЕЗЕРВНОЕ КОПИРОВАНИЕ ДАННЫХ

Just-in-time: Создаются до изменения файлов

Краткосрочно: Сохраняются до тех пор, пока активность модификации файлов не будет проверена

Безопасность: Защищены от несанкционированного доступа

ВОССТАНОВЛЕНИЕ ДАННЫХ

Автоматически: Зашифрованные файлы автоматически восстанавливаются из резервных копий

| Незначительное влияние на производительность|| Архивируются только файлы, измененные ненадежными приложениями|

| Рекомендуемый размер на жёстком диске: 1GB |

ОбнаружениеRansomware

Образцы новых ransomware собирались ежедневно.

Используется только технология Anti-Ransomware

Без использования AV, без Анти-бота, без песочницы

99.3% CATCH RATE| ~200 образцов в день|6 месяцев теста|

Методология тестирования

ЭФФЕКТИВНОСТЬ

Защита от фишинговых атак

Защита от СОЦИАЛЬНОГО ИНЖИНИРИНГА

Защитаот использованиякорпоративныхучетных данных

на внешнихвеб-сайтах

Обнаружениенеизвестных

фишинговых сайтовна основе

характеристики индикаторов

ФИШИНГОВЫЕ САЙТЫ

КОРПОРАТИВНЫЕ УЧЕТНЫЕ ЗАПИСИ

Visual Similarity

Text Similarity

Title Similarity

URL Similarity

Lookalike Characters

Image Only Site

Multiple Top-Level Domain

Lookalike Favicon

IP Reputation

Domain Reputation

ОБЩАЯ ОЦЕНКА: 95%

ТЕХНОЛОГИЯ ZERO PHISHINGЗащита пользователей от фишинговых атак

Доступ к новому сайту запускает механизмы оценки1

Оценка производится на основе репутации и эвристического анализа2

Вердикт выносится в течение нескольких секунд3

ВНИМАНИЕ! Фишинговая атака!

ПРЕДОТВРАЩЕНИЕ

Применение прогрессивных технологий

для предотвращения неизвестных атак

УСПЕШНАЯ СТРАТЕГИЯ ЗАЩИТЫ

РЕАГИРОВАНИЕ

Быстрое обнаружение восстановление системы

после атаки

SANDBLAST

ОБНАРУЖЕНИЕ НЕИЗВЕСТНЫХ ЗАРАЖЕНИЙ

ЗАРАЖЕНОБНАРУЖЕНИЕ иИЗОЛЯЦИЯинфицированных рабочих станций

ТЕХНОЛОГИЯ ANTI-BOT

Проверка исходящего трафика

Информация THREAT INTELLIGENCE постоянно поступает агенту1

Исходящий трафик проверяется локальным ANTI-BOT2

Трафик к C&C и утечки данныхБЛОКИРУЮТСЯ3

Вредоносный процесс помещается в КАРАНТИН либо система БЛОКИРУЕТСЯ целиком4

РАССЛЕДОВАНИЕ ИНЦИДЕНТОВАвтоматический анализ инцидентадля его эффективного расследования

Не нужно привлекать

дорогостоящих аналитиков

АКТУАЛЬНАЯ ИНФОРМАЦИЯ

Информация, которая

действительно нужна

ИНТЕРАКТИВНЫЙ ОТЧЕТ

FORENSICS

Сбор данных Forensics и составление отчета

Данные FORENSICSсобираются постоянно с различных сенсоров ОС1

Отчет составляется автоматически по срабатыванию ТРИГГЕРА2

Отчет обИНЦИДЕНТЕотправляется в SmartEvent

4ProcessesRegistry

Network

Специальные АЛГОРИТМЫанализируют данные Forensics3

ОБЗОР ОТЧЕТА: РАССЛЕДОВАНИЕ ИНЦИДЕНТА

Это реальное заражение?

Попытки доступа к даннымОбезвреженные элементы

Детальная информация

Как это попало в систему?

Тестирование решений по безопасностипроводимое независимой лабораторией NSS Labs

IPS Recommended – Январь 2011Best integrated IPS Security Score of 97.3%!

NGFW Recommended – Апрель 2011World’s first NSS Recommended NGFW!

FW Recommended – Апрель 2011Only vendor to pass the initial test!

