Introduction to the basic concepts of digital forensic image acquisition, hardware/software write-blocking techniques and forensic image formats
*
*
*
Subscribe to the YouTube channel:
https://youtube.com/channel/UC4bvx2ub2h7F_FrZKF9QGIg
A strategy for software testing integrates the design of software test cases into a well-planned series of steps that result in successful development of the software.
Introduction to the basic concepts of digital forensic image acquisition, hardware/software write-blocking techniques and forensic image formats
*
*
*
Subscribe to the YouTube channel:
https://youtube.com/channel/UC4bvx2ub2h7F_FrZKF9QGIg
A strategy for software testing integrates the design of software test cases into a well-planned series of steps that result in successful development of the software.
Apresentação de como que funciona uma perícia em um computador. Definição sobre MACtimes e Rootkit. E por que informações de arquivo excluído sobrevivem intactas.
V-Model evolved from waterfall Model. Each phase must be completed before the next phase begins. Instead of moving down in a linear way, the process steps are bent upwards after the coding phase, to form the typical V shape. Testing is emphasized in this model more than in the waterfall model. It is a structured approach to testing. Brings high quality into the development of our products
This is a draft presentation of a video lesson taken from the course "Digital forensics with Kali Linux" published by Packt Publishing in May 2017: https://www.packtpub.com/networking-and-servers/digital-forensics-kali-linux
This presentation introduces the fundamentals of the forensic image acquisition process, explaining concepts like hardware and software write blocking, the physical and logical structure of hard disks and the different forensic image formats.
ASFWS 2012 - Cybercrime to Information Warfare & “Cyberwar”: a hacker’s persp...Cyber Security Alliance
This presentation will analyze the Information Warfare scenarios, technical and legal backgrounds, highlighting as well the importance of the terminologies and bringing to the audience real-life examples and known incidents. The last part of the talk will focus on two theorical case studies and on one, very special, theorical case study.
Netz und ISP
Modem und Routing
Firewall, interne Netze, DMZ
Umstellung der Services
Dual-Stack und Übergangsproblematik
Testing
Zusammenfassung
Learnings
Apresentação de como que funciona uma perícia em um computador. Definição sobre MACtimes e Rootkit. E por que informações de arquivo excluído sobrevivem intactas.
V-Model evolved from waterfall Model. Each phase must be completed before the next phase begins. Instead of moving down in a linear way, the process steps are bent upwards after the coding phase, to form the typical V shape. Testing is emphasized in this model more than in the waterfall model. It is a structured approach to testing. Brings high quality into the development of our products
This is a draft presentation of a video lesson taken from the course "Digital forensics with Kali Linux" published by Packt Publishing in May 2017: https://www.packtpub.com/networking-and-servers/digital-forensics-kali-linux
This presentation introduces the fundamentals of the forensic image acquisition process, explaining concepts like hardware and software write blocking, the physical and logical structure of hard disks and the different forensic image formats.
ASFWS 2012 - Cybercrime to Information Warfare & “Cyberwar”: a hacker’s persp...Cyber Security Alliance
This presentation will analyze the Information Warfare scenarios, technical and legal backgrounds, highlighting as well the importance of the terminologies and bringing to the audience real-life examples and known incidents. The last part of the talk will focus on two theorical case studies and on one, very special, theorical case study.
Netz und ISP
Modem und Routing
Firewall, interne Netze, DMZ
Umstellung der Services
Dual-Stack und Übergangsproblematik
Testing
Zusammenfassung
Learnings
FireEye - система защиты от целенаправленных атакDialogueScience
В настоящее время угрозы Advanced Persistent Threat (APT), связанные с целевыми атаками злоумышленников, использующие уязвимости «нулевого дня», являются наиболее опасными и актуальными для большинства компаний. В рамках вебинара будет рассмотрен способ защиты от подобного рода угроз с помощью системы FireEye.
Контрольный список для предотвращения атак программ-вымогателейCisco Russia
Готова ли ваша организация к отражению атак? Не тратьте время на обдумывание стратегии защиты. Приведенная ниже таблица поможет вам защититься от этих атак.
Все решения Cisco по информационной безопасности за 1 часCisco Russia
Компания Cisco очень много внимания уделяет решениям по информационной безопасности, предлагаемым нашим заказчикам.
