Ce diaporama a bien été signalé.
Nous utilisons votre profil LinkedIn et vos données d’activité pour vous proposer des publicités personnalisées et pertinentes. Vous pouvez changer vos préférences de publicités à tout moment.
Олександр Чубарук
The next attack can be prevented
Наступній атаці можна запобігти
Технічний директор в Україні, Грузії та...
Технології информаційного захисту
•Анти-Вірус
–Блокує файли з відомими вірусами
•IPS
–Аналізує трафік та блокує його на
ос...
ВСЕ БІЛЬШЕ Й БІЛЬШЕ
ТОГО, ЩО ВИ НЕ ЗНАЄТЕ
ЗАГРОЗИ НУЛЬОВОГО ДНЯ ,
Вірус
CVE
Небажані
URL
APT-АТАКИ,
НЕВІДОМЕ ШКІДЛИВЕ ПЗ
С...
99% контрольних сум
шкідливого ПЗ видні 58
секунд або менше
Наскільки це серйозно?
Щоб уникнути детектирування, хакери
час...
[Restricted] ONLY for designated groups
and individuals​
Наскільки це серйозно?
Сумарні збитки
тільки
двох компаній
склали...
З ТОЧКИ ЗОРУ ТОГО, ХТО АТАКУЄ
П л а н у в а н н я т а п р о в е д е н н я
к і б е р - а т а к и
T h e C y b e r K i l l C h a i n
Reconnaissance
Identify the
target and
exploitable
weaknesses
Weaponization
Create/selec...
Сигнатурні методы захисту
неефективні
Щ о р о б и т и ?
[Restricted] ONLY for designated groups
and individuals​
Спостерігаємо:
• Реєстр
• Мережеві з’єднання
• Дії з файлами
• Ді...
Звичайну пісочницю не так складно обійти
Запуск по
таймеру
Прискорення
таймера
Шкідливе ПЗ
використовує
власний
таймер
…
В...
БІЛЬШЕ 27 ТЕХНОЛОГІЙ
ПРОСУНУТОГО ВИЯВЛЕННЯ
ТА ЗАПОБІГАННЯ ЗАГРОЗАМ
WEB
INSPECTION
MACHINE
LEARNING
DOCUMENT
VALIDITY
BEHAV...
[Restricted] ONLY for designated groups and individuals
TRACK RECORD OF SECURITY LEADERSHIP AND EXCELLENCE
IPS Recommended...
Check Point SandBlast
Recommended for Security Effectiveness and Value
2016 NSS Breach Detection Systems Test
©2016 Check ...
CPU-Level Detection
• Виявлення атаки до її початку
– Хакер не встигає запустити алгоритми
обходу пісочниці
• Вузьке місце...
Threat Extraction: миттєве очищення документів
• Більшість пісочниць наших конкурентів працює в режимі
детектування, а не ...
SandBlast Threat ExtractionДоставка гарантовано безпечних файлів
Д О П І С Л Я
Активація шкідливого ПЗ Шкідливе ПЗ видален...
Конвертація в PDF (підвищена
безпека) або Дезинфекція (якщо
потрібен оригінал)
Як це працює при завантаженні з Вебу
[Restr...
Легкий та безпечний доступ до оригінального файлу
Тільки після емуляції
Коли вердикт перевірки «доброякісний»
Самообслугов...
Хтось працює віддалено Зовнішні накопичувачі
Архіви з паролем, HTTPS Зараженння від іншого ПК
Певні загрози можна виявити
...
Клас рішень EDR: Endpoint Detection and Response
Продукт Check Point SandBlast Agent – захист
робочої станції
[Confidentia...
SANDBLAST
CLOUD
Агент пісочниці: аналіз файлів
в хмарі Check Point або власному датацентрі
[Confidential] For designated g...
Visual
Similarity
Text
Similarity
Title
Similarity
URL
Similarity
Lookalike
Characters
Image Only Site
Multiple Top-
Level...
Corporate
Credentials
Запобігання фішингу
Захист корпоративного пароля
Запобігає помилковому або випадковому використанню
...
Виявлення підозрілої активності
[Confidential] For designated groups and
ІНФОРМАЦІЯ ПРО
ЗАГРОЗИ постійно
оновлюється1
Вихі...
Збір даних та формування звіту
[Confidential] For designated groups and
ДАНІ про систему
збираються постійно з
багатьох дж...
ОГЛЯД ЗВІТУ: ЕФЕКТИВНА АНАЛІТИКА
Ознаки інфекції
До яких даних було
здійснено доступ
Шкідливі елементи, що
були вилучені
Д...
RANSOMWARESELL THE DATA BACK TO
ITS OWNER
[Protected] Distribution or modification is
Як працює антишифрувальщик
Аналіз поведінки
Постійни моніторинг ознак роботи
шифрувальщика
Ідентифікація НЕЛЕГІТИМНОГО
шиф...
Демонстрація
роботи:
блокування Petya
та відновлення
зашифрованих
даних
[Restricted] for designated teams ​
[Restricted] for designated teams ​
| 6 місяців | Більше 200 копій на день
ЕФЕКТИВНІСТЬ ANTI
RANSOMWAREТести тільки технології Anti-Ransomware
Без використанн...
“95% успішних атак можна було запобігти,
якби існуючі рішення захисту були
налаштовані правильно”
Gartner
“Консоль управлі...
Інтеграція та
моніторинг
Спільні
політики
Dashboard,
що гнучко
налаштовується
Одна система – єдине управління
Зручне налаш...
Олександр Чубарук
Технічний директор в Україні,
Грузії та СНД
ochubaruk@checkpoint.com
The next attack can be prevented
На...
"Наступну атаку можна попередити", Олександр Чубарук
Prochain SlideShare
Chargement dans…5
×

