© Copyright Fortinet Inc. All rights reserved.
Паливода Александр
opali@muk.ua
2
Актуальность проблемы целенаправленных атак.
Стоит ли беспокоиться?
ФАКТ:
Технологии предотвращения иногда не срабатывают,
поэтому в СУИБ следует добавлять инструменты, процессы
и персонал для выявления и ответных действий
>200 дней
Средний период пребывания злоумышленников незамеченными
>2/3
жертв были оповещены третьими сторонами
ЦЕЛЬ:
⮚ снизить время на Поиск/Выявление инцидентов
⮚ снизить время на Расследование инцидентов
⮚ снизить время на Устранение последствий
3
Почему так происходит – много неизвестного
4
Ценность Sandbox
*Verizon 2018 Data Breach Investigation Report
5
FortiSandbox – «песочница»
6
Методы внедрения FortiSandbox
• Интегрированный: интеграция с
FortiMail, FortiGate, FortiWeb,
FortiClient, посредством API или ICAP
• Сниффер/Тап: захват пакетов,
извлечение объектов
• По требованию/shares: проверка
общих папок – CIFS, NFSv2/v3/v4,
отправка и анализ по внешнему
запросу
7
Открытый - значит эффективный
8
Гибкие методы внедрения
9
Ключевые функции FortiSandbox
10
Advanced
Threat
Protection
Appliance Virtual Cloud
FortiGuard
Global Intelligence
FortiSandbox
FortiMail FortiGate FortiWeb FortiClient
Fortinet Advanced Threat Protection
Защита с самым высоким рейтингом на всех уровнях
11
Интеграция FortiGate и FortiSandbox
Со стороны FortiGate
• Инспекция входящего/исходящего
трафика
• Передача подозрительных/всех
объектов в песочницу
• Получение результатов и локальных
обновлений
• Действия в один клик (карантин)
• Блокировка распространения атаки
Со стороны FortiSandbox
• Сниффер извлекает объекты для
анализа и индикаторы активности C&C
• Прием объектов от FortiGate
• Анализ всех объектов и сетевой
активности
• Определение рейтинга объектов
• Динамическая генерация и
распространения “threat intelligence”
12
Интеграция FortiWeb и FortiSandbox
Со стороны FortiWeb
• Предотвращение эксплуатации
уязвимостей
• Блокировка выгрузки известного
вредоносного ПО (антивирус)
• Отправка подозрительны/всех выгрузок
на анализ в песочницу
• Прием результатов и предотвращение
вредоносного ПО или файлов с высоким
риском
Со стороны FortiSandbox
• Сниффер извлекает объекты для
анализа и индикаторы активности C&C
• Прием объектов от FortiWeb
• Определение рейтинга объектов
• Поддержание базы результатов
FortiSandbox
13
▪ On-Premise and Cloud options
▪ FortiMail задерживает почту и
отправляет файлы и URL в
FortiSandbox для анализа
» AV Pre-filtering
» Поиск результатов в облаке –
известен ли образец как плохой
» Анализ объекта в виртуальной среде
» Callback detection – пытается ли
образец обратится куда-то в
Интернет за инструкциями
» Присвоить и вернуть рейтинг
объекта для представления
» FortiMail поддерживает кэш
результатов FortiSandbox
Интеграция FortiMail и FortiSandbox
14
Интеграция FortiClient и FortiSandbox
Со стороны FortiClient
• Отправка объектов на анализ
• Опционально – задержка запуска
объекта до результата анализа
• Автоматический карантин вредоносных
объектов
• Прием «threat intelligence» от
локального FortiSandbox
• Блокировка объектов, признанных
вредоносными - FortiGuard
Со стороны FortiSandbox
• Сниффер извлекает объекты для
анализа и индикаторы активности C&C
• Прием объектов от FortiClient
• Анализ всех объектов и сетевой
активности
• Назначение и предоставление
рейтинга
• Поддержание базы результатов
FortiSandbox
15
Интеграция со сторонними системами защиты
Веб-шлюзы Конечные узлы
16
Результат сканирования файла
• Метаданные файла и полный результат сканирования
• Графическая сводка подозрительной активности
(графики, скриншоты экрана, запись видео…)
17
Malware Package
Динамические сигнатуры генерируемые FortiSandbox:
✔ Любой образец определенный как Malicious, High или Medium Risk
может быть добавлен в Malware Package
✔ FortiGate и FortiClient подключенные к FortiSandbox, загружают Malware
Package по мере их появления
✔ FortiMail проверяет хэш файла в Malware Package до его отправки в
FortiSandbox (т.е. до пересылки файла на анализ)
✔ Содержимое Malware Package доступно в меню File-Based
Detection>File Input>Device
✔ STIX
18
Sandboxing Evasion Techniques (техника уклонения, обхода)
- сокрытие исполнения файла в «песочнице»
- выявление техники обхода «песочницы»
системные вызовы – виртуальная
среда или нет?