Видео: https://www.youtube.com/watch?v=9S0YmA-15mA
Борьба с вредоносным кодом: от базовых мер к целостной стратегииAleksey Lukatskiy
Описание целостной стратегии борьбы с вредоносным кодом - от начальных шагов и базовых защитных мер к продвинутой версии, включающей множество защитных механизмов
Здоровье важнее - Fortinet решения для удаленных сотрудниковMUK Extreme
Fortinet Teleworker Solutions
- Leverages Existing FortiGate NGFW capabilities for large scale workforce support
- Extends Current Infrastructure & Management Tools
- Enables Secure, Remote Connectivity for the entire workforce
2. 2
FortiMail Future
The future is cloudy….
Threat or opportunity?
Targeted Attacks
Protect the
unknown
Fabric-ready
What’s next after
FSA?
Office365 is dominating the
cloud email server market
Continue the drive against
emerging threats
» Targeting unknown threats
» Business Email Compromise
FortiMail is a key Fabric element
» FortiSandbox integration has
been a massive success
delivering high growth in
2016.
Add more value to customers through the
addition of new security features
New features to help tie FortiMail to the
success of third party cloud services
Continue to leverage the Fortinet Security
Fabric to drive the adoption of FortiMail
3. 3
Email is *the* critical threat vector
Malware
• Targets unskilled users therefore
often volumetric attacks
• Use of social engineering
techniques to get users to open
email and execute malware
• Some zero day, mostly a numbers
game
Phishing
• Targets an interest group,
organization or individuals (spear
phishing) within the organization
• Customised content based on
user interests or role
• Often targeted at C-levels
(whaling)
• Zero day malware or social
engineering to divulge financial or
credential information
• 12% users click on malicious
attachments or links in such mails*
Email Based Threats
* Source: Verizon 2017 Data Breach Investigations Report
Compliance & Data Loss
• Sending of Personally Identifiable
Information (PII) via Email
• Sending of corporate confidential
information out of the organization
• Corporate espionage
• Failure to encrypt sensitive emails
• Failure to backup/save/archive
emails to comply with corporate
standards
• IRS – 7 years
• PCI – 1 year
• State depts – 3 years
• HIPPA – 6 years
4. 4
It is just email. What’s the problem?
Lack of email security and management can lead to direct financial impact through fraud or indirect impact
through regulatory fines and negative PR.
5. 5
Email – the main vector of malware penetration
49%
of malware was
installed via email
attachment1
Advanced threats easily
bypass the signature-based
prevention mechanisms an
SEG has traditionally used.
15,071
Unique types of malware in
the 1Q18, an average of 170
each day
Notes/Sources:
1. Verizon 2018 Data Breach Report. April 2018.
2. Fortinet Threat Intelligence Newsletters, 2018.
3. FBI. IC3. 2017 Internet Crime Report. May 2018.
4. Gartner Market Guide for Secure Email Gateways, 2017.
$675m
Estimation of losses from
attacks "business email
compromise", 15,670
incidents in 2017
6. 6
Защита от Email угроз
Email Server
FortiGuard
Основные вызовы
Email основные векторы для
злоумышленника
Spam, attachments, phishing
Targeted attacks
Соблюдение, конфиденциальность и
контроль данных
Пользователи являются основным
фактором риска
Решение
FortiMail Email Security
Inbound and outbound threat protection
Data loss prevention and encryption
FortiSandbox integration
Преимущества
42 consecutive VBSpam awards
44 VB100 awards
Highest performance in industry
FortiMail
FortiSandbox
7. 7
FortiMail – e-mail protection
FortiMail includes the best anti-virus
protection technology, anti-spam
protection and sandboxing.
https://www.virusbulletin.com/uploads/pdf/magazine/2018/201802-
vb100-comparative.pdf
https://www.virusbulletin.com/uploads/pdf/magazine/2018/201803-vbspam-
comparative.pdf
8. 8
Варианты развертывания
Различные сценарии применения
Gateway Mode
• Наиболее распространенный сценарий
развертывания
• Почта доставляется в FortiMail, очищается от угроз и
отправляется почтовому серверу назначения
• Используется как «почтовый релэй»
Transparent Mode
• Разворачивается как «прозрачный» форвардер почты.
Никаких изменений конфигурации, необходимых для
инфраструктуры электронной почты.
• Обычно используется в среде ISP и Операторов..
Server Mode
• FortiMail действует как полный почтовый сервер,
предоставляющий POP3, IMAP, Webmail и календарь в
дополнение к функциям безопасности.
