Багато компаній покладаються на технології ІТ-безпеки, засновані на принципах виявлення атак, а не на їх запобігання. Такий фрагментований підхід фокусується на виправленні наслідків вже реалізованої атаки! На сьогоднішній день є потреба у зміні курсу і впровадженні нової архітектури, що дозволяє запобігати атакам.
Продовження попередньої доповіді про кібербезпеку.
Цього разу розглядаються практичні аспекти тестів на проникнення включаючи інструменти та їх застосування.
Контент специфічний, розрахований на технічних спеціалістів та ентузіастів у галузі кібербезпеки, проте буде корисним для усіх користувачів високих технологій.
Доповідь про різні аспекти інформаційної чи то пак кібербезпеки. Розглянуті як суто технічні моменти забезпечення захисту інформації так і соціальна складова.
Загалом буде корисною у вигляді вступної доповіді для людей, які користуються високими технологіями, але не замислюються над актуальністю кібербезпеки.
Безпека інтернет-ресурсів: АНАЛІЗ РОЗПОВСЮДЖЕНОСТІ ЗАГРОЗ ТА ТЕХНОЛОГІЇ ЗАХИСТУSSCoding Group
Презентація доповіді к.т.н. Сободянюка Олександра Васильовича. Основні підходи до класифікації відомих вразливостей веб-ресурсів, проводиться аналіз активності найбільш розповсюджених типів загроз на основі звітів компаній, що займаються моніторингом інцидентів порушення безпеки веб-ресурсів, а також
розглянуто основні технології захисту від можливих реалізацій погроз. Більшість
веб-сайтів та веб-сервісів характеризуються цілим рядом вразливостей, завдяки яким зловмисники мають реальні можливості проводити атаки на самі найрізноманітніші сайти із використанням досить широкого інструментарію.Дані вразливості викликані як ненавмисно допущеними помилками розробниками на стадії проектування так і недосконалістю технологій, що були використані при створенні ресурсу.
Що таке ATD і для чого вона потрібна.
Інтеграція з іншими рішеннями для обміну IOC.
Контроль репутації файлів.
OpenDXL як механізм під'єднання до шини McAfee DXL.
Автоматична передача маркерів з McAfee ATD на пристрої Cisco, Fortinet, Checkpoint та інші.
Побудова комплексу захисту на різних рішеннях.
Демо роботи із ATD та OpenDXL.
#OptiData
Слайди доповіді Олега Лободіна з McAfeeCybersecForum
Детально про можливості McAfee IPS та McAfee Web Gateway
Практтичні поради, приклади.
Схема застосування.
Атаки на критичну інфраструктуру України. Висновки. Рекомендації.Vladyslav Radetsky
Короткий огляд атак, у розслідуванні який приймав участь.
Аналітика. Маркери компрометації. Рекомендації.
Контент доповіді стосується не лише енергетиків і є актуальним не лише для державного сектору.
Розраховано на широкий загал. В першу чергу - працівників ІТ/ІБ підрозділів.
В доповіді розглянуті основні моменти атак, що здійснювалися на державні організації через канал електронної пошти із застосуванням елементів соціальної інженерії. Наведено приклади фішингових листів та результат активації ШПЗ. У підсумку знайдете практичні рекомендації щодо перевірки приєднань та інформації з відкритих джерел. Цільова аудиторія - співробітники та керівники відділів ІТ та ІБ.
Продовження попередньої доповіді про кібербезпеку.
Цього разу розглядаються практичні аспекти тестів на проникнення включаючи інструменти та їх застосування.
Контент специфічний, розрахований на технічних спеціалістів та ентузіастів у галузі кібербезпеки, проте буде корисним для усіх користувачів високих технологій.
Доповідь про різні аспекти інформаційної чи то пак кібербезпеки. Розглянуті як суто технічні моменти забезпечення захисту інформації так і соціальна складова.
Загалом буде корисною у вигляді вступної доповіді для людей, які користуються високими технологіями, але не замислюються над актуальністю кібербезпеки.
