![[Restricted] ONLY for designated
groups and individuals
Представляем
AGENT
SandBlast
CHECK POINT](https://image.slidesharecdn.com/checkpoint-160425055516/85/Check-Point-24-320.jpg)
![SANDBLAST Агент
Защита
от нацеленных
атак
Сдерживание
инфекции
Реакция
[Restricted] ONLY for designated groups and
Threat Extraction & песочница для
ПК
• Доставляет безопасные файлы
• Проверяет исходные файлы
• Защищает скачивания из интернета и
копирования с внешних носителей](https://image.slidesharecdn.com/checkpoint-160425055516/85/Check-Point-26-320.jpg)
![SANDBLAST Агент
[Restricted] ONLY for designated groups and
Автоматическое расследование и
ликвидация последствий
• Расследование – экономия времени и денег
• Учет сетевой активности
• Взаимодействие с антивирусом
• Восстановление и ликвидация последствий
Защита
от нацеленных
атак
Сдерживание
инфекции
Реакция
](https://image.slidesharecdn.com/checkpoint-160425055516/85/Check-Point-32-320.jpg)
![[Restricted] ONLY for designated
groups and individuals
Ответ на инцидент предполагает
понимание угрозы
Вопросы при расследовании:
1. Атака реальна?
2. Какие способы проникновения?
3. Какие данные были похищены?
4. Как ликвидировать последствия?](https://image.slidesharecdn.com/checkpoint-160425055516/85/Check-Point-33-320.jpg)
![SANDBLAST Агент
[Restricted] ONLY for designated groups and
Сдерживание
инфекции
Защита
от нацеленных
атак
Реакция
](https://image.slidesharecdn.com/checkpoint-160425055516/85/Check-Point-42-320.jpg)
Check Point. Сергей Чекрыгин. "На один шаг впереди"
- 1. г. Краснодар 31 МАРТА 2016#CODEIB Сергей Чекрыгин Check Point На один шаг ВПЕРЕДИ EMAIL [email protected]
- 2. Традиционный подход Антивирус Фильтрация по URL IPS, СОВ Анти-бот Контроль приложений Атаки Бот-сети Опасные приложения Вредоносный сайт Вирус
- 3. Больше безопасности в одном устройстве Межсетевой экран & VPN Система предотвращения вторжений Контроль приложений Интеграция с AD Фильтрация по URL Антивирус Антибот Сетевой DLP
- 4. Модели 4000 Малые офисы До 3 Гб/c МЭ, от $600 Корпоративные шлюзы До 6 Гб/c IPS Центры обработки данных До 110 Гб/C МЭ Высокая доступность и легкое обслуживание 15000 23000 41000 61000 1100 Платформа для телеком Мастшабируемость Балансировка нагрузки 2200
- 5. стало известным? о делать, обы неизвестное
- 8. Мы не сможем решить проблему, думая также, как когда мы создали её Альберт Эйнштейн
- 9. еизвестные угрозы не могут быть пойманы традиционными технологиями ИБ
- 10. Песочница Способ работы с тем, что мы не знаем:
- 11. Как работает Песочница • Системный реестр • Сетевые соединения • Файловая активность • Процессы
- 12. Например: • Другая версия ОС или SP • Тестирование на виртуальную машину • Задержка в атаке Вирус может скрыться от Песочницы
- 15. Уязвимость Проникновение Код пользуется уязвимостью для изменения поведения системы Способ проникновения вируса
- 16. Уязвимость Проникновение Shellcode Вредоносный код загружается и получает права доступа Способ проникновения вируса
- 17. Shellcode Вирус Код начинает вредоносные действия Способ проникновения вируса Уязвимость Проникновение
- 19. Проверка на место возврата A B C D E F21 3 45 6 Проверка возврата управления в код на место вызова в командах процессора для поиска подозрительного кода
- 20. Песочница с защитой от угроз на уровне процессора • Обнаруживает атаки до заражения • Увеличивает шансы поймать вирус • Не зависит от ОС • Устойчива к техникам обхода песочниц
- 22. Технология THREAT EXTRACTION Пересоздание документа для исключения активного содержимого
- 24. [Restricted] ONLY for designated groups and individuals Представляем AGENT SandBlast CHECK POINT
- 25. Предотвращение угроз на ПК Незащищенные векторы атаки Работа вне офиса M2M внутри периметра Внешние носители
- 26. SANDBLAST Агент Защита от нацеленных атак Сдерживание инфекции Реакция [Restricted] ONLY for designated groups and Threat Extraction & песочница для ПК • Доставляет безопасные файлы • Проверяет исходные файлы • Защищает скачивания из интернета и копирования с внешних носителей
- 27. SANDBLAST Расширение для браузера При скачивании из интернета Мониторинг файловой системы для копируемых файлов Как работает защита от направленных атак
- 28. Мгновенная защита при загрузке из сети Доставка безопасного файла Конвертация PDF для защиты или безопасная версия исходного файла
- 29. Самостоятельно, без помощи службы поддержки Доступ к исходному файлу после проверки документа
- 30. SANDBLAST Агент Анти-бот для рабочих станций и карантин • Обнаруживает и блокирует общение с командным центром • Указывает на зараженный файл • Изолирует зараженную рабочую станцию Защита от нацеленных атак Сдерживание инфекции Реакция
- 31. Блокируем зараженную станцию Предотвращаем потери • Блокируем управляющий канал • Предотвращаем утечку данных Sandblast Агент: Анти-бот Для рабочих станций Определем зараженные станции • Внутри и вне периметра • Изолируем работу внутри периметра Определяет управляющий канал – знаем зараженную станцию Блокирует управляющий канал – изолируем вирус Управление остановлено Управляющий канал Анти-бот
- 32. SANDBLAST Агент [Restricted] ONLY for designated groups and Автоматическое расследование и ликвидация последствий • Расследование – экономия времени и денег • Учет сетевой активности • Взаимодействие с антивирусом • Восстановление и ликвидация последствий Защита от нацеленных атак Сдерживание инфекции Реакция
- 33. [Restricted] ONLY for designated groups and individuals Ответ на инцидент предполагает понимание угрозы Вопросы при расследовании: 1. Атака реальна? 2. Какие способы проникновения? 3. Какие данные были похищены? 4. Как ликвидировать последствия?
