סמינר: הילל קוברובסקי - הגנת סייבר ברמת תחנת הקצה

‫קוברובסקי‬ ‫הילל‬
‫הסייבר‬ ‫בתחום‬ ‫טרנדים‬ ‫וחוקר‬ ‫טכנולוגי‬ ‫עתידן‬
‫מרצה‬,‫רב‬ ‫ויועץ‬ ‫מנטור‬-‫תחומי‬
‫עסקית‬ ‫כאסטרטגיה‬ ‫וחדשנות‬ ‫סייבר‬ ‫להגנת‬
Hillel@Innovateordie.co.il
054-7700919
End Point Protection
‫ונגמר‬ ‫מתחיל‬ ‫הכול‬‫הקצה‬ ‫בהתקן‬
‫הקצה‬ ‫במשתמש‬

‫היום‬ ‫נדבר‬ ‫מה‬ ‫על‬?

‫מרחוק‬ ‫עבודה‬ ‫בין‬ ‫ההבדל‬VS‫מהבית‬ ‫עבודה‬
‫מרחוק‬ ‫עבודה‬-‫בקצרה‬ ‫מאפיינים‬
-‫מותאמת‬ ‫רשת‬ ‫ארכיטקטורת‬(‫מרכזי‬ ‫סנטר‬ ‫דאטה‬ ‫או‬ ‫ציבורי‬ ‫ענן‬)
-‫החברה‬ ‫בבעלות‬ ‫קצה‬ ‫התקני‬+‫מתאימים‬ ‫סייבר‬ ‫הגנת‬ ‫אמצעי‬(EPP / EDR / SIG
/ DLP)
-‫רב‬ ‫משתמש‬ ‫זיהוי‬-‫שלבי‬(2FA / 3FA)‫אפליקציה‬ ‫ידי‬ ‫על‬ ‫כפול‬ ‫זיהוי‬ ‫כלל‬ ‫בדרך‬
‫הנייד‬ ‫בטלפון‬
-‫חריגה‬ ‫פעילות‬ ‫לזיהוי‬ ‫קבוע‬ ‫באופן‬ ‫מנוטרים‬
‫מהבית‬ ‫עבודה‬-‫בקצרה‬ ‫מאפיינים‬
-‫זה‬ ‫לצורך‬ ‫מראש‬ ‫נבנתה‬ ‫שלא‬ ‫רשת‬ ‫לארכיטקטורת‬ ‫בדיעבד‬ ‫התאמות‬(‫פס‬ ‫רוחב‬
‫סגמנטציה‬)
-‫קצה‬ ‫מחשבי‬‫העובד‬ ‫בבעלות‬=‫הפרוע‬ ‫המערב‬
-‫ההתחברות‬ ‫לאחר‬ ‫מלאה‬ ‫הגנה‬ ‫מספקים‬ ‫שלא‬ ‫מרחוק‬ ‫חיבור‬ ‫פתרונות‬–‫דלת‬
‫אחורית‬‫המחשוב‬ ‫למשאבי‬ ‫ישירות‬ ‫ולהגיע‬ ‫ההגנות‬ ‫כל‬ ‫את‬ ‫לעקוף‬ ‫להתחבר‬
‫הארגון‬ ‫של‬ ‫הרגישים‬

‫היום‬ ‫נדבר‬ ‫מה‬ ‫על‬?
‫הקצה‬ ‫התקן‬ ‫ברמת‬ ‫אבטחה‬ ‫מערכות‬(End Point)
o‫קצה‬ ‫תחנת‬ ‫על‬ ‫הגנה‬"‫סטנדרטית‬":‫הצורך‬ ‫הגדרת‬,‫הקיימים‬ ‫הפתרונות‬ ‫סקירת‬,‫על‬ ‫הגנה‬
‫סטנדרטיות‬ ‫מחשוב‬ ‫סביבות‬:Win / MAC OS / Linux
o‫מחשוב‬ ‫סביבת‬ ‫על‬ ‫הגנה‬"‫סטנדרטיות‬ ‫לא‬":‫ציבורי‬ ‫ענן‬,‫תעשיות‬ ‫רשתות‬
o‫סמארטפונים‬ ‫על‬ ‫הגנה‬‫קצה‬ ‫והתקני‬ ‫טאבלטים‬IOT
oEPP vs EDR
oLocal Management vs Cloud Management
o‫נתיקה‬ ‫מדיה‬ ‫חיבור‬ ‫חסימת‬
o‫ריאליות‬ ‫ציפיות‬‫ריאליות‬ ‫לא‬ ‫ציפיות‬–‫התעשייה‬ ‫של‬ ‫מיתוסים‬ ‫ניפוץ‬
o‫שוק‬ ‫מובילי‬ ‫יצרנים‬:‫ישראלי‬ ‫שוק‬VS‫עולמי‬ ‫שוק‬.
o‫פתרונות‬ ‫להשוות‬ ‫שוק‬ ‫סקרי‬ ‫של‬ ‫מעמיקה‬ ‫הבנה‬:Gartner / IDC / NSS-LABS / Forrester

‫מידע‬ ‫מהסתרת‬ ‫עבר‬ ‫העולם‬‫מידע‬ ‫להצפת‬

‫לרשת‬ ‫מחוברים‬ ‫הזמן‬ ‫כל‬ ‫אנחנו‬!
‫מקום‬ ‫מכל‬,‫התקן‬ ‫מכל‬,‫שעה‬ ‫בכל‬
Global - 2020 Forecast Highlights
➢ In 2020, the gigabyte equivalent of all movies ever made will cross Global IP networks every 2 minutes
➢ Globally, the number of DDoS attacks will be 17.4 million per year in 2020, up from 6.6 million per year in 2015.
➢ Globally, total Internet video traffic )business and consumer, combined( will be 79% of all Internet traffic in 2020, up from 63% in 2015.
3.9B from 7.7B