Безпека інтернет-ресурсів: АНАЛІЗ РОЗПОВСЮДЖЕНОСТІ ЗАГРОЗ ТА ТЕХНОЛОГІЇ ЗАХИСТУSSCoding Group
Презентація доповіді к.т.н. Сободянюка Олександра Васильовича. Основні підходи до класифікації відомих вразливостей веб-ресурсів, проводиться аналіз активності найбільш розповсюджених типів загроз на основі звітів компаній, що займаються моніторингом інцидентів порушення безпеки веб-ресурсів, а також
розглянуто основні технології захисту від можливих реалізацій погроз. Більшість
веб-сайтів та веб-сервісів характеризуються цілим рядом вразливостей, завдяки яким зловмисники мають реальні можливості проводити атаки на самі найрізноманітніші сайти із використанням досить широкого інструментарію.Дані вразливості викликані як ненавмисно допущеними помилками розробниками на стадії проектування так і недосконалістю технологій, що були використані при створенні ресурсу.
Що таке ATD і для чого вона потрібна.
Інтеграція з іншими рішеннями для обміну IOC.
Контроль репутації файлів.
OpenDXL як механізм під'єднання до шини McAfee DXL.
Автоматична передача маркерів з McAfee ATD на пристрої Cisco, Fortinet, Checkpoint та інші.
Побудова комплексу захисту на різних рішеннях.
Демо роботи із ATD та OpenDXL.
#OptiData
Слайди доповіді Олега Лободіна з McAfeeCybersecForum
Детально про можливості McAfee IPS та McAfee Web Gateway
Практтичні поради, приклади.
Схема застосування.
Атаки на критичну інфраструктуру України. Висновки. Рекомендації.Vladyslav Radetsky
Короткий огляд атак, у розслідуванні який приймав участь.
Аналітика. Маркери компрометації. Рекомендації.
Контент доповіді стосується не лише енергетиків і є актуальним не лише для державного сектору.
Розраховано на широкий загал. В першу чергу - працівників ІТ/ІБ підрозділів.
В доповіді розглянуті основні моменти атак, що здійснювалися на державні організації через канал електронної пошти із застосуванням елементів соціальної інженерії. Наведено приклади фішингових листів та результат активації ШПЗ. У підсумку знайдете практичні рекомендації щодо перевірки приєднань та інформації з відкритих джерел. Цільова аудиторія - співробітники та керівники відділів ІТ та ІБ.
Доповідь присвячена питанню захисту ПЗ від несанкціонованого використання. Ви почуєте про:
- Теорію захисту (Для чого? Навіщо? Хто?)
- Приклади взломів
- Взлом реальної програми
- Підхід компаній до захисту ПО
- Фактори, які впливають на вибір підходу до захисту ПО
- Процес тестування захисту ПО
Слайди до мого виступу на Trellix Cyber Month.
Опис сценарію атаки взятого з реальних подій.
Відео стріму тут https://youtu.be/3LvR609nn3Q?t=266
Відповіді на запитання тут https://youtu.be/3LvR609nn3Q?t=3776
Наведено приклад несанкціонованого доступу нападників через скомпрометованого підрядника.
Показано типові дії зловмисників: розвідка, ескалація привілей, відключення антивірусного захисту і запуск Ransomware.
Наведені поради щодо кастомізації правил та політик захисту McAfee Endpoint Security для захисту від таких атак.
Будьте здорові, уважні та обережні.
#OptiData #InformationSecurity #Security
#Інформаційнабезпека #безпека
#Trellix #McAfee #VR #malware #TTPs #ransomware
Автоматичне відновлення зашифрованих файлів - слайди 17-18. McAfee оновило Endpoint Security (ENS).
Розбираю нові функції та поясню як правильно ними користуватися. Дивіться відео щоб знати більше: https://youtu.be/9dAWKMnFJ5A
Будьте уважні та обережні.
Тренінг/майстер клас по основам безпечного використання комп`ютерів, гаджетів та сервісів мережі Інтернет.
Контент розрахований в першу чергу на простих користувачів, які, як правило не є технічними спеціалістами.
Матеріал на слайдах допомагає ознайомити персонал із основними ризиками при роботі з ІТ та надати практичні поради щодо:
- роботі з email
- передачі інформації
- вибору сервісів та додатків
- поведінці в соц. мережах
- генерації паролів
Та інше.
Окремої уваги заслуговують слайди із прикладами свіжих атак з використанням фішингу.
Презентація буде корисною для НЕтехнічних спеціалістів.
Дана інформація відображає особисту думку автора.
Основи віртуальних приватних мереж VPN на основі стеку протоколів IPsec. Розкривається архітектура протоколу. Матеріал на основі курсу Cisco CCNA Security.
