SlideShare a Scribd company logo

CheckPoint Sandblast _Защита от угроз Нулевого дня

Download as PPTX, PDF
A
Alexander Kravchenko

CheckPoint Sandblast _Защита от угроз Нулевого дня

Presentations & Public Speaking
1 of 31
©2016 Check Point Software Technologies Ltd. 1©2016 Check Point Software Technologies Ltd. Вымогатели нового уровня, или как защититься от угроз Нулевого дня
©2016 Check Point Software Technologies Ltd. 2
©2016 Check Point Software Technologies Ltd. 3 Технологии информационной защиты • Анти-Вирус ̶ Блокирует файлы с известными вирусами • IPS ̶ Анализирует трафик и блокирует его на основе известных шаблонов • Анти-Бот ̶ Обнаруживает подозрительный трафик по обновляемым шаблонам Эффективны, но против ИЗВЕСТНЫХ угроз СИГНАТУРЫ всегда ОТСТАЮТ
©2016 Check Point Software Technologies Ltd. 4
©2016 Check Point Software Technologies Ltd. 5[Restricted] ONLY for designated groups and individuals Во всех этих фотографиях содержатся новые модули для вредоносного ПО
©2016 Check Point Software Technologies Ltd. 6 99% контрольных сумм зловредов видны 58 секунд или меньше Насколько это серьезно? Чтобы избежать детектирования, хакеры часто модифицируют код и схемы взаимодействия Большинство вирусов встречаются лишь раз Source: Verizon 2016 Data Breach Investigations Report
©2016 Check Point Software Technologies Ltd. 7 ВСЕ БОЛЬШЕ И БОЛЬШЕ ТОГО, ЧТО ВЫ НЕ ЗНАЕТЕ УГРОЗЫ НУЛЕВОГО ДНЯ, Вирус CVE Нежелательные URL APT АТАКИ, НЕИЗВЕСТНОЕ ВРЕДОНОСНОЕ ПО Сигнатуры Эксплоиты Трояны Бот-сети РОСТ НЕИЗВЕСТНОГО ВРЕДОНОСНОГО ПО
©2016 Check Point Software Technologies Ltd. 8 Сигнатурные методы защиты неэффективны Ч т о д е л а т ь ?
©2016 Check Point Software Technologies Ltd. 9[Restricted] ONLY for designated groups and individuals​ Наблюдаем: • Реестр • Сетевые соединения • Действия с файлами • Действия с процессами Откроем файл в безопасной среде Эмуляция Поведение – вот что выдает зловредное ПО. Однако... T H R E AT C O N T AI N E D
©2016 Check Point Software Technologies Ltd. 10 Обычную песочницу не так сложно обойти Запуск по таймеру Ускорение таймера Зловред использует собственный таймер … Обнаружение песочницы Песочница эмулирует CPU Обнаружение эмуляции CPU … Ожидание действия человека Имитация кликов, движения мышки Обнаружение аномалий поведения …
©2016 Check Point Software Technologies Ltd. 11 Семейство ТЕХНОЛОГИЙ для защиты от угроз Нулевого дня Среда эмуляции (Уровни ЦП и ОС), устойчивая к методикам обхода THREAT EMULATION Проактивное удаление опасного контента при доставке THREAT EXTRACTION Быстрое понимание ситуации для лучшей защиты и исправления ENDPOINT FORENSICS Защита учетных записей от кражи через фишинговые сайты ZERO PHISHING Идентификация и восстановление после действий программы- вымогателя ZERO RANSOMWARE 11
©2016 Check Point Software Technologies Ltd. 12 Эмуляция в SandBlast всегда на шаг впереди УЯЗВИМОСТЬ EXPLOIT ЗАГРУЗЧИК ЗЛОВРЕДЫ Тысячи Миллионы Десятки ОБХОД ПЕСОЧНИЦЫ Обычная песочница CPU Detection Engine ДО того, как запустится код обхода… ДО загрузки зловреда…. ©2016 Check Point Software Technologies Ltd.
©2016 Check Point Software Technologies Ltd. 13 DEP Процессор может выполнить код только с исполняемых страниц Есть способы примерного определения расположения нужных DLL Использовать части кода, которые уже в памяти ASLR Размещение библиотек в случайном месте памяти Технология OS Действия атакующего ROP Return Oriented Programming Как хакеры обходят встроенную защиту OS • Исследование кода, которые уже в памяти на момент активации эксплойта • Выбор Гаджетов: коротких отрезков, заканчивающихся RET • Составление shell code из этих примитивов (гаджетов)
©2016 Check Point Software Technologies Ltd. 14 … на шаг впереди ©2016 Check Point Software Technologies Ltd.
©2016 Check Point Software Technologies Ltd. 15 БОЛЕЕ 27 ТЕХНОЛОГИЙ ПРОДВИНУТОГО ОБНАРУЖЕНИЯ И ПРЕДОТВРАЩЕНИЯ УГРОЗ WEB INSPECTION MACHINE LEARNING DOCUMENT VALIDITY BEHAVIOR ANALYTICS CPU LEVEL DETECTION ANTI RANSOMWARE ANTI PHISHING THREAT EXTRACTION FORENSICSDECOYS & TRAPS MEMORY ANALYSIS
©2016 Check Point Software Technologies Ltd. 16 Sandblast Threat Extraction Доставка гарантированно безопасных файлов Д О П О С Л Е Активация вредоносного ПО Вредоносное ПО удалено Немедленный доступ. Проактивная защита. [Restricted] ONLY for designated groups and individuals​
©2016 Check Point Software Technologies Ltd. 17 Оригинальный файл доступен по ссылке
©2016 Check Point Software Technologies Ltd. 18 ПРОДУКТЫ С ТЕХНОЛОГИЕЙ SANDBLAST Threat Emulation Threat Extraction Threat Emulation Threat Extraction Zero Phishing Forensics Threat Emulation Threat Emulation Threat Extraction A P I Threat Extraction
©2016 Check Point Software Technologies Ltd. 19 Быстрое и гибкое развертывание SANDBLAST APPLIANCE CHECK POINT GATEWAY SANDBLAST CLOUD
©2016 Check Point Software Technologies Ltd. 20 Кто-то работает удаленно Внешние накопители Архивы с паролем, HTTPS Заражение от другого ПК Некоторые угрозы можно обнаружить только на рабочей станции [Confidential] For designated groups and individuals​
©2016 Check Point Software Technologies Ltd. 21 SandBlast Agent – защита рабочей станции [Confidential] For designated groups and individuals​​ Быстрое ОБНАРУЖЕНИЕ и ОСТАНОВКА атаки Эффективная ОЧИСТКА и РАССЛЕДО- ВАНИЕ ЗАЩИТА От атак Нулевого дня ЗАЩИТА От фишинга
©2016 Check Point Software Technologies Ltd. 22 SANDBLAST CLOUD Анализ файлов на рабочей станции [Confidential] For designated groups and individuals​ Файл отсылается на устройство или облако SandBlast1 Безопасная копия доставляется мгновенно2 Оригинал эмулируется3
©2016 Check Point Software Technologies Ltd. 23 Удаление опасного содержимого и/или конвертация в PDF Защита скачиваемых файлов [Confidential] For designated groups and individuals​
©2016 Check Point Software Technologies Ltd. 24 Visual Similarity Text Similarity Title Similarity URL Similarity Lookalike Characters Image Only Site Multiple Top-Level Domain Lookalike Favicon IP Reputation Domain Reputation PHISHING SCORE: 95% Предотвращение фишинга Блокирует фишинговые сайты, в том числе новые Новые сайты анализируются1 Репутационный и эвристический анализ2 Вердикт выносится за секунды3[Confidential] For designated groups and individuals​ Опасно! Вероятно, сайт поддельный!
©2016 Check Point Software Technologies Ltd. 25 Corporate Credentials Предотвращение фишинга Защита корпоративного пароля Предотвращает ошибочное или случайное использование корпоративного пароля на других ресурсах.
©2016 Check Point Software Technologies Ltd. 26 Обнаружение подозрительной активности [Confidential] For designated groups and individuals​ ИНФОРМАЦИЯ ОБ УГРОЗАХ постоянно обновляется1 Исходящий трафик проверяется ANTI-BOT2 Трафик на C&C сервера БЛОКИРУЕТСЯ3 ОСТАНАВЛИВАЕТСЯ подозрительный процесс либо БЛОКИРУЕТСЯ компьютер целиком4
©2016 Check Point Software Technologies Ltd. 27 SandBlast Agent – Расследование инцидентов [Confidential] For designated groups and individuals​ АВТОМАТИЧЕСКИЙ сбор и анализ данных об инциденте ФОРМИРУЕТСЯ АВТОМАТИЧЕСКИ ПОНЯТНЫЕ ИНСТРУКЦИИ Только то, что необходимо Развернутый отчет об атаке Анализ логов вручную не требуется Инициируется от AV, AB или по команде
©2016 Check Point Software Technologies Ltd. 28 Сбор данных и формирование отчета [Confidential] For designated groups and individuals​ ДАННЫЕ о системе собираются постоянно от многих источников1ОТЧЕТ формируется автоматически по срабатыванию локального или внешнего триггера 2 ПОДРОБНЫЙ отчет формируется на SmartEvent4Processes Registry Files Network Сырые данные анализируются с помощью сложных алгоритмов3
©2016 Check Point Software Technologies Ltd. 29 Триггер расследования Идентификация процесса, который запрашивает соединение с C&C сервером Начало атаки Использование браузера Chrome Триггеры атаки Автоматическое обратное отслеживание атаки Загруженный вредонос Процесс носитель вируса загружает и устанавливает вредоносное ПО Эксплойт Процесс-носитель вируса Активация Постоянные задачи запускаются после старта системы Атака отслеживается даже после перезагрузки Выполнение Вредонос записывается на запуск после перезагрузки системы [Restricted] ONLY for designated groups and individuals​ Кража данных Вредонос читает конфиденциаль- ные данные
©2016 Check Point Software Technologies Ltd. 30 Интеграция и мониторинг Общие политики Настраиваемый Dashboard Одна система – единое управление Удобная настройка, полная интеграция, абсолютная видимость
©2016 Check Point Software Technologies Ltd. 31 СПАСИБО!