"Наступну атаку можна попередити", Олександр Чубарук

97 vues

Publié le

Багато компаній покладаються на технології ІТ-безпеки, засновані на принципах виявлення атак, а не на їх запобігання. Такий фрагментований підхід фокусується на виправленні наслідків вже реалізованої атаки! На сьогоднішній день є потреба у зміні курсу і впровадженні нової архітектури, що дозволяє запобігати атакам.

Publié dans : Technologie
  • Soyez le premier à commenter

  • Soyez le premier à aimer ceci

"Наступну атаку можна попередити", Олександр Чубарук

  1. 1. Олександр Чубарук The next attack can be prevented Наступній атаці можна запобігти Технічний директор в Україні, Грузії та СНД Check Point Software Technologies
  2. 2. Технології информаційного захисту •Анти-Вірус –Блокує файли з відомими вірусами •IPS –Аналізує трафік та блокує його на основі відомих шаблонів •Анти-Бот –Виявляє підозрілий трафік згідно обновлюваних шаблонів Ефективні, але проти ВІДОМИХ загроз СИГНАТУРЫ завжди ВІДСТАЮТЬ
  3. 3. ВСЕ БІЛЬШЕ Й БІЛЬШЕ ТОГО, ЩО ВИ НЕ ЗНАЄТЕ ЗАГРОЗИ НУЛЬОВОГО ДНЯ , Вірус CVE Небажані URL APT-АТАКИ, НЕВІДОМЕ ШКІДЛИВЕ ПЗ Сигнатури Експлойти Трояни Бот-мережі ЗРОСТАННЯ НЕВІДОМОГО ЗЛОВМИСНОГО ПЗ
  4. 4. 99% контрольних сум шкідливого ПЗ видні 58 секунд або менше Наскільки це серйозно? Щоб уникнути детектирування, хакери часто модифікують код та схеми взаємодії Більшість вірусів зустрічаються лише раз Source: Verizon 2016 Data Breach Investigations Report
  5. 5. [Restricted] ONLY for designated groups and individuals​ Наскільки це серйозно? Сумарні збитки тільки двох компаній склали 600 млн доларів
  6. 6. З ТОЧКИ ЗОРУ ТОГО, ХТО АТАКУЄ П л а н у в а н н я т а п р о в е д е н н я к і б е р - а т а к и
  7. 7. T h e C y b e r K i l l C h a i n Reconnaissance Identify the target and exploitable weaknesses Weaponization Create/select attack vector Delivery Deliver the malicious payload to the victim Exploitation Gain execution privileges Installation Install the malware on infected host Command & Control Establish a channel of communication Act on Objectives Data collection or corruption, Lateral movement and exfiltration Planning the attack Getting In Carrying out the attack • Look for potential victims • Collect relevant social data • Build, find or buy your weapon of choice ‒ Exploit kit, Malware package • Adapt to your specific needs • Package for delivery Weeks in advance • Bypass detection • Convince the victim to open your crafted file • Bypass system security control • Install your malware Within seconds • Wait for your malware to “call home” • Instruct it what to do on the victim’s computer • Continuously monitor its progress From here on…
  8. 8. Сигнатурні методы захисту неефективні Щ о р о б и т и ?
  9. 9. [Restricted] ONLY for designated groups and individuals​ Спостерігаємо: • Реєстр • Мережеві з’єднання • Дії з файлами • Дії з процесами Відкриємо файл в безпечному середовищі! Емуляція Поведінка – ось що «видає» зловмисне ПЗ. Але... T H R E AT C ON T AIN E D
  10. 10. Звичайну пісочницю не так складно обійти Запуск по таймеру Прискорення таймера Шкідливе ПЗ використовує власний таймер … Виявлення пісочниці Пісочниця емулює CPU Виявлення емуляції CPU … Очікування дій людини Імітація кліків, рухи миші Виявлення аномалій поведінки …
  11. 11. БІЛЬШЕ 27 ТЕХНОЛОГІЙ ПРОСУНУТОГО ВИЯВЛЕННЯ ТА ЗАПОБІГАННЯ ЗАГРОЗАМ WEB INSPECTION MACHINE LEARNING DOCUMENT VALIDITY BEHAVIOR ANALYTICS CPU LEVEL DETECTION ANTI RANSOMWARE ANTI PHISHING THREAT EXTRACTION FORENSICS DECOYS & TRAPS MEMORY ANALYSIS