попытки определить, является ли
среда виртуальной (memory, CPU,
MAC, NIC, disk …)
проверка наличия сетевого
трафика (Nx Number of Network
Packets)
проверка наличия adware cookies: google, facebook… etc
запросы наличия домена Windows
Проверка «времени жизни» рабочей
станции (test VM = short lifespan)
Excessive sleep time, NxMouse Click,
Scroll to page X, fast mouse
movements… И МНОГОЕ ДРУГОЕ
19
Ценность комплексного решения FortiSandbox
20
Высокая доступность и балансировка нагрузки
• Master и Primary Slave должны
быть одинаковыми (одна и та
же модель)
• Regular Slave могут отличаться
от Master (подходят любые
модели)
• До 100 Slave в кластере
21
Оповещения
Отправка оповещений при выявлениивредоносных или подозрительных файлов
22
Опции MSSP (Managed Security Service Provider)
Per Admin Files/Log View
VDOM based reporting
23
Варианты FortiSandbox Appliance, VM, Cloud (SaaS and Public-AWS)
Market Size
Mid
Enterprise
Service
Provider
Mid Small
Mid
Mid Mid
Enterprise
Service
Provider
Enterprise
Service
Provider
Small
Mid
Enterprise
Performanc
e &
Scalability
Количество VMs
8 per node,
Up to 99
nodes/cluster
6
(base 2)
8
(base 2)
24
(base 4)
56
(base 8)
60
(base 36)
Согласно
лицензии
Pre-filter
(файлов/час)
Варьируется 4 500 6000 12 000 15 000 48 000
Согласно
лицензии
Sandboxing
(файлов/час)
Варьируется 120 160 480 1120 1200
Согласно
лицензии
Real-world
performance
(файлов/час)
Варьируется 360 480 1 440 3 360 3 600
Согласно
лицензии
FSA-VM FSA-500F
FSA-1000D
FSA-2000E
FSA-3000E
FSA-3500D
FSA-Cloud
SaaS
24
File
Submission/
Result
Quarantine Devices/Block Traffic
FortiClient (ATP Agent)
Device/File
Quarantine
FortiGate/FortiMail/FortiWeb
Block Objects
FortiGuard Labs
Intelligence Sharing
Security Updates
Forensics and
Response
File
Submission/
Result
Real-time Intelligence Updates
FortiSandbox
Fortinet Advanced Threat Protection
Автоматизированный обмен данными и реакция на события
Fabric Ready
Endpoint Partners
25
Заключение – 3 основных свойства FortiSandbox
FortiSandbox
лучший выбор для защиты от целенаправленных атак
Лучшая защита
⮚ Рекомендация NSS
Labs, 99%
эффективность,
выявление < 3 мин
⮚ Высокий рейтинг
антивируса (VB)
⮚ Антивирус, облачная
репутация файлов и
быстрая эмуляция
Лучшая стоимость /
производительность
⮚ Требуется меньше
устройств
⮚ SSL инспекция с
FortiGate
⮚ Возможность защиты от
большинства векторов в
интегрированном
развертывании
Гибкое
развертывание
⮚ Развертывание
standalone или
integrated
⮚ Устройство, VM или
облачный сервис
⮚ Ключевой элемент
единой архитектуры
защиты от
расширенных угроз
© Copyright Fortinet Inc. All rights reserved.