NGFW Recommended – Январь 2012Continued NGFW Leadership and Excellence!

IPS Recommended – Июль 2012Leading integrated IPS Security Score of 98.7%!

FW Recommended – Январь 2013Best Security + Management score of 100%!

IPS Individual Test – Февраль 2013 *6100 IPS Security Score of 99%! 26.5G IPS

NGFW Recommended – Февраль 2013Best Security + Management Score of 98.5%!

NGFW Recommended – Сентябрь 20144th NGFW Recommended and 9th NSS Recommended since 2011!

BDS Recommended – Август 2015Leading Security Effectiveness and TCO!

IPS Recommended – Ноябрь 2013100% Mgt score; Best annual Mgt/Labor Cost (Upkeep / Tuning)!

NGFW Recommended – Февраль 201699.8% Security Score! 5th NGFW Recommended and 11th NSS Recommended since 2011!

BDS Recommended – Август 20162nd BDS Recommended! 100% Evasion Resistant!

NGIPS Recommended – Октябрь 2016Leading Overall Security Effectiveness (99.9%) and TCO!

NGFW Recommended –

Июнь 201799.86% Exploit Security Score! 6th

NGFW Recommended, 14th since 2011.

BDS Recommended –

Октябрь 201799.7% Breach Detection Score! 3rd

BDS Recommended, 15th since 2011.

NGIPS Recommended –

Ноябрь 201799.52% Exploit Block Rate Score! 5th

IPS Recommended, 16th since 2011.

[Internal Use] for Check Point employees

Тестирование «песочниц»Breach Prevention System (BPS) 2017

•Результаты тестирования: 100% Breach Prevention System Combined Score 100% protection against Drive-By exploits. 100% protection against Social Exploits. 100% protection against HTTP Malware. 100% protection against Email malware. 100% protection against Off-Line Infections.

• A leading TCO of $14 Price per protected Mbps vs. $414 for the lowest rated vendor

• 0.0% False Positives.

• 99.2% evasions

СПАСИБО!

CHECK POINT...©2018 Check Point Software Technologies Ltd. 8Обнаружение и...

Documents

Check sys3 googlemobu 1404

Check-direct CPE IFU 080-03 FR 05Sept2013check-points.nl/downloads/manuals/Check-Direct_CPE... · Version 1.1, publiée le 05-09-2013 Champs d’application Check-Direct CPE est un

Digital Pulse Check Suisse

CHECK : 10

приложения€¦ · Page 2 of 48 ПРОЕКТ РЕШЕНИЯ 1 Пункт 3(b) повестки дня Осуществление общей программы работы

La check-list (C/L)

Про охорону праціnmcpz.ho.ua/document/biblio/zak_OP_zminy0714.pdfЗАКОН УКРАЇНИ Про охорону праці Закон введено в дію з дня

НОВОСТЬ ДНЯ Участие в финансовой олимпиадеschool2-obl.ru/wp-content/uploads/2016/05/...МАРТ 2016 ГАЗЕТА ТВОРЧЕСКОГО ОБЪЕДИНЕНИЯ

CHECK OUT COBIAX - ANTHELYS

БЮДЖЕТ ДЛЯ ГРАЖДАН НА 201 ГОДмоневскаязастава.рф/wp-content/uploads... · 2019-05-06 · Спил деревьев угроз, посадка

CHECK-UP CENTER

CHECK LIST - bmb-medical.com

Наша газета - Gazprom№ 1 (4) Июль 2010 г. Газета ООО «Газпром инвест Запад», к трехлетию со дня основания ИНВЕСТ

Winter Check

UKRAINE - Widerstrahlwiderstrahl.org/uploads/p_40_61073494.pdf · оставались друзьями вплоть до последнего дня нашего путешествия

uon.cg.gov.uauon.cg.gov.ua/web_docs/2143/2014/12/docs/День... · Web viewМетодичні рекомендації до відзначення Дня захисника України,

Check Lait & Suivi Cellule

Check-list pour l’approbation des cinémomètres RADAR ...routes.wallonie.be/documents/Check-list Cinemometre-radar.pdf · Check-list pour l’approbation des cinémomètres RADAR

Україниtsou.org.ua/content/files/buleten_2007-80.pdfНапередодні дня Соборності 20 січня в Роменському центрі поза-шкільної

Performance Check by K&P