9. 9
Варианты развертывания
High Availability and Scalability Options
Active-Passive Cluster
• Два устройства, полная отказоустойчивость
• Мониторинг состояния и доступности сервисов
• Полная синхронизация (почта, очередь, карантин, логи…)
Config Only HA
• Линейная масштабируемость, подходящая для крупных ISP
и операторов
• Централизованный карантин, управление и шифрование на
основе идентификации
• Enables route and geographic redundancy (гео-кластер)
• Load balanced option using FortiiADC or third party load balancer
10. 10
Office365 - убедительный аргумент
» Microsoft сделала переход на Office365 убедительной
историей - простота, низкая совокупная стоимость
владения, только расходы на OPEX ……
» Встроенная защита от нежелательной почты и
антиспама не всегда адекватна ... .. Даже с Exchange
Online Protection.
» Отсутствуют функции шифрования и DLP в Office 365
Решение
» FortiMail можно развернуть вместе с Office 365 в
Microsoft Azure Cloud для повышения безопасности и
защиты контента.
Варианты развертывания
Переход на Office365
13. 13
Репутационная база данных FortiGuard
» Запрос в «облако» для определения известных спам-
IP и контента
FortiGuard Antivirus, Anti-Spam and URL Filtering
FortiGuard IP Reputation including Botnets
» Удаление большого количества спама при низкой
стоимости
Расширенные методы фильтрации
» Обнаружение новых кампаний спама, используя
различные динамические методы
Header Analysis
Dynamic Heuristics
Behavior Analysis
Sender Reputation
Suspicious Newsletter
DKIM / SPF / DMARC
Greyware Scanning
Ключевой функционал
Anti-Spam/Anti-Phishing
14. 14
FortiGuard Anti-Malware (On-box)
» One-to-many signature matching (CPRL)
» Heuristic detection
» Code emulation & Behavioural analysis
Outbreak Protection (Cloud based)
» Задержка письма с одновременным запросом в FortiGuard –
«были ли у кого-то в мире подобные письма?»,
предотвращение 0-day threat
Active Threat Neutralization
» Изъятие активного HTML-контента и вложений из писем, для
нейтрализации активных угроз
» Доставка нейтрализированой версии адресату, а оригинал – в
архив
Decrypt Archives and PDFs
» Популярные и кастомизированные списки паролей
Ключевой функционал
Anti-Malware
File Sample
Действие на основе профилей
Файл отбрасывается, помещается в карантин или в лог
Outbreak detection
Behavioral Analysis
Code Emulation
Decryption/unpacker System
Signature Match
(CPRL/Checksum)
FortiGuard Data
Analytics
15. 15
Behavioural Analysis
» Fuzzy logic engine for FortiGuard signatures
» Является ли поведение похожим на недавние
обнаружения на основе сигнатур?
FortiGuard Outbreak Protection
» FortiGuard анализирует миллионы emails в час от
тысяч устройств в Интернете и способна
идентифицировать новый спам и malware в считанные
минуты.
» Подозрительные вложения, обнаруженные в
известном спаме, блокируются до полной оценки
FortiGuard Labs.
Ключевой функционал
Защита от возникающих (новых) угроз
16. 16
Защита от утечки данных (DLP)
» Предустановленные настройки DLP для HIPAA, GLBA,
SOX, PCI для упрощения создания политики соответствия,
возможность кастомизации
» File fingerprinting с ручной загрузкой файлов и
сканированием Windows Fileshare
» Смарт-идентификаторы для высокой точности
TLS & S/MIME Encryption
Identity Based Encryption
» Не требуется дополнительная лицензия
» Нет обмена ключами шифрования, минимальное
управление ключами
Per Mailbox Policy-based Archiving
» Архивация по политикам для каждого ящика –
отправитель/получатель; тема/тело/вложение
» Удаленное архивирование
» Доступ к архиву через IMAP
» Microsoft Exchange Journal Archiving
Ключевой функционал
Data Protection and Compliance
17. 17
Dynamic Adult Image Analysis
» 2.5 миллиарда emails в день содержат порно-контент (8%
от всех писем) *
» 70% сотрудников допускают на работе просмотр или
отправку личной электронной почты, ориентированной на
взрослых. *
» Новая служба обнаруживает контент для взрослых в
изображениях с использованием различных
запатентованных методов, позволяющих блокировать или
логировать.