Слайди моєї доповіді з Форуму Кібербезпеки 2021.
Практичні поради щодо захисту кінцевих точок від приманок у вигляді документів і не тільки.
Відео:
Кіберполігон: https://youtu.be/mibBBcQpgWM?t=7426
Доповідь: https://youtu.be/mibBBcQpgWM?t=13910
#OptiData #VR #McAfee #MVISION #ENS
Як перевіряти файли (документи) на наявність активного (шкідливого) вмісту:
• Розглянув роботу з документами MS Office, PDF, LNK та архівами.
• Показав основні типи активної начинки, через яку пробують інфікувати системи.
• Показав роботу з онлайн інструментами та з інструментами статичного аналізу.
• Дав поради по налаштуванню тестового середовища.
Запис можете подивитись тут https://youtu.be/U8uRqq5pC5U?t=205
Будьте здорові, уважні та обережні. Слава Україні.
#OptiData #InformationSecurity #Security
#Інформаційнабезпека #безпека
#malware #sandbox #перевірка #аналіз #пісочниця
Доповідь присвячена питанню захисту ПЗ від несанкціонованого використання. Ви почуєте про:
- Теорію захисту (Для чого? Навіщо? Хто?)
- Приклади взломів
- Взлом реальної програми
- Підхід компаній до захисту ПО
- Фактори, які впливають на вибір підходу до захисту ПО
- Процес тестування захисту ПО
Слайди до мого виступу на Trellix Cyber Month.
Опис сценарію атаки взятого з реальних подій.
Відео стріму тут https://youtu.be/3LvR609nn3Q?t=266
Відповіді на запитання тут https://youtu.be/3LvR609nn3Q?t=3776
Наведено приклад несанкціонованого доступу нападників через скомпрометованого підрядника.
Показано типові дії зловмисників: розвідка, ескалація привілей, відключення антивірусного захисту і запуск Ransomware.
Наведені поради щодо кастомізації правил та політик захисту McAfee Endpoint Security для захисту від таких атак.
Будьте здорові, уважні та обережні.
#OptiData #InformationSecurity #Security
#Інформаційнабезпека #безпека
#Trellix #McAfee #VR #malware #TTPs #ransomware
Автоматичне відновлення зашифрованих файлів - слайди 17-18. McAfee оновило Endpoint Security (ENS).
Розбираю нові функції та поясню як правильно ними користуватися. Дивіться відео щоб знати більше: https://youtu.be/9dAWKMnFJ5A
Будьте уважні та обережні.
Тренінг/майстер клас по основам безпечного використання комп`ютерів, гаджетів та сервісів мережі Інтернет.
Контент розрахований в першу чергу на простих користувачів, які, як правило не є технічними спеціалістами.
Матеріал на слайдах допомагає ознайомити персонал із основними ризиками при роботі з ІТ та надати практичні поради щодо:
- роботі з email
- передачі інформації
- вибору сервісів та додатків
- поведінці в соц. мережах
- генерації паролів
Та інше.
Окремої уваги заслуговують слайди із прикладами свіжих атак з використанням фішингу.
Презентація буде корисною для НЕтехнічних спеціалістів.
Дана інформація відображає особисту думку автора.
Основи віртуальних приватних мереж VPN на основі стеку протоколів IPsec. Розкривається архітектура протоколу. Матеріал на основі курсу Cisco CCNA Security.
Слайди моєї доповіді з Форуму Кібербезпеки 2021.
Практичні поради щодо захисту кінцевих точок від приманок у вигляді документів і не тільки.
Відео:
Кіберполігон: https://youtu.be/mibBBcQpgWM?t=7426
Доповідь: https://youtu.be/mibBBcQpgWM?t=13910
#OptiData #VR #McAfee #MVISION #ENS
Як перевіряти файли (документи) на наявність активного (шкідливого) вмісту:
• Розглянув роботу з документами MS Office, PDF, LNK та архівами.
• Показав основні типи активної начинки, через яку пробують інфікувати системи.
• Показав роботу з онлайн інструментами та з інструментами статичного аналізу.
• Дав поради по налаштуванню тестового середовища.
Запис можете подивитись тут https://youtu.be/U8uRqq5pC5U?t=205
Будьте здорові, уважні та обережні. Слава Україні.
