CHECK POINT...©2018 Check Point Software Technologies Ltd. 8Обнаружение и блокирование угроз нулевого дня Мгновенная доставка

©2018 Check Point Software Technologies Ltd. 1©2018 Check Point Software Technologies Ltd.

CHECK POINT

Практический подход к предотвращению кибер-атак: новые возможности семейства SandBlast

Дмитрий Кудра | Консультант по безопасности

©2018 Check Point Software Technologies Ltd. 2

Последние события…

рекламу


THE WANNACRY

150Стран

230,000Инфицированных компьютеров

За одни сутки


Malware that has not previously been seen

can often get past traditional technology

WHAT YOUDON’T KNOW…

…ZERO-DAY

How do you protect against

©2015 Check Point Software Technologies Ltd.

Традиционных мер защиты недостаточно

Большинство зловредов встречаются лишь единожды

99% зловредов существуют не более 58 секунд

Злоумышленники постоянно модифицируют код,чтобы избежать обнаружения

Источник: Verizon 2016 Data Breach Investigations Report


Malware that has not previously been seencan often get past traditional technology

WHAT YOUDON’T KNOW…

…ZERO-DAY

How do you protect against


ЧЕГО ВЫНЕ ЗНАЕТЕ?

Как защитить свою инфраструктуру от того

Зловреды, о которых ничего не известно, не могутбыть остановлены традиционными технологиями

ZERO-DAY

[Protected] Distribution or modification is subject to approval


ПРЕДСТАВЛЯЕМCHECK POINT SANDBLAST


Обнаружение и

блокирование

угроз нулевого дня

Мгновенная

доставка

очищенных

документов

Защита вводимых

учетных данных

в веб-формах

Ускорение

расследования

инцидентов

безопасности

Защита рабочих

станций от кибер-

вымогателей

ПРОГРЕССИВНЫЕ ТЕХНОЛОГИИ ЗАЩИТЫ

THREAT EMULATION

THREAT

EXTRACTION

ZERO PHISHING

FORENSICSANTI RANSOMWARE


Обнаружение и

блокирование

угроз нулевого дня

Мгновенная

доставка

очищенных


Защита вводимых

учетных данных

в веб-формах

Ускорение

расследования



Защита рабочих

станций от кибер-

вымогателей

ПРОГРЕССИВНЫЕ ТЕХНОЛОГИИ ЗАЩИТЫ

THREAT EMULATION

THREAT

EXTRACTION

ZERO PHISHING

FORENSICSANTI RANSOMWAREСТАНДАРТНЫЕ ТЕХНОЛОГИИ ЗАЩИТЫ

INTRUSION PREVENTION

ANTI VIRUS ANTI BOT


СЕМЕЙСТВО ТЕХНОЛОГИЙ ЗАЩИТЫ ОТ УГРОЗ

NGTX GATEWAYS

Защита периметра сети и дата-центра

SANDBLAST AGENT

Защита рабочих станций и браузеров

SANDBLAST API

Защита собственных приложений

SANDBLAST CLOUD

Защита облачных приложений


SANDBLAST

THREAT EMULATION

Бескомпромиссное

обнаружение

угроз

ОБНАРУЖЕНИЕ УГРОЗ

Устойчивая к

обходам

песочница*

УСТОЙЧИВАЯК ОБХОДАМ

Вердикт выносится

менее чем за три

минуты

БЫСТРАЯ И ЭФФЕКТИВНАЯ

*Источник: 2016 NSS Labs Breach Detection Systems Test Report

Устойчивая к попыткам обхода песочница

Блокирует неизвестное вредоносное ПО и атаки нулевого дня


Мониторинг:

• Системный реестр

• Сетевые соединения

• Файловая активность

• Системные процессы

Эмуляция файлов в виртуальной среде

ТРАДИЦИОННЫЕ ПЕСОЧНИЦЫ 1ГО ПОКОЛЕНИЯ

Поиск признаков заражения на уровне операционной системы

T H R E AT C O N T AI N E D


INSPECT

FILEEMULATE

PREVENT

TURN

TO

KNOWN

Защита от неизвестных атак с помощью

Check Point Threat Emulation


Exe файлы, PDF и

MS-Office документы

(и архивы)

Определение файлов в

аттачах и при скачивание с

WEB

(Mail, Web, CIFS)