Recommended

Check point, держи марку! Серия №7
Check point, держи марку! Серия №7Check point, держи марку! Серия №7
Check point, держи марку! Серия №7Компания УЦСБ
 
Check Point. Сергей Чекрыгин. "На один шаг впереди"
Check Point. Сергей Чекрыгин. "На один шаг впереди"Check Point. Сергей Чекрыгин. "На один шаг впереди"
Check Point. Сергей Чекрыгин. "На один шаг впереди"Expolink
 
Sandblast
SandblastSandblast
SandblastIngria. Technopark St. Petersburg
 
Check point держи марку! Серия №1
Check point держи марку! Серия №1Check point держи марку! Серия №1
Check point держи марку! Серия №1Компания УЦСБ
 
S-terra, держи марку!
S-terra, держи марку!S-terra, держи марку!
S-terra, держи марку!Компания УЦСБ
 
Отличие NGFW и UTM
Отличие NGFW и UTMОтличие NGFW и UTM
Отличие NGFW и UTMDenis Batrankov, CISSP
 
Защита корпорации на платформе Palo Alto Networks
Защита корпорации на платформе Palo Alto Networks Защита корпорации на платформе Palo Alto Networks
Защита корпорации на платформе Palo Alto Networks Denis Batrankov, CISSP
 
Zero Trust Networking with Palo Alto Networks Security
Zero Trust Networking with Palo Alto Networks SecurityZero Trust Networking with Palo Alto Networks Security
Zero Trust Networking with Palo Alto Networks SecurityDenis Batrankov, CISSP
 

Recommended

Check point, держи марку! Серия №7
Check point, держи марку! Серия №7Check point, держи марку! Серия №7
Check point, держи марку! Серия №7Компания УЦСБ
 
Check Point. Сергей Чекрыгин. "На один шаг впереди"
Check Point. Сергей Чекрыгин. "На один шаг впереди"Check Point. Сергей Чекрыгин. "На один шаг впереди"
Check Point. Сергей Чекрыгин. "На один шаг впереди"Expolink
 
Sandblast
SandblastSandblast
SandblastIngria. Technopark St. Petersburg
 
Check point держи марку! Серия №1
Check point держи марку! Серия №1Check point держи марку! Серия №1
Check point держи марку! Серия №1Компания УЦСБ
 
S-terra, держи марку!
S-terra, держи марку!S-terra, держи марку!
S-terra, держи марку!Компания УЦСБ
 
Отличие NGFW и UTM
Отличие NGFW и UTMОтличие NGFW и UTM
Отличие NGFW и UTMDenis Batrankov, CISSP
 
Защита корпорации на платформе Palo Alto Networks
Защита корпорации на платформе Palo Alto Networks Защита корпорации на платформе Palo Alto Networks
Защита корпорации на платформе Palo Alto Networks Denis Batrankov, CISSP
 
Zero Trust Networking with Palo Alto Networks Security
Zero Trust Networking with Palo Alto Networks SecurityZero Trust Networking with Palo Alto Networks Security
Zero Trust Networking with Palo Alto Networks SecurityDenis Batrankov, CISSP
 
Решения для защиты корпоративных и коммерческих цод
Решения для защиты корпоративных и коммерческих цод Решения для защиты корпоративных и коммерческих цод
Решения для защиты корпоративных и коммерческих цод Denis Batrankov, CISSP
 
Победа над кибер вымогательством!
Победа над кибер вымогательством! Победа над кибер вымогательством!
Победа над кибер вымогательством! Альбина Минуллина
 
Expose the underground - Разоблачить невидимое
Expose the underground - Разоблачить невидимое Expose the underground - Разоблачить невидимое
Expose the underground - Разоблачить невидимое Denis Batrankov, CISSP
 
Device Fingerprint — лекарство от мошенничества. Все дело в дозировке
Device Fingerprint — лекарство от мошенничества. Все дело в дозировкеDevice Fingerprint — лекарство от мошенничества. Все дело в дозировке
Device Fingerprint — лекарство от мошенничества. Все дело в дозировкеPositive Hack Days
 
Certifi-Gate: атака в теории и на практике
Certifi-Gate: атака в теории и на практикеCertifi-Gate: атака в теории и на практике
Certifi-Gate: атака в теории и на практикеPositive Hack Days
 