#OptiData #InformationSecurity #Security
#Інформаційнабезпека #безпека
#malware #sandbox #перевірка #аналіз #пісочниця
УРОК 5. ЖУРНАЛІСТСЬКІ РОЗСЛІДУВАННЯ: ОСНОВИDetector Media
П’ятий урок курсу з журналістських розслідувань дає відповіді на питання:
- Які ризики цифрової безпеки існують в роботі журналіста під час роботи над розслідуванням?
- Як захистити пристрої: смартфон, планшет, комп’ютер від стороннього втручання?
- Як захистити персональні дані, профілі та акаунти в мережі від стороннього втручання та викрадення?
- Як подолати блокування сайтів та забезпечити анонімність серфінгу та комунікації в мережі?
"В поисках уязвимостей мобильных приложений", Алексей ГолубевHackIT Ukraine
Сейчас практически каждая организация помимо официального веб сайта имеет мобильное приложения для предоставления услуг мобильным пользователям. При этом в отличии от традиционных веб сайтов, которые в большинстве своем использую готовые фреймворки, очищенные от уязвимостей, мобильное API зачастую проектируется отдельно под каждый проект. Такой подход неизбежно ведет за собой разного рода ошибки и отсутствие четкой стандартизации. Тем не менее разработчики от Ebay до мелких компаний совершают одни и те же ошибки, которые ведут к взлому аккаунтов, утечки данных, спаму пользователей и т.д. Недоработки в работе в этой среде процветает даже у огромных компаний.
"Безопасность и надежность ПО в техногенном мире", Владимир ОбризанHackIT Ukraine
В докладе на примерах будет рассказано о возрастающей роли безопасности и надежности программного обеспечения в современном мире. Особенность сегодняшнего дня — проникновение компьютерного управления во все сферы деятельности: медицина, финансы, транспорт, логистика и другие. Может ли ненадежное ПО привести к финансовым потерям? Сорвать планы на отпуск? Вывести из строя фабрику? Убить человека?
"Технология блокчейн: новые возможности и новые уязвимости", Дмитрий КайдаловHackIT Ukraine
Блокчейн — новая технология, которая лежит в основе децентрализованной платежной системы Биткоин и других криптовалют. К настоящему времени она обрела значительную популярность и сейчас по праву считается прорывной для финансового мира. Однако, с ростом популярности участились случаи успешного осуществления разнообразных атак на блокчейн системы.
В докладе рассмотрена технология блокчейн в целом, ее наиболее значимые инновации, детально разобран ряд конкретных атак на популярные системы и проанализированы факторы, которые привели к появлению таких атак.
"Безопасные Биткоин-транзакции без специального оборудования", Алексей КаракуловHackIT Ukraine
Одна из трудностей в использовании Биткоина — в том, что безопасность плохо сочетается с удобством. Секретные ключи от кошелька можно хранить в офлайне многими способами, однако проблема возникает, когда мы хотим потратить биткоины. Если приложение для кошелька используется на скомпрометированной системе, простого трояна достаточно, чтобы слить секретные ключи.
На сегодняшний день популярны два безопасных способа использования Биткоина: аппаратный кошелёк и «холодный кошелёк» на изолированном компьютере. Оба способа непривлекательны для новых пользователей: надёжные аппаратные кошельки достаточно дорогие, а холодные кошельки не слишком портативны и пока неудобны в использовании.
Я продемонстрирую процедуру исполнения Биткоин транзакций с переходом в офлайн режим перед вводом секретного ключа на примере ОС Tails и кошелька Electrum. Хотя процедура не даёт таких же гарантий безопасности, как холодный кошелёк, она не требует отдельного устройства для кошелька, и при этом значительно безопаснее, чем использование Биткоина на обычной десктопной ОС
"Как ловят хакеров в Украине", Дмитрий ГадомскийHackIT Ukraine
Украина стабильно входит в десятку государств, с территории которых чаще всего инициируются кибератаки. А вот украинские правоохранительные органы пока и близко не подобрались к десятке стран мира, которые ловят хакеров наилучшим образом. В Украине есть смешные, грустные, нашумевшие, интересные и скучные уголовные дела по хакингу. В нескольких уголовных делах по хакингу Дима принимал участие в качестве адвоката CitiBank и швейцарского промышленного гиганта, в некоторых — как консультант, а в каких-то случаях помогал советами, о которых его не просили. Дима расскажет, как он с белыми хакерами в течении 48 часов и 4 литров кофе делали работу за киберполицию, как суд в Николаеве вообще не понимал ничего, как обманывает пользователей Forex, и о других обстоятельствах, которые больше не являются адвокатской тайной.
