©2018 Check Point Software Technologies Ltd. 1©2018 Check Point Software Technologies Ltd.
CHECK POINT
Практический подход к предотвращению кибер-атак: новые возможности семейства SandBlast
Дмитрий Кудра | Консультант по безопасности
©2018 Check Point Software Technologies Ltd. 2
Последние события…
рекламу
©2018 Check Point Software Technologies Ltd. 3
THE WANNACRY
150Стран
230,000Инфицированных компьютеров
За одни сутки
©2018 Check Point Software Technologies Ltd. 4
Malware that has not previously been seen
can often get past traditional technology
WHAT YOUDON’T KNOW…
…ZERO-DAY
How do you protect against
©2015 Check Point Software Technologies Ltd.
Традиционных мер защиты недостаточно
Большинство зловредов встречаются лишь единожды
99% зловредов существуют не более 58 секунд
Злоумышленники постоянно модифицируют код,чтобы избежать обнаружения
Источник: Verizon 2016 Data Breach Investigations Report
©2018 Check Point Software Technologies Ltd. 5
Malware that has not previously been seencan often get past traditional technology
WHAT YOUDON’T KNOW…
…ZERO-DAY
How do you protect against
©2015 Check Point Software Technologies Ltd.
ЧЕГО ВЫНЕ ЗНАЕТЕ?
Как защитить свою инфраструктуру от того
Зловреды, о которых ничего не известно, не могутбыть остановлены традиционными технологиями
ZERO-DAY
[Protected] Distribution or modification is subject to approval
©2018 Check Point Software Technologies Ltd. 6
ПРЕДСТАВЛЯЕМCHECK POINT SANDBLAST
©2018 Check Point Software Technologies Ltd. 7
Обнаружение и
блокирование
угроз нулевого дня
Мгновенная
доставка
очищенных
документов
Защита вводимых
учетных данных
в веб-формах
Ускорение
расследования
инцидентов
безопасности
Защита рабочих
станций от кибер-
вымогателей
ПРОГРЕССИВНЫЕ ТЕХНОЛОГИИ ЗАЩИТЫ
THREAT EMULATION
THREAT
EXTRACTION
ZERO PHISHING
FORENSICSANTI RANSOMWARE
©2018 Check Point Software Technologies Ltd. 8
Обнаружение и
блокирование
угроз нулевого дня
Мгновенная
доставка
очищенных
документов
Защита вводимых
учетных данных
в веб-формах
Ускорение
расследования
инцидентов
безопасности
Защита рабочих
станций от кибер-
вымогателей
ПРОГРЕССИВНЫЕ ТЕХНОЛОГИИ ЗАЩИТЫ
THREAT EMULATION
THREAT
EXTRACTION
ZERO PHISHING
FORENSICSANTI RANSOMWAREСТАНДАРТНЫЕ ТЕХНОЛОГИИ ЗАЩИТЫ
INTRUSION PREVENTION
ANTI VIRUS ANTI BOT
©2018 Check Point Software Technologies Ltd. 9
СЕМЕЙСТВО ТЕХНОЛОГИЙ ЗАЩИТЫ ОТ УГРОЗ
NGTX GATEWAYS
Защита периметра сети и дата-центра
SANDBLAST AGENT
Защита рабочих станций и браузеров
SANDBLAST API
Защита собственных приложений
SANDBLAST CLOUD
Защита облачных приложений
©2018 Check Point Software Technologies Ltd. 10©2018 Check Point Software Technologies Ltd.