Техники пентеста для активной защиты - Николай Овчарук
Техники пентеста для активной защиты - Николай ОвчарукТехники пентеста для активной защиты - Николай Овчарук
Техники пентеста для активной защиты - Николай ОвчарукHackIT Ukraine
 
С чего начать свой путь этичного хакера? - Вадим Чакрян
С чего начать свой путь этичного хакера? - Вадим ЧакрянС чего начать свой путь этичного хакера? - Вадим Чакрян
С чего начать свой путь этичного хакера? - Вадим ЧакрянHackIT Ukraine
 
PT ESC - кто полечит доктора?
PT ESC - кто полечит доктора?PT ESC - кто полечит доктора?
PT ESC - кто полечит доктора?Alexey Kachalin
 
Check Piont. Чекрыгин Сергей. "На один шаг впереди"
Check Piont. Чекрыгин Сергей. "На один шаг впереди"Check Piont. Чекрыгин Сергей. "На один шаг впереди"
Check Piont. Чекрыгин Сергей. "На один шаг впереди"Expolink
 
(Не)безопасный frontend
(Не)безопасный frontend(Не)безопасный frontend
(Не)безопасный frontendSergey Belov
 
Check Point. Актуальные задачи сетевой безопасности.
Check Point. Актуальные задачи сетевой безопасности.Check Point. Актуальные задачи сетевой безопасности.
Check Point. Актуальные задачи сетевой безопасности.Expolink
 
20% of investment and 80% of profit. How to implement security requirements a...
20% of investment and 80% of profit. How to implement security requirements a...20% of investment and 80% of profit. How to implement security requirements a...
20% of investment and 80% of profit. How to implement security requirements a...Igor Gots
 
Основные возможности системы обнаружения вторжений HP TippingPoint
Основные возможности системы обнаружения вторжений HP TippingPointОсновные возможности системы обнаружения вторжений HP TippingPoint
Основные возможности системы обнаружения вторжений HP TippingPointDialogueScience
 
SearchInform. Владимир Велич. "Как выбрать идеальную DLP-систему?"
SearchInform. Владимир Велич. "Как выбрать идеальную DLP-систему?"SearchInform. Владимир Велич. "Как выбрать идеальную DLP-систему?"
SearchInform. Владимир Велич. "Как выбрать идеальную DLP-систему?"Expolink
 
современная практика статического анализа безопасности кода веб приложений
современная практика статического анализа безопасности кода веб приложенийсовременная практика статического анализа безопасности кода веб приложений
современная практика статического анализа безопасности кода веб приложенийSergey Belov
 
Solar Security. Прозоров Андрей. "Защита от внутренних угроз"
Solar Security. Прозоров Андрей. "Защита от внутренних угроз"Solar Security. Прозоров Андрей. "Защита от внутренних угроз"
Solar Security. Прозоров Андрей. "Защита от внутренних угроз"Expolink
 
Listovka cyren2-web
Listovka cyren2-webListovka cyren2-web
Listovka cyren2-webAnna Selivanova
 
Check Point: предотвращение атак - сделайте 2012 год не таким, как 2011
Check Point: предотвращение атак - сделайте 2012 год не таким, как 2011Check Point: предотвращение атак - сделайте 2012 год не таким, как 2011
Check Point: предотвращение атак - сделайте 2012 год не таким, как 2011MUK
 
Nexthop lab-v4
Nexthop lab-v4Nexthop lab-v4
Nexthop lab-v4Pete Kuzeev
 
Check Point 2013
Check Point 2013Check Point 2013
Check Point 2013Group of company MUK
 
Будущее кибербезопасности
Будущее кибербезопасностиБудущее кибербезопасности
Будущее кибербезопасностиАльбина Минуллина
 
12 причин хорошего SOC
12 причин хорошего SOC12 причин хорошего SOC
12 причин хорошего SOCDenis Batrankov, CISSP
 

More Related Content

What's hot

Решения для защиты корпоративных и коммерческих цод
Решения для защиты корпоративных и коммерческих цод Решения для защиты корпоративных и коммерческих цод
Решения для защиты корпоративных и коммерческих цод Denis Batrankov, CISSP
 
Победа над кибер вымогательством!
Победа над кибер вымогательством! Победа над кибер вымогательством!
Победа над кибер вымогательством! Альбина Минуллина
 
Expose the underground - Разоблачить невидимое
Expose the underground - Разоблачить невидимое Expose the underground - Разоблачить невидимое
Expose the underground - Разоблачить невидимое Denis Batrankov, CISSP
 
Device Fingerprint — лекарство от мошенничества. Все дело в дозировке
Device Fingerprint — лекарство от мошенничества. Все дело в дозировкеDevice Fingerprint — лекарство от мошенничества. Все дело в дозировке
Device Fingerprint — лекарство от мошенничества. Все дело в дозировкеPositive Hack Days
 
Certifi-Gate: атака в теории и на практике
Certifi-Gate: атака в теории и на практикеCertifi-Gate: атака в теории и на практике
Certifi-Gate: атака в теории и на практикеPositive Hack Days
 
Техники пентеста для активной защиты - Николай Овчарук
Техники пентеста для активной защиты - Николай ОвчарукТехники пентеста для активной защиты - Николай Овчарук
Техники пентеста для активной защиты - Николай ОвчарукHackIT Ukraine
 
С чего начать свой путь этичного хакера? - Вадим Чакрян
С чего начать свой путь этичного хакера? - Вадим ЧакрянС чего начать свой путь этичного хакера? - Вадим Чакрян
С чего начать свой путь этичного хакера? - Вадим ЧакрянHackIT Ukraine
 
PT ESC - кто полечит доктора?
PT ESC - кто полечит доктора?PT ESC - кто полечит доктора?
PT ESC - кто полечит доктора?Alexey Kachalin
 
Check Piont. Чекрыгин Сергей. "На один шаг впереди"
Check Piont. Чекрыгин Сергей. "На один шаг впереди"Check Piont. Чекрыгин Сергей. "На один шаг впереди"
Check Piont. Чекрыгин Сергей. "На один шаг впереди"Expolink
 
(Не)безопасный frontend
(Не)безопасный frontend(Не)безопасный frontend
(Не)безопасный frontendSergey Belov
 
Check Point. Актуальные задачи сетевой безопасности.
Check Point. Актуальные задачи сетевой безопасности.Check Point. Актуальные задачи сетевой безопасности.
Check Point. Актуальные задачи сетевой безопасности.Expolink
 
20% of investment and 80% of profit. How to implement security requirements a...
20% of investment and 80% of profit. How to implement security requirements a...20% of investment and 80% of profit. How to implement security requirements a...
20% of investment and 80% of profit. How to implement security requirements a...Igor Gots
 
Основные возможности системы обнаружения вторжений HP TippingPoint
Основные возможности системы обнаружения вторжений HP TippingPointОсновные возможности системы обнаружения вторжений HP TippingPoint
Основные возможности системы обнаружения вторжений HP TippingPointDialogueScience
 