Загрузка файлов в

виртуальную песочницу

на локальном ПАК

или в облаке

INSPECT

Без изменения существующей

инфраструктуры

Поддержка HTTPS и MTA


EMULATE

Файл открывается и

происходит анализ

поведения

Эмуляций

файла в

разных ОСWIN 7, 8, 10, XP

Мониторинг поведения:• Файловая система

• Системный реестр

• Сетевые подключения

• Системные процессы


PREVENT

Шлюз


Блокировка вредоносных

файлов в реальном времени


Автоматическое создание новой

сигнатуры и обновление на всех шлюзах

SHARE


INSPECT EMULATE

PREVENTSHARE

Защита от неизвестных атак с помощью

Check Point Threat Emulation


Joseph_Nyee.pdf

Файловая

активность Системный реестр

Системные

процессыСетевые соединения

Некорректная файловая активность

Операции с системным реестром

Сетевая активность

Операции с процессами

Threat Emulation за работой


Отчет работы Threat Emulation








Использование песочниц стало очень популярным

Злоумышленники изобретают способы обхода

КАКИМ ОБРАЗОМ МОЖНО ОБОЙТИ ПЕСОЧНИЦУ?


Методики обхода песочниц 1ГО поколения

Задержкаисполнения кода

Ускорение системных

часов

Применение собственных

часов…

Поиск песочницыСокрытие

атрибутов ВМ

Запоминание характеристик

песочницы…

Ожиданиедействий человека

Имитациядействий человека

Определение «виртуального

человека»…


Цепочка развития атаки

Атакующий использует непропатченные версии ПО или 0-day уязвимость

Обход защитных механизмов CPU и ОС с использованием техник обхода

Внедрение эксплойтом кода для загрузки вредоносного ПО

У Я З В И М О С Т И

Э К С П Л О Й Т Ы

S H E L L C O D E

Запуск вредоносного кодаВ Р Е Д О Н О С Н О Е П О


Обход защитных механизмов CPU и ОС

• Исследование эксплойтом загруженного в память кода:

Исполняемые файлы и библиотеки операционной системы

Исполняемые файлы и библиотеки приложения

• Поиск доступных «гаджетов»

Короткие фрагменты кода, заканчивающиеся инструкцией «ret»

• Составление исполняемого кода с использованием гаджетов в качестве примитивов

ВОЗВРАТНО-ОРИЕНТИРОВННОЕПРОГРАММИРОВАНИЕ


Обычное исполнение кода ROP-исполнение кода

Shellcode

push ebp

mov ebp, esp

mov eax, ebx

pop ebp

retn 4

db cc

push ebp

mov ebp, esp

---

---

---

mov ebx,[var1]

lea eax,[var2]

call ebx

---

mov eax,0xc394

---

pop ebp

ret

---

push ebp

mov ebp, esp

push 0xC359

call F2

add eax, eax

inc eax

inc eax

inc eax

pop ebp

ret

Addr1

Addr3

Addr4

Addr5

Addr2

Addr0

Stack

F0_ptr

push ebp

mov ebp, esp

mov eax, ebx

pop ebp

retn 4

db cc

push ebp

mov ebp, esp

---

---

---

mov ebx,[var1]

lea eax,[var2]

call ebx

---

mov eax,0xc394

---

pop ebp

ret

---

push ebp

mov ebp, esp

push 0xC359

call F2

add eax, eax

inc eax

inc eax

inc eax

pop ebp

ret

F1

Addr0

Stack

Addr1

Addr2

Addr3

Addr4

Addr5

F1_ptr

Data1

Data

F2

F0_ptr

F1_ptr

F1_ptr

Data1

Data

esp

F0eip

SH

G1

G2

Addr1

Addr2

G2_ptr

SH_ptr

G1_ptr

Addr0

Stack2

var1

var2

esp

G0_ptr

Stack2

var1var2

F0

G0 retxchg esp, eax

eip

Составление словаря гаджетовС точки зрения центрального процессора


УЯЗВИМОСТИ

ЭКСПЛОЙТЫ

SHELLCODE

ВРЕДОНОСНОЕ ПО


ЕДИНСТВЕННАЯ песочница с обнаружениемна уровне процессора (CPU-LEVEL DETECTION)