SANDBLAST
THREAT EMULATION
Бескомпромиссное
обнаружение
угроз
ОБНАРУЖЕНИЕ УГРОЗ
Устойчивая к
обходам
песочница*
УСТОЙЧИВАЯК ОБХОДАМ
Вердикт выносится
менее чем за три
минуты
БЫСТРАЯ И ЭФФЕКТИВНАЯ
*Источник: 2016 NSS Labs Breach Detection Systems Test Report
Устойчивая к попыткам обхода песочница
Блокирует неизвестное вредоносное ПО и атаки нулевого дня
©2018 Check Point Software Technologies Ltd. 11
Мониторинг:
• Системный реестр
• Сетевые соединения
• Файловая активность
• Системные процессы
Эмуляция файлов в виртуальной среде
ТРАДИЦИОННЫЕ ПЕСОЧНИЦЫ 1ГО ПОКОЛЕНИЯ
Поиск признаков заражения на уровне операционной системы
T H R E AT C O N T AI N E D
©2018 Check Point Software Technologies Ltd. 12
INSPECT
FILEEMULATE
PREVENT
TURN
TO
KNOWN
Защита от неизвестных атак с помощью
Check Point Threat Emulation
©2018 Check Point Software Technologies Ltd. 13
Exe файлы, PDF и
MS-Office документы
(и архивы)
Определение файлов в
аттачах и при скачивание с
WEB
(Mail, Web, CIFS)
Загрузка файлов в
виртуальную песочницу
на локальном ПАК
или в облаке
INSPECT
Без изменения существующей
инфраструктуры
Поддержка HTTPS и MTA
©2018 Check Point Software Technologies Ltd. 14
EMULATE
Файл открывается и
происходит анализ
поведения
Эмуляций
файла в
разных ОСWIN 7, 8, 10, XP
Мониторинг поведения:• Файловая система
• Системный реестр
• Сетевые подключения
• Системные процессы
©2018 Check Point Software Technologies Ltd. 15
PREVENT
Шлюз
безопасности
Блокировка вредоносных
файлов в реальном времени
©2018 Check Point Software Technologies Ltd. 16
Автоматическое создание новой
сигнатуры и обновление на всех шлюзах
SHARE
©2018 Check Point Software Technologies Ltd. 17
INSPECT EMULATE
PREVENTSHARE
Защита от неизвестных атак с помощью
Check Point Threat Emulation
©2018 Check Point Software Technologies Ltd. 18
Joseph_Nyee.pdf
Файловая
активность Системный реестр
Системные
процессыСетевые соединения
Некорректная файловая активность
Операции с системным реестром
Сетевая активность
Операции с процессами
Threat Emulation за работой
©2018 Check Point Software Technologies Ltd. 19
Отчет работы Threat Emulation
©2018 Check Point Software Technologies Ltd. 20
Отчет работы Threat Emulation
©2018 Check Point Software Technologies Ltd. 21
Отчет работы Threat Emulation
©2018 Check Point Software Technologies Ltd. 22
Отчет работы Threat Emulation
©2018 Check Point Software Technologies Ltd. 23
Использование песочниц стало очень популярным
Злоумышленники изобретают способы обхода
КАКИМ ОБРАЗОМ МОЖНО ОБОЙТИ ПЕСОЧНИЦУ?
©2018 Check Point Software Technologies Ltd. 24
Методики обхода песочниц 1ГО поколения
Задержкаисполнения кода
Ускорение системных
часов
Применение собственных
часов…
Поиск песочницыСокрытие
атрибутов ВМ
Запоминание характеристик
песочницы…
Ожиданиедействий человека
Имитациядействий человека
Определение «виртуального
человека»…
©2018 Check Point Software Technologies Ltd. 25
Цепочка развития атаки
Атакующий использует непропатченные версии ПО или 0-day уязвимость
Обход защитных механизмов CPU и ОС с использованием техник обхода
Внедрение эксплойтом кода для загрузки вредоносного ПО
У Я З В И М О С Т И
Э К С П Л О Й Т Ы
S H E L L C O D E
Запуск вредоносного кодаВ Р Е Д О Н О С Н О Е П О
©2018 Check Point Software Technologies Ltd. 26
