Документ обсуждает актуальность проблем целенаправленных атак и методы их предотвращения с помощью FortiSandbox, системы для анализа и защиты от угроз. Основное внимание уделяется интеграции FortiSandbox с другими решениями Fortinet, а также его ключевым функциям и эффективности в выявлении вредоносного ПО. Документ подчеркивает важность комплексного подхода к безопасности с использованием современных технологий для снижения времени на реакцию на инциденты.

1. © Copyright Fortinet Inc. All rights reserved.
Паливода Александр
opali@muk.ua

2. 2
Актуальность проблемы целенаправленных атак.
Стоит ли беспокоиться?
ФАКТ:
Технологии предотвращения иногда не срабатывают,
поэтому в СУИБ следует добавлять инструменты, процессы
и персонал для выявления и ответных действий
>200 дней
Средний период пребывания злоумышленников незамеченными
>2/3
жертв были оповещены третьими сторонами
ЦЕЛЬ:
⮚ снизить время на Поиск/Выявление инцидентов
⮚ снизить время на Расследование инцидентов
⮚ снизить время на Устранение последствий

3. 3
Почему так происходит – много неизвестного

4. 4
Ценность Sandbox
*Verizon 2018 Data Breach Investigation Report

5. 5
FortiSandbox – «песочница»

6. 6
Методы внедрения FortiSandbox
• Интегрированный: интеграция с
FortiMail, FortiGate, FortiWeb,
FortiClient, посредством API или ICAP
• Сниффер/Тап: захват пакетов,
извлечение объектов
• По требованию/shares: проверка
общих папок – CIFS, NFSv2/v3/v4,
отправка и анализ по внешнему
запросу

7. 7
Открытый - значит эффективный

8. 8
Гибкие методы внедрения

9. 9
Ключевые функции FortiSandbox

10. 10
Advanced
Threat
Protection
Appliance Virtual Cloud
FortiGuard
Global Intelligence
FortiSandbox
FortiMail FortiGate FortiWeb FortiClient
Fortinet Advanced Threat Protection
Защита с самым высоким рейтингом на всех уровнях

11. 11
Интеграция FortiGate и FortiSandbox
Со стороны FortiGate
• Инспекция входящего/исходящего
трафика
• Передача подозрительных/всех
объектов в песочницу
• Получение результатов и локальных
обновлений
• Действия в один клик (карантин)
• Блокировка распространения атаки
Со стороны FortiSandbox
• Сниффер извлекает объекты для
анализа и индикаторы активности C&C
• Прием объектов от FortiGate
• Анализ всех объектов и сетевой
активности
• Определение рейтинга объектов
• Динамическая генерация и
распространения “threat intelligence”

12. 12
Интеграция FortiWeb и FortiSandbox
Со стороны FortiWeb
• Предотвращение эксплуатации
уязвимостей
• Блокировка выгрузки известного
вредоносного ПО (антивирус)
• Отправка подозрительны/всех выгрузок
на анализ в песочницу
• Прием результатов и предотвращение
вредоносного ПО или файлов с высоким
риском
Со стороны FortiSandbox
• Сниффер извлекает объекты для
анализа и индикаторы активности C&C
• Прием объектов от FortiWeb
• Определение рейтинга объектов
• Поддержание базы результатов
FortiSandbox

13. 13
▪ On-Premise and Cloud options
▪ FortiMail задерживает почту и
отправляет файлы и URL в
FortiSandbox для анализа
» AV Pre-filtering
» Поиск результатов в облаке –
известен ли образец как плохой
» Анализ объекта в виртуальной среде
» Callback detection – пытается ли
образец обратится куда-то в
Интернет за инструкциями
» Присвоить и вернуть рейтинг
объекта для представления
» FortiMail поддерживает кэш
результатов FortiSandbox
Интеграция FortiMail и FortiSandbox

14. 14
Интеграция FortiClient и FortiSandbox
Со стороны FortiClient
• Отправка объектов на анализ
• Опционально – задержка запуска
объекта до результата анализа
• Автоматический карантин вредоносных
объектов
• Прием «threat intelligence» от
локального FortiSandbox
• Блокировка объектов, признанных
вредоносными - FortiGuard
Со стороны FortiSandbox
• Сниффер извлекает объекты для
анализа и индикаторы активности C&C
• Прием объектов от FortiClient
• Анализ всех объектов и сетевой
активности
• Назначение и предоставление
рейтинга
• Поддержание базы результатов
FortiSandbox