» Защита репутации бренда и компании
» Забота о сотрудниках, предотвращение враждебных
условий работы и избежание судебных исков о
сексуальных домогательствах
» Остановка оскорбительного контента
Ключевой функционал
Data Protection and Compliance
* Source: NFO Worldwide
18. 18
Центральный карантин
» Легкое администрирование
» Может объединяться между устройствами
Персональный карантин
» Отправитель и тема
» Добавление или удаление данных
Автоматическая маркировка и доставка
Новости и нежелательные категории
» Клиент фильтрует в выделенную папку
Ключевой функционал
Quarantine, End User Digest, Junkmail/Newsletter
Folders
19. 19
On-Premise and Cloud options
FortiMail queues email and submits files and URLs
to FortiSandbox for analysis
» AV Pre-filtering
» Cloud results lookup - is sample already known
bad
» Analyze objects in a virtual sandbox environment
» Callback detection – does sample try to call home
for instructions
» Assign and return a rating for the submission
» FortiMail maintains a cache of FortiSandbox
results
Ключевой функционал
FortiSandbox Threat Analysis *
* Optional but a core part of an ATP solution
Targeted Email
(1) Attachment sent
to FortiSandbox
(2) Object analyzed in
Sandbox environment
(3) Risk rating returned,
message handled by
policy
FortiMail
FortiSandbox
20. 20
Content Disarm & Reconstruction
Возможность «разоружения» офисных (MS
Office) и PDF файлов
Из файлов удаляется весь активный контент
Это позволяет минимизировать риск заражения
при наличии в файле эксплойтов
Исходный файл можно загрузить в FortiSandbox
Возможность выборочного «разоружения»
ссылок выбранной категории
» Ссылки могут быть удалены, либо могут
перенаправлять на портал с сообщением о
блокировке
Password Decrypt Office Docs
» Расшифровка запароленных архивов и PDF
файлов поддерживалось с 5.4
» Добавлена поддержка расшифровки
запароленных офисных документов
(MSOffice)
FORTIMAIL FEATURE UPDATE
ЗАЩИТА ОТ ПРОДВИНУТЫХ УГРОЗ Удаление макросов
Нейтрализация URLs
Удаление вложенного
контента (OLE)
21. 21
URL Click Protection
Защита в момент клика
» При проверке письма ссылки
переписываются так, что они
указывают на специальный портал
на FortiMail
» При попадании полтзователя по
такой ссылке, FortiMail проводит
повторный анализ конечной
ссылки
» Новая лицензия URL Click Protect
Преимущества
» Позволяет защитить
пользователей от перехода по
ссылкам, по которым уже после
прохождения письма стал
доступен вредоносный контент
FORTIMAIL FEATURE UPDATE
TARGETED ATTACK PREVENTION
22. 22
Business Email Compromise
(BEC)
Анализ подмены C-Level e-mails
» Идентификация корректных пар
Display Name / Header Address.
» Детектирование спуфинга
входящих email
» Предупреждение получателя в
Subject Tag или Body Header
» Предупреждение Whaling атак на
C-Levels
» Dopelganger domain detection*
» Dangerous charset detection*
FORTIMAIL FEATURE UPDATE
TARGETED ATTACK PREVENTION
23. 23
FortiView
Новое меню FortiView
» По аналогии с FortiGate
» Статистика – топ пользователей
и угроз
» Статистика по письмам и
сессиям
FORTIMAIL FEATURE UPDATE
FORTIVIEW & ФАБРИКА БЕЗОПАСНОСТИ
24. 24
Фабрика безопасности
FortiMail становится частью FOS
Security Fabric
» FortiMail включается в
отображение топологии на
FortiGate
FORTIMAIL FEATURE UPDATE
FORTIVIEW & ФАБРИКА БЕЗОПАСНОСТИ
25. 25
Усовершенствования
пересылки исходящих писем
Возможность Outbound Mail Relay
до нескольких получателей:
» Host
» MX Record
» IP/Group
Ограничение темпа доставки
сообщений (rate limiting)
Настройка максимального темпа
до определенных доменов
получателей
» Ограничение темпа отправки
почтовых рассылок – для защиты
домена от попадания в черные
списки
FORTIMAIL FEATURE UPDATE
УЛУЧШЕНИЯ MTA
5.4 6.0
26. 26
Репутация попыток
аутентификации
Добавлена в GUI (в прошлых
версиях только в CLI)
Конфигурация для различных опций
– CLI, Почта, Веб