Обход защитных механизмов CPU и ОС
• Исследование эксплойтом загруженного в память кода:
Исполняемые файлы и библиотеки операционной системы
Исполняемые файлы и библиотеки приложения
• Поиск доступных «гаджетов»
Короткие фрагменты кода, заканчивающиеся инструкцией «ret»
• Составление исполняемого кода с использованием гаджетов в качестве примитивов
ВОЗВРАТНО-ОРИЕНТИРОВННОЕПРОГРАММИРОВАНИЕ
©2018 Check Point Software Technologies Ltd. 27
Обычное исполнение кода ROP-исполнение кода
Shellcode
push ebp
mov ebp, esp
mov eax, ebx
pop ebp
retn 4
db cc
push ebp
mov ebp, esp
---
---
---
mov ebx,[var1]
lea eax,[var2]
call ebx
---
mov eax,0xc394
---
pop ebp
ret
---
push ebp
mov ebp, esp
push 0xC359
call F2
add eax, eax
inc eax
inc eax
inc eax
pop ebp
ret
Addr1
Addr3
Addr4
Addr5
Addr2
Addr0
Stack
F0_ptr
push ebp
mov ebp, esp
mov eax, ebx
pop ebp
retn 4
db cc
push ebp
mov ebp, esp
---
---
---
mov ebx,[var1]
lea eax,[var2]
call ebx
---
mov eax,0xc394
---
pop ebp
ret
---
push ebp
mov ebp, esp
push 0xC359
call F2
add eax, eax
inc eax
inc eax
inc eax
pop ebp
ret
F1
Addr0
Stack
Addr1
Addr2
Addr3
Addr4
Addr5
F1_ptr
Data1
Data
F2
F0_ptr
F1_ptr
F1_ptr
Data1
Data
esp
F0eip
SH
G1
G2
Addr1
Addr2
G2_ptr
SH_ptr
G1_ptr
Addr0
Stack2
var1
var2
esp
G0_ptr
Stack2
var1var2
F0
G0 retxchg esp, eax
eip
Составление словаря гаджетовС точки зрения центрального процессора
©2018 Check Point Software Technologies Ltd. 28
УЯЗВИМОСТИ
ЭКСПЛОЙТЫ
SHELLCODE
ВРЕДОНОСНОЕ ПО
©2016 Check Point Software Technologies Ltd.
ЕДИНСТВЕННАЯ песочница с обнаружениемна уровне процессора (CPU-LEVEL DETECTION)
Традиционные песочницы
• Поведенческое обнаружение
• Можно обойти защиту
Check Point SandBlast
• Обнаружение на уровне CPU
• УСТОЙЧИВ К ОБХОДУ
Тысячи их
Десятки
Миллионы
Противодействие детекту
©2018 Check Point Software Technologies Ltd. 29
Семейство решений SANDBLASTБольше, чем песочница
Threat Emulation
Устойчивая к обходу песочница с обнаружением
угроз на уровне CPU
Threat Extraction
Проактивное
предотвращение за
счет мгновенной
доставки очищенного
контента
ForensicsАнализ и расследование
инцидентов
Anti-ransomwareЗащита от програм-шифровальщиков
Zero PhishingЗащита от фишинга
©2018 Check Point Software Technologies Ltd. 30
THREAT EMULATION
Устойчивая к обходу песочница
Менее двух минутсреднее время анализа
CPU-LEVEL PUSH-FORWARD
Dropped File Emulation
Shellcode Detector
DGA Generator
Decoys
Image Sanitation
Icon Similarity
Link Scanner
Virtual Network Service
Macro AnalysisEvasion Detection
SMEP Detector
Static Analyzer
DeepScanUAC Monitor
FP GuardNetwork Activity Monitor
Human Interaction Simulator
И ЕЩЕ ДЕСЯТКИ ТЕХНОЛОГИЙ …
©2018 Check Point Software Technologies Ltd. 31©2018 Check Point Software Technologies Ltd.
SANDBLAST
THREAT EXTRACTION
Доставка
очищенных
файлов
ПРОАКТИВНАЯ ЗАЩИТА
Удаление опасного
содержимого
ОТЛИЧНАЯ БЕЗОПАСНОСТЬ
Доставка данных
за секунды
БЫСТРАЯ ДОСТАВКА
Доставка очищенных файлов в режиме реального времени
Оригинальные файлы в это время проходят эмуляцию
©2018 Check Point Software Technologies Ltd. 32
SANDBLAST THREAT EXTRACTIONМгновенная доставка очищенных файлов
Д О О Ч И С Т К И П О С Л Е О Ч И С Т К И
Запуск вредоносного ПО Удаление вредоносного ПО
Мгновенный доступ. Проактивная защита.