SearchInform. Владимир Велич. "Как выбрать идеальную DLP-систему?"
SearchInform. Владимир Велич. "Как выбрать идеальную DLP-систему?"SearchInform. Владимир Велич. "Как выбрать идеальную DLP-систему?"
SearchInform. Владимир Велич. "Как выбрать идеальную DLP-систему?"Expolink
 
современная практика статического анализа безопасности кода веб приложений
современная практика статического анализа безопасности кода веб приложенийсовременная практика статического анализа безопасности кода веб приложений
современная практика статического анализа безопасности кода веб приложенийSergey Belov
 
Solar Security. Прозоров Андрей. "Защита от внутренних угроз"
Solar Security. Прозоров Андрей. "Защита от внутренних угроз"Solar Security. Прозоров Андрей. "Защита от внутренних угроз"
Solar Security. Прозоров Андрей. "Защита от внутренних угроз"Expolink
 
Check Point: предотвращение атак - сделайте 2012 год не таким, как 2011
Check Point: предотвращение атак - сделайте 2012 год не таким, как 2011Check Point: предотвращение атак - сделайте 2012 год не таким, как 2011
Check Point: предотвращение атак - сделайте 2012 год не таким, как 2011MUK
 

What's hot (20)

Решения для защиты корпоративных и коммерческих цод
Решения для защиты корпоративных и коммерческих цод Решения для защиты корпоративных и коммерческих цод
Решения для защиты корпоративных и коммерческих цод
 
Победа над кибер вымогательством!
Победа над кибер вымогательством! Победа над кибер вымогательством!
Победа над кибер вымогательством!
 
Expose the underground - Разоблачить невидимое
Expose the underground - Разоблачить невидимое Expose the underground - Разоблачить невидимое
Expose the underground - Разоблачить невидимое
 
Device Fingerprint — лекарство от мошенничества. Все дело в дозировке
Device Fingerprint — лекарство от мошенничества. Все дело в дозировкеDevice Fingerprint — лекарство от мошенничества. Все дело в дозировке
Device Fingerprint — лекарство от мошенничества. Все дело в дозировке
 
Certifi-Gate: атака в теории и на практике
Certifi-Gate: атака в теории и на практикеCertifi-Gate: атака в теории и на практике
Certifi-Gate: атака в теории и на практике
 
Техники пентеста для активной защиты - Николай Овчарук
Техники пентеста для активной защиты - Николай ОвчарукТехники пентеста для активной защиты - Николай Овчарук
Техники пентеста для активной защиты - Николай Овчарук
 
С чего начать свой путь этичного хакера? - Вадим Чакрян
С чего начать свой путь этичного хакера? - Вадим ЧакрянС чего начать свой путь этичного хакера? - Вадим Чакрян
С чего начать свой путь этичного хакера? - Вадим Чакрян
 
PT ESC - кто полечит доктора?
PT ESC - кто полечит доктора?PT ESC - кто полечит доктора?
PT ESC - кто полечит доктора?
 
Check Piont. Чекрыгин Сергей. "На один шаг впереди"
Check Piont. Чекрыгин Сергей. "На один шаг впереди"Check Piont. Чекрыгин Сергей. "На один шаг впереди"
Check Piont. Чекрыгин Сергей. "На один шаг впереди"
 
(Не)безопасный frontend
(Не)безопасный frontend(Не)безопасный frontend
(Не)безопасный frontend
 
Check Point. Актуальные задачи сетевой безопасности.
Check Point. Актуальные задачи сетевой безопасности.Check Point. Актуальные задачи сетевой безопасности.
Check Point. Актуальные задачи сетевой безопасности.
 
20% of investment and 80% of profit. How to implement security requirements a...
20% of investment and 80% of profit. How to implement security requirements a...20% of investment and 80% of profit. How to implement security requirements a...
20% of investment and 80% of profit. How to implement security requirements a...
 
Основные возможности системы обнаружения вторжений HP TippingPoint
Основные возможности системы обнаружения вторжений HP TippingPointОсновные возможности системы обнаружения вторжений HP TippingPoint
Основные возможности системы обнаружения вторжений HP TippingPoint
 
SearchInform. Владимир Велич. "Как выбрать идеальную DLP-систему?"
SearchInform. Владимир Велич. "Как выбрать идеальную DLP-систему?"SearchInform. Владимир Велич. "Как выбрать идеальную DLP-систему?"
SearchInform. Владимир Велич. "Как выбрать идеальную DLP-систему?"
 
современная практика статического анализа безопасности кода веб приложений
современная практика статического анализа безопасности кода веб приложенийсовременная практика статического анализа безопасности кода веб приложений
современная практика статического анализа безопасности кода веб приложений
 
Solar Security. Прозоров Андрей. "Защита от внутренних угроз"
Solar Security. Прозоров Андрей. "Защита от внутренних угроз"Solar Security. Прозоров Андрей. "Защита от внутренних угроз"
Solar Security. Прозоров Андрей. "Защита от внутренних угроз"
 
Listovka cyren2-web
Listovka cyren2-webListovka cyren2-web
Listovka cyren2-web
 
Check Point: предотвращение атак - сделайте 2012 год не таким, как 2011
Check Point: предотвращение атак - сделайте 2012 год не таким, как 2011Check Point: предотвращение атак - сделайте 2012 год не таким, как 2011
Check Point: предотвращение атак - сделайте 2012 год не таким, как 2011
 
Nexthop lab-v4
Nexthop lab-v4Nexthop lab-v4
Nexthop lab-v4
 
Check Point 2013
Check Point 2013Check Point 2013
Check Point 2013
 

Similar to CheckPoint Sandblast _Защита от угроз Нулевого дня

Доктор Веб. Вячеслав Медведев. " Антивирусная безопасность. Типичные ошибки"
Доктор Веб. Вячеслав Медведев. " Антивирусная безопасность. Типичные ошибки"Доктор Веб. Вячеслав Медведев. " Антивирусная безопасность. Типичные ошибки"
Доктор Веб. Вячеслав Медведев. " Антивирусная безопасность. Типичные ошибки"Expolink
 
Системы Breach Detection - вебинар BISA
Системы Breach Detection - вебинар BISAСистемы Breach Detection - вебинар BISA
Системы Breach Detection - вебинар BISADenis Bezkorovayny
 
Check Point - Актуальные задачи сетевой безопасности
Check Point - Актуальные задачи сетевой безопасности Check Point - Актуальные задачи сетевой безопасности
Check Point - Актуальные задачи сетевой безопасности Expolink
 
Check Point - Актуальные задачи сетевой безопасности
Check Point - Актуальные задачи сетевой безопасностиCheck Point - Актуальные задачи сетевой безопасности
Check Point - Актуальные задачи сетевой безопасностиExpolink
 
Архитектура защищенного периметра
Архитектура защищенного периметраАрхитектура защищенного периметра
Архитектура защищенного периметраCisco Russia
 
Защита и контроль приложений
Защита и контроль приложенийЗащита и контроль приложений
Защита и контроль приложенийCisco Russia
 
Контроль и мониторинг периметра сети
Контроль и мониторинг периметра сетиКонтроль и мониторинг периметра сети
Контроль и мониторинг периметра сетиCisco Russia
 