15. 15
Интеграция со сторонними системами защиты
Веб-шлюзы Конечные узлы

16. 16
Результат сканирования файла
• Метаданные файла и полный результат сканирования
• Графическая сводка подозрительной активности
(графики, скриншоты экрана, запись видео…)

17. 17
Malware Package
Динамические сигнатуры генерируемые FortiSandbox:
✔ Любой образец определенный как Malicious, High или Medium Risk
может быть добавлен в Malware Package
✔ FortiGate и FortiClient подключенные к FortiSandbox, загружают Malware
Package по мере их появления
✔ FortiMail проверяет хэш файла в Malware Package до его отправки в
FortiSandbox (т.е. до пересылки файла на анализ)
✔ Содержимое Malware Package доступно в меню File-Based
Detection>File Input>Device
✔ STIX

18. 18
Sandboxing Evasion Techniques (техника уклонения, обхода)
- сокрытие исполнения файла в «песочнице»
- выявление техники обхода «песочницы»
системные вызовы – виртуальная
среда или нет?
попытки определить, является ли
среда виртуальной (memory, CPU,
MAC, NIC, disk …)
проверка наличия сетевого
трафика (Nx Number of Network
Packets)
проверка наличия adware cookies: google, facebook… etc
запросы наличия домена Windows
Проверка «времени жизни» рабочей
станции (test VM = short lifespan)
Excessive sleep time, NxMouse Click,
Scroll to page X, fast mouse
movements… И МНОГОЕ ДРУГОЕ

19. 19
Ценность комплексного решения FortiSandbox

20. 20
Высокая доступность и балансировка нагрузки
• Master и Primary Slave должны
быть одинаковыми (одна и та
же модель)
• Regular Slave могут отличаться
от Master (подходят любые
модели)
• До 100 Slave в кластере

21. 21
Оповещения
Отправка оповещений при выявлениивредоносных или подозрительных файлов

22. 22
Опции MSSP (Managed Security Service Provider)
Per Admin Files/Log View
VDOM based reporting

23. 23
Варианты FortiSandbox Appliance, VM, Cloud (SaaS and Public-AWS)
Market Size
Mid
Enterprise
Service
Provider
Mid Small
Mid
Mid Mid
Enterprise
Service
Provider
Enterprise
Service
Provider
Small
Mid
Enterprise
Performanc
e &
Scalability
Количество VMs
8 per node,
Up to 99
nodes/cluster
6
(base 2)
8
(base 2)
24
(base 4)
56
(base 8)
60
(base 36)
Согласно
лицензии
Pre-filter
(файлов/час)
Варьируется 4 500 6000 12 000 15 000 48 000
Согласно
лицензии
Sandboxing
(файлов/час)
Варьируется 120 160 480 1120 1200
Согласно
лицензии
Real-world
performance
(файлов/час)
Варьируется 360 480 1 440 3 360 3 600
Согласно
лицензии
FSA-VM FSA-500F
FSA-1000D
FSA-2000E
FSA-3000E
FSA-3500D
FSA-Cloud
SaaS

24. 24
File
Submission/
Result
Quarantine Devices/Block Traffic
FortiClient (ATP Agent)
Device/File
Quarantine
FortiGate/FortiMail/FortiWeb
Block Objects
FortiGuard Labs
Intelligence Sharing
Security Updates
Forensics and
Response
File
Submission/
Result
Real-time Intelligence Updates
FortiSandbox
Fortinet Advanced Threat Protection
Автоматизированный обмен данными и реакция на события
Fabric Ready
Endpoint Partners

25. 25
Заключение – 3 основных свойства FortiSandbox
FortiSandbox
лучший выбор для защиты от целенаправленных атак
Лучшая защита
⮚ Рекомендация NSS
Labs, 99%
эффективность,
выявление < 3 мин
⮚ Высокий рейтинг
антивируса (VB)
⮚ Антивирус, облачная
репутация файлов и
быстрая эмуляция
Лучшая стоимость /
производительность
⮚ Требуется меньше
устройств
⮚ SSL инспекция с
FortiGate
⮚ Возможность защиты от
большинства векторов в
интегрированном
развертывании
Гибкое
развертывание
⮚ Развертывание
standalone или
integrated
⮚ Устройство, VM или
облачный сервис
⮚ Ключевой элемент
единой архитектуры
защиты от
расширенных угроз

26. © Copyright Fortinet Inc. All rights reserved.