Recommended
Recommended
More Related Content
What's hot
What's hot (20)
Similar to Check Point. Сергей Чекрыгин. "На один шаг впереди"
Similar to Check Point. Сергей Чекрыгин. "На один шаг впереди" (20)
More from Expolink
More from Expolink (20)
Check Point. Сергей Чекрыгин. "На один шаг впереди"
- 1. г. Екатеринбург 06 октября 2016#CODEIB Сергей Чекрыгин Check Point На один шаг ВПЕРЕДИ EMAIL schekrygin@checkpoint.com
- 2. Традиционный подход Антивирус Фильтрация по URL IPS, СОВ Анти-бот Контроль приложений Атаки Бот-сети Опасные приложения Вредоносный сайт Вирус
- 3. Больше безопасности в одном устройстве Межсетевой экран & VPN Система предотвращения вторжений Контроль приложений Интеграция с AD Фильтрация по URL Антивирус Антибот Сетевой DLP
- 4. Модели 4000 Малые офисы До 3 Гб/c МЭ, от $600 Корпоративные шлюзы До 6 Гб/c IPS Центры обработки данных До 110 Гб/C МЭ Высокая доступность и легкое обслуживание 15000 23000 41000 61000 1100 Платформа для телеком Мастшабируемость Балансировка нагрузки 2200
- 5. стало известным? о делать, обы неизвестное
- 8. Мы не сможем решить проблему, думая также, как когда мы создали её Альберт Эйнштейн
- 9. еизвестные угрозы не могут быть пойманы традиционными технологиями ИБ
- 10. Песочница Способ работы с тем, что мы не знаем:
- 11. Как работает Песочница • Системный реестр • Сетевые соединения • Файловая активность • Процессы
- 12. Например: • Другая версия ОС или SP • Тестирование на виртуальную машину • Задержка в атаке Вирус может скрыться от Песочницы
- 15. Уязвимость Проникновение Код пользуется уязвимостью для изменения поведения системы Способ проникновения вируса
- 16. Уязвимость Проникновение Shellcode Вредоносный код загружается и получает права доступа Способ проникновения вируса
- 17. Shellcode Вирус Код начинает вредоносные действия Способ проникновения вируса Уязвимость Проникновение
- 19. Проверка на место возврата A B C D E F21 3 45 6 Проверка возврата управления в код на место вызова в командах процессора для поиска подозрительного кода
- 20. Песочница с защитой от угроз на уровне процессора • Обнаруживает атаки до заражения • Увеличивает шансы поймать вирус • Не зависит от ОС • Устойчива к техникам обхода песочниц
- 22. Технология THREAT EXTRACTION Пересоздание документа для исключения активного содержимого
- 24. [Restricted] ONLY for designated groups and individuals Представляем AGE NT SandBlast CHECK POINT
- 25. Предотвращение угроз на ПК Незащищенные векторы атаки Работа вне офиса M2M внутри периметра Внешние носители
- 26. SANDBLAST Агент Защита от нацеленных атак Сдерживание инфекции Реакция [Restricted] ONLY for designated groups and Threat Extraction & песочница для ПК • Доставляет безопасные файлы • Проверяет исходные файлы • Защищает скачивания из интернета и копирования с внешних носителей
- 27. SANDBLAST Расширение для браузера При скачивании из интернета Мониторинг файловой системы для копируемых файлов Как работает защита от направленных атак
- 28. Мгновенная защита при загрузке из сети Доставка безопасного файла Конвертация PDF для защиты или безопасная версия исходного файла
- 29. Самостоятельно, без помощи службы поддержки Доступ к исходному файлу после проверки документа
- 30. SANDBLAST Агент Анти-бот для рабочих станций и карантин • Обнаруживает и блокирует общение с командным центром • Указывает на зараженный файл • Изолирует зараженную рабочую станцию Защита от нацеленных атак Сдерживание инфекции Реакция
- 31. Блокируем зараженную станцию Предотвращаем потери • Блокируем управляющий канал • Предотвращаем утечку данных Sandblast Агент: Анти-бот Для рабочих станций Определем зараженные станции • Внутри и вне периметра • Изолируем работу внутри периметра Определяет управляющий канал – знаем зараженную станцию Блокирует управляющий канал – изолируем вирус Управление остановлено Управляющий канал Анти-бот
- 32. SANDBLAST Агент [Restricted] ONLY for designated groups and Автоматическое расследование и ликвидация последствий • Расследование – экономия времени и денег • Учет сетевой активности • Взаимодействие с антивирусом • Восстановление и ликвидация последствий Защита от нацеленных атак Сдерживание инфекции Реакция
- 33. [Restricted] ONLY for designated groups and individuals Ответ на инцидент предполагает понимание угрозы Вопросы при расследовании: 1. Атака реальна? 2. Какие способы проникновения? 3. Какие данные были похищены? 4. Как ликвидировать последствия?
