Конференция "Код ИБ 2016". Омск

1. г. Омск
26 МАЯ 2016#CODEIB
Сергей Чекрыгин
Check Point
На один шаг ВПЕРЕДИ
EMAIL schekrygin@checkpoint.com

2. Традиционный подход
Антивирус
Фильтрация по URL
IPS, СОВ
Анти-бот
Контроль приложений
Атаки
Бот-сети
Опасные приложения
Вредоносный сайт
Вирус

3. Больше безопасности
в одном устройстве
Межсетевой экран & VPN
Система предотвращения вторжений
Контроль приложений
Интеграция с AD
Фильтрация по URL
Антивирус
Антибот
Сетевой DLP

4. Модели
4000
Малые офисы
 3До Гб/c ,МЭ от $600
Корпоративные шлюзы
До 6 Гб/c IPS
Центры обработки данных
До 110 Гб/C МЭ
Высокая доступность и легкое
обслуживание
15000
23000
41000
61000
1100
Платформа для телеком
Мастшабируемость
Балансировка нагрузки
2200

5. стало известным?
о делать,
обы неизвестное

6. теллектуальное
аимодействие
Исследование
кода

7. CHECK POINT
Мы защищаем
будущее

8. Мы не сможем
решить проблему,
думая также, как когда
мы создали её
Альберт Эйнштейн

9. еизвестные угрозы
не могут быть пойманы
традиционными технологиями ИБ

10. Песочница
Способ работы с тем,
что мы не знаем:

11. Как работает Песочница
• Системный
реестр
• Сетевые
соединения
• Файловая
активность
• Процессы

12. Например:
•Другая версия ОС или SP
•Тестирование на виртуальную машину
•Задержка в атаке
Вирус может скрыться
от Песочницы

13. Как работает
Любой вирус

14. Способ проникновения
вируса
Уязвимость

15. Уязвимость Проникновение
Код пользуется уязвимостью
для изменения поведения системы
Способ проникновения
вируса

16. Уязвимость Проникновение Shellcode
Вредоносный код загружается
и получает права доступа
Способ проникновения
вируса

17. Shellcode Вирус
Код начинает
вредоносные
действия
Способ проникновения
вируса
Уязвимость Проникновение

18. Shellcode
Уровень
команд
процессора
Уровень
ОС
Способ проникновения
вируса
ВирусУязвимость Проникновение

19. Проверка на место
возврата
A
B C D E F21
3
45
6 Проверка возврата
управления в код
на место вызова
в командах
процессора
для поиска
подозрительного
кода

20. Песочница с защитой от угроз на уровне процессора
•Обнаруживает атаки до заражения
•Увеличивает шансы поймать вирус
•Не зависит от ОС
•Устойчива к техникам обхода песочниц

21. Можно ли избежать всех
неизвестных угроз?

22. Технология THREAT EXTRACTION
Пересоздание документа для исключения
активного содержимого

23. Threat Extraction

24. [Restricted] ONLY for designated
groups and individuals​
Представляем
AG ENT
SandBlast
CHECK POINT

25. Предотвращение угроз на ПК
Незащищенные векторы атаки
Работа вне
офиса
M2M внутри
периметра
Внешние
носители

26. SANDBLAST Агент
Защита
от нацеленных атак
Сдерживание
инфекции
Реакция
[Restricted] ONLY for designated groups and
Threat Extraction & песочница для
ПК
•Доставляет безопасные файлы
•Проверяет исходные файлы
•Защищает скачивания из интернета и
копирования с внешних носителей

27. SANDBLAST
Расширение для
браузера
При скачивании из интернета
Мониторинг файловой
системы
для копируемых файлов
Как работает защита от
направленных атак

28. Мгновенная защита при загрузке из сети
Доставка безопасного файла
Конвертация PDF для защиты
или безопасная версия исходного файла

29. Самостоятельно, без помощи
службы поддержки
Доступ к исходному файлу
после проверки документа

30. SANDBLAST Агент
-Анти бот
для рабочих станций и карантин
•Обнаруживает и блокирует общение с
командным центром
•Указывает на зараженный файл
•Изолирует зараженную рабочую станцию
Защита
от нацеленных атак
Сдерживание
инфекции
Реакция


31.  Блокируем зараженнуюБлокируем зараженную
станциюстанцию
 Предотвращаем потериПредотвращаем потери
• Блокируем управляющий каналБлокируем управляющий канал
• Предотвращаем утечку данныхПредотвращаем утечку данных
Sandblast Агент: Анти-бот
Для рабочих станций
 ОпределемОпределем
зараженные станциизараженные станции
• Внутри и вне периметраВнутри и вне периметра
• Изолируем работуИзолируем работу
внутри периметравнутри периметра
 Определяет управляющий каналОпределяет управляющий канал – знаем зараженную станцию– знаем зараженную станцию
 Блокирует управляющий каналБлокирует управляющий канал –– изолируем вирусизолируем вирус
Управление остановлено
Управляющий канал
Анти-бот