DUMP-2012 - Веб-разработка - "Что мы знаем о производительности и безопасност...
DUMP-2012 - Веб-разработка - "Что мы знаем о производительности и безопасност...DUMP-2012 - Веб-разработка - "Что мы знаем о производительности и безопасност...
DUMP-2012 - Веб-разработка - "Что мы знаем о производительности и безопасност...it-people
 
Антивирусные программы
Антивирусные программыАнтивирусные программы
Антивирусные программыMasha Petrova
 
Check Point. Сергей Чекрыгин. "На один шаг впереди"
Check Point. Сергей Чекрыгин. "На один шаг впереди"Check Point. Сергей Чекрыгин. "На один шаг впереди"
Check Point. Сергей Чекрыгин. "На один шаг впереди"Expolink
 
Доктор Веб. Вячеслав Медведев. "Год 2016. Антивирусная безопасность в тисках ...
Доктор Веб. Вячеслав Медведев. "Год 2016. Антивирусная безопасность в тисках ...Доктор Веб. Вячеслав Медведев. "Год 2016. Антивирусная безопасность в тисках ...
Доктор Веб. Вячеслав Медведев. "Год 2016. Антивирусная безопасность в тисках ...Expolink
 
Арефьев Андрей (InfoWatch) - Шахматный дебют в борьбе с APT
Арефьев Андрей (InfoWatch) - Шахматный дебют в борьбе с APTАрефьев Андрей (InfoWatch) - Шахматный дебют в борьбе с APT
Арефьев Андрей (InfoWatch) - Шахматный дебют в борьбе с APTExpolink
 
Инфосистемы Джет. Александр Русецкий. "Как правильно выбрать решения для защи...
Инфосистемы Джет. Александр Русецкий. "Как правильно выбрать решения для защи...Инфосистемы Джет. Александр Русецкий. "Как правильно выбрать решения для защи...
Инфосистемы Джет. Александр Русецкий. "Как правильно выбрать решения для защи...Expolink
 
Доктор Веб. Максим Кузнецов. "Почему необходимо обеспечивать защиту почтового...
Доктор Веб. Максим Кузнецов. "Почему необходимо обеспечивать защиту почтового...Доктор Веб. Максим Кузнецов. "Почему необходимо обеспечивать защиту почтового...
Доктор Веб. Максим Кузнецов. "Почему необходимо обеспечивать защиту почтового...Expolink
 
Борьба с вредоносным кодом: от базовых мер к целостной стратегии
Борьба с вредоносным кодом: от базовых мер к целостной стратегииБорьба с вредоносным кодом: от базовых мер к целостной стратегии
Борьба с вредоносным кодом: от базовых мер к целостной стратегииAleksey Lukatskiy
 
А. Луцкович, ФРОДЕКС - FraudTrack: современный подход в борьбе с мошенничеством
А. Луцкович, ФРОДЕКС - FraudTrack: современный подход в борьбе с мошенничествомА. Луцкович, ФРОДЕКС - FraudTrack: современный подход в борьбе с мошенничеством
А. Луцкович, ФРОДЕКС - FraudTrack: современный подход в борьбе с мошенничествомExpolink
 
А. Луцкович, ФРОДЕКС - FraudTrack: современный подход в борьбе с мошенничеством
А. Луцкович, ФРОДЕКС - FraudTrack: современный подход в борьбе с мошенничествомА. Луцкович, ФРОДЕКС - FraudTrack: современный подход в борьбе с мошенничеством
А. Луцкович, ФРОДЕКС - FraudTrack: современный подход в борьбе с мошенничествомExpolink
 
Фильтрация и контроль контента на предприятии
Фильтрация и контроль контента на предприятииФильтрация и контроль контента на предприятии
Фильтрация и контроль контента на предприятииCisco Russia
 

Similar to CheckPoint Sandblast _Защита от угроз Нулевого дня (20)

Будущее кибербезопасности
Будущее кибербезопасностиБудущее кибербезопасности
Будущее кибербезопасности
 
12 причин хорошего SOC
12 причин хорошего SOC12 причин хорошего SOC
12 причин хорошего SOC
 
Доктор Веб. Вячеслав Медведев. " Антивирусная безопасность. Типичные ошибки"
Доктор Веб. Вячеслав Медведев. " Антивирусная безопасность. Типичные ошибки"Доктор Веб. Вячеслав Медведев. " Антивирусная безопасность. Типичные ошибки"
Доктор Веб. Вячеслав Медведев. " Антивирусная безопасность. Типичные ошибки"
 
Системы Breach Detection - вебинар BISA
Системы Breach Detection - вебинар BISAСистемы Breach Detection - вебинар BISA
Системы Breach Detection - вебинар BISA
 
Check Point - Актуальные задачи сетевой безопасности
Check Point - Актуальные задачи сетевой безопасности Check Point - Актуальные задачи сетевой безопасности
Check Point - Актуальные задачи сетевой безопасности
 
Check Point - Актуальные задачи сетевой безопасности
Check Point - Актуальные задачи сетевой безопасностиCheck Point - Актуальные задачи сетевой безопасности
Check Point - Актуальные задачи сетевой безопасности
 
Архитектура защищенного периметра
Архитектура защищенного периметраАрхитектура защищенного периметра
Архитектура защищенного периметра
 
Защита и контроль приложений
Защита и контроль приложенийЗащита и контроль приложений
Защита и контроль приложений
 
Контроль и мониторинг периметра сети
Контроль и мониторинг периметра сетиКонтроль и мониторинг периметра сети
Контроль и мониторинг периметра сети
 
DUMP-2012 - Веб-разработка - "Что мы знаем о производительности и безопасност...
DUMP-2012 - Веб-разработка - "Что мы знаем о производительности и безопасност...DUMP-2012 - Веб-разработка - "Что мы знаем о производительности и безопасност...
DUMP-2012 - Веб-разработка - "Что мы знаем о производительности и безопасност...
 
Антивирусные программы
Антивирусные программыАнтивирусные программы
Антивирусные программы
 
Check Point. Сергей Чекрыгин. "На один шаг впереди"
Check Point. Сергей Чекрыгин. "На один шаг впереди"Check Point. Сергей Чекрыгин. "На один шаг впереди"
Check Point. Сергей Чекрыгин. "На один шаг впереди"
 
Доктор Веб. Вячеслав Медведев. "Год 2016. Антивирусная безопасность в тисках ...
Доктор Веб. Вячеслав Медведев. "Год 2016. Антивирусная безопасность в тисках ...Доктор Веб. Вячеслав Медведев. "Год 2016. Антивирусная безопасность в тисках ...
Доктор Веб. Вячеслав Медведев. "Год 2016. Антивирусная безопасность в тисках ...
 
Арефьев Андрей (InfoWatch) - Шахматный дебют в борьбе с APT
Арефьев Андрей (InfoWatch) - Шахматный дебют в борьбе с APTАрефьев Андрей (InfoWatch) - Шахматный дебют в борьбе с APT
Арефьев Андрей (InfoWatch) - Шахматный дебют в борьбе с APT
 
Инфосистемы Джет. Александр Русецкий. "Как правильно выбрать решения для защи...
Инфосистемы Джет. Александр Русецкий. "Как правильно выбрать решения для защи...Инфосистемы Джет. Александр Русецкий. "Как правильно выбрать решения для защи...
Инфосистемы Джет. Александр Русецкий. "Как правильно выбрать решения для защи...
 