The software security depends largely on how the system was designed, developed and deployed, so at this time it is necessary to take into account the security requirements already at the stage of requirements development and software design. There are some different approaches to security requirements engineering, each of them has its advantages and disadvantages. During the speech, methods of security requirements engineering, identifying parties, identifying and assessing the risks of software assets, tracking implementation of requirements, etc. will be considered.
"How to make money with Hacken?", Dmytro BudorinHackIT Ukraine
This presentation features proprietary research conducted by Cybersecurity Ventures. Please see https://cybersecurityventures.com/hackerpocalypse-cybercrime-report-2016 for a complete report
It also explains possible ways to earn money, advantages of cryptocurrency Hacken.
"Using cryptolockers as a cyber weapon", Alexander AdamovHackIT Ukraine
In the wake of one of the most destructive cyber attack in the history of Ukraine, NotPetya / EternalPetya, we will analyze the factors that contributed to the rapid infection growth, and why security solutions, including antiviruses, could not stop the attack. We will consider the cyber attacks of the cryptolockers XData and WannaCry.NET, which preceded the attack on June 27 and were allegedly created by the same group of cybercriminals who were involved in TeleBots and BlackEnergy attacks.
"Cryptography, Data Protection, and Security For Start-Ups In The Post Snowde...HackIT Ukraine
The revelations of the Snowden Leaks and other events in modern internet times have resulted in a need for developers and security professionals working on start-up companies to rethink not just security policies and procedures but overall architecture more broadly. Cryptographic systems in communications systems have seen the largest architectural changes. However, changes are also required in data storage architecture and even networking architecture.
This talk will discuss means and methodologies for building secure, robust, and resilient start-up computing architectures. Common attacks that impact startups, data compromises, and DDoS attacks will be discussed. The impact of the required adaptations in infrastructure and software design on existing common business models, like AdRev, will be touched on.
"Bypassing two factor authentication", Shahmeer AmirHackIT Ukraine
This research provides an insight to bypassing two factor authentication mechanisms in multiple ways. The goal is to demonstrate theoretically as to how common two factor authentication protected systems can be bypassed using simple techniques. This has been done by examining many systems and a practical approach has been utilized in order to dig out realistic methodologies which can be used to bypass two factor authentication systems in web based systems. By proving that the author aims to provide a basis of research to future researchers for bypassing 2fa in other such techniques.
"Системы уникализации и идентификации пользователей в сети. Методы защиты от ...HackIT Ukraine
В докладе будет рассказано о современных методиках уникализации и последующей идентификации пользователей, таких как WebRTC Fingerprint, WebGL Fingerprint, Canvas Fingerprint, ClientRect Fingerprint, AudioContext Fingerprint, Ubercookies Fingerprint, отпечаток GPU и многое другое, о применении данных методик для выявления мошенников, предотвращения использования мультиаккаунтов, расследования киберпреступлений и конечно рекламного таргетинга.
Have you ever dreamed of getting paid to hack?!
As a Bug Hunter, this is what its all about, you hack and find vulnerabilities in software and websites, then end up with profit and fame.
In this session, I will explain to you how to start your journey in bug hunting, Are you ready?
"15 Technique to Exploit File Upload Pages", Ebrahim HegazyHackIT Ukraine
During the session we will go through different methods of exploiting file upload pages in order to trigger Remote Code Execution, SQL Injection, Directory Traversal, DOS, Cross Site Scripting and else of web application vulnerabilities with demo codes. Also, we will see things from both Developers and Attackers side. What are the protections done by Developers to mitigate file upload issues by validating File Name, File Content-Type, actual File Content and how to bypass it All using 15 Technique!