2020 Cyber Threat Predictions : Old Fashion Ransomware => Crypto Mining

Ransomware - Statistics & Facts

‫הקבוע‬ ‫הקונפליקט‬
•‫בפרט‬ ‫מידע‬ ‫ואבטחת‬ ‫בכלל‬ ‫לאבטחה‬ ‫בנוגע‬ ‫מתמיד‬ ‫קונפליקט‬ ‫ישנו‬
•‫באמצע‬ ‫האיזון‬ ‫את‬ ‫למצוא‬ ‫המטרה‬,‫שהמשתמש‬ ‫אבטחה‬ ‫רמת‬‫שני‬ ‫ומצד‬ ‫איתה‬ ‫לחיות‬ ‫יכול‬ ‫הקצה‬ ‫לקוח‬
‫הארגון‬ ‫על‬ ‫מקובלת‬‫מספקת‬ ‫הגנה‬ ‫כרמת‬ ‫הרגולציה‬
‫ביותר‬ ‫החלשה‬ ‫החולייה‬ ‫כחוזק‬ ‫הוא‬ ‫השרשרת‬ ‫חוזק‬

Business Apps
Workplace
Desktop
Critical
Infrastructure
Amazon, Azure Etc. Office365ctE ,ecrofselaS ,.
Roaming LaptopBranch Office
‫מחשוב‬ ‫סביבות‬2020
‫עולם‬"‫גבולות‬ ‫ללא‬"
- Headquarters ( Users +
Servers)
- Data Center
- Public Cloud (Azure , AWS ,
Google Cloud , Ali Cloud , Oracle
Cloud
- SAAS Platform (Office 365 ,
Gmail , Salesforce , Netflix )
- Private Cloud (VMware ,Hyper-V
, KVM , Citrix Xen)
- Branch Office
- Roaming Laptop
- Smartphone , Tablet
- IOT / IoMT Device

Attack Chain
RECON STAGE
TARGET
CALLBACK PERSIST
BREACH
LAUNCH EXPLOIT INSTALL
COMPROMISE
Attack Chain

© 2017 Cisco and/or its affiliates. All rights reserved.8
enterprise network
Attacker
Perimeter
(Inbound)
Perimeter
(Outbound)
Research targets
(SNS)
1
C2 Server
Spear Phishing
(you@gmail.com)
2
http://welcome.to.jangle.com/exploit.php
Victim clicks link unwittingly3
Bot installed, back door established and receives
commands from C2 server
4
Scan LAN for vulnerable hosts to exploit & find
privileged users
5
Privileged account found.6
Admin Node
Data exfiltrated7
System compromised and data breached.8
www
Attack Chain – without Protection

© 2017 Cisco and/or its affiliates. All rights reserved.8
enterprise network
Attacker
Perimeter
(Inbound)
Perimeter
(Outbound)
Research targets
(SNS)
1
C2 Server
Spear Phishing
(you@gmail.com)
2
http://welcome.to.jangle.com/exploit.php
Victim clicks link unwittingly3
Bot installed, back door established and receives
commands from C2 server
4
Bot will suicide since no C2 connection success5
Admin Node
www
91%
Of C2 can be
blocked at the
DNS layer
15%
Of C2 bypasses
web ports 80&443
Attack Chain – with Protection

•FireWall
•NAT
•VPN (IPSEC)
•QOS
•IDS
•DHCP
•FW HA
•Geo Rule
•SD-WAN
•IDS – IPS – DDOS
•SSL-VPN
•URLF (+ HTTPS)
•Anti Virus / File Block
•App Control
•Anti Spam
•End Point Security
•Wi-Fi Control
•Advance Routing
•Log & Report
•Load Balancer
•User Identity / OTP
•DLP
•WAF
2020
Next Generation FireWall | FW/UTM )Unified Threat Management(
24
26‫שנה‬

‫במערכת‬ ‫שכבתית‬ ‫רב‬ ‫הגנה‬FireWall/UTM‫לאן‬ ‫הבא‬ ‫הדור‬?
Antivirus/
Antispyware
Data Loss
Prevention
Antispam
WAN
Optimization
Endpoint
Protection/
NAC
Firewall
VPN
IPS
Web
Filtering
App
Control
Vulnerability
Mgmt
Wireless
LAN
IPv6,
Dynamic
Routing
SSL
Inspection
VoIP

‫האתגר‬:‫מחשב‬ ‫לא‬ ‫בכלל‬ ‫שהוא‬ ‫קצה‬ ‫התקן‬ ‫על‬ ‫מגנים‬ ‫איך‬?
Source: Cisco Visual Networking Index: Forecast and & Trends, 2017–2022
‫אוטונומיות‬ ‫מכוניות‬
‫עירוניות‬ ‫תשתיות‬-Smart Citi
IoMTIoT/
‫ביתי‬ ‫ציוד‬:‫מקררים‬‫אבק‬ ‫שואבי‬
‫אישי‬ ‫כושר‬ ‫ציוד‬‫לביש‬ ‫מחשוב‬
‫סמארטפונים‬‫טאבלטים‬
‫תשתיות‬OT‫תעשייתיות‬ ‫תשתיות‬
‫אונ‬ ‫של‬ ‫מחקר‬ ‫לפי‬'‫נכון‬ ‫אוקספורד‬
‫לסוף‬2018
‫עוד‬ ‫לרשת‬ ‫מתחברים‬ ‫יום‬ ‫בכל‬
620,000‫חדשים‬ ‫התקנים‬

‫האתגר‬:‫מחשב‬ ‫לא‬ ‫בכלל‬ ‫שהוא‬ ‫קצה‬ ‫התקן‬ ‫על‬ ‫מגנים‬ ‫איך‬?
Global M2M connection growth Global M2M traffic growth

‫מתמודדים‬ ‫איך‬ ‫אז‬?