  12. 12. [Restricted] ONLY for designated groups and individuals TRACK RECORD OF SECURITY LEADERSHIP AND EXCELLENCE IPS Recommended – Jan 2011 Best integrated IPS Security Score of 97.3%! NGFW Recommended – April 2011 World’s first NSS Recommended NGFW! FW Recommended – April 2011 Only vendor to pass the initial test! NGFW Recommended – Jan 2012 Continued NGFW Leadership and Excellence! IPS Recommended – July 2012 Leading integrated IPS Security Score of 98.7%! FW Recommended – Jan 2013 Best Security + Management score of 100%! IPS Individual Test – Feb 2013 * 6100 IPS Security Score of 99%! 26.5G IPS NGFW Recommended – Feb 2013 Best Security + Management Score of 98.5%! NGFW Recommended – Sept 2014 4th NGFW Recommended and 9th NSS Recommended since 2011! • Individual product test. NSS award “Recommended” only in Group Tests. BDS Recommended – Aug 2015 Leading Security Effectiveness and TCO! IPS Recommended – Nov 2013 100% Mgt score; Best annual Mgt/Labor Cost (Upkeep / Tuning)! NGFW Recommended – Feb 2016 99.8% Security Score! 5th NGFW Recommended and 11th NSS Recommended since 2011! BDS Recommended – Aug 2016 2nd BDS Recommended! 100% Evasion Resistant! NGIPS Recommended – Oct 2016 Leading Overall Security Effectiveness (99.9%) and TCO!
  13. 13. Check Point SandBlast Recommended for Security Effectiveness and Value 2016 NSS Breach Detection Systems Test ©2016 Check Point Software Technologies Ltd. 99.6% catch-rate of HTTP malware 100% evasion resistant sandbox 100% catch-rate for Email unknown malware 100% catch-rate for Drive- by exploits 100% catch-rate for Social exploits 100% catch-rate of SSL encrypted malware 99.4% overall breach detection rateRead the report: https://www.checkpoint.com/resources/nss-breach-detection-systems/
  14. 14. CPU-Level Detection • Виявлення атаки до її початку – Хакер не встигає запустити алгоритми обходу пісочниці • Вузьке місце для атаки – Методів зламу існує незначна кількість – Вразливостей – тысячі, шкідливого ПЗ - мільони Вразливість Експлойт Шкідливе ПЗ Шелкод Фокус на виявленні методів зламу
  15. 15. Threat Extraction: миттєве очищення документів • Більшість пісочниць наших конкурентів працює в режимі детектування, а не запобігання • Вони пропускають шкідливе ПЗ в мережу, тим часом аналізують його в фоновому режимі Емуляція завжди потребує часу
  16. 16. SandBlast Threat ExtractionДоставка гарантовано безпечних файлів Д О П І С Л Я Активація шкідливого ПЗ Шкідливе ПЗ видалене Миттєвий доступ. Проактивний захист. [Restricted] ONLY for designated groups and individuals​
  17. 17. Конвертація в PDF (підвищена безпека) або Дезинфекція (якщо потрібен оригінал) Як це працює при завантаженні з Вебу [Restricted] ONLY for designated groups and individuals
  18. 18. Легкий та безпечний доступ до оригінального файлу Тільки після емуляції Коли вердикт перевірки «доброякісний» Самообслуговування Нема потреби звертатися в Helpdesk [Restricted] ONLY for designated groups
  19. 19. Хтось працює віддалено Зовнішні накопичувачі Архіви з паролем, HTTPS Зараженння від іншого ПК Певні загрози можна виявити тільки на рабочій станції [Confidential] For designated groups and individuals​
  20. 20. Клас рішень EDR: Endpoint Detection and Response Продукт Check Point SandBlast Agent – захист робочої станції [Confidential] For designated groups and ЗАХИСТ Від ботів та Шифруваль- щиків Ефективне ОЧИЩЕННЯ та РОЗСЛІДУВАННЯ інцидентів ЗАХИСТ Від атак нульового дня ЗАХИСТ Від фішингу