Традиционные песочницы

• Поведенческое обнаружение

• Можно обойти защиту

Check Point SandBlast

• Обнаружение на уровне CPU

• УСТОЙЧИВ К ОБХОДУ

Тысячи их

Десятки

Миллионы

Противодействие детекту


Семейство решений SANDBLASTБольше, чем песочница

Threat Emulation

Устойчивая к обходу песочница с обнаружением

угроз на уровне CPU

Threat Extraction

Проактивное

предотвращение за

счет мгновенной

доставки очищенного

контента

ForensicsАнализ и расследование


Anti-ransomwareЗащита от програм-шифровальщиков

Zero PhishingЗащита от фишинга


THREAT EMULATION

Устойчивая к обходу песочница

Менее двух минутсреднее время анализа

CPU-LEVEL PUSH-FORWARD

Dropped File Emulation

Shellcode Detector

DGA Generator

Decoys

Image Sanitation

Icon Similarity

Link Scanner

Virtual Network Service

Macro AnalysisEvasion Detection

SMEP Detector

Static Analyzer

DeepScanUAC Monitor

FP GuardNetwork Activity Monitor

Human Interaction Simulator

И ЕЩЕ ДЕСЯТКИ ТЕХНОЛОГИЙ …


SANDBLAST

THREAT EXTRACTION

Доставка

очищенных

файлов

ПРОАКТИВНАЯ ЗАЩИТА

Удаление опасного

содержимого

ОТЛИЧНАЯ БЕЗОПАСНОСТЬ

Доставка данных

за секунды

БЫСТРАЯ ДОСТАВКА

Доставка очищенных файлов в режиме реального времени

Оригинальные файлы в это время проходят эмуляцию


SANDBLAST THREAT EXTRACTIONМгновенная доставка очищенных файлов

Д О О Ч И С Т К И П О С Л Е О Ч И С Т К И

Запуск вредоносного ПО Удаление вредоносного ПО

Мгновенный доступ. Проактивная защита.


Доставка очищенной версии файла в оригинальном формате либо конвертация в формат PDF

SANDBLAST THREAT EXTRACTIONБыстрая доставка безопасного контента

invoice.cleaned.pdf


Без привлечения службы поддержки!

ДОСТУП К ОРИГИНАЛЬНОМУ ФАЙЛУПосле вынесения положительного вердикта


Различные варианты внедренияДля средств защиты периметра сети

DEDICATED APPLIANCEInline SandBlast TE Appliance

SandBlast TE Appliance

• LEVERAGE SECURITY GATEWAYS – Масштабируемое решение

Варианты установки шлюзов и песочниц:

• Inline / SPAN / TAP

• MTA – защита почтового трафика

• ICAP server – интеграция со сторонними решениями

CLOUD SERVICEGateways + SandBlast Service

NGTX Security Gateways

SandBlast ServiceHosted on Check Point Cloud

ON-PREM SERVICEGateways + SandBlast TE Appliance

NGTX Security Gateways

SandBlast TE Appliance


ПРЕДОТВРАЩЕНИЕ

Применение прогрессивных технологий

для предотвращения неизвестных атак

УСПЕШНАЯ СТРАТЕГИЯ ЗАЩИТЫ

РЕАГИРОВАНИЕ

Быстрое обнаружение восстановление системы

после атаки

SANDBLAST


ОСТАНОВИТЬнеизвестную

атаку

Остановить НЕИЗВЕСТНОЕ вредоносное ПО

Остановить ПРОГРАММЫ-ВЫМОГАТЕЛИ

Остановить УТЕЧКУ УЧЕТНЫХ ДАННЫХ

SANDBLAST AGENT: ПРЕДОТВРАЩЕНИЕ


Расширение браузераДля контроля веб-загрузок

Threat Extraction &

Threat Emulation

Монитор файловой системы

Для контроля файлов на носителях

Threat Emulation

ДВА УРОВНЯ ЗАЩИТЫ ОТ НЕИЗВЕСТНЫХ УГРОЗ

SANDBLASTЛокальный или публичный


SANDBLASTЛокальный или публичный

Защита от неизвестных угроз на рабочей станции

Скачиваемые файлы отправляются в устройство SandBlast1

Пользователю доставляется очищенная версия2

Оригинальный файл эмулируется в фоновом режиме3


КОНВЕРТАЦИЯ в формат PDF либо

ОЧИСТКА с сохранением исходного формата

Мгновенная защита для загружаемых файлов


Простой доступ к оригинальному файлу

Только после эмуляциии вынесения вердикта «чисто»