‫הרשת‬ ‫אזורי‬–‫פנימית‬‫חיצונית‬

The onion model of defense in depth

A Layered Approach To Security

outlook.exeCrhome.exe
‫דפדפן‬ ‫פתיחת‬‫תוכנית‬ ‫הרצת‬
java.exe
‫הודעה‬ ‫לך‬ ‫יש‬
‫חדשה‬
http://
PowerShell
‫על‬ ‫לחיצה‬
‫קישור‬
‫חלון‬ ‫פתיחת‬
‫פקודות‬
malware.exe
‫כלי‬ ‫התקנת‬
‫התקיפה‬
EXPLOIT
KIT
Dropped
Malware
‫פקודות‬
•‫ברשת‬ ‫רוחבית‬ ‫תנועה‬
•‫מידע‬ ‫הזלגת‬

outlook.exeCrhome.exe
‫דפדפן‬ ‫פתיחת‬‫תוכנית‬ ‫הרצת‬
java.exe
‫הודעה‬ ‫לך‬ ‫יש‬
‫חדשה‬
http://
PowerShell
‫על‬ ‫לחיצה‬
‫קישור‬
‫פקודות‬
malware.exe
‫כלי‬ ‫התקנת‬
‫התקיפה‬
EXPLOIT
KIT
Dropped
Malware
‫פקודות‬
•‫ברשת‬ ‫רוחבית‬ ‫תנועה‬
•‫מידע‬ ‫הזלגת‬
‫סינון‬
‫דואל‬
SAND
BOX
AV
‫שרת‬
‫דואל‬
‫מבודדת‬ ‫סביבה‬
‫כתובות‬ ‫סינון‬
‫הלבנה‬
EDR‫הרשאות‬ ‫הגבלת‬
‫זיהוי‬
‫אנומליות‬
IDS
AV

© 2017 Cisco and/or its affiliates. All rights reserved.
3
9 CYBER SECURITY SOLUTIONS - Defense In Depth

‫האתגר‬:‫מערכות‬ ‫ריבוי‬ ‫של‬ ‫ניהול‬
‫הבעיות‬:‫תקציב‬,‫המערכות‬ ‫במספר‬ ‫גידול‬,‫מקצועי‬ ‫אדם‬ ‫כוח‬ ‫חוסר‬,‫טכנולוגי‬ ‫בידע‬ ‫חוסר‬
‫הקסם‬ ‫פתרון‬
‫ל‬ ‫המעבר‬‫פלטפורמה‬‫פתרונות‬ ‫של‬

41
Prevent
Prevent attacks and block
malware in real time
Detect
Continuously monitor
to reduce time
to detection
Respond
Accelerate investigations
and remediate faster and
more effectively

‫לפלטפורמה‬ ‫המעבר‬
‫המציאות‬ ‫גרסת‬

‫לפלטפורמה‬ ‫המעבר‬
‫אחרת‬ ‫לקוח‬ ‫חוויות‬ ‫דורשים‬ ‫היום‬ ‫הצרכנים‬
✓‫אחיד‬ ‫ניהול‬|‫מערכות‬ ‫למספר‬ ‫מרכזי‬ ‫ניהול‬
✓‫התראות‬ ‫ריכוז‬|‫לוגים‬|‫דוחות‬
✓‫ל‬ ‫חלקה‬ ‫התממשקות‬SOC-NOC | SIEM
✓‫שוטף‬ ‫בניהול‬ ‫קלות‬:‫גיבויים‬‫גרסאות‬ ‫ניהול‬
✓‫בשדרוג‬ ‫קלות‬‫שיחלוף‬
✓‫שלישי‬ ‫לצד‬ ‫תאימות‬
✓‫פתוח‬ ‫לקוד‬ ‫תאימות‬
✓‫ל‬ ‫תאימות‬API
✓‫אוטומציה‬ ‫למערכות‬ ‫תאימות‬(Rest API)
✓‫פתרונות‬Public Cloud Virtual Appliance SAASMMSP
✓‫חדשים‬ ‫איומים‬ ‫על‬ ‫עדכונים‬ ‫בקבלת‬ ‫מהיר‬ ‫מענה‬ ‫מתן‬
✓‫דקות‬ ‫של‬ ‫מענה‬ ‫לסטנדרט‬ ‫דרישה‬-‫שעות‬ ‫שלא‬ ‫בטח‬‫ימים‬
‫האחרונות‬ ‫שנים‬ ‫הסייבר‬ ‫לעולם‬ ‫שזלגו‬ ‫שיווקיות‬ ‫מגמות‬
✓‫גלויים‬ ‫פעולה‬ ‫שיתופי‬ ‫על‬ ‫היום‬ ‫מדברים‬ ‫יצרנים‬-‫כולל‬Marketplace
✓B2C-‫ללקוח‬ ‫ישירה‬ ‫מכירה‬:‫תיווך‬ ‫פערי‬ ‫ללא‬ ‫יותר‬ ‫זול‬,‫מידית‬ ‫אספקה‬,‫לקוח‬ ‫ממוקד‬
✓‫בנדל‬–‫זה‬ ‫את‬ ‫קנה‬‫זה‬ ‫את‬ ‫קבל‬