- 34. Анализ сетевой активности SandBlast Agent Forensics Обнаружение бота Обнаружение бота Блокировка управляющего канала Блокировка управляющего канала Зараженная станция Зараженная станция Командный центрКомандный центр Изучение атакиИзучение атаки
- 35. Перехват коммуникации Процесс связывается с командным центром Перехват коммуникации Процесс связывается с командным центром Происхождение атаки Уязвимость в Chrome Происхождение атаки Уязвимость в Chrome От инцидента к расследованию Автоматический анализ от начала атаки От инцидента к расследованию Автоматический анализ от начала атаки Код для проникновения Файл запущен в Chrome Код для проникновения Файл запущен в Chrome Атака отслеживается при перезагузках Атака отслеживается при перезагузках Похищенные данные Вирус обращался к документу Запуск вируса Вирус запустится после загрузки Запуск вируса Вирус запустится после загрузки Скачивание вируса Вирус скачан и установлен Скачивание вируса Вирус скачан и установлен Активация вируса Запланирована задача после загрузки Активация вируса Запланирована задача после загрузки
- 36. Что обычно делают после взлома? Традиционное расследование Традиционное расследование Надежда на карантин антивируса Надежда на карантин антивируса Восстановление из образа Восстановление из образа • Работает только для известных угроз • Антивирус пропустит всё, что было до обнаружения вируса • Данные могут быть похищены до обнаружения • Работает только для известных угроз • Антивирус пропустит всё, что было до обнаружения вируса • Данные могут быть похищены до обнаружения • Не возвращает похищенные данные • Затратная и разрушительная процедура • На защитит от повторной атаки • Не возвращает похищенные данные • Затратная и разрушительная процедура • На защитит от повторной атаки • Расследование требует времени • Расследование требует редкой квалификации • Слишком дорого для каждого инцидента • Расследование требует времени • Расследование требует редкой квалификации • Слишком дорого для каждого инцидента Обычный подход после инцидента:
- 37. Подозрительна я активность Детали Степень опасности Вопрос 1: Это реальная атака? Понимание инцидента Мгновенный ответ На важные вопросы
- 38. Понимание инцидентаВыводы Детали Вопрос 2: Какие способы проникновения?
- 39. Утерянные файлы Вопрос 3: Каков ущерб? Что похищено? Понимание инцидента
- 40. От понимания к действиям Генерация скрипта для восстановления Вопрос 4: Как ликвидировать последствия? Как восстановиться?
- 41. Взгляд на этапы атаки Интерактивный отчет • Вся атаки на одном экране • Отслеживание всех элементов • Обзор всех перезагрузок • Детали по каждому элементу Интерактивный отчет • Вся атаки на одном экране • Отслеживание всех элементов • Обзор всех перезагрузок • Детали по каждому элементу
- 42. SANDBLAST Агент [Restricted] ONLY for designated groups and Сдерживание инфекции Защита от нацеленных атак Реакция
- 43. Единственное решение с автоматическим анализом инцидентов и скриптом для восстановления Единственное решение с автоматическим анализом инцидентов и скриптом для восстановления SANDBLAST Агент Другие продукты собирают данные для анализа Другие продукты собирают данные для анализа SandBlast Агент анализируетSandBlast Агент анализирует
- 44. Демонстрация и пилотирование Отчет Security Checkup – проверка трафика в сети заказчика, бесплатно и конфиденциально. • Выявляение опасных приложений, • доступ к опасным сайтам, • коммуникации бот-сетей, • вирусные атаки, • утечка данных, • IPS атаки, • объяснение выявленных угроз, • рекомендации по устранению Обратить к партнеру
- 45. CHECK POINT Мы защищаем будущее Сергей Чекрыгин schekrygin@checkpoint.com