Документ описывает решения безопасности Check Point, включая антивирусные и антибот технологии, а также современные методы защиты, такие как песочница и threat extraction. Он подчеркивает важность защиты рабочих станций и реагирования на инциденты с помощью автоматического анализа и скриптов для восстановления. Основное внимание уделяется уязвимостям и методам предотвращения атак для защиты данных и сетевой инфраструктуры.

1. ©2015 Check Point Software Technologies Ltd. 1
Сергей Чекрыгин
На
один
шаг
ВПЕРЕДИ

2. ©2015 Check Point Software Technologies Ltd. 2
радиционный подход
Антивирус
Фильтрация по URL
IPS, СОВ
Анти-бот
Контроль приложений
Атаки
Бот-сети
Опасные приложения
Вредоносный сайт
Вирус

3. ©2015 Check Point Software Technologies Ltd. 3
Больше безопасности в одном
устройстве
Межсетевой экран & VPN
Система предотвращения вторжений
Контроль приложений
Интеграция с AD
Фильтрация по URL
Антивирус
Антибот
Сетевой DLP

4. ©2015 Check Point Software Technologies Ltd. 4
Модели
4000
Малые офисы
 До 3 Гб/c МЭ
 От $600
Enterprise Grade
 3 to 11 Gbps firewall throughput
 2 to 6 Gbps IPS throughput
Ultra Data Center Protection
 15 to 110 Gbps firewall throughput
 High availability and serviceability
 Optional acceleration with low
latency
15000
23000
41000
61000
1100
Carrier grade scalable platform
 Scalable Performance
 60x10GbE ports, 8x40GbE ports
 True Load Balancing
2200

5. ©2015 Check Point Software Technologies Ltd. 5
Стало
Известным?
Что делать,
Чтобы неизвестное

6. ©2015 Check Point Software Technologies Ltd. 6
теллектуальное
аимодействиеАнализ
безопасности
IntelliStoreСенсоры
CERTsCERTs
Анализ
событий
Сообщество
ИБ
Исследование
кода

7. ©2015 Check Point Software Technologies Ltd. 7
CHECK POINT
WE SECURE
THE FUTURE

8. ©2015 Check Point Software Technologies Ltd. 8
Мы не сможем
решить проблему,
Думая также, как когда
Мы создали её
Альберт Эйнштейн

9. ©2015 Check Point Software Technologies Ltd. 9
известные
розыНе могут быть пойманы
Традиционными тенологиями ИБ

10. ©2015 Check Point Software Technologies Ltd. 10
Песочница
Способ работы с тем,
что мы не знаем

11. ©2015 Check Point Software Technologies Ltd. 11
Как работает Песочница
• Системный реестр
• Сетевые
соединения
• Файловая
активность
• Процессы

12. ©2015 Check Point Software Technologies Ltd. 12
Например:
• Другая версия ОС или SP
• Тестирование на виртуальную машину
• Задержка в атаке
Вирус может скрыться от
Песочницы

13. ©2015 Check Point Software Technologies Ltd. 13
Как работает
Любой вирус

14. ©2015 Check Point Software Technologies Ltd. 14
пособ
роникновения
ирусаУязвимость
В системе

15. ©2015 Check Point Software Technologies Ltd. 15
пособ
роникновения
ирусаУязвимость Проникновение
Код пользуется уязвимостью
для изменения поведения системы

16. ©2015 Check Point Software Technologies Ltd. 16
пособ
роникновения
ирусаУязвимость Проникновение Shellcode
Зловредный код загружается
и изменяет работающее
приложение

17. ©2015 Check Point Software Technologies Ltd. 17
пособ
роникновения
ирусаУязвимость Проникновение Shellcode Вирус
Вирус начинает
слежку или
Действия

18. ©2015 Check Point Software Technologies Ltd. 18
пособ
роникновения
ирусаУязвимость Проникновение Shellcode Вирус
Уровень
команд
процессора
Уровень
ОС

19. ©2015 Check Point Software Technologies Ltd. 19
Проверка на место
возврата
A
B C
D
E
F2
1
3
4
5
6
Проверка возврата
управления в код
на место вызова
в командах
процессора
для поиска
подозрительного
кода

20. ©2015 Check Point Software Technologies Ltd. 20
Песочница с защитой от угроз на уровне
процессора
• Обнаруживает атаки до заражения
• Увеличивает шансы поймать вирус
• Не зависит от ОС

21. ©2015 Check Point Software Technologies Ltd. 21
Можно ли
избежать
всех
неизвестных
Другой подход

22. ©2015 Check Point Software Technologies Ltd. 22
THREAT EXTRACTION
На шаг впереди
Пересоздание документа для исключения вирусов

