Багато компаній покладаються на технології ІТ-безпеки, засновані на принципах виявлення атак, а не на їх запобігання. Такий фрагментований підхід фокусується на виправленні наслідків вже реалізованої атаки! На сьогоднішній день є потреба у зміні курсу і впровадженні нової архітектури, що дозволяє запобігати атакам.

1. Олександр Чубарук
The next attack can be prevented
Наступній атаці можна запобігти
Технічний директор в Україні, Грузії та СНД
Check Point Software Technologies

3. Технології информаційного захисту
•Анти-Вірус
–Блокує файли з відомими вірусами
•IPS
–Аналізує трафік та блокує його на
основі відомих шаблонів
•Анти-Бот
–Виявляє підозрілий трафік згідно
обновлюваних шаблонів
Ефективні, але
проти ВІДОМИХ
загроз
СИГНАТУРЫ завжди ВІДСТАЮТЬ

4. ВСЕ БІЛЬШЕ Й БІЛЬШЕ
ТОГО, ЩО ВИ НЕ ЗНАЄТЕ
ЗАГРОЗИ НУЛЬОВОГО ДНЯ ,
Вірус
CVE
Небажані
URL
APT-АТАКИ,
НЕВІДОМЕ ШКІДЛИВЕ ПЗ
Сигнатури
Експлойти Трояни
Бот-мережі
ЗРОСТАННЯ НЕВІДОМОГО ЗЛОВМИСНОГО ПЗ

5. 99% контрольних сум
шкідливого ПЗ видні 58
секунд або менше
Наскільки це серйозно?
Щоб уникнути детектирування, хакери
часто модифікують код та схеми
взаємодії
Більшість вірусів зустрічаються лише раз
Source: Verizon 2016 Data Breach Investigations
Report

6. [Restricted] ONLY for designated groups
and individuals​
Наскільки це серйозно?
Сумарні збитки
тільки
двох компаній
склали
600 млн доларів

7. З ТОЧКИ ЗОРУ ТОГО, ХТО АТАКУЄ
П л а н у в а н н я т а п р о в е д е н н я
к і б е р - а т а к и

8. T h e C y b e r K i l l C h a i n
Reconnaissance
Identify the
target and
exploitable
weaknesses
Weaponization
Create/select
attack vector
Delivery
Deliver the
malicious
payload to the
victim
Exploitation
Gain execution
privileges
Installation
Install the
malware on
infected host
Command &
Control
Establish a
channel of
communication
Act on
Objectives
Data collection
or corruption,
Lateral
movement and
exfiltration
Planning the attack Getting In Carrying out the attack
• Look for potential victims
• Collect relevant social data
• Build, find or buy your weapon of
choice
‒ Exploit kit, Malware package
• Adapt to your specific needs
• Package for delivery
Weeks in advance
• Bypass detection
• Convince the victim to
open your crafted file
• Bypass system security
control
• Install your malware
Within seconds
• Wait for your malware
to “call home”
• Instruct it what to do
on the victim’s
computer
• Continuously monitor
its progress
From here on…

9. Сигнатурні методы захисту
неефективні
Щ о р о б и т и ?

10. [Restricted] ONLY for designated groups
and individuals​
Спостерігаємо:
• Реєстр
• Мережеві з’єднання
• Дії з файлами
• Дії з процесами
Відкриємо файл в безпечному середовищі!
Емуляція
Поведінка – ось що «видає» зловмисне ПЗ. Але...
T H R E AT C ON T AIN E D

11. Звичайну пісочницю не так складно обійти
Запуск по
таймеру
Прискорення
таймера
Шкідливе ПЗ
використовує
власний
таймер
…
Виявлення
пісочниці
Пісочниця
емулює CPU
Виявлення
емуляції CPU
…
Очікування дій
людини
Імітація
кліків, рухи
миші
Виявлення
аномалій
поведінки
…

12. БІЛЬШЕ 27 ТЕХНОЛОГІЙ
ПРОСУНУТОГО ВИЯВЛЕННЯ
ТА ЗАПОБІГАННЯ ЗАГРОЗАМ
WEB
INSPECTION
MACHINE
LEARNING
DOCUMENT
VALIDITY
BEHAVIOR
ANALYTICS
CPU LEVEL
DETECTION
ANTI
RANSOMWARE
ANTI PHISHING
THREAT
EXTRACTION
FORENSICS
DECOYS &
TRAPS
MEMORY
ANALYSIS