300+
Full Time Threat Intel
Researchers
MILLIONS
Of Telemetry Agents
4
Global Data
Centers
1100+
Threat Traps
100+
Threat Intelligence
Partners
THREAT INTEL
1.5 MILLION
Daily Malware
Samples
600 BILLION
Daily Email
Messages
16 BILLION
Daily Web Requests
Honeypots
Open Source
Communities
Vulnerability
Discovery
(Internal)
Product
Telemetry
Internet-Wide
Scanning
20 BILLION
Threats Blocked
INTEL SHARING
Customer Data
Sharing
Programs
Service
Provider
Coordination
Program
Open
Source
Intel
Sharing
3rd Party Programs
(MAPP)
Industry
Sharing
Partnerships
(ISACs)
500+
Participants
blog.talosintelligence.com
Cisco Talos Breakdown

Secure SD-WAN / Router
ISR – CSR – ASR – Meraki MX
Advanced Threat
AMP for Endpoints – AMP Cloud
Threat Grid – Cognitive
Secure Internet Gateway
Umbrella – Investigate
Web Security
Policy and Access
Identity Services Engine –
pxGrid
Email Security
Cloud – On-Prem
Firepower
NGFW/NGIPS
Cloud Access
Cloudlock
www
Integrated Architectures, Not Point Products
Network Analytics
Stealthwatch Cloud / On-prem

RECON STAGE CALLBACK PERSISTLAUNCH EXPLOIT INSTALL
NGIPS
NGFW
NGIPSNGIPS
NGFW
Threat
Intelligence
DNS
Security
Web SG
Email SG
DNS
DNS
Security
Web SG
NGIPS
DNS
Host
Anti-
Malware
Host
Anti-
Malware
Host
Anti-
Malware
Host
Anti-
Malware
NGIPS
Actionable Intelligence Sharing

RECON STAGE CALLBACK PERSISTLAUNCH EXPLOIT INSTALL
Cisco
Firepower
(FP)
Cisco
Firepower
Threat
Defense
(FTD)
Talos
Cisco
Umbrella
Cisco
WSA
Cisco
ESA
DNS
Cisco
Umbrella
Cisco
WSA
DNS
Cisco
AMP
Cisco Visibility - TALOS
ISE – NAC Rapid Threat Containment
Multiple Natives Integrations
Cisco FPCisco
FP
Cisco
FP
Cisco FP
Cisco FTD
Cisco
AMP
Cisco
AMP
Cisco
AMP

‫לבאר‬ ‫אבן‬ ‫זורק‬ ‫כשטיפש‬,‫אותה‬ ‫להוציא‬ ‫יוכלו‬ ‫לא‬ ‫חכמים‬ ‫אלף‬

2020 Cyber Threat Predictions : Phishing Attacks beyond mail
•‫סחיטה‬+‫חברתית‬ ‫הנדסה‬:‫לי‬ ‫יש‬
‫קטינות‬ ‫של‬ ‫פורנו‬ ‫באתרי‬ ‫שלך‬ ‫תיעוד‬
‫גלויה‬ ‫הייתה‬ ‫והמצלמה‬
•‫חשבונית‬ ‫עבור‬ ‫כספים‬ ‫העברת‬
•‫דחופות‬ ‫תשלום‬ ‫בקשות‬
•‫מזויפות‬ ‫שירות‬ ‫לחידוש‬ ‫בקשות‬
•‫מזויפות‬ ‫לתרומות‬ ‫בקשות‬

2020 Cyber Threat Predictions : Phishing Attacks beyond mail

2020 Cyber Threat Predictions – Targeted Ransomware

2020 Cyber Threat Predictions : Internet of Everything : IOT / IoMT and Non-PC Target

2020 Cyber Threat Predictions : Internet is going dark
➢ https://transparencyreport.google.com/https/overview?hl=en
Google Transparency Live Report.
“Prediction that over 75% of Web
and 80% of Enterprise traffic will
be encrypted in 2019”
“ Gartner estimates that more than
80% of enterprises’ web traffic is
encrypted in 2019. In fact, as of May
2019, 94% of all Google web traffic is
encrypted And nearly 80% of web
pages loaded by Firefox use HTTPS ”

2020 Cyber Threat Predictions : Internet is going dark
Source : Cisco Encrypted Traffic Analytics 2019

• EPP - Endpoint Protection Platforms
− An endpoint protection platform )EPP( is a set of software tools and technologies that enable the securing of
endpoint devices. It is a unified security solution that combines antivirus, antispyware, intrusion
detection/prevention, a personal firewall and other endpoint protection solutions.
• EDR - Endpoint Detection and Response
− Endpoint Detection and Response )EDR( is a cybersecurity technology that addresses the need for continuous
monitoring and response to advanced threats. It is a subset of endpoint security technology and a critical piece
of an optimal security posture. EDR differs from other endpoint protection platforms )EPP( such as
antivirus )AV( and anti-malware in that its primary focus isn't to automatically stop threats in pre-
execution phase on an endpoint. Rather, EDR is focused on providing the right endpoint visibility with the
right insights to help security analysts discover, investigate and respond to very advanced threats and broader
attack campaigns stretching across multiple endpoints. Many EDR tools, however, combine EDR and EPP.
EPP vs EDR