Доктор Веб. Максим Кузнецов. "Почему необходимо обеспечивать защиту почтового...
Доктор Веб. Максим Кузнецов. "Почему необходимо обеспечивать защиту почтового...Доктор Веб. Максим Кузнецов. "Почему необходимо обеспечивать защиту почтового...
Доктор Веб. Максим Кузнецов. "Почему необходимо обеспечивать защиту почтового...
 
Борьба с вредоносным кодом: от базовых мер к целостной стратегии
Борьба с вредоносным кодом: от базовых мер к целостной стратегииБорьба с вредоносным кодом: от базовых мер к целостной стратегии
Борьба с вредоносным кодом: от базовых мер к целостной стратегии
 
А. Луцкович, ФРОДЕКС - FraudTrack: современный подход в борьбе с мошенничеством
А. Луцкович, ФРОДЕКС - FraudTrack: современный подход в борьбе с мошенничествомА. Луцкович, ФРОДЕКС - FraudTrack: современный подход в борьбе с мошенничеством
А. Луцкович, ФРОДЕКС - FraudTrack: современный подход в борьбе с мошенничеством
 
А. Луцкович, ФРОДЕКС - FraudTrack: современный подход в борьбе с мошенничеством
А. Луцкович, ФРОДЕКС - FraudTrack: современный подход в борьбе с мошенничествомА. Луцкович, ФРОДЕКС - FraudTrack: современный подход в борьбе с мошенничеством
А. Луцкович, ФРОДЕКС - FraudTrack: современный подход в борьбе с мошенничеством
 
Фильтрация и контроль контента на предприятии
Фильтрация и контроль контента на предприятииФильтрация и контроль контента на предприятии
Фильтрация и контроль контента на предприятии
 

More from Alexander Kravchenko

Radware все продукты_ua
Radware все продукты_uaRadware все продукты_ua
Radware все продукты_uaAlexander Kravchenko
 
CHECK POINT 5900 NEXT GENERATION SECURITY GATEWAY FOR THE MID-SIZE ENTERPRISE
CHECK POINT 5900 NEXT GENERATION SECURITY GATEWAY FOR THE MID-SIZE ENTERPRISECHECK POINT 5900 NEXT GENERATION SECURITY GATEWAY FOR THE MID-SIZE ENTERPRISE
CHECK POINT 5900 NEXT GENERATION SECURITY GATEWAY FOR THE MID-SIZE ENTERPRISEAlexander Kravchenko
 
CHECK POINT 5100 NEXT GENERATION SECURITY GATEWAY FOR THE SMALL ENTERPRISE AN...
CHECK POINT 5100 NEXT GENERATION SECURITY GATEWAY FOR THE SMALL ENTERPRISE AN...CHECK POINT 5100 NEXT GENERATION SECURITY GATEWAY FOR THE SMALL ENTERPRISE AN...
CHECK POINT 5100 NEXT GENERATION SECURITY GATEWAY FOR THE SMALL ENTERPRISE AN...Alexander Kravchenko
 
CHECK POINT 3100 NEXT GENERATION SECURITY GATEWAY FOR THE BRANCH AND SMALL OF...
CHECK POINT 3100 NEXT GENERATION SECURITY GATEWAY FOR THE BRANCH AND SMALL OF...CHECK POINT 3100 NEXT GENERATION SECURITY GATEWAY FOR THE BRANCH AND SMALL OF...
CHECK POINT 3100 NEXT GENERATION SECURITY GATEWAY FOR THE BRANCH AND SMALL OF...Alexander Kravchenko
 
Digital signage для логистических компаний
Digital signage для логистических компанийDigital signage для логистических компаний
Digital signage для логистических компанийAlexander Kravchenko
 
Digital signaga общая презентация
Digital signaga общая презентацияDigital signaga общая презентация
Digital signaga общая презентацияAlexander Kravchenko
 
решения для трк и трц
решения для трк и трцрешения для трк и трц
решения для трк и трцAlexander Kravchenko
 

More from Alexander Kravchenko (13)

Penta Security
Penta SecurityPenta Security
Penta Security
 
Check Point Infinity
Check Point Infinity Check Point Infinity
Check Point Infinity
 
Not petya business case
Not petya business case Not petya business case
Not petya business case
 
CheckPoint DEMO Azerbaijan
CheckPoint DEMO AzerbaijanCheckPoint DEMO Azerbaijan
CheckPoint DEMO Azerbaijan
 
Check point sandblast2
Check point sandblast2Check point sandblast2
Check point sandblast2
 
Radware все продукты_ua
Radware все продукты_uaRadware все продукты_ua
Radware все продукты_ua
 
Radware ams
Radware amsRadware ams
Radware ams
 
CHECK POINT 5900 NEXT GENERATION SECURITY GATEWAY FOR THE MID-SIZE ENTERPRISE
CHECK POINT 5900 NEXT GENERATION SECURITY GATEWAY FOR THE MID-SIZE ENTERPRISECHECK POINT 5900 NEXT GENERATION SECURITY GATEWAY FOR THE MID-SIZE ENTERPRISE
CHECK POINT 5900 NEXT GENERATION SECURITY GATEWAY FOR THE MID-SIZE ENTERPRISE
 
CHECK POINT 5100 NEXT GENERATION SECURITY GATEWAY FOR THE SMALL ENTERPRISE AN...
CHECK POINT 5100 NEXT GENERATION SECURITY GATEWAY FOR THE SMALL ENTERPRISE AN...CHECK POINT 5100 NEXT GENERATION SECURITY GATEWAY FOR THE SMALL ENTERPRISE AN...
CHECK POINT 5100 NEXT GENERATION SECURITY GATEWAY FOR THE SMALL ENTERPRISE AN...
 
CHECK POINT 3100 NEXT GENERATION SECURITY GATEWAY FOR THE BRANCH AND SMALL OF...
CHECK POINT 3100 NEXT GENERATION SECURITY GATEWAY FOR THE BRANCH AND SMALL OF...CHECK POINT 3100 NEXT GENERATION SECURITY GATEWAY FOR THE BRANCH AND SMALL OF...
CHECK POINT 3100 NEXT GENERATION SECURITY GATEWAY FOR THE BRANCH AND SMALL OF...
 