- 34. Анализ сетевой активности SandBlast Agent Forensics Обнаружение бота Обнаружение бота Блокировка управляющего канала Блокировка управляющего канала Зараженная станция Зараженная станция Командный центрКомандный центр Изучение атакиИзучение атаки
- 35. Перехват коммуникации Процесс связывается с командным центром Перехват коммуникации Процесс связывается с командным центром Происхождение атаки Уязвимость в Chrome Происхождение атаки Уязвимость в Chrome От инцидента к расследованию Автоматический анализ от начала атаки От инцидента к расследованию Автоматический анализ от начала атаки Код для проникновения Файл запущен в Chrome Код для проникновения Файл запущен в Chrome Атака отслеживается при перезагузках Атака отслеживается при перезагузках Похищенные данные Вирус обращался к документу Запуск вируса Вирус запустится после загрузки Запуск вируса Вирус запустится после загрузки Скачивание вируса Вирус скачан и установлен Скачивание вируса Вирус скачан и установлен Активация вируса Запланирована задача после загрузки Активация вируса Запланирована задача после загрузки
- 36. Что обычно делают после взлома? Традиционное расследование Традиционное расследование Надежда на карантин антивируса Надежда на карантин антивируса Восстановление из образа Восстановление из образа • Работает только для известных угроз • Антивирус пропустит всё, что было до обнаружения вируса • Данные могут быть похищены до обнаружения • Работает только для известных угроз • Антивирус пропустит всё, что было до обнаружения вируса • Данные могут быть похищены до обнаружения • Не возвращает похищенные данные • Затратная и разрушительная процедура • На защитит от повторной атаки • Не возвращает похищенные данные • Затратная и разрушительная процедура • На защитит от повторной атаки • Расследование требует времени • Расследование требует редкой квалификации • Слишком дорого для каждого инцидента • Расследование требует времени • Расследование требует редкой квалификации • Слишком дорого для каждого инцидента Обычный подход после инцидента:
- 37. Подозрительна я активность Детали Степень опасности Вопрос 1: Это реальная атака? Понимание инцидента Мгновенный ответ На важные вопросы
- 38. Понимание инцидента Выводы Детали Вопрос 2: Какие способы проникновения?
- 39. Утерянные файлы Вопрос 3: Каков ущерб? Что похищено? Понимание инцидента
- 40. От понимания к действиям Генерация скрипта для восстановления Вопрос 4: Как ликвидировать последствия? Как восстановиться?
- 41. Взгляд на этапы атаки Интерактивный отчет • Вся атаки на одном экране • Отслеживание всех элементов • Обзор всех перезагрузок • Детали по каждому элементу Интерактивный отчет • Вся атаки на одном экране • Отслеживание всех элементов • Обзор всех перезагрузок • Детали по каждому элементу
- 42. SANDBLAST Агент [Restricted] ONLY for designated groups and Сдерживание инфекции Защита от нацеленных атак Реакция
- 43. Единственное решение с автоматическим анализом инцидентов и скриптом для восстановления Единственное решение с автоматическим анализом инцидентов и скриптом для восстановления SANDBLAST Агент Другие продукты собирают данные для анализа Другие продукты собирают данные для анализа SandBlast Агент анализируетSandBlast Агент анализирует
- 44. Демонстрация и пилотирование Отчет Security Checkup – проверка трафика в сети заказчика, бесплатно и конфиденциально. • Выявляение опасных приложений, • доступ к опасным сайтам, • коммуникации бот-сетей, • вирусные атаки, • утечка данных, • IPS атаки, • объяснение выявленных угроз, • рекомендации по устранению Обратить к партнеру
- 45. CHECK POINT Мы защищаем будущее Сергей Чекрыгин [email protected]