Exploits vs Malware
Executable
Programs
Carry Out Malicious
Activity
Weaponized Data
Files & Content
Subvert Normal
Application
MalwareExploits
=
‫ההפעלה‬ ‫במערכת‬ ‫חולשות‬ ‫ניצול‬
‫בתוכנה‬‫חומרה‬‫לשנות‬ ‫מנת‬ ‫על‬ ‫מוכרות‬
‫לצורכי‬ ‫בהתאם‬ ‫המערכת‬ ‫התנהגות‬ ‫את‬
‫האקספלויט‬ ‫מפעיל‬
‫פגיעה‬ ‫שמטרה‬ ‫נוזקה‬ ‫הכוללת‬ ‫תוכנה‬
‫המותקף‬ ‫במחשב‬‫רגיש‬ ‫מידע‬ ‫איסוף‬
‫מרחוק‬ ‫גישה‬
‫ומגוונות‬ ‫שונות‬ ‫הפעלה‬ ‫שיטות‬ ‫קימות‬

‫סוגי‬‫נוזקות‬
•‫וירוסים‬
•‫למחשב‬ ‫נזק‬ ‫הגורמת‬ ‫נוזקה‬,‫אחרות‬ ‫לתוכנות‬ ‫עצמה‬ ‫מכניסה‬ ‫או‬ ‫עצמה‬ ‫של‬ ‫עותקים‬ ‫יוצרת‬
•‫טרויאני‬ ‫סוס‬-Trojan horse
•‫נוזקה‬‫תוך‬ ‫החודרת‬‫התחזות‬‫תמימה‬ ‫לתוכנה‬
•‫רוגלות‬-Spyware
•‫אלו‬ ‫הרגלים‬ ‫על‬ ‫מידע‬ ‫ומדליפה‬ ‫מותקנת‬ ‫היא‬ ‫בו‬ ‫הקצה‬ ‫בהתקן‬ ‫המשתמש‬ ‫של‬ ‫השימוש‬ ‫הרגלי‬ ‫אחר‬ ‫בחשאי‬ ‫העוקבת‬ ‫תוכנה‬
•‫פרסום‬ ‫תוכנות‬-Adware
•‫תכנים‬ ‫המביאה‬ ‫תוכנה‬‫פרסומיים‬‫האינטרנט‬ ‫מרשת‬‫הלקוח‬ ‫למחשב‬,‫של‬ ‫בצורה‬ ‫לרוב‬‫קופצים‬ ‫חלונות‬
•Rabbit
•‫המערכת‬ ‫לקריסת‬ ‫ואף‬ ‫רבה‬ ‫לאיטיות‬ ‫יגרמו‬ ‫אשר‬ ‫פעולות‬ ‫שיותר‬ ‫כמה‬ ‫ולהריץ‬ ‫עצמה‬ ‫את‬ ‫לשכפל‬ ‫הוא‬ ‫תפקידה‬ ‫שכל‬ ‫נוזקה‬
•‫תולעת‬–Worm
•‫הרשת‬ ‫דרך‬ ‫עצמה‬ ‫את‬ ‫המשכפלת‬ ‫נוזקה‬,‫נוספת‬ ‫תוכנה‬ ‫או‬ ‫בווירוס‬ ‫תלות‬ ‫ללא‬
•‫כופר‬ ‫נוזקות‬–Ransomware
•‫שחרורם‬ ‫בעבור‬ ‫תשלום‬ ‫ולדרוש‬ ‫חשובים‬ ‫משתמש‬ ‫קובצי‬ ‫אל‬ ‫גישה‬ ‫ולחסום‬ ‫להצפין‬ ‫תפקידן‬

‫ואיתור‬ ‫זיהוי‬‫נוזקות‬
‫נוזקות‬ ‫ואיתור‬ ‫לזיהוי‬ ‫מגוונות‬ ‫שיטות‬ ‫ישנן‬:
•‫אופייניות‬ ‫חתימות‬ ‫זיהוי‬((Signature Based Detection‫זיהוי‬ ‫באמצעות‬ ‫היא‬ ‫נוזקות‬ ‫לזיהוי‬ ‫ויעילה‬ ‫פשוטה‬ ‫שיטה‬
‫במאגר‬ ‫המצוי‬ ‫ידוע‬ ‫בתים‬ ‫רצף‬ ‫או‬ ‫מחרוזות‬ ‫כדוגמת‬ ‫לנוזקות‬ ‫האופייניות‬ ‫חתימות‬.‫נוזקות‬ ‫לזיהוי‬ ‫ורק‬ ‫אך‬ ‫מוגבלת‬ ‫זו‬ ‫גישה‬
‫במאגר‬ ‫כבר‬ ‫המצויות‬ ‫מוכרות‬.
•‫אנומליות‬ ‫זיהוי‬-‫תקין‬ ‫במצב‬ ‫המערכת‬ ‫של‬ ‫אופייניים‬ ‫פעולה‬ ‫תפוסי‬ ‫לומדים‬ ‫זו‬ ‫בגישה‬,‫חריגה‬ ‫התנהגות‬ ‫מזהים‬ ‫כאשר‬
(‫אנומליה‬)‫לאתר‬ ‫ניתן‬‫הנוזקה‬ ‫את‬ ‫לעצור‬.

