Recommended
Recommended
More Related Content
What's hot
What's hot (20)
Similar to Check Piont. Чекрыгин Сергей. "На один шаг впереди"
Similar to Check Piont. Чекрыгин Сергей. "На один шаг впереди" (20)
More from Expolink
More from Expolink (20)
Check Piont. Чекрыгин Сергей. "На один шаг впереди"
- 1. ©2015 Check Point Software Technologies Ltd. 1 Сергей Чекрыгин На один шаг ВПЕРЕДИ
- 2. ©2015 Check Point Software Technologies Ltd. 2 Традиционный подход Антивирус Фильтрация по URL IPS, СОВ Анти-бот Контроль приложений Атаки Бот-сети Опасные приложения Вредоносный сайт Вирус
- 3. ©2015 Check Point Software Technologies Ltd. 3 Больше безопасности в одном устройстве Межсетевой экран & VPN Система предотвращения вторжений Контроль приложений Интеграция с AD Фильтрация по URL Антивирус Антибот Сетевой DLP
- 4. ©2015 Check Point Software Technologies Ltd. 4 Модели 4000 Малые офисы До 3 Гб/c МЭ От $600 Enterprise Grade 3 to 11 Gbps firewall throughput 2 to 6 Gbps IPS throughput Ultra Data Center Protection 15 to 110 Gbps firewall throughput High availability and serviceability Optional acceleration with low latency 15000 23000 41000 61000 1100 Carrier grade scalable platform Scalable Performance 60x10GbE ports, 8x40GbE ports True Load Balancing 2200
- 5. ©2015 Check Point Software Technologies Ltd. 5 Стало Известным? Что делать, Чтобы неизвестное
- 6. ©2015 Check Point Software Technologies Ltd. 6 Интеллектуальное Взаимодействие Анализ безопасности IntelliStoreСенсоры CERTs Анализ событий Сообщество ИБ Исследование кода
- 7. ©2015 Check Point Software Technologies Ltd. 7 CHECK POINT WE SECURE THE FUTURE
- 8. ©2015 Check Point Software Technologies Ltd. 8 Мы не сможем решить проблему, Думая также, как когда Мы создали её Альберт Эйнштейн
- 9. ©2015 Check Point Software Technologies Ltd. 9 Неизвестные угрозы Не могут быть пойманы Традиционными тенологиями ИБ
- 10. ©2015 Check Point Software Technologies Ltd. 10 Песочница Способ работы с тем, что мы не знаем
- 11. ©2015 Check Point Software Technologies Ltd. 11 Как работает Песочница • Системный реестр • Сетевые соединения • Файловая активность • Процессы
- 12. ©2015 Check Point Software Technologies Ltd. 12 Например: • Другая версия ОС или SP • Не работа в виртуальной машине • Задержка в атаке Вирус может скрыться от Песочницы
- 13. ©2015 Check Point Software Technologies Ltd. 13 Как работает Любой вирус
- 14. ©2015 Check Point Software Technologies Ltd. 14 Способ проникновения вируса Уязвимость В системе
- 15. ©2015 Check Point Software Technologies Ltd. 15 Способ проникновения вируса Уязвимость Проникновение Код пользуется уязвимостью для изменения поведения системы
- 16. ©2015 Check Point Software Technologies Ltd. 16 Способ проникновения вируса Уязвимость Проникновение Shellcode Зловредный код загружается и изменяет работающее приложение
- 17. ©2015 Check Point Software Technologies Ltd. 17 Способ проникновения вируса Уязвимость Проникновение Shellcode Вирус Вирус начинает слежку или Действия
- 18. ©2015 Check Point Software Technologies Ltd. 18 Способ проникновения вируса Уязвимость Проникновение Shellcode Вирус Уровень команд процессора Уровень ОС
- 19. ©2015 Check Point Software Technologies Ltd. 19 Проверка на место возврата A B C D E F2 1 3 4 5 6 Проверка возврата управления в код на место вызова в командах процессора для поиска подозрительного кода
- 20. ©2015 Check Point Software Technologies Ltd. 20 Песочница с защитой от угроз на уровне процессора • Обнаруживает атаки до заражения • Увеличивает шансы поймать вирус • Не зависит от ОС • Устойчива к техникам обхода песочниц