©2018 Check Point Software Technologies Ltd. 33
Доставка очищенной версии файла в оригинальном формате либо конвертация в формат PDF
SANDBLAST THREAT EXTRACTIONБыстрая доставка безопасного контента
invoice.cleaned.pdf
©2018 Check Point Software Technologies Ltd. 34
Без привлечения службы поддержки!
ДОСТУП К ОРИГИНАЛЬНОМУ ФАЙЛУПосле вынесения положительного вердикта
©2018 Check Point Software Technologies Ltd. 35
Различные варианты внедренияДля средств защиты периметра сети
DEDICATED APPLIANCEInline SandBlast TE Appliance
SandBlast TE Appliance
• LEVERAGE SECURITY GATEWAYS – Масштабируемое решение
Варианты установки шлюзов и песочниц:
• Inline / SPAN / TAP
• MTA – защита почтового трафика
• ICAP server – интеграция со сторонними решениями
CLOUD SERVICEGateways + SandBlast Service
NGTX Security Gateways
SandBlast ServiceHosted on Check Point Cloud
ON-PREM SERVICEGateways + SandBlast TE Appliance
NGTX Security Gateways
SandBlast TE Appliance
©2018 Check Point Software Technologies Ltd. 36
ПРЕДОТВРАЩЕНИЕ
Применение прогрессивных технологий
для предотвращения неизвестных атак
УСПЕШНАЯ СТРАТЕГИЯ ЗАЩИТЫ
РЕАГИРОВАНИЕ
Быстрое обнаружение восстановление системы
после атаки
SANDBLAST
©2018 Check Point Software Technologies Ltd. 37©2018 Check Point Software Technologies Ltd.
ОСТАНОВИТЬнеизвестную
атаку
Остановить НЕИЗВЕСТНОЕ вредоносное ПО
Остановить ПРОГРАММЫ-ВЫМОГАТЕЛИ
Остановить УТЕЧКУ УЧЕТНЫХ ДАННЫХ
SANDBLAST AGENT: ПРЕДОТВРАЩЕНИЕ
©2018 Check Point Software Technologies Ltd. 38
Расширение браузераДля контроля веб-загрузок
Threat Extraction &
Threat Emulation
Монитор файловой системы
Для контроля файлов на носителях
Threat Emulation
ДВА УРОВНЯ ЗАЩИТЫ ОТ НЕИЗВЕСТНЫХ УГРОЗ
SANDBLASTЛокальный или публичный
©2018 Check Point Software Technologies Ltd. 39
SANDBLASTЛокальный или публичный
Защита от неизвестных угроз на рабочей станции
Скачиваемые файлы отправляются в устройство SandBlast1
Пользователю доставляется очищенная версия2
Оригинальный файл эмулируется в фоновом режиме3
©2018 Check Point Software Technologies Ltd. 40
КОНВЕРТАЦИЯ в формат PDF либо
ОЧИСТКА с сохранением исходного формата
Мгновенная защита для загружаемых файлов
©2018 Check Point Software Technologies Ltd. 41
Простой доступ к оригинальному файлу
Только после эмуляциии вынесения вердикта «чисто»
Самообслуживаниебез обращения в поддержку
©2018 Check Point Software Technologies Ltd. 42
ЗАЩИТА ДАННЫХ ОТ ПРОГРАММ-ВЫМОГАТЕЛЕЙ
СПЕЦСРЕДСТВО
Защита рабочих станций от атак
программ-вымогателей
НАДЕЖНОЕ РЕШЕНИЕ
Защита в том числе от
неизвестных угроз
ЗАЩИТАДАННЫХ
Быстрое и надежное
восстановление зашифрованных
файлов
ANTI-RANSOMWARE
Входит в состав SandBlast Agent
©2018 Check Point Software Technologies Ltd. 43
Как шифровальщики скачиваются ?
Скачивание инфицированных документовЗараженные веб-сайты
Инфицированные вложения
Вредоносные ссылки
Вредоносный файлы с USB
Использование уязвимости сервера
Скачивание инфицированных
документов
Зараженные веб-сайты
Инфицированные вложения
Вредоносные ссылки
Вредоносный файлы с USB
Использование уязвимости
сервера
©2018 Check Point Software Technologies Ltd. 44
Организационные меры борьбы с кибер-вымогательствомСтандартный подход
Каждый пункт важен, однако их недостаточно!