Исключения для внутренних IP и
прокси
База репутации отображается в
Monitor и может быть использована
для создания исключений из
блокировки
FORTIMAIL FEATURE UPDATE
УЛУЧШЕНИЯ СИСТЕМЫ
27. 27
Усовершенствованный поиск
в журнале
Переход в поиск по журналу из
почтовых очередей и карантина
Трассировка сообщений
Перекрестный поиск по всем журналам
событий
Регистрация времени событий с
точностью до миллисекунд
Отображение корректной
последовательности событий в выводе
трассировки
Добавление поля “Session ID” в
почтовой очереди и карантине – для
трассировки
FORTIMAIL FEATURE UPDATE
РЕГИСТРАЦИЯ СОБЫТИЙ И ОТЧЕТНОСТЬ
28. 28
Усовершенствованная настройка административного доступа
Возможность дифференцировать доступ к веб-интерфейсу: административный и/или веб-почта (карантин)
Позволяет на портах, подключенных к внешнему миру оставить доступ к веб-интерфейсу карантина, при этом
закрыть доступ к интерфейсу администратора
FORTIMAIL FEATURE UPDATE
СИСТЕМА
29. 29
ENCRYPTEDENCRYPTED
Local network Local network
Когда TLS не достаточно
Only a portion of the email’s path may be encrypted
No control over which public MTA the email passes through
Eavesdropping possible if email passes through an MTA in plain text
To guarantee privacy and security, encryption must be present end-to-end
30. 30
Identity-Based Encryption
Public key encryption technology used for end-to-end encryption
Encryption keys generated from identity elements such as email addresses
Authenticated access for decryption
Simplified administration; No need to exchange keys or digital certificates in
advance
End-to-end encryption Authenticated
access
31. 31
Identity Based Encryption – Pull method
⑤ RECIPIENT ACCESSES
THE EMBEDDED URL
⑥ RECIPIENT IS
REGISTERED &
AUTHENTICATED
④ A NOTIFICATION EMAIL IS SENT
TO THE RECIPIENT WHICH
INCLUDES A WEB LINK
⑦ MESSAGE IS DISPLAYED
TROUGH A WEBMAIL
INTERFACE
③ ENCRYPTED MAIL IS
STORED ON FORTIMAIL
IN A SECURE MAILBOX
3
② MAIL MATCHES AN
ENCRYPTION
POLICY
7
① MAIL IS SENT BY
EMAIL CLIENT
1
MTA
4
5
6
32. 32
Identity Based Encryption – Push method
⑥ RECIPIENT IS
REGISTERED &
AUTHENTICATED
④ A NOTIFICATION IS SENT TO
THE RECIPIENT WITH THE HTML
PAYLOAD AS ATTACHEMENT
⑦ MESSAGE IS DISPLAYED
TROUGH A SECURE
WEBMAIL INTERFACE
③ MESSAGE IS
ENCRYPTED IN
HTML FORMAT
② MAIL MATCHES AN
ENCRYPTION
POLICY
7
① MAIL IS SENT BY
EMAIL CLIENT
1
MTA
5
3
4
⑤ RECIPIENT OPENS THE
ATTACHEMENT
6
44. 44
Обнаружение неизвестного на основе поведения
Domain Safelists
FortiGuard Antivirus
FortiGuard Anti-Spam
FortiGuard URL Filtering
Threat
Continuum
Security
Technologies
* Source: Verizon 2016 Data Breach Investigations Report
“99% вредоносных хэшей видны всего лишь 58 секунд или меньше. Это отражает то, как
быстро хакеры изменяют свой код, чтобы избежать обнаружения.” *
Known
Bad
Probably
Good
Very
Suspicious
Somewhat
Suspicious
Might be
Good
Completely
Unknown
User Safelists
Newsletter Detection
Outbreak Protection
Header Analysis
Heuristics and Behavior Analysis
Sender Reputation
Suspicious Newsletter
DKIM / SPF / DMARC
Greyware Scanning
FortiGuard IP Reputation
FortiSandbox
46. 46
Выявление -> Подавление -> Предотвращение
Циклический процесс
Обновления для
предотвращения
• Обновленная репутация IP
• Категоризация новых веб-
сайтов для фильтрации
• Новые правила IPS и ботнет
для блокирования C&C
трафика
• Обновленные сигнатуры
антивируса для вложений
Выявление и анализ
• Анализ и подробности
поведения объектов в
песочнице
• Подозрительная активность:
изменение привилегий,
создание/изменение/удаление
файлов
• Вредоносная активность:
избыточный/зашифрованный
трафик, DNS запросы
• Имена файлов, URL, IP
адреса
Мгновенное подавление
• Блокирование IP отправителя
вредоносного email
• Предотвращение коммуникации с C&C
• Карантин зараженных устройств
• Подтверждение компрометации и
удаление зараженных файлов