- 21. ©2015 Check Point Software Technologies Ltd. 21 Можно ли избежать всех неизвестных угроз? Другой подход
- 22. ©2015 Check Point Software Technologies Ltd. 22 THREAT EXTRACTION На шаг впереди Пересоздание документа для исключения вирусов
- 23. ©2015 Check Point Software Technologies Ltd. 23
- 24. ©2015 Check Point Software Technologies Ltd. 24[Restricted] ONLY for designated groups and individuals Представляем AGENT SandBlast CHECK POINT
- 25. ©2015 Check Point Software Technologies Ltd. 25 SANDBLAST Агент З а щи т а о т н а ц е л е н н ы х а та к н а Р а б о ч и х с та н ц и я х THREAT EXTRACTION & песочница для рабочих станций • Доставляет безопасные файлы • Проверяет исходные файлы • Защищает скачивания из интернета и копирования с внешних носителей Защита от нацеленных атак Определение и сдерживание инфекции Реакция и восстановление [Restricted] ONLY for designated groups and individuals
- 26. ©2015 Check Point Software Technologies Ltd. 26 Предотвращение угроз на рабочих станциях [Restricted] ONLY for designated groups and individuals Незащищенные векторы атаки Работа вне офиса M2M внутри периметра Внешние носители
- 27. ©2015 Check Point Software Technologies Ltd. 27 SANDBLAST Расширение для барузера При скачивании из интернета Мониторинг файловой системы для копируемых файлов Как работает защита от направленных атак [Restricted] ONLY for designated groups and individuals
- 28. ©2015 Check Point Software Technologies Ltd. 28 Мгновенная защита при скачивании из интернета Доставка безопасного файла Конвертация PDF для защиты Или безопасная версия исходного файла [Restricted] ONLY for designated groups and individuals
- 29. ©2015 Check Point Software Technologies Ltd. 29 Самостоятельно, без помощи службы поддержки Доступ к исходному файлу после проверки исходного документа [Restricted] ONLY for designated groups and individuals
- 30. ©2015 Check Point Software Technologies Ltd. 30 SANDBLAST Агент З а щи т а о т н а ц е л е н н ы х а та к н а Р а б о ч и х с та н ц и я х Определение и сдерживание инфекции Реакция и восстановление [Restricted] ONLY for designated groups and individuals Защита от нацеленных атак Анти-бот для рабочих станций и карантин • Обнаруживает и блокирует общение с командным центром • Указывает на зараженный файл • Изолирует зараженную рабочую станцию
- 31. ©2015 Check Point Software Technologies Ltd. 31 Блокируем зараженную станцию Предотвращаем потери • Блокируем управляющий канал • Предотвращаем утечку данных Sandblast Агент: Анти-бот Для рабочих станций Определем зараженные станции • Внутри и вне периметра • Изолируем работу внутри периметра Определяет управляющий канал – знаем зараженную станцию Блокирует управляющий канал – изолируем вирус Управление остановлено Управляющий канал Анти-бот
- 32. ©2015 Check Point Software Technologies Ltd. 32 SANDBLAST Агент З а щи т а о т н а ц е л е н н ы х а та к н а Р а б о ч и х с та н ц и я х Реакция и восстановление [Restricted] ONLY for designated groups and individuals Защита от нацеленных атак Определение и сдерживание инфекции Автоматическое расследование и ликвидация последствий • Расследование – экономия времени и денег • Учет сетевой активности • Взаимодействие с антивирусом • Восстановление и ликвидация последствий
- 33. ©2015 Check Point Software Technologies Ltd. 33[Restricted] ONLY for designated groups and individuals Ответ на инцидент предполагает понимание угрозы Вопросы при расследовании: 1. Атака реальна? 2. Какие способы проникновения? 3. Какие данные были похищены? 4. Как ликвидировать последствия?