13. [Restricted] ONLY for designated groups and individuals
TRACK RECORD OF SECURITY LEADERSHIP AND EXCELLENCE
IPS Recommended – Jan 2011
Best integrated IPS Security Score of 97.3%!
NGFW Recommended – April 2011
World’s first NSS Recommended NGFW!
FW Recommended – April 2011
Only vendor to pass the initial test!
NGFW Recommended – Jan 2012
Continued NGFW Leadership and Excellence!
IPS Recommended – July 2012
Leading integrated IPS Security Score of 98.7%!
FW Recommended – Jan 2013
Best Security + Management score of 100%!
IPS Individual Test – Feb 2013 *
6100 IPS Security Score of 99%! 26.5G IPS
NGFW Recommended – Feb 2013
Best Security + Management Score of 98.5%!
NGFW Recommended – Sept 2014
4th NGFW Recommended and 9th NSS Recommended since 2011!
• Individual product test. NSS award “Recommended”
only in Group Tests.
BDS Recommended – Aug 2015
Leading Security Effectiveness and TCO!
IPS Recommended – Nov 2013
100% Mgt score; Best annual Mgt/Labor Cost (Upkeep / Tuning)!
NGFW Recommended – Feb 2016
99.8% Security Score! 5th NGFW Recommended and 11th NSS
Recommended since 2011!
BDS Recommended – Aug 2016
2nd BDS Recommended! 100% Evasion Resistant!
NGIPS Recommended – Oct 2016
Leading Overall Security Effectiveness (99.9%) and TCO!

14. Check Point SandBlast
Recommended for Security Effectiveness and Value
2016 NSS Breach Detection Systems Test
©2016 Check Point Software Technologies Ltd.
99.6% catch-rate of HTTP
malware
100% evasion resistant
sandbox
100% catch-rate for Email
unknown malware
100% catch-rate for Drive-
by exploits
100% catch-rate for Social
exploits
100% catch-rate of SSL
encrypted malware
99.4% overall breach
detection rateRead the report: https://www.checkpoint.com/resources/nss-breach-detection-systems/

15. CPU-Level Detection
• Виявлення атаки до її початку
– Хакер не встигає запустити алгоритми
обходу пісочниці
• Вузьке місце для атаки
– Методів зламу існує незначна кількість
– Вразливостей – тысячі, шкідливого ПЗ -
мільони
Вразливість
Експлойт
Шкідливе ПЗ
Шелкод
Фокус на виявленні методів зламу

16. Threat Extraction: миттєве очищення документів
• Більшість пісочниць наших конкурентів працює в режимі
детектування, а не запобігання
• Вони пропускають шкідливе ПЗ в мережу, тим часом
аналізують його в фоновому режимі
Емуляція завжди потребує часу

17. SandBlast Threat ExtractionДоставка гарантовано безпечних файлів
Д О П І С Л Я
Активація шкідливого ПЗ Шкідливе ПЗ видалене
Миттєвий доступ. Проактивний захист.
[Restricted] ONLY for designated groups
and individuals​

18. Конвертація в PDF (підвищена
безпека) або Дезинфекція (якщо
потрібен оригінал)
Як це працює при завантаженні з Вебу
[Restricted] ONLY for designated groups and individuals

19. Легкий та безпечний доступ до оригінального файлу
Тільки після емуляції
Коли вердикт перевірки «доброякісний»
Самообслуговування
Нема потреби звертатися в Helpdesk
[Restricted] ONLY for designated groups

20. Хтось працює віддалено Зовнішні накопичувачі
Архіви з паролем, HTTPS Зараженння від іншого ПК
Певні загрози можна виявити
тільки на рабочій станції
[Confidential] For designated groups and
individuals​

21. Клас рішень EDR: Endpoint Detection and Response
Продукт Check Point SandBlast Agent – захист
робочої станції
[Confidential] For designated groups and
ЗАХИСТ
Від ботів та
Шифруваль-
щиків
Ефективне
ОЧИЩЕННЯ та
РОЗСЛІДУВАННЯ
інцидентів
ЗАХИСТ
Від атак
нульового дня
ЗАХИСТ
Від фішингу