Хорошее начало
ОбучениеОбучите пользователей,
как избежать вымогательства
Длительный процесс восстановления
Может быть сбой при восстановлении
Может также быть зашифрован
BackupНепрерывное резервное
копирование всех данных
Зависит от обновлений
Anti-VirusТрадиционная защита
конечных точек
©2018 Check Point Software Technologies Ltd. 45
Как это работает
321Обнаружение Карантин Восстановление
©2018 Check Point Software Technologies Ltd. 47
ANTI-RANSOMWARE: Обнаружение и карантин
ОбнаружениеRansomware
Ransomware карантин
Все элементы вредоносного ПО анализируются и идентифицируются модулем расследования инцидентов и помещаются в карантин
Поведенческий анализ
Обнаружение шифрования
Постоянный мониторинг и обнаружение вредоносной активности:• Удаление backup• Удаление теневых копий• Создание страниц с требованием выкупа• …
Мониторинг всех файлов
Обнаружение бесконтрольного шифрования пользовательских данных
©2018 Check Point Software Technologies Ltd. 48
ANTI-RANSOMWARE: DATA RESTORATION
РЕЗЕРВНОЕ КОПИРОВАНИЕ ДАННЫХ
Just-in-time: Создаются до изменения файлов
Краткосрочно: Сохраняются до тех пор, пока активность модификации файлов не будет проверена
Безопасность: Защищены от несанкционированного доступа
ВОССТАНОВЛЕНИЕ ДАННЫХ
Автоматически: Зашифрованные файлы автоматически восстанавливаются из резервных копий
| Незначительное влияние на производительность|| Архивируются только файлы, измененные ненадежными приложениями|
| Рекомендуемый размер на жёстком диске: 1GB |
ОбнаружениеRansomware
©2018 Check Point Software Technologies Ltd. 49
Образцы новых ransomware собирались ежедневно.
Используется только технология Anti-Ransomware
Без использования AV, без Анти-бота, без песочницы
99.3% CATCH RATE| ~200 образцов в день|6 месяцев теста|
Методология тестирования
ЭФФЕКТИВНОСТЬ
©2018 Check Point Software Technologies Ltd. 50
Защита от фишинговых атак
Защита от СОЦИАЛЬНОГО ИНЖИНИРИНГА
Защитаот использованиякорпоративныхучетных данных
на внешнихвеб-сайтах
Обнаружениенеизвестных
фишинговых сайтовна основе
характеристики индикаторов
ФИШИНГОВЫЕ САЙТЫ
КОРПОРАТИВНЫЕ УЧЕТНЫЕ ЗАПИСИ
©2018 Check Point Software Technologies Ltd. 51
Visual Similarity
Text Similarity
Title Similarity
URL Similarity
Lookalike Characters
Image Only Site
Multiple Top-Level Domain
Lookalike Favicon
IP Reputation
Domain Reputation
ОБЩАЯ ОЦЕНКА: 95%
ТЕХНОЛОГИЯ ZERO PHISHINGЗащита пользователей от фишинговых атак
Доступ к новому сайту запускает механизмы оценки1
Оценка производится на основе репутации и эвристического анализа2
Вердикт выносится в течение нескольких секунд3
ВНИМАНИЕ! Фишинговая атака!