- 34. ©2015 Check Point Software Technologies Ltd. 34 Анализ сетевой активности [Protected] Non-confidential content SandBlast Agent Forensics Обнаружение бота Блокировка управляюего канала Зараженная станция Командный центр Изучение атаки
- 35. ©2015 Check Point Software Technologies Ltd. 35[Protected] Non-confidential content Перехват коммуникации Процесс связывается с командным центром Происхождение атаки Уязвимость в Chrome От инцидента к расследованию Автоматический анализ от начала атаки Код для проникновения Файл запущен в Chrome Атака отслеживается при перезагузках Похищенные данные Вирус обращался к документу Запуск вируса Вирус запустится после загрузки Скачивание вируса Вирус скачан и установлен Активация вируса Запланирована задача после загрузки
- 36. ©2015 Check Point Software Technologies Ltd. 36 Что обычно делают после взлома? Традиционное расследование Надежда на карантин антивируса Восстановление из образа • Работает только для известных угроз • Антивирус пропустит всё, что было до обнаружения вируса • Данные могут быть похищены до обнаружения • Не возвращает похищенные данные • Затратная и разрушительная процедура • На защитит от повторной атаки • Расследование требует времени • Расследование требует редкой квалификации • Слишком дорого для каждого инцидента [Restricted] ONLY for designated groups and individuals Обычный подход после инцидента:
- 37. ©2015 Check Point Software Technologies Ltd. 37[Restricted] ONLY for designated groups and individuals Подозрительная активность Детали Степень опасности Вопрос 1: Это реальная атака? Понимание инцидента Мгновенный ответ На важные вопросы
- 38. ©2015 Check Point Software Technologies Ltd. 38 Понимание инцидента Выводы Детали Вопрос 2: Какие способы проникновения? [Restricted] ONLY for designated groups and individuals
- 39. ©2015 Check Point Software Technologies Ltd. 39 Понимание инцидента [Restricted] ONLY for designated groups and individuals Утерянные файлы Вопрос 3: Каков ущерб? Что похищено?
- 40. ©2015 Check Point Software Technologies Ltd. 40 От понимания к действиям Генерация скрипта для восстановления Вопрос 4: Как ликвидировать последствия? Как восстановиться? [Restricted] ONLY for designated groups and individuals
- 41. ©2015 Check Point Software Technologies Ltd. 41[Restricted] ONLY for designated groups and individuals Взгляд на этапы атаки Интерактивный отчет • Вся атаки на одном экране • Отслеживание всех элементов • Обзор всех перезагрузок • Детали по каждому элементу
- 42. ©2015 Check Point Software Technologies Ltd. 42 SANDBLAST Агент З а щи т а о т н а ц е л е н н ы х а та к н а Р а б о ч и х с та н ц и я х [Restricted] ONLY for designated groups and individuals Защита от нацеленных атак Определение и сдерживание инфекции Реакция и восстановление
- 43. ©2015 Check Point Software Technologies Ltd. 43[Protected] Non-confidential content Единственное решение с автоматическим анализом инцидентов и скриптом для восстановления SANDBLAST Агент Другие продукты собирают данные для анализа SandBlast Агент анализирует
- 44. ©2015 Check Point Software Technologies Ltd. 44 Демонстрация и пилотирование Отчет Security Checkup – проверка трафика в сети заказчика, бесплатно и конфиденциально. • Выявляение опасных приложений, • доступ к опасным сайтам, • коммуникации бот-сетей, • вирусные атаки, • утечка данных, • IPS атаки, • объяснение выявленных угроз, • рекомендации по устранению Обратить к партнеру для заказа услуги
- 45. ©2015 Check Point Software Technologies Ltd. 45 CHECK POINT WE SECURE THE FUTURE • Сергей Чекрыгин • schekrygin@checkpoint.com
Editor's Notes
- This approach is important and needed as many of the attacks are still using known methods and malware
- Current solution to fight zero day and unknown malware is sandboxing Sandbox is a powerful solution it is looking for malicious activities when the running malware
- Vulnerability- Trigger an attack through an unpatched or zero-day vulnerability Exploit- Bypass the chip and OS security controls using exploitation methods Shellcode- Activate an embedded payload to retrieve the malware Malware- Run malicious code
- Vulnerability- Trigger an attack through an unpatched or zero-day vulnerability Exploit- Bypass the chip and OS security controls using exploitation methods Shellcode- Activate an embedded payload to retrieve the malware Malware- Run malicious code
- Vulnerability- Trigger an attack through an unpatched or zero-day vulnerability Exploit- Bypass the chip and OS security controls using exploitation methods Shellcode- Activate an embedded payload to retrieve the malware Malware- Run malicious code
- Vulnerability- Trigger an attack through an unpatched or zero-day vulnerability Exploit- Bypass the chip and OS security controls using exploitation methods Shellcode- Activate an embedded payload to retrieve the malware Malware- Run malicious code
- Vulnerability- Trigger an attack through an unpatched or zero-day vulnerability Exploit- Bypass the chip and OS security controls using exploitation methods Shellcode- Activate an embedded payload to retrieve the malware Malware- Run malicious code
- We should challenge ourselves for additional ways
- We see 3 key things
- With today’s sophisticated watering hole, spear phishing, and drive by exploits, malicious content downloaded from the web is of particular concern. For this content, we provide a unique proactive approach to securing content, Threat Extraction.
- We see 3 key things
- We see 3 key things
- We see 3 key things