Alfonso De Gregorio - Vulnerabilities and Their Surrounding Ethical Questions...HackIT Ukraine
Уязвимость нулевого дня - недостатки программного обеспечения, которые известны некоторым,кто мог бы уменьшить их конкретные негативные последствия - приобретают заметную роль в современной разведке, национальной безопасности и правоохранительных операциях. В то же время, отсутствие прозрачности и подотчетности в их торговле и адаптаци, их возможная чрезмерная эксплуатации или злоупотребление, скрытый конфликт интересов со стороны субъектов обращения с ними, а также их потенциальный двойной эффект могут представлять социальные риски или приводят к нарушению прав человека. Если оставить без внимания эти проблемы связанные с использованием 0-day, то это ставит под сомнение законность уязвимостей нулевого дня в качестве инструментов реализации национальных операций по обеспечению безопасности и правоохранительных органов и приводят к явному уменьшению пользы, чтобы их адекватно применяли для целей судебной системы, обороны и разведки. Эта работа исследует то, что частный сектор участвует в торговле уязвимости нулевого дня может сделать так, чтобы было обеспечено соблюдение прав человека и доброкачественное и полезное использования обществом этих возможностей. После рассмотрения того, что может пойти не так в приобретении уязвимости нулевого дня, статья вносит свой вклад в первый кодекс этики, ориентированный на торговлю информации об уязвимостях, в которой автор излагает шесть принципов и восемь соответствующих этических норм, направленных соответственно на руководство и на регулирование проведения этого бизнеса.
Владимир Махитко - Automotive security. New challengesHackIT Ukraine
Задача доклада - рассмотреть автомобильною безопасность как новое направление в кибер безопасности. Показать текущее состояние, главные опасения, некоторые примеры, возможные решения и отношение автопроизводителей к вопросам безопасности.
Алексей Старов - Как проводить киберраследования?HackIT Ukraine
«Cybercrime» является особым направлением в области компьютерной безопасности и приватности. Это направление объединяет научные работы, которые исследуют различные сценарии атак или мошенничества, анализируют вредоносные экосистемы, обнаруживают злоумышленников и изучает их методы с целью разработки эффективных мер противодействия. В текущем докладе будут предоставлены рекомендации о том, как проводить киберрасследования, основываясь на примерах из наших работ и статей. Например, я расскажу о нашем масштабном исследовании вредоносных веб-оболочек и как мы смогли обнаружить жертв и нападающих по всему земному шару, а так же о том, как мы использовали навыки социальной инженерии, чтобы исследовать экосистему мошеннической технической поддержки, и многое другое. Моя цель состоит в том, чтобы заинтересовать научных исследователей и других представителей области ИБ в работе по направлению “Cybercrime”, в поиске различных путей предотвращения и расследования киберпреступлений. А также, показать, что подобные полезные исследования не всегда требует огромных ресурсов и сотрудничеств. Формат доклада: разговор в виде легкого семинара с элементами коллективного мозгового штурма (ноутбук не требуется). Мы рассмотрим 3 урока, из каждого выделяя полезные методы, инструменты и навыки. Язык: русский (с элементами английского).
"Наступну атаку можна попередити", Олександр Чубарук
1. Олександр Чубарук
The next attack can be prevented
Наступній атаці можна запобігти
Технічний директор в Україні, Грузії та СНД
Check Point Software Technologies
2.
3. Технології информаційного захисту
•Анти-Вірус
–Блокує файли з відомими вірусами
•IPS
–Аналізує трафік та блокує його на
основі відомих шаблонів
•Анти-Бот
–Виявляє підозрілий трафік згідно
обновлюваних шаблонів
Ефективні, але
проти ВІДОМИХ
загроз
СИГНАТУРЫ завжди ВІДСТАЮТЬ
4. ВСЕ БІЛЬШЕ Й БІЛЬШЕ
ТОГО, ЩО ВИ НЕ ЗНАЄТЕ
ЗАГРОЗИ НУЛЬОВОГО ДНЯ ,
Вірус
CVE
Небажані
URL
APT-АТАКИ,
НЕВІДОМЕ ШКІДЛИВЕ ПЗ
Сигнатури
Експлойти Трояни
Бот-мережі
ЗРОСТАННЯ НЕВІДОМОГО ЗЛОВМИСНОГО ПЗ
5. 99% контрольних сум
шкідливого ПЗ видні 58
секунд або менше
Наскільки це серйозно?
Щоб уникнути детектирування, хакери
часто модифікують код та схеми
взаємодії
Більшість вірусів зустрічаються лише раз
Source: Verizon 2016 Data Breach Investigations
Report
6. [Restricted] ONLY for designated groups
and individuals
Наскільки це серйозно?