FortiSandbox

  • 1.
    © Copyright FortinetInc. All rights reserved. Паливода Александр opali@muk.ua
  • 2.
    2 Актуальность проблемы целенаправленныхатак. Стоит ли беспокоиться? ФАКТ: Технологии предотвращения иногда не срабатывают, поэтому в СУИБ следует добавлять инструменты, процессы и персонал для выявления и ответных действий >200 дней Средний период пребывания злоумышленников незамеченными >2/3 жертв были оповещены третьими сторонами ЦЕЛЬ: ⮚ снизить время на Поиск/Выявление инцидентов ⮚ снизить время на Расследование инцидентов ⮚ снизить время на Устранение последствий
  • 3.
    3 Почему так происходит– много неизвестного
  • 4.
    4 Ценность Sandbox *Verizon 2018Data Breach Investigation Report
  • 5.
  • 6.
    6 Методы внедрения FortiSandbox •Интегрированный: интеграция с FortiMail, FortiGate, FortiWeb, FortiClient, посредством API или ICAP • Сниффер/Тап: захват пакетов, извлечение объектов • По требованию/shares: проверка общих папок – CIFS, NFSv2/v3/v4, отправка и анализ по внешнему запросу
  • 7.
    7 Открытый - значитэффективный
  • 8.
  • 9.
  • 10.
    10 Advanced Threat Protection Appliance Virtual Cloud FortiGuard GlobalIntelligence FortiSandbox FortiMail FortiGate FortiWeb FortiClient Fortinet Advanced Threat Protection Защита с самым высоким рейтингом на всех уровнях
  • 11.
    11 Интеграция FortiGate иFortiSandbox Со стороны FortiGate • Инспекция входящего/исходящего трафика • Передача подозрительных/всех объектов в песочницу • Получение результатов и локальных обновлений • Действия в один клик (карантин) • Блокировка распространения атаки Со стороны FortiSandbox • Сниффер извлекает объекты для анализа и индикаторы активности C&C • Прием объектов от FortiGate • Анализ всех объектов и сетевой активности • Определение рейтинга объектов • Динамическая генерация и распространения “threat intelligence”
  • 12.
    12 Интеграция FortiWeb иFortiSandbox Со стороны FortiWeb • Предотвращение эксплуатации уязвимостей • Блокировка выгрузки известного вредоносного ПО (антивирус) • Отправка подозрительны/всех выгрузок на анализ в песочницу • Прием результатов и предотвращение вредоносного ПО или файлов с высоким риском Со стороны FortiSandbox • Сниффер извлекает объекты для анализа и индикаторы активности C&C • Прием объектов от FortiWeb • Определение рейтинга объектов • Поддержание базы результатов FortiSandbox
  • 13.
    13 ▪ On-Premise andCloud options ▪ FortiMail задерживает почту и отправляет файлы и URL в FortiSandbox для анализа » AV Pre-filtering » Поиск результатов в облаке – известен ли образец как плохой » Анализ объекта в виртуальной среде » Callback detection – пытается ли образец обратится куда-то в Интернет за инструкциями » Присвоить и вернуть рейтинг объекта для представления » FortiMail поддерживает кэш результатов FortiSandbox Интеграция FortiMail и FortiSandbox
  • 14.
    14 Интеграция FortiClient иFortiSandbox Со стороны FortiClient • Отправка объектов на анализ • Опционально – задержка запуска объекта до результата анализа • Автоматический карантин вредоносных объектов • Прием «threat intelligence» от локального FortiSandbox • Блокировка объектов, признанных вредоносными - FortiGuard Со стороны FortiSandbox • Сниффер извлекает объекты для анализа и индикаторы активности C&C • Прием объектов от FortiClient • Анализ всех объектов и сетевой активности • Назначение и предоставление рейтинга • Поддержание базы результатов FortiSandbox
  • 15.
    15 Интеграция со стороннимисистемами защиты Веб-шлюзы Конечные узлы
  • 16.