  21. 21. SANDBLAST CLOUD Агент пісочниці: аналіз файлів в хмарі Check Point або власному датацентрі [Confidential] For designated groups and Файл відсилається на пристрій або в хмару SandBlast1 Безпечна копія доставляється миттєво2 Оригінал емулюється3
  22. 22. Visual Similarity Text Similarity Title Similarity URL Similarity Lookalike Characters Image Only Site Multiple Top- Level Domain Lookalike Favicon IP Reputatio n Domain Reputation PHISHING SCORE: 95% Запобігання фішингу Блокує фішингові сайти, в тому числі нові Нові сайти аналізуються1 Репутаційний та еврістичний аналіз2 Вердикт виноситься за секунди3[Confidential] For designated groups and Небезпечно! Ймовірно, сайт підроблений!
  23. 23. Corporate Credentials Запобігання фішингу Захист корпоративного пароля Запобігає помилковому або випадковому використанню корпоративного пароля на інших (зовнішніх) ресурсах
  24. 24. Виявлення підозрілої активності [Confidential] For designated groups and ІНФОРМАЦІЯ ПРО ЗАГРОЗИ постійно оновлюється1 Вихідний трафік перевіряється ANTI-BOT2 Трафік на C&C сервери БЛОКУЄТЬСЯ3 ЗУПИНЯЄТЬСЯ підзрілий процес або БЛОКУЄТЬСЯ комп’ ютер повністю4
  25. 25. Збір даних та формування звіту [Confidential] For designated groups and ДАНІ про систему збираються постійно з багатьох джерел1ЗВІТ формується автоматично по спрацюванню локального або зовнішнього тригера 2 ДЕТАЛЬНИЙ звіт формирується на SmartEvent4Processes Registry Files Network Сирі дані аналізуються за допомогою складних алгоритмів3
  26. 26. ОГЛЯД ЗВІТУ: ЕФЕКТИВНА АНАЛІТИКА Ознаки інфекції До яких даних було здійснено доступ Шкідливі елементи, що були вилучені Деталізація по процесах Звідки прийшло зараження
  27. 27. RANSOMWARESELL THE DATA BACK TO ITS OWNER [Protected] Distribution or modification is
  28. 28. Як працює антишифрувальщик Аналіз поведінки Постійни моніторинг ознак роботи шифрувальщика Ідентифікація НЕЛЕГІТИМНОГО шифрування Детектування шифрування Знімки даних Постійне створення короткотермінових резервних копія файлів Карантин шифрувальщика Всі елементи атаки ідентифікується процесом аналізу підозрілої активності та відправляються в карантин Зашифровані дані відновлюються з резервних копій Відновлення даних Фоновий процес Після детектування
  29. 29. Демонстрація роботи: блокування Petya та відновлення зашифрованих даних [Restricted] for designated teams ​
  30. 30. [Restricted] for designated teams ​
  31. 31. | 6 місяців | Більше 200 копій на день ЕФЕКТИВНІСТЬ ANTI RANSOMWAREТести тільки технології Anti-Ransomware Без використання Антивірусу, Антиботу та Пісочниці * 99.3% рівень детекту * При використанні в реальних умовах додаткові механізми захисту вимикати не потрібно[Protected] Distribution or modification is
  32. 32. “95% успішних атак можна було запобігти, якби існуючі рішення захисту були налаштовані правильно” Gartner “Консоль управління Check Point залишається де факто “золотим стандартом”, з яким порівнюють решту” Gartner
  33. 33. Інтеграція та моніторинг Спільні політики Dashboard, що гнучко налаштовується Одна система – єдине управління Зручне налаштування, повна інтеграція, абсолютна видимість
  34. 34. Олександр Чубарук Технічний директор в Україні, Грузії та СНД ochubaruk@checkpoint.com The next attack can be prevented Наступній атаці можна запобігти

×