22. SANDBLAST
CLOUD
Агент пісочниці: аналіз файлів
в хмарі Check Point або власному датацентрі
[Confidential] For designated groups and
Файл відсилається на
пристрій або в хмару
SandBlast1
Безпечна копія
доставляється
миттєво2 Оригінал
емулюється3

23. Visual
Similarity
Text
Similarity
Title
Similarity
URL
Similarity
Lookalike
Characters
Image Only Site
Multiple Top-
Level Domain
Lookalike
Favicon
IP
Reputatio
n
Domain
Reputation
PHISHING SCORE: 95%
Запобігання фішингу
Блокує фішингові сайти, в тому числі нові
Нові сайти
аналізуються1 Репутаційний та
еврістичний аналіз2
Вердикт
виноситься за
секунди3[Confidential] For designated groups and
Небезпечно!
Ймовірно, сайт
підроблений!

24. Corporate
Credentials
Запобігання фішингу
Захист корпоративного пароля
Запобігає помилковому або випадковому використанню
корпоративного пароля на інших (зовнішніх) ресурсах

25. Виявлення підозрілої активності
[Confidential] For designated groups and
ІНФОРМАЦІЯ ПРО
ЗАГРОЗИ постійно
оновлюється1
Вихідний трафік
перевіряється
ANTI-BOT2
Трафік на C&C
сервери
БЛОКУЄТЬСЯ3
ЗУПИНЯЄТЬСЯ підзрілий процес
або БЛОКУЄТЬСЯ комп’ ютер
повністю4

26. Збір даних та формування звіту
[Confidential] For designated groups and
ДАНІ про систему
збираються постійно з
багатьох джерел1ЗВІТ формується
автоматично по
спрацюванню локального
або зовнішнього тригера
2
ДЕТАЛЬНИЙ звіт
формирується на
SmartEvent4Processes
Registry
Files
Network
Сирі дані аналізуються за
допомогою складних
алгоритмів3

27. ОГЛЯД ЗВІТУ: ЕФЕКТИВНА АНАЛІТИКА
Ознаки інфекції
До яких даних було
здійснено доступ
Шкідливі елементи, що
були вилучені
Деталізація
по
процесах
Звідки прийшло
зараження

28. RANSOMWARESELL THE DATA BACK TO
ITS OWNER
[Protected] Distribution or modification is

29. Як працює антишифрувальщик
Аналіз поведінки
Постійни моніторинг ознак роботи
шифрувальщика
Ідентифікація НЕЛЕГІТИМНОГО
шифрування
Детектування шифрування
Знімки даних
Постійне створення
короткотермінових резервних копія
файлів
Карантин шифрувальщика
Всі елементи атаки ідентифікується
процесом аналізу підозрілої
активності та відправляються в
карантин
Зашифровані дані відновлюються з
резервних копій
Відновлення даних
Фоновий процес Після детектування

30. Демонстрація
роботи:
блокування Petya
та відновлення
зашифрованих
даних
[Restricted] for designated teams ​

31. [Restricted] for designated teams ​

32. | 6 місяців | Більше 200 копій на день
ЕФЕКТИВНІСТЬ ANTI
RANSOMWAREТести тільки технології Anti-Ransomware
Без використання Антивірусу, Антиботу та Пісочниці *
99.3% рівень детекту
* При використанні в реальних умовах додаткові механізми захисту
вимикати не потрібно[Protected] Distribution or modification is

33. “95% успішних атак можна було запобігти,
якби існуючі рішення захисту були
налаштовані правильно”
Gartner
“Консоль управління Check Point залишається де факто
“золотим стандартом”, з яким порівнюють решту” Gartner

34. Інтеграція та
моніторинг
Спільні
політики
Dashboard,
що гнучко
налаштовується
Одна система – єдине управління
Зручне налаштування, повна інтеграція, абсолютна видимість

35. Олександр Чубарук
Технічний директор в Україні,
Грузії та СНД
ochubaruk@checkpoint.com
The next attack can be prevented
Наступній атаці можна запобігти