Digital signage для логистических компаний
Digital signage для логистических компанийDigital signage для логистических компаний
Digital signage для логистических компаний
 
Digital signaga общая презентация
Digital signaga общая презентацияDigital signaga общая презентация
Digital signaga общая презентация
 
решения для трк и трц
решения для трк и трцрешения для трк и трц
решения для трк и трц
 

CheckPoint Sandblast _Защита от угроз Нулевого дня

  • 1. ©2016 Check Point Software Technologies Ltd. 1©2016 Check Point Software Technologies Ltd. Вымогатели нового уровня, или как защититься от угроз Нулевого дня
  • 2. ©2016 Check Point Software Technologies Ltd. 2
  • 3. ©2016 Check Point Software Technologies Ltd. 3 Технологии информационной защиты • Анти-Вирус ̶ Блокирует файлы с известными вирусами • IPS ̶ Анализирует трафик и блокирует его на основе известных шаблонов • Анти-Бот ̶ Обнаруживает подозрительный трафик по обновляемым шаблонам Эффективны, но против ИЗВЕСТНЫХ угроз СИГНАТУРЫ всегда ОТСТАЮТ
  • 4. ©2016 Check Point Software Technologies Ltd. 4
  • 5. ©2016 Check Point Software Technologies Ltd. 5[Restricted] ONLY for designated groups and individuals Во всех этих фотографиях содержатся новые модули для вредоносного ПО
  • 6. ©2016 Check Point Software Technologies Ltd. 6 99% контрольных сумм зловредов видны 58 секунд или меньше Насколько это серьезно? Чтобы избежать детектирования, хакеры часто модифицируют код и схемы взаимодействия Большинство вирусов встречаются лишь раз Source: Verizon 2016 Data Breach Investigations Report
  • 7. ©2016 Check Point Software Technologies Ltd. 7 ВСЕ БОЛЬШЕ И БОЛЬШЕ ТОГО, ЧТО ВЫ НЕ ЗНАЕТЕ УГРОЗЫ НУЛЕВОГО ДНЯ, Вирус CVE Нежелательные URL APT АТАКИ, НЕИЗВЕСТНОЕ ВРЕДОНОСНОЕ ПО Сигнатуры Эксплоиты Трояны Бот-сети РОСТ НЕИЗВЕСТНОГО ВРЕДОНОСНОГО ПО
  • 8. ©2016 Check Point Software Technologies Ltd. 8 Сигнатурные методы защиты неэффективны Ч т о д е л а т ь ?
  • 9. ©2016 Check Point Software Technologies Ltd. 9[Restricted] ONLY for designated groups and individuals​ Наблюдаем: • Реестр • Сетевые соединения • Действия с файлами • Действия с процессами Откроем файл в безопасной среде Эмуляция Поведение – вот что выдает зловредное ПО. Однако... T H R E AT C O N T AI N E D
  • 10. ©2016 Check Point Software Technologies Ltd. 10 Обычную песочницу не так сложно обойти Запуск по таймеру Ускорение таймера Зловред использует собственный таймер … Обнаружение песочницы Песочница эмулирует CPU Обнаружение эмуляции CPU … Ожидание действия человека Имитация кликов, движения мышки Обнаружение аномалий поведения …
  • 11. ©2016 Check Point Software Technologies Ltd. 11 Семейство ТЕХНОЛОГИЙ для защиты от угроз Нулевого дня Среда эмуляции (Уровни ЦП и ОС), устойчивая к методикам обхода THREAT EMULATION Проактивное удаление опасного контента при доставке THREAT EXTRACTION Быстрое понимание ситуации для лучшей защиты и исправления ENDPOINT FORENSICS Защита учетных записей от кражи через фишинговые сайты ZERO PHISHING Идентификация и восстановление после действий программы- вымогателя ZERO RANSOMWARE 11
  • 12. ©2016 Check Point Software Technologies Ltd. 12 Эмуляция в SandBlast всегда на шаг впереди УЯЗВИМОСТЬ EXPLOIT ЗАГРУЗЧИК ЗЛОВРЕДЫ Тысячи Миллионы Десятки ОБХОД ПЕСОЧНИЦЫ Обычная песочница CPU Detection Engine ДО того, как запустится код обхода… ДО загрузки зловреда…. ©2016 Check Point Software Technologies Ltd.
  • 13. ©2016 Check Point Software Technologies Ltd. 13 DEP Процессор может выполнить код только с исполняемых страниц Есть способы примерного определения расположения нужных DLL Использовать части кода, которые уже в памяти ASLR Размещение библиотек в случайном месте памяти Технология OS Действия атакующего ROP Return Oriented Programming Как хакеры обходят встроенную защиту OS • Исследование кода, которые уже в памяти на момент активации эксплойта • Выбор Гаджетов: коротких отрезков, заканчивающихся RET • Составление shell code из этих примитивов (гаджетов)
  • 14. ©2016 Check Point Software Technologies Ltd. 14 … на шаг впереди ©2016 Check Point Software Technologies Ltd.
  • 15. ©2016 Check Point Software Technologies Ltd. 15 БОЛЕЕ 27 ТЕХНОЛОГИЙ ПРОДВИНУТОГО ОБНАРУЖЕНИЯ И ПРЕДОТВРАЩЕНИЯ УГРОЗ WEB INSPECTION MACHINE LEARNING DOCUMENT VALIDITY BEHAVIOR ANALYTICS CPU LEVEL DETECTION ANTI RANSOMWARE ANTI PHISHING THREAT EXTRACTION FORENSICSDECOYS & TRAPS MEMORY ANALYSIS
  • 16. ©2016 Check Point Software Technologies Ltd. 16 Sandblast Threat Extraction Доставка гарантированно безопасных файлов Д О П О С Л Е Активация вредоносного ПО Вредоносное ПО удалено Немедленный доступ. Проактивная защита. [Restricted] ONLY for designated groups and individuals​
  • 17. ©2016 Check Point Software Technologies Ltd. 17 Оригинальный файл доступен по ссылке
  • 18. ©2016 Check Point Software Technologies Ltd. 18 ПРОДУКТЫ С ТЕХНОЛОГИЕЙ SANDBLAST Threat Emulation Threat Extraction Threat Emulation Threat Extraction Zero Phishing Forensics Threat Emulation Threat Emulation Threat Extraction A P I Threat Extraction
  • 19. ©2016 Check Point Software Technologies Ltd. 19 Быстрое и гибкое развертывание SANDBLAST APPLIANCE CHECK POINT GATEWAY SANDBLAST CLOUD
  • 20. ©2016 Check Point Software Technologies Ltd. 20 Кто-то работает удаленно Внешние накопители Архивы с паролем, HTTPS Заражение от другого ПК Некоторые угрозы можно обнаружить только на рабочей станции [Confidential] For designated groups and individuals​
  • 21. ©2016 Check Point Software Technologies Ltd. 21 SandBlast Agent – защита рабочей станции [Confidential] For designated groups and individuals​​ Быстрое ОБНАРУЖЕНИЕ и ОСТАНОВКА атаки Эффективная ОЧИСТКА и РАССЛЕДО- ВАНИЕ ЗАЩИТА От атак Нулевого дня ЗАЩИТА От фишинга
  • 22. ©2016 Check Point Software Technologies Ltd. 22 SANDBLAST CLOUD Анализ файлов на рабочей станции [Confidential] For designated groups and individuals​ Файл отсылается на устройство или облако SandBlast1 Безопасная копия доставляется мгновенно2 Оригинал эмулируется3
  • 23. ©2016 Check Point Software Technologies Ltd. 23 Удаление опасного содержимого и/или конвертация в PDF Защита скачиваемых файлов [Confidential] For designated groups and individuals​
  • 24. ©2016 Check Point Software Technologies Ltd. 24 Visual Similarity Text Similarity Title Similarity URL Similarity Lookalike Characters Image Only Site Multiple Top-Level Domain Lookalike Favicon IP Reputation Domain Reputation PHISHING SCORE: 95% Предотвращение фишинга Блокирует фишинговые сайты, в том числе новые Новые сайты анализируются1 Репутационный и эвристический анализ2 Вердикт выносится за секунды3[Confidential] For designated groups and individuals​ Опасно! Вероятно, сайт поддельный!
  • 25. ©2016 Check Point Software Technologies Ltd. 25 Corporate Credentials Предотвращение фишинга Защита корпоративного пароля Предотвращает ошибочное или случайное использование корпоративного пароля на других ресурсах.
  • 26. ©2016 Check Point Software Technologies Ltd. 26 Обнаружение подозрительной активности [Confidential] For designated groups and individuals​ ИНФОРМАЦИЯ ОБ УГРОЗАХ постоянно обновляется1 Исходящий трафик проверяется ANTI-BOT2 Трафик на C&C сервера БЛОКИРУЕТСЯ3 ОСТАНАВЛИВАЕТСЯ подозрительный процесс либо БЛОКИРУЕТСЯ компьютер целиком4
  • 27. ©2016 Check Point Software Technologies Ltd. 27 SandBlast Agent – Расследование инцидентов [Confidential] For designated groups and individuals​ АВТОМАТИЧЕСКИЙ сбор и анализ данных об инциденте ФОРМИРУЕТСЯ АВТОМАТИЧЕСКИ ПОНЯТНЫЕ ИНСТРУКЦИИ Только то, что необходимо Развернутый отчет об атаке Анализ логов вручную не требуется Инициируется от AV, AB или по команде
  • 28. ©2016 Check Point Software Technologies Ltd. 28 Сбор данных и формирование отчета [Confidential] For designated groups and individuals​ ДАННЫЕ о системе собираются постоянно от многих источников1ОТЧЕТ формируется автоматически по срабатыванию локального или внешнего триггера 2 ПОДРОБНЫЙ отчет формируется на SmartEvent4Processes Registry Files Network Сырые данные анализируются с помощью сложных алгоритмов3
  • 29. ©2016 Check Point Software Technologies Ltd. 29 Триггер расследования Идентификация процесса, который запрашивает соединение с C&C сервером Начало атаки Использование браузера Chrome Триггеры атаки Автоматическое обратное отслеживание атаки Загруженный вредонос Процесс носитель вируса загружает и устанавливает вредоносное ПО Эксплойт Процесс-носитель вируса Активация Постоянные задачи запускаются после старта системы Атака отслеживается даже после перезагрузки Выполнение Вредонос записывается на запуск после перезагрузки системы [Restricted] ONLY for designated groups and individuals​ Кража данных Вредонос читает конфиденциаль- ные данные
  • 30. ©2016 Check Point Software Technologies Ltd. 30 Интеграция и мониторинг Общие политики Настраиваемый Dashboard Одна система – единое управление Удобная настройка, полная интеграция, абсолютная видимость
  • 31. ©2016 Check Point Software Technologies Ltd. 31 СПАСИБО!