Сумарні збитки
тільки
двох компаній
склали
600 млн доларів
7. З ТОЧКИ ЗОРУ ТОГО, ХТО АТАКУЄ
П л а н у в а н н я т а п р о в е д е н н я
к і б е р - а т а к и
8. T h e C y b e r K i l l C h a i n
Reconnaissance
Identify the
target and
exploitable
weaknesses
Weaponization
Create/select
attack vector
Delivery
Deliver the
malicious
payload to the
victim
Exploitation
Gain execution
privileges
Installation
Install the
malware on
infected host
Command &
Control
Establish a
channel of
communication
Act on
Objectives
Data collection
or corruption,
Lateral
movement and
exfiltration
Planning the attack Getting In Carrying out the attack
• Look for potential victims
• Collect relevant social data
• Build, find or buy your weapon of
choice
‒ Exploit kit, Malware package
• Adapt to your specific needs
• Package for delivery
Weeks in advance
• Bypass detection
• Convince the victim to
open your crafted file
• Bypass system security
control
• Install your malware
Within seconds
• Wait for your malware
to “call home”
• Instruct it what to do
on the victim’s
computer
• Continuously monitor
its progress
From here on…
10. [Restricted] ONLY for designated groups
and individuals
Спостерігаємо:
• Реєстр
• Мережеві з’єднання
• Дії з файлами
• Дії з процесами
Відкриємо файл в безпечному середовищі!
Емуляція
Поведінка – ось що «видає» зловмисне ПЗ. Але...
T H R E AT C ON T AIN E D
11. Звичайну пісочницю не так складно обійти
Запуск по
таймеру
Прискорення
таймера
Шкідливе ПЗ
використовує
власний
таймер
…
Виявлення
пісочниці
Пісочниця
емулює CPU
Виявлення
емуляції CPU
…
Очікування дій
людини
Імітація
кліків, рухи
миші
Виявлення
аномалій
поведінки
…
12. БІЛЬШЕ 27 ТЕХНОЛОГІЙ
ПРОСУНУТОГО ВИЯВЛЕННЯ
ТА ЗАПОБІГАННЯ ЗАГРОЗАМ
WEB
INSPECTION
MACHINE
LEARNING
DOCUMENT
VALIDITY
BEHAVIOR
ANALYTICS
CPU LEVEL
DETECTION
ANTI
RANSOMWARE
ANTI PHISHING
THREAT
EXTRACTION
FORENSICS
DECOYS &
TRAPS
MEMORY
ANALYSIS
13. [Restricted] ONLY for designated groups and individuals
TRACK RECORD OF SECURITY LEADERSHIP AND EXCELLENCE
IPS Recommended – Jan 2011
Best integrated IPS Security Score of 97.3%!
NGFW Recommended – April 2011
World’s first NSS Recommended NGFW!
FW Recommended – April 2011
Only vendor to pass the initial test!
NGFW Recommended – Jan 2012
Continued NGFW Leadership and Excellence!
IPS Recommended – July 2012
Leading integrated IPS Security Score of 98.7%!
FW Recommended – Jan 2013
Best Security + Management score of 100%!
IPS Individual Test – Feb 2013 *
6100 IPS Security Score of 99%! 26.5G IPS
NGFW Recommended – Feb 2013
Best Security + Management Score of 98.5%!
NGFW Recommended – Sept 2014
4th NGFW Recommended and 9th NSS Recommended since 2011!
• Individual product test. NSS award “Recommended”
only in Group Tests.
BDS Recommended – Aug 2015
Leading Security Effectiveness and TCO!
IPS Recommended – Nov 2013
100% Mgt score; Best annual Mgt/Labor Cost (Upkeep / Tuning)!
NGFW Recommended – Feb 2016
99.8% Security Score! 5th NGFW Recommended and 11th NSS
Recommended since 2011!
BDS Recommended – Aug 2016
2nd BDS Recommended! 100% Evasion Resistant!
NGIPS Recommended – Oct 2016
Leading Overall Security Effectiveness (99.9%) and TCO!
15. CPU-Level Detection
• Виявлення атаки до її початку
– Хакер не встигає запустити алгоритми
обходу пісочниці
• Вузьке місце для атаки
– Методів зламу існує незначна кількість
– Вразливостей – тысячі, шкідливого ПЗ -
мільони
Вразливість
Експлойт
Шкідливе ПЗ
Шелкод
Фокус на виявленні методів зламу
16. Threat Extraction: миттєве очищення документів
• Більшість пісочниць наших конкурентів працює в режимі
детектування, а не запобігання
• Вони пропускають шкідливе ПЗ в мережу, тим часом
аналізують його в фоновому режимі
Емуляція завжди потребує часу
17. SandBlast Threat ExtractionДоставка гарантовано безпечних файлів
Д О П І С Л Я
Активація шкідливого ПЗ Шкідливе ПЗ видалене
Миттєвий доступ. Проактивний захист.