‫לניתוח‬ ‫שיטות‬‫נוזקות‬
‫פעולתה‬ ‫אופן‬ ‫את‬ ‫לקבוע‬ ‫מנת‬ ‫על‬ ‫נוזקות‬ ‫לניתוח‬ ‫שונות‬ ‫וגישות‬ ‫שיטות‬ ‫קיימות‬,‫את‬ ‫להעריך‬ ‫או‬ ‫מקורן‬
‫הנוזקה‬ ‫של‬ ‫הנזק‬ ‫תכולת‬:
•‫סטטית‬ ‫גישה‬
•‫אותה‬ ‫להריץ‬ ‫מבלי‬ ‫ומשאבים‬ ‫הנוזקה‬ ‫קוד‬ ‫ניתוח‬ ‫על‬ ‫מתבסס‬ ‫קוד‬ ‫ניתוח‬ ‫או‬ ‫סטטי‬ ‫ניתוח‬.
•‫הפוכה‬ ‫בהנדסה‬ ‫שימוש‬(Reverse Engineering)‫הבינארי‬ ‫הקוד‬ ‫את‬ ‫ולתרגם‬ ‫שלה‬ ‫הקוד‬ ‫את‬ ‫להבין‬ ‫מנת‬ ‫על‬
‫לקוד‬‫אסמבלי‬.
•‫דינמית‬ ‫גישה‬
•‫מורצת‬ ‫היא‬ ‫כאשר‬ ‫הנוזקה‬ ‫בהתנהגות‬ ‫צפייה‬ ‫על‬ ‫מתבססת‬ ‫התנהגות‬ ‫ניתוח‬ ‫או‬ ‫דינמית‬ ‫גישה‬.
•‫בסביבת‬ ‫כלל‬ ‫בדרך‬‫ה‬Sandbox,‫לנוזקה‬ ‫לאפשר‬ ‫שלא‬ ‫מנת‬ ‫על‬ ‫אמתית‬ ‫בסביבה‬ ‫ולא‬ ‫וירטואלית‬ ‫מערכת‬ ‫כמו‬
‫ולהזיק‬ ‫להתפשט‬.

‫לניתוח‬ ‫שיטות‬‫נוזקות‬Sandbox -

‫יום‬ ‫כל‬ ‫מתפרסמות‬ ‫חדשות‬ ‫פגיעויות‬ ‫כמה‬?

EPP vs EDR – Market Analysis

‫שוק‬ ‫סקרי‬‫מערכות‬ ‫בין‬ ‫השוואות‬
• Gartner - ‫ביצוע‬ ‫מול‬ ‫חזון‬ ‫בודק‬‫קהל‬ ‫דעת‬ ‫חוות‬
• NSS LABS – ‫בפועל‬ ‫יכולת‬ ‫מול‬ ‫עלות‬‫עומסים‬ ‫בחינת‬‫ביצועים‬ ‫בחינת‬
• Forrester – ‫יכולות‬ ‫לעומת‬ ‫שוק‬ ‫נוכחות‬‫פיצ‬'‫במערכת‬ ‫רים‬
• IDC – ‫יכולות‬ ‫לעומת‬ ‫אסטרטגיה‬‫פיצ‬'‫במערכת‬ ‫רים‬

Gartner - ‫גרטנר‬
https://www.youtube.com/watch?v=0tHdKYk3so0
https://www.youtube.com/watch?v=-Q2B45bPMtw

Magic Quadrant for Enterprise Network Firewalls
Published: 10 July 2017
https://www.gartner.com/doc/reprints?id=1-45UW8EQ&ct=170711&st=sb

Magic Quadrant for Network Firewalls
Published 17 Sep 2019
https://www.gartner.com/doc/reprints?id=1-1OIMIBCY&ct=190919&st=sb

NSS Labs
NSS Labs 2018 NGFW Group Test
https://researchcenter.paloaltonetworks.com/2018/07/palo-alto-networks-recommended-nss-labs-2018-ngfw-group-test/

FORRESTER – The Forrester Wave
-‫אסטרטגיה‬ ‫בוחן‬VS‫יכולות‬
-5‫את‬ ‫מציינים‬ ‫שונה‬ ‫בקוטר‬ ‫קבועים‬ ‫גדלים‬
‫השוק‬ ‫נתח‬
-‫גדול‬ ‫שיותר‬ ‫כמה‬=‫גדול‬ ‫יותר‬ ‫שוק‬ ‫נתח‬
-‫למעלה‬ ‫ימין‬=‫מבחינת‬ ‫שוק‬ ‫מוביל‬
‫אסטרטגיה‬+‫יכולות‬
-‫שוק‬ ‫הובלת‬ ‫רמות‬:‫מובילים‬,‫נוכחות‬
‫חזקה‬,‫מתמודדים‬,‫תיגר‬ ‫קוראי‬
-‫לב‬ ‫לשים‬ ‫חשוב‬:‫כדי‬ ‫התנאים‬ ‫היו‬ ‫מה‬
‫בבדיקה‬ ‫להיכלל‬:‫שנתית‬ ‫הכנסה‬,
‫לקוחות‬ ‫מספר‬ ‫מינימום‬,‫הפתרון‬ ‫סוג‬

FORRESTER – The Forrester Wave

IDC – Market Scape
•‫אסטרטגיה‬ ‫בוחן‬VS‫יכולות‬
•‫גדול‬ ‫יותר‬ ‫שהעיגול‬ ‫כמה‬=‫נתח‬
‫גדול‬ ‫יותר‬ ‫שוק‬
•‫למעלה‬ ‫ימין‬=‫מבחינת‬ ‫שוק‬ ‫מוביל‬
‫אסטרטגיה‬+‫יכולות‬
•‫שוק‬ ‫הובלת‬ ‫רמות‬:‫מובילים‬,
‫ראשיים‬ ‫שחקנים‬,‫מתמודדים‬,
‫משתתפים‬
•‫לב‬ ‫לשים‬ ‫חשוב‬:‫התנאים‬ ‫היו‬ ‫מה‬
‫בבדיקה‬ ‫להיכלל‬ ‫כדי‬:‫הכנסה‬
‫שנתית‬,‫לקוחות‬ ‫מספר‬ ‫מינימום‬,‫סוג‬
‫הפתרון‬