    16 Результат сканирования файла •Метаданные файла и полный результат сканирования • Графическая сводка подозрительной активности (графики, скриншоты экрана, запись видео…)
  • 17.
    17 Malware Package Динамические сигнатурыгенерируемые FortiSandbox: ✔ Любой образец определенный как Malicious, High или Medium Risk может быть добавлен в Malware Package ✔ FortiGate и FortiClient подключенные к FortiSandbox, загружают Malware Package по мере их появления ✔ FortiMail проверяет хэш файла в Malware Package до его отправки в FortiSandbox (т.е. до пересылки файла на анализ) ✔ Содержимое Malware Package доступно в меню File-Based Detection>File Input>Device ✔ STIX
  • 18.
    18 Sandboxing Evasion Techniques(техника уклонения, обхода) - сокрытие исполнения файла в «песочнице» - выявление техники обхода «песочницы» системные вызовы – виртуальная среда или нет? попытки определить, является ли среда виртуальной (memory, CPU, MAC, NIC, disk …) проверка наличия сетевого трафика (Nx Number of Network Packets) проверка наличия adware cookies: google, facebook… etc запросы наличия домена Windows Проверка «времени жизни» рабочей станции (test VM = short lifespan) Excessive sleep time, NxMouse Click, Scroll to page X, fast mouse movements… И МНОГОЕ ДРУГОЕ
  • 19.
  • 20.
    20 Высокая доступность ибалансировка нагрузки • Master и Primary Slave должны быть одинаковыми (одна и та же модель) • Regular Slave могут отличаться от Master (подходят любые модели) • До 100 Slave в кластере
  • 21.
    21 Оповещения Отправка оповещений привыявлениивредоносных или подозрительных файлов
  • 22.
    22 Опции MSSP (ManagedSecurity Service Provider) Per Admin Files/Log View VDOM based reporting
  • 23.
    23 Варианты FortiSandbox Appliance,VM, Cloud (SaaS and Public-AWS) Market Size Mid Enterprise Service Provider Mid Small Mid Mid Mid Enterprise Service Provider Enterprise Service Provider Small Mid Enterprise Performanc e & Scalability Количество VMs 8 per node, Up to 99 nodes/cluster 6 (base 2) 8 (base 2) 24 (base 4) 56 (base 8) 60 (base 36) Согласно лицензии Pre-filter (файлов/час) Варьируется 4 500 6000 12 000 15 000 48 000 Согласно лицензии Sandboxing (файлов/час) Варьируется 120 160 480 1120 1200 Согласно лицензии Real-world performance (файлов/час) Варьируется 360 480 1 440 3 360 3 600 Согласно лицензии FSA-VM FSA-500F FSA-1000D FSA-2000E FSA-3000E FSA-3500D FSA-Cloud SaaS
  • 24.
    24 File Submission/ Result Quarantine Devices/Block Traffic FortiClient(ATP Agent) Device/File Quarantine FortiGate/FortiMail/FortiWeb Block Objects FortiGuard Labs Intelligence Sharing Security Updates Forensics and Response File Submission/ Result Real-time Intelligence Updates FortiSandbox Fortinet Advanced Threat Protection Автоматизированный обмен данными и реакция на события Fabric Ready Endpoint Partners
  • 25.
    25 Заключение – 3основных свойства FortiSandbox FortiSandbox лучший выбор для защиты от целенаправленных атак Лучшая защита ⮚ Рекомендация NSS Labs, 99% эффективность, выявление < 3 мин ⮚ Высокий рейтинг антивируса (VB) ⮚ Антивирус, облачная репутация файлов и быстрая эмуляция Лучшая стоимость / производительность ⮚ Требуется меньше устройств ⮚ SSL инспекция с FortiGate ⮚ Возможность защиты от большинства векторов в интегрированном развертывании Гибкое развертывание ⮚ Развертывание standalone или integrated ⮚ Устройство, VM или облачный сервис ⮚ Ключевой элемент единой архитектуры защиты от расширенных угроз
  • 26.
    © Copyright FortinetInc. All rights reserved.