Самообслуживаниебез обращения в поддержку


ЗАЩИТА ДАННЫХ ОТ ПРОГРАММ-ВЫМОГАТЕЛЕЙ

СПЕЦСРЕДСТВО

Защита рабочих станций от атак

программ-вымогателей

НАДЕЖНОЕ РЕШЕНИЕ

Защита в том числе от

неизвестных угроз

ЗАЩИТАДАННЫХ

Быстрое и надежное

восстановление зашифрованных

файлов

ANTI-RANSOMWARE

Входит в состав SandBlast Agent


Как шифровальщики скачиваются ?

Скачивание инфицированных документовЗараженные веб-сайты

Инфицированные вложения

Вредоносные ссылки

Вредоносный файлы с USB

Использование уязвимости сервера

Скачивание инфицированных


Зараженные веб-сайты

Инфицированные вложения

Вредоносные ссылки

Вредоносный файлы с USB

Использование уязвимости

сервера


Организационные меры борьбы с кибер-вымогательствомСтандартный подход

Каждый пункт важен, однако их недостаточно!

Хорошее начало

ОбучениеОбучите пользователей,

как избежать вымогательства

Длительный процесс восстановления

Может быть сбой при восстановлении

Может также быть зашифрован

BackupНепрерывное резервное

копирование всех данных

Зависит от обновлений

Anti-VirusТрадиционная защита

конечных точек


Как это работает

321Обнаружение Карантин Восстановление


ANTI-RANSOMWARE: Обнаружение и карантин

ОбнаружениеRansomware

Ransomware карантин

Все элементы вредоносного ПО анализируются и идентифицируются модулем расследования инцидентов и помещаются в карантин

Поведенческий анализ

Обнаружение шифрования

Постоянный мониторинг и обнаружение вредоносной активности:• Удаление backup• Удаление теневых копий• Создание страниц с требованием выкупа• …

Мониторинг всех файлов

Обнаружение бесконтрольного шифрования пользовательских данных


ANTI-RANSOMWARE: DATA RESTORATION

РЕЗЕРВНОЕ КОПИРОВАНИЕ ДАННЫХ

Just-in-time: Создаются до изменения файлов

Краткосрочно: Сохраняются до тех пор, пока активность модификации файлов не будет проверена

Безопасность: Защищены от несанкционированного доступа

ВОССТАНОВЛЕНИЕ ДАННЫХ

Автоматически: Зашифрованные файлы автоматически восстанавливаются из резервных копий

| Незначительное влияние на производительность|| Архивируются только файлы, измененные ненадежными приложениями|

| Рекомендуемый размер на жёстком диске: 1GB |

ОбнаружениеRansomware


Образцы новых ransomware собирались ежедневно.

Используется только технология Anti-Ransomware

Без использования AV, без Анти-бота, без песочницы

99.3% CATCH RATE| ~200 образцов в день|6 месяцев теста|

Методология тестирования

ЭФФЕКТИВНОСТЬ


Защита от фишинговых атак

Защита от СОЦИАЛЬНОГО ИНЖИНИРИНГА

Защитаот использованиякорпоративныхучетных данных

на внешнихвеб-сайтах

Обнаружениенеизвестных

фишинговых сайтовна основе

характеристики индикаторов

ФИШИНГОВЫЕ САЙТЫ

КОРПОРАТИВНЫЕ УЧЕТНЫЕ ЗАПИСИ


Visual Similarity

Text Similarity

Title Similarity

URL Similarity

Lookalike Characters

Image Only Site

Multiple Top-Level Domain

Lookalike Favicon

IP Reputation

Domain Reputation

ОБЩАЯ ОЦЕНКА: 95%

ТЕХНОЛОГИЯ ZERO PHISHINGЗащита пользователей от фишинговых атак

Доступ к новому сайту запускает механизмы оценки1

Оценка производится на основе репутации и эвристического анализа2

Вердикт выносится в течение нескольких секунд3

ВНИМАНИЕ! Фишинговая атака!