©2018 Check Point Software Technologies Ltd. 52
ПРЕДОТВРАЩЕНИЕ
Применение прогрессивных технологий
для предотвращения неизвестных атак
УСПЕШНАЯ СТРАТЕГИЯ ЗАЩИТЫ
РЕАГИРОВАНИЕ
Быстрое обнаружение восстановление системы
после атаки
SANDBLAST
©2018 Check Point Software Technologies Ltd. 53
ОБНАРУЖЕНИЕ НЕИЗВЕСТНЫХ ЗАРАЖЕНИЙ
ЗАРАЖЕНОБНАРУЖЕНИЕ иИЗОЛЯЦИЯинфицированных рабочих станций
ТЕХНОЛОГИЯ ANTI-BOT
©2018 Check Point Software Technologies Ltd. 54
Проверка исходящего трафика
Информация THREAT INTELLIGENCE постоянно поступает агенту1
Исходящий трафик проверяется локальным ANTI-BOT2
Трафик к C&C и утечки данныхБЛОКИРУЮТСЯ3
Вредоносный процесс помещается в КАРАНТИН либо система БЛОКИРУЕТСЯ целиком4
©2018 Check Point Software Technologies Ltd. 55
РАССЛЕДОВАНИЕ ИНЦИДЕНТОВАвтоматический анализ инцидентадля его эффективного расследования
Не нужно привлекать
дорогостоящих аналитиков
АКТУАЛЬНАЯ ИНФОРМАЦИЯ
Информация, которая
действительно нужна
ИНТЕРАКТИВНЫЙ ОТЧЕТ
FORENSICS
©2018 Check Point Software Technologies Ltd. 56
Сбор данных Forensics и составление отчета
Данные FORENSICSсобираются постоянно с различных сенсоров ОС1
Отчет составляется автоматически по срабатыванию ТРИГГЕРА2
Отчет обИНЦИДЕНТЕотправляется в SmartEvent
4ProcessesRegistry
Files
Network
Специальные АЛГОРИТМЫанализируют данные Forensics3
©2018 Check Point Software Technologies Ltd. 57
ОБЗОР ОТЧЕТА: РАССЛЕДОВАНИЕ ИНЦИДЕНТА
Это реальное заражение?
Попытки доступа к даннымОбезвреженные элементы
Детальная информация
Как это попало в систему?
©2018 Check Point Software Technologies Ltd. 58
Тестирование решений по безопасностипроводимое независимой лабораторией NSS Labs
IPS Recommended – Январь 2011Best integrated IPS Security Score of 97.3%!
NGFW Recommended – Апрель 2011World’s first NSS Recommended NGFW!
FW Recommended – Апрель 2011Only vendor to pass the initial test!
NGFW Recommended – Январь 2012Continued NGFW Leadership and Excellence!
IPS Recommended – Июль 2012Leading integrated IPS Security Score of 98.7%!
FW Recommended – Январь 2013Best Security + Management score of 100%!
IPS Individual Test – Февраль 2013 *6100 IPS Security Score of 99%! 26.5G IPS
NGFW Recommended – Февраль 2013Best Security + Management Score of 98.5%!
NGFW Recommended – Сентябрь 20144th NGFW Recommended and 9th NSS Recommended since 2011!
BDS Recommended – Август 2015Leading Security Effectiveness and TCO!
IPS Recommended – Ноябрь 2013100% Mgt score; Best annual Mgt/Labor Cost (Upkeep / Tuning)!
NGFW Recommended – Февраль 201699.8% Security Score! 5th NGFW Recommended and 11th NSS Recommended since 2011!
BDS Recommended – Август 20162nd BDS Recommended! 100% Evasion Resistant!
NGIPS Recommended – Октябрь 2016Leading Overall Security Effectiveness (99.9%) and TCO!
NGFW Recommended –
Июнь 201799.86% Exploit Security Score! 6th
NGFW Recommended, 14th since 2011.
BDS Recommended –
Октябрь 201799.7% Breach Detection Score! 3rd
BDS Recommended, 15th since 2011.
NGIPS Recommended –
Ноябрь 201799.52% Exploit Block Rate Score! 5th
IPS Recommended, 16th since 2011.
[Internal Use] for Check Point employees
©2018 Check Point Software Technologies Ltd. 59
Тестирование «песочниц»Breach Prevention System (BPS) 2017
©2018 Check Point Software Technologies Ltd. 60
•Результаты тестирования: 100% Breach Prevention System Combined Score 100% protection against Drive-By exploits. 100% protection against Social Exploits. 100% protection against HTTP Malware. 100% protection against Email malware. 100% protection against Off-Line Infections.
• A leading TCO of $14 Price per protected Mbps vs. $414 for the lowest rated vendor
• 0.0% False Positives.
• 99.2% evasions
©2018 Check Point Software Technologies Ltd. 61©2018 Check Point Software Technologies Ltd.
СПАСИБО!