Gartner – UEM Market Analysis for 2018
Unified Endpoint Management Tools
Published 23 July 2018 | ID G00354834
UEM refers to a new class of tools that can act as a single
management interface for mobile, PC and other devices.
I&O leaders should expect and plan to replace enterprise
mobility management and client management tools with
UEM to support modern OSs.
https://www.gartner.com/doc/reprints?id=1-58UIH2C&ct=180725&st=sb
IBM = MasS360
Vmware = AirWatch
Microsoft = MS Enterprise Mobility + EMS

Gartner – UEM Market Analysis for 2019
Unified Endpoint Management Tools
Published 6 August 2019 - ID G00369801
UEM refers to a new class of tools that can act as a single
management interface for mobile, PC and other devices.
I&O leaders should expect and plan to replace enterprise
mobility management and client management tools with
UEM to support modern OSs.
Adoption of Windows 10, Google Chrome OS and
Apple macOS will drive the need for a combined
endpoint management console in greater than
70% of organizations by 2024.
IBM = MasS360
VMWare = AirWatch
Microsoft = MS Enterprise Mobility + EMS
https://www.gartner.com/doc/reprints?id=1-1OD5J8W6&ct=190807&st=sb

Gartner - Endpoint Protection Platforms - Market Analysis for 2018
Magic Quadrant for Endpoint Protection Platforms
Published 24 January 2018 - ID G00325704
Endpoint protection is evolving to address more of Gartner's
adaptive security architecture tasks such as hardening,
investigation, incident detection, and incident response.
Security and risk management leaders should ensure that
their EPP vendor evolves fast enough to keep up with
modern threats.
https://www.gartner.com/doc/reprints?i
d=1-4PKZNG4&ct=180125&st=sb

Gartner - Endpoint Protection Platforms - Market Analysis for 2019
Magic Quadrant for Endpoint Protection Platforms
Published: 20 August 2019 ID: G00352135
Endpoint protection is evolving to address more of Gartner's
adaptive security architecture tasks such as hardening,
investigation, incident detection, and incident response.
Security and risk management leaders should ensure that
their EPP vendor evolves fast enough to keep up with
modern threats.
https://www.gartner.com/doc/reprints?i
d=1-4PKZNG4&ct=180125&st=sb

Forrester Endpoint Security Suites Market Analysis for Q2 2018
The FORRESTER WAVE
Endpoint Security Suites Q2 2018

G2 - Market Analysis for 2018
Best Endpoint Detection & Response (EDR) Software
Endpoint detection and response (EDR) tools are the newest
members of the endpoint security family. They combine elements
of both endpoint antivirus and endpoint management solutions to
detect, investigate, and remove any malicious software that
penetrates a network’s devices. These tools give greater visibility
of a system’s overall health including each specific device’s state.
Companies use these tools to mitigate endpoint penetrations
quickly and prevent data loss, theft, or system failures
https://www.g2crowd.com/categories/endpoint-detection-response-edr

G2 - Market Analysis for 2019
Best Endpoint Detection & Response (EDR) Software
Endpoint detection and response (EDR) tools are the newest
members of the endpoint security family. They combine elements
of both endpoint antivirus and endpoint management solutions to
detect, investigate, and remove any malicious software that
penetrates a network’s devices. These tools give greater visibility
of a system’s overall health including each specific device’s state.
Companies use these tools to mitigate endpoint penetrations
quickly and prevent data loss, theft, or system failures
https://www.g2crowd.com/categories/endpoint-detection-response-edr

‫תקינה‬ ‫של‬ ‫שונים‬ ‫סוגים‬ ‫קיימים‬–‫מהם‬ ‫חלק‬:
❑‫מוצרים‬ ‫תאימות‬ ‫לבחינת‬ ‫תקינה‬(‫תקשורת‬ ‫פרוטוקולי‬ ‫מבחינת‬,‫תקני‬ ‫כדוגמת‬IETF)
❑‫תקשורת‬ ‫מערכות‬ ‫לאמינות‬ ‫תקינה‬‫אבט‬"‫מ‬–‫ה‬ ‫בעולם‬ ‫בעיקר‬Appliance
❑‫עצמה‬ ‫האבטחה‬ ‫מערכת‬ ‫של‬ ‫האבטחה‬ ‫רמת‬ ‫לבחינת‬ ‫תקינה‬
❑‫מידע‬ ‫נכסי‬ ‫לניהול‬ ‫תקינה‬–‫עבודה‬ ‫נהלי‬ ‫קביעת‬‫אבט‬ ‫ביקורת‬"‫לדוגמא‬ ‫שוטף‬ ‫באופן‬ ‫הארגון‬ ‫על‬ ‫מ‬:
‫מידע‬ ‫אבטחת‬ ‫תקן‬ISO 27001‫הארגון‬ ‫שכבות‬ ‫בכלל‬ ‫הכוללת‬ ‫מתודולוגיה‬ ‫ביישום‬ ‫מסייע‬–‫האנושי‬ ‫מהגורם‬ ‫החל‬
‫שבארגון‬ ‫הליבה‬ ‫מערכות‬ ‫ועד‬–‫האבטחה‬ ‫מסגרת‬ ‫את‬,‫הארגון‬ ‫על‬ ‫להגן‬ ‫בכדי‬ ‫הנדרשים‬ ‫הפעולה‬ ‫ותכנית‬ ‫הבקרה‬.
‫בתקינה‬ ‫בשימוש‬ ‫היתרונות‬(‫הסופי‬ ‫ללקוח‬‫ליצרן‬: )
❑‫חומרה‬ ‫בפיתוח‬ ‫השקעות‬ ‫על‬ ‫הגנה‬‫תוכנה‬
❑‫חדש‬ ‫לציוד‬ ‫חיים‬ ‫אורך‬ ‫אבטחת‬(‫יקר‬)‫שנרכש‬
❑‫אופטימליים‬ ‫פתרונות‬ ‫השגת‬(‫טכנית‬ ‫מחינה‬‫כלכלית‬)‫היצרנים‬ ‫מגוון‬ ‫מתוך‬‫בשוק‬ ‫המוצעים‬ ‫ציודים‬
❑‫ועתידיות‬ ‫שונות‬ ‫מערכות‬ ‫בין‬ ‫תקניים‬ ‫ממשקים‬ ‫בניית‬
❑‫היצרנים‬ ‫בין‬ ‫הוגנה‬ ‫תחרות‬ ‫יצירת‬
❑‫רכש‬ ‫אפיון‬ ‫לצורך‬ ‫תקניים‬ ‫במפרטים‬ ‫שימוש‬
‫סייבר‬ ‫בעולם‬ ‫למערכות‬ ‫תקינה‬‫תקשורת‬