ПРЕДОТВРАЩЕНИЕ

Применение прогрессивных технологий

для предотвращения неизвестных атак

УСПЕШНАЯ СТРАТЕГИЯ ЗАЩИТЫ

РЕАГИРОВАНИЕ

Быстрое обнаружение восстановление системы

после атаки

SANDBLAST


ОБНАРУЖЕНИЕ НЕИЗВЕСТНЫХ ЗАРАЖЕНИЙ

ЗАРАЖЕНОБНАРУЖЕНИЕ иИЗОЛЯЦИЯинфицированных рабочих станций

ТЕХНОЛОГИЯ ANTI-BOT


Проверка исходящего трафика

Информация THREAT INTELLIGENCE постоянно поступает агенту1

Исходящий трафик проверяется локальным ANTI-BOT2

Трафик к C&C и утечки данныхБЛОКИРУЮТСЯ3

Вредоносный процесс помещается в КАРАНТИН либо система БЛОКИРУЕТСЯ целиком4


РАССЛЕДОВАНИЕ ИНЦИДЕНТОВАвтоматический анализ инцидентадля его эффективного расследования

Не нужно привлекать

дорогостоящих аналитиков

АКТУАЛЬНАЯ ИНФОРМАЦИЯ

Информация, которая

действительно нужна

ИНТЕРАКТИВНЫЙ ОТЧЕТ

FORENSICS


Сбор данных Forensics и составление отчета

Данные FORENSICSсобираются постоянно с различных сенсоров ОС1

Отчет составляется автоматически по срабатыванию ТРИГГЕРА2

Отчет обИНЦИДЕНТЕотправляется в SmartEvent

4ProcessesRegistry

Files

Network

Специальные АЛГОРИТМЫанализируют данные Forensics3


ОБЗОР ОТЧЕТА: РАССЛЕДОВАНИЕ ИНЦИДЕНТА

Это реальное заражение?

Попытки доступа к даннымОбезвреженные элементы

Детальная информация

Как это попало в систему?


Тестирование решений по безопасностипроводимое независимой лабораторией NSS Labs

IPS Recommended – Январь 2011Best integrated IPS Security Score of 97.3%!

NGFW Recommended – Апрель 2011World’s first NSS Recommended NGFW!

FW Recommended – Апрель 2011Only vendor to pass the initial test!

NGFW Recommended – Январь 2012Continued NGFW Leadership and Excellence!

IPS Recommended – Июль 2012Leading integrated IPS Security Score of 98.7%!

FW Recommended – Январь 2013Best Security + Management score of 100%!

IPS Individual Test – Февраль 2013 *6100 IPS Security Score of 99%! 26.5G IPS

NGFW Recommended – Февраль 2013Best Security + Management Score of 98.5%!

NGFW Recommended – Сентябрь 20144th NGFW Recommended and 9th NSS Recommended since 2011!

BDS Recommended – Август 2015Leading Security Effectiveness and TCO!

IPS Recommended – Ноябрь 2013100% Mgt score; Best annual Mgt/Labor Cost (Upkeep / Tuning)!

NGFW Recommended – Февраль 201699.8% Security Score! 5th NGFW Recommended and 11th NSS Recommended since 2011!

BDS Recommended – Август 20162nd BDS Recommended! 100% Evasion Resistant!

NGIPS Recommended – Октябрь 2016Leading Overall Security Effectiveness (99.9%) and TCO!

NGFW Recommended –

Июнь 201799.86% Exploit Security Score! 6th

NGFW Recommended, 14th since 2011.

BDS Recommended –

Октябрь 201799.7% Breach Detection Score! 3rd

BDS Recommended, 15th since 2011.

NGIPS Recommended –

Ноябрь 201799.52% Exploit Block Rate Score! 5th

IPS Recommended, 16th since 2011.

[Internal Use] for Check Point employees


Тестирование «песочниц»Breach Prevention System (BPS) 2017


•Результаты тестирования: 100% Breach Prevention System Combined Score 100% protection against Drive-By exploits. 100% protection against Social Exploits. 100% protection against HTTP Malware. 100% protection against Email malware. 100% protection against Off-Line Infections.

• A leading TCO of $14 Price per protected Mbps vs. $414 for the lowest rated vendor

• 0.0% False Positives.

• 99.2% evasions


СПАСИБО!

Documents

CHECK POINT...©2018 Check Point Software Technologies Ltd. 8Обнаружение и блокирование угроз нулевого дня Мгновенная доставка