23. ©2015 Check Point Software Technologies Ltd. 23

24. ©2015 Check Point Software Technologies Ltd. 24 [Restricted] ONLY for designated groups and individuals​
Представляем
AGENT
SandBlast
CHECK POINT

25. ©2015 Check Point Software Technologies Ltd. 25
Предотвращение угроз на рабочих станциях
[Restricted] ONLY for designated groups and individuals​
Незащищенные векторы атаки
Работа
вне офиса
M2M внутри
периметра
Внешние
носители

26. ©2015 Check Point Software Technologies Ltd. 26
SANDBLAST Агент
З а щи та от н а ц е ле н н ы х а та к н а Ра б оч и х с та н ц и я х
THREAT EXTRACTION &
песочница
для рабочих станций
• Доставляет безопасные
файлы
• Проверяет исходные
файлы
• Защищает скачивания из
интернета и копирования
с внешних носителей
Защита
от нацеленных
атак
Определение и
сдерживание
инфекции
Реакция и
восстановление
[Restricted] ONLY for designated groups and
individuals​

27. ©2015 Check Point Software Technologies Ltd. 27
SANDBLAST
Расширение для
браузера
При скачивании из интернета
Мониторинг
файловой системы для
копируемых файлов
Как работает защита от
направленных атак
[Restricted] ONLY for designated groups and individuals​

28. ©2015 Check Point Software Technologies Ltd. 28
Мгновенная защита при скачивании из
интернета
Доставка безопасного файла
Конвертация PDF для защиты
Или безопасная версия исходного файла
[Restricted] ONLY for designated groups and individuals​

29. ©2015 Check Point Software Technologies Ltd. 29
Самостоятельно, без помощи службы
поддержки
Доступ к исходному файлу
после проверки документа
[Restricted] ONLY for designated groups and individuals​

30. ©2015 Check Point Software Technologies Ltd. 30
SANDBLAST Агент
З а щи та от н а ц е ле н н ы х а та к н а Ра б оч и х с та н ц и я х
Определение и
сдерживание
инфекции
Реакция и
восстановление
[Restricted] ONLY for designated groups and
individuals​
Защита
от нацеленных
атак
Анти-бот
для рабочих станций и
карантин
• Обнаруживает и
блокирует общение с
командным центром
• Указывает на зараженный
файл
• Изолирует зараженную
рабочую станцию

31. ©2015 Check Point Software Technologies Ltd. 31
 Блокируем зараженную
станцию
 Предотвращаем потери
• Блокируем управляющий канал
• Предотвращаем утечку данных
Sandblast Агент: Анти-бот
Для рабочих станций
 Определем
зараженные станции
• Внутри и вне периметра
• Изолируем работу внутри
периметра
 Определяет управляющий канал – знаем зараженную станцию
 Блокирует управляющий канал – изолируем вирус
Управление остановлено
Управляющий канал
Анти-бот

32. ©2015 Check Point Software Technologies Ltd. 32
SANDBLAST Агент
З а щи та от н а ц е ле н н ы х а та к н а Ра б оч и х с та н ц и я х
Реакция и
восстановление
[Restricted] ONLY for designated groups and
individuals​
Защита
от нацеленных
атак
Определение и
сдерживание
инфекции
Автоматическое
расследование и
ликвидация последствий
• Расследование – экономия
времени и денег
• Учет сетевой активности
• Взаимодействие с
антивирусом
• Восстановление и
ликвидация последствий

33. ©2015 Check Point Software Technologies Ltd. 33 [Restricted] ONLY for designated groups and individuals​
Ответ на инцидент
предполагает понимание
угрозы
Вопросы при расследовании:
1. Атака реальна?
2. Какие способы проникновения?
3. Какие данные были похищены?
4. Как ликвидировать
последствия?

34. ©2015 Check Point Software Technologies Ltd. 34
Анализ сетевой активности
[Protected] Non-confidential content​
SandBlast Agent Forensics
Обнаружение
бота
Обнаружение
бота Блокировка
управляющего канала
Блокировка
управляющего канала
Зараженная
станция
Зараженная
станция
Командный
центр
Командный
центр
Изучение атакиИзучение атаки