32. SANDBLAST Агент
[Restricted] ONLY for designated groups and
Автоматическое расследование и
ликвидация последствий
•Расследование – экономия времени и денег
•Учет сетевой активности
•Взаимодействие с антивирусом
•Восстановление и ликвидация последствий
Защита
от нацеленных атак
Сдерживание
инфекции
Реакция
 

33. [Restricted] ONLY for designated
groups and individuals​
Ответ на инцидент
предполагает понимание угрозы
Вопросы при расследовании:
1.Атака реальна?
2.Какие способы проникновения?
3.Какие данные были похищены?
4.Как ликвидировать последствия?

34. Анализ сетевой активности
SandBlast Agent Forensics
Обнаружение
бота
Обнаружение
бота
Блокировка управляющего
канала
Блокировка управляющего
канала
Зараженная
станция
Зараженная
станция
Командный центрКомандный центр
Изучение атакиИзучение атаки

35. Перехват
коммуникации
Процесс
связывается с
командным центром
Перехват
коммуникации
Процесс
связывается с
командным центром
Происхождение
атаки
Уязвимость в Chrome
Происхождение
атаки
Уязвимость в Chrome
От инцидента к
расследованию
Автоматический анализ
от начала атаки
От инцидента к
расследованию
Автоматический анализ
от начала атаки
Код для проникновения
Файл запущен в Chrome
Код для проникновения
Файл запущен в Chrome
Атака
отслеживается
при перезагузках
Атака
отслеживается
при перезагузках
Похищенные данные
Вирус обращался к документу
Запуск вируса
Вирус запустится
после загрузки
Запуск вируса
Вирус запустится
после загрузки
Скачивание
вируса
Вирус скачан и
установлен
Скачивание
вируса
Вирус скачан и
установлен
Активация вируса
Запланирована задача
после загрузки
Активация вируса
Запланирована задача
после загрузки

36. Что обычно делают после взлома?
Традиционное
расследование
Традиционное
расследование
Надежда на
карантин
антивируса
Надежда на
карантин
антивируса
Восстановление
из образа
Восстановление
из образа
• Работает только для известных угроз
• Антивирус пропустит всё, что было до
обнаружения вируса
• Данные могут быть похищены до обнаружения
• Работает только для известных угроз
• Антивирус пропустит всё, что было до
обнаружения вируса
• Данные могут быть похищены до обнаружения
• Не возвращает похищенные данные
• Затратная и разрушительная процедура
• На защитит от повторной атаки
• Не возвращает похищенные данные
• Затратная и разрушительная процедура
• На защитит от повторной атаки
• Расследование требует времени
• Расследование требует редкой квалификации
• Слишком дорого для каждого инцидента
• Расследование требует времени
• Расследование требует редкой квалификации
• Слишком дорого для каждого инцидента
Обычный подход после инцидента:

37. Подозрительн
ая активность
Детали
Степень
опасности
Вопрос 1: Это реальная атака?
Понимание инцидента
Мгновенный ответ
На важные вопросы

38. Понимание инцидентаВыводы
Детал
и
Вопрос 2: Какие способы
проникновения?

39. Утерянные
файлы
Вопрос 3: Каков ущерб? Что похищено?
Понимание инцидента

40. От понимания к действиям
Генерация
скрипта для
восстановлени
я
Вопрос 4: Как ликвидировать
последствия? Как восстановиться?

41. Взгляд на этапы атаки
Интерактивный отчет
•Вся атаки на одном экране
•Отслеживание всех элементов
•Обзор всех перезагрузок
•Детали по каждому элементу
Интерактивный отчет
•Вся атаки на одном экране
•Отслеживание всех элементов
•Обзор всех перезагрузок
•Детали по каждому элементу

42. SANDBLAST Агент
[Restricted] ONLY for designated groups and
Сдерживание
инфекции
Защита
от нацеленных атак

Реакция


43. Единственное решение с автоматическим
анализом инцидентов и скриптом для
восстановления
SANDBLASTSANDBLAST АгентАгент
Другие продукты собирают
данные для анализа
SandBlast Агент анализируетанализирует

44. Демонстрация и пилотирование
Отчет Security Checkup – проверка трафика в сети заказчика, бесплатно и конфиденциально.
•Выявляение опасных приложений,
•доступ к опасным сайтам,
•коммуникации бот-сетей,
•вирусные атаки,
•утечка данных,
•IPS атаки,
•объяснение
выявленных угроз,
•рекомендации
по устранению
Обратить к партнеру
для заказа услуги

45. CHECK POINT
Мы защищаем
будущее
Сергей Чекрыгин
schekrygin@checkpoint.com