Editor's Notes

  1. Brian Dye, Symantec's senior vice president for information security, said in interview to WSJ.
  2. The malware hides it self in legit sites for sharing photos Real pictures. Mean malware. The images were legally put on a legit server in Australia
  3. Мы делим угрозы на 2 типа: известные и неизвестные вредоносные программы. Традиционные меры безопасности идентифицируют известных вредоносных программ с помощью сигнатур, IP-адресов и URL-адресов. Теперь мы видим большой объем новых неизвестных вредоносных программ, которые мы не можем обнаружить с помощью традиционных технологий. Мы называем их сложными постоянными угрозами или целевыми атаками (Advanced Persistent Threats или АPT.) Мы наблюдаем резкое увеличение APT по 2 причинам. Во-первых, злоумышленники тратят больше времени на поиск уязвимостей в новых системах. Во-вторых, кто-то создает простые приложения, которые могут конвертировать любые известные вредоносные программы в неизвестное вредоносное ПО, изменяя несколько характеристик. Обычная система безопасности не распознает измененное вредоносное программное обеспечение. Как вы обнаружите, если у вас APT в вашей сети?
  4. Let’s take a deeper look at the “CPU-level detection”. The first step a hacker must take is to find a vulnerability – a weakness in some piece of software, maybe the browser, or in Java, or maybe Windows. This lets them inject their exploit code into memory… bypassing security controls. Once it is here, now they can run their shell code, essentially a small application that then retrieves the malware, either from the original file, or over the network. Now they can do what they really came for, whether that is exfiltrating data, logging keystrokes, or spreading additional malware behind your firewall… Now if we look at this chain and see what is going on. First of all, at the top of the chain, there are thousands of vulnerabilities out there, and hundreds of them are active and unpatched and at any point in time. Getting into computers and being able to talk to them is still not that difficult for hackers. At the end of the chain, there are millions and millions of different types of malware. Malware that might try to exfiltrate data from your network, or malware that might try to run a bot to spread malware throughout the network or initiate a command and control to other machines in the network. But getting from the top to the bottom has to go through the very narrow stream of exploits, of which there are only a handful. The way as attacker is going to try to evade detection in the sandbox is down at the bottom of that chain. As the malware starts up, it is going to look for that VM, or wait for user interaction, or its going to issue a delay for a week. But that only happens late in the stage. If we can come in at this exploit phase, where there are only a handful of techniques, we can be a step ahead of those malware variants. The fact that someone has created a new, slightly modified version of software doesn’t matter. We are going to be able to see it because it is using the same exploit. There are very few new exploits being written. When they appear our team quickly finds out about them through ThreatCloud and Incident Response, and we quickly build protections against them. It is also a step earlier in the attack cycle BEFORE the evasion code can run.
  5. Consider removing Intel screenshot
  6. SandBlast takes a new approach to this problem, providing a safe COPY of files until inspection is complete, allowing deployment in full blocking mode. Any threats identified will still generate an alert, but the malware was prevented from reaching the user. SandBlast calls this capability Threat Extraction. It creates a clean, reconstructed version of the document, using only safe components. Scripts and macros are removed, dynamic content is rendered as a static view. This is not intended to replace the original, but for many users, being able to view the content is all that is needed, and in a matter of minutes, the original can be retrieved, but only after it is deemed safe.
  7. With today’s sophisticated watering hole, spear phishing, and drive by exploits, malicious content downloaded from the web is of particular concern. For this content, we provide a unique proactive approach to securing content, Threat Extraction.
  8. We trace the whole path and can see everything along it. You see the investigation trigger (which was reaching out to C&C server) It traced back to the original point of infection and identified the origin of entry (someone browsing with chrome and specifically the website used) The system rebooted, and we can see what happens when the dropper installs malware, which was waiting for reboot Sees when system scheduled to execute post reboot and the entry into the task schedule You see when it tried to execute the malware, and see when it tries to activate and pick it up and block it In other words, you can see the whole path. This is a pretty simple case In a multi-stage attack this could happen over days or weeks and involve multiple pieces of malware executing and downloading  
  9. We know security can be complex to implement. Our management system translates your security strategy into reality with unified policy and event management – known in the industry as the management gold standard. This management system provides end-to-end visibility that enables our customers to react quickly to any events affecting their network and also enables them to better prevent threats. Since our management is unified and both the visibility and policy components are linked together, an administrator can in a single step click on a security event and convert it into a new security rule. Also based on 3rd party analyst research, Check Point leads all other security vendors in needing the least amount of people to manage an extensive network of security gateways.