35. ©2015 Check Point Software Technologies Ltd. 35 [Protected] Non-confidential content​
Перехват
коммуникации
Процесс связывается с
командным центром
Перехват
коммуникации
Процесс связывается с
командным центром
Происхождение
атаки
Уязвимость в
Chrome
Происхождение
атаки
Уязвимость в
Chrome
От инцидента к
расследованию
Автоматический
анализ от начала атаки
От инцидента к
расследованию
Автоматический
анализ от начала атаки
Код для
проникновения
Файл запущен в
Chrome
Код для
проникновения
Файл запущен в
Chrome
Атака отслеживается
при перезагузках
Атака отслеживается
при перезагузках
Похищенные данные
Вирус обращался к
документу
Запуск вируса
Вирус запустится
после загрузки
Запуск вируса
Вирус запустится
после загрузки
Скачивание вируса
Вирус скачан и
установлен
Скачивание вируса
Вирус скачан и
установлен
Активация вируса
Запланирована
задача после
загрузки
Активация вируса
Запланирована
задача после
загрузки

36. ©2015 Check Point Software Technologies Ltd. 36
Что обычно делают после взлома?
Традиционное
расследование
Традиционное
расследование
Надежда на
карантин
антивируса
Надежда на
карантин
антивируса
Восстановление из
образа
Восстановление из
образа
• Работает только для известных угроз
• Антивирус пропустит всё, что было до
обнаружения вируса
• Данные могут быть похищены до
обнаружения
• Работает только для известных угроз
• Антивирус пропустит всё, что было до
обнаружения вируса
• Данные могут быть похищены до
обнаружения
• Не возвращает похищенные данные
• Затратная и разрушительная процедура
• На защитит от повторной атаки
• Не возвращает похищенные данные
• Затратная и разрушительная процедура
• На защитит от повторной атаки
• Расследование требует времени
• Расследование требует редкой
квалификации
• Слишком дорого для каждого инцидента
• Расследование требует времени
• Расследование требует редкой
квалификации
• Слишком дорого для каждого инцидента
[Restricted] ONLY for designated groups and individuals​
Обычный подход после инцидента:

37. ©2015 Check Point Software Technologies Ltd. 37 [Restricted] ONLY for designated groups and individuals​
Подозрительная
активность
Детали
Степень
опасности
Вопрос 1: Это реальная атака?
Понимание инцидента
Мгновенный ответ
На важные вопросы

38. ©2015 Check Point Software Technologies Ltd. 38
Понимание инцидента
Выводы
Детали
Вопрос 2: Какие способы проникновения?
[Restricted] ONLY for designated groups and individuals​

39. ©2015 Check Point Software Technologies Ltd. 39
Понимание инцидента
[Restricted] ONLY for designated groups and individuals​
Утерянные
файлы
Вопрос 3: Каков ущерб? Что похищено?

40. ©2015 Check Point Software Technologies Ltd. 40
От понимания к действиям
Генерация
скрипта для
восстановления
Вопрос 4: Как ликвидировать последствия? Как
восстановиться?
[Restricted] ONLY for designated groups and individuals​

41. ©2015 Check Point Software Technologies Ltd. 41 [Restricted] ONLY for designated groups and individuals​
Взгляд на этапы атаки
Интерактивный отчет
• Вся атаки на одном экране
• Отслеживание всех
элементов
• Обзор всех перезагрузок
• Детали по каждому элементу
Интерактивный отчет
• Вся атаки на одном экране
• Отслеживание всех
элементов
• Обзор всех перезагрузок
• Детали по каждому элементу

42. ©2015 Check Point Software Technologies Ltd. 42
SANDBLAST Агент
З а щи та от н а ц е ле н н ы х а та к н а Ра б оч и х с та н ц и я х
[Restricted] ONLY for designated groups and
individuals​
Защита
от нацеленных
атак
Определение и
сдерживание
инфекции
Реакция и
восстановление


43. ©2015 Check Point Software Technologies Ltd. 43[Protected] Non-confidential content
Единственное решение с автоматическим
анализом инцидентов и скриптом для
восстановления
Единственное решение с автоматическим
анализом инцидентов и скриптом для
восстановления
SANDBLAST Агент
Другие продукты собирают данные
для анализа
Другие продукты собирают данные
для анализа
SandBlast Агент анализируетSandBlast Агент анализирует

44. ©2015 Check Point Software Technologies Ltd. 44
Демонстрация и пилотирование
Отчет Security Checkup – проверка трафика в сети
заказчика, бесплатно и конфиденциально.
• Выявляение опасных приложений,
• доступ к опасным сайтам,
• коммуникации бот-сетей,
• вирусные атаки,
• утечка данных,
• IPS атаки,
• объяснение
выявленных угроз,
• рекомендации
по устранению
Обратить к партнеру

45. ©2015 Check Point Software Technologies Ltd. 45
CHECK POINT
WE SECURE
THE FUTURE
• Сергей Чекрыгин
• schekrygin@checkpoint.com