[Restricted] ONLY for designated groups
and individuals
18. Конвертація в PDF (підвищена
безпека) або Дезинфекція (якщо
потрібен оригінал)
Як це працює при завантаженні з Вебу
[Restricted] ONLY for designated groups and individuals
19. Легкий та безпечний доступ до оригінального файлу
Тільки після емуляції
Коли вердикт перевірки «доброякісний»
Самообслуговування
Нема потреби звертатися в Helpdesk
[Restricted] ONLY for designated groups
20. Хтось працює віддалено Зовнішні накопичувачі
Архіви з паролем, HTTPS Зараженння від іншого ПК
Певні загрози можна виявити
тільки на рабочій станції
[Confidential] For designated groups and
individuals
21. Клас рішень EDR: Endpoint Detection and Response
Продукт Check Point SandBlast Agent – захист
робочої станції
[Confidential] For designated groups and
ЗАХИСТ
Від ботів та
Шифруваль-
щиків
Ефективне
ОЧИЩЕННЯ та
РОЗСЛІДУВАННЯ
інцидентів
ЗАХИСТ
Від атак
нульового дня
ЗАХИСТ
Від фішингу
22. SANDBLAST
CLOUD
Агент пісочниці: аналіз файлів
в хмарі Check Point або власному датацентрі
[Confidential] For designated groups and
Файл відсилається на
пристрій або в хмару
SandBlast1
Безпечна копія
доставляється
миттєво2 Оригінал
емулюється3
25. Виявлення підозрілої активності
[Confidential] For designated groups and
ІНФОРМАЦІЯ ПРО
ЗАГРОЗИ постійно
оновлюється1
Вихідний трафік
перевіряється
ANTI-BOT2
Трафік на C&C
сервери
БЛОКУЄТЬСЯ3
ЗУПИНЯЄТЬСЯ підзрілий процес
або БЛОКУЄТЬСЯ комп’ ютер
повністю4
26. Збір даних та формування звіту
[Confidential] For designated groups and
ДАНІ про систему
збираються постійно з
багатьох джерел1ЗВІТ формується
автоматично по
спрацюванню локального
або зовнішнього тригера
2
ДЕТАЛЬНИЙ звіт
формирується на
SmartEvent4Processes
Registry
Files
Network
Сирі дані аналізуються за
допомогою складних
алгоритмів3
27. ОГЛЯД ЗВІТУ: ЕФЕКТИВНА АНАЛІТИКА
Ознаки інфекції
До яких даних було
здійснено доступ
Шкідливі елементи, що
були вилучені
Деталізація
по
процесах
Звідки прийшло
зараження
29. Як працює антишифрувальщик
Аналіз поведінки
Постійни моніторинг ознак роботи
шифрувальщика
Ідентифікація НЕЛЕГІТИМНОГО
шифрування
Детектування шифрування
Знімки даних
Постійне створення
короткотермінових резервних копія
файлів
Карантин шифрувальщика
Всі елементи атаки ідентифікується
процесом аналізу підозрілої
активності та відправляються в
карантин
Зашифровані дані відновлюються з
резервних копій
Відновлення даних
Фоновий процес Після детектування
32. | 6 місяців | Більше 200 копій на день
ЕФЕКТИВНІСТЬ ANTI
RANSOMWAREТести тільки технології Anti-Ransomware
Без використання Антивірусу, Антиботу та Пісочниці *
99.3% рівень детекту
* При використанні в реальних умовах додаткові механізми захисту
вимикати не потрібно[Protected] Distribution or modification is
33. “95% успішних атак можна було запобігти,
якби існуючі рішення захисту були
налаштовані правильно”
Gartner
“Консоль управління Check Point залишається де факто
“золотим стандартом”, з яким порівнюють решту” Gartner
35. Олександр Чубарук
Технічний директор в Україні,
Грузії та СНД
ochubaruk@checkpoint.com
The next attack can be prevented
Наступній атаці можна запобігти