‫מסחרי‬ ‫לשימוש‬ ‫דוגמאות‬‫בהסמכות‬‫בשוק‬ ‫הוקרה‬ ‫פרסי‬
https://www.fortinet.com/lat/corporate/about-us/product-certifications.html
https://www.fortinet.com/lat/corporate/about-us/industry-awards.html

❑ICSA–‫תלוי‬ ‫בלתי‬ ‫עצמאי‬ ‫גוף‬–‫תקשורת‬ ‫למערכת‬ ‫אבטחה‬ ‫רמת‬ ‫בחינת‬ ‫מבצע‬‫שונות‬ ‫אבטחה‬ ‫מערכות‬:ATP / FW / IPSEC / IPS /
AV / SSL-VPN / WAF,‫אתר‬www.icsalabs.com
❑Common Criteria–‫עולמי‬ ‫והכלל‬ ‫הממשלתי‬ ‫המענה‬(‫ציבורי‬: )‫תקשורת‬ ‫מערכות‬ ‫של‬ ‫אבטחה‬ ‫רמת‬ ‫את‬ ‫בוחן‬‫מידע‬ ‫אבטחת‬,‫דירוג‬
‫ע‬"‫מדרג‬ ‫פ‬EAL‫מ‬ ‫ציון‬1‫עד‬7(‫ה‬ ‫רוב‬FW/UTM‫הם‬ ‫הגדולים‬ ‫היצרנים‬ ‫של‬EAL+4),‫אתר‬www.commoncriteriaportal.org
❑FIPS 140–‫הממשלתי‬ ‫המענה‬–‫ציבורי‬ ‫לא‬,(Federal Information Processing Standard)‫הצפנה‬ ‫מודלי‬ ‫בחינת‬ ‫בעיקר‬‫הצפנה‬ ‫רמת‬
‫בפתרון‬ ‫המיושמת‬
❑NIST–‫אמריקאי‬ ‫ממשלתי‬ ‫גוף‬-National Institute of Standards and Technology–‫הסוגים‬ ‫מכול‬ ‫מחשוב‬ ‫מערכות‬ ‫לבחינת‬(‫חומרה‬
‫תקשורת‬‫ביצועים‬‫חומרה‬ ‫עמידות‬)
❑IPv6Ready-‫ציבורי‬,‫אתר‬www.ipv6ready.org–‫ב‬ ‫לשימוש‬ ‫תאימות‬ ‫בדיקת‬IPv6
❑JITC IPv6–‫ממשלתי‬‫צבאי‬-jitc.fhu.disa.mil–‫ב‬ ‫לשימוש‬ ‫תאימות‬ ‫בדיקת‬IPv6
❑‫שונים‬ ‫מחקר‬ ‫גופים‬-‫וירוס‬ ‫אנטי‬ ‫למערכות‬ ‫סטנדרט‬ ‫לקביעת‬‫ספאם‬ ‫אנטי‬:
❑AV Comparative–‫אתר‬www.av-comparatives.org
❑VB100‫או‬VBSpam–‫אתר‬www.virusbtn.com–‫כולל‬"‫תחרות‬"‫לפתרונות‬ ‫שנתית‬ ‫ציונים‬ ‫וחלוקת‬‫מערכות‬ ‫יצרני‬AntiVirus
Anti Spyware
❑VBSpam-‫מערכות‬ ‫בחינת‬AntiSpam,‫אתר‬www.virusbulletin.com
8

סמינר: הילל קוברובסקי - הגנת סייבר ברמת תחנת הקצה

Recommended

Recommended

More Related Content

Similar to סמינר: הילל קוברובסקי - הגנת סייבר ברמת תחנת הקצה

Similar to סמינר: הילל קוברובסקי - הגנת סייבר ברמת תחנת הקצה (20)

More from Hillel Kobrovski

More from Hillel Kobrovski (16)

סמינר: הילל קוברובסקי - הגנת סייבר ברמת תחנת הקצה