EINEN SCHRITT VORAUS. vor Hackern, Angriffen und der Konkurrenz. Mirco Kloss Sales Manager Threat Prevention - Central Europe

Transkript

1 EINEN SCHRITT VORAUS vor Hackern, Angriffen und der Konkurrenz Mirco Kloss Sales Manager Threat Prevention - Central Europe 2015 Check Point Software Technologies Ltd. [Restricted] ONLY for designated groups and individuals 1

2 WIR BEFINDEN UNS IN EINER WELT VOLLER SCHWACHSTELLEN SIE MÜSSEN SICH VOR ALLEN SCHÜTZEN ANGREIFER BENÖTIGEN NUR EINE SCHWACHSTELLE 2015 Check Point Software Technologies Ltd. [Restricted] ONLY for designated groups and individuals 2

3 Die Gefahren und Angriffe steigen täglich und werden jedes Jahr AUSGEKLÜGELTER und HÄUFIGER 200,000+ Variationen TÄGLICH ,300 bekannte viruse ,000 bekannte viruse VIRUSES AND WORMS 2004 ADWARE AND SPYWARE 2007 DDOS APTS 2010 RANSOMWARE HACTIVISM STATE SPONSORED INDUSTRIAL ESPIONAGE NEXT GEN APTS (MASS APT TOOLS) UTILIZING WEB INFRASTRUCTURES (DWS) LOCKY TeslaCrypt v4 Samsam Maktub.JS Archive 2015 Check Point Software Technologies Ltd. [Restricted] ONLY for designated groups and individuals 3

4 1-Nov 8-Nov 15-Nov 22-Nov 29-Nov 6-Dec 13-Dec 20-Dec 27-Dec 3-Jan 10-Jan 17-Jan 24-Jan 31-Jan 7-Feb 14-Feb 21-Feb 28-Feb 7-Mar Die Anzahl steigt Incidents Ransomware Nov Mar 2016 Indicators Number of Incidents Unique Indicators das Problem eskaliert 2015 Check Point Software Technologies Ltd. 4

5 Die bekanntesten Ransomware Varianten CryptoWall CryptoLocker TeslaCrypt Locky SamSam MakTub Kovter CryptXXX Petya 2015 Check Point Software Technologies Ltd. [Protected] Non-confidential content 5

6 Wie gross ist die Gefahr wirklich? 99% der Malware Hashes gibt es für Source: Verizon 2016 Data Breach Investigations Report 58 Sekunden oder weniger Ziemlich häufig gibt es Malware nur einmalig Dieses zeigt wie schnell Hacker Ihren Code heute modifizieren um unerkannt zu bleiben Check Point Software Technologies Ltd. 6

7 2015 Check Point Software Technologies Ltd. 7 [Restricted] ONLY for designated groups and individuals

8 DER TRADITIONALE ANSATZ Virus Malicious Web Sites Attacks Botnet High Risk Applications Anti -Virus URL Filtering IPS Anti-Bot Application Control 2015 Check Point Software Technologies Ltd. 8 [Restricted] ONLY for designated groups and individuals

9 Aber was in der Vergangenheit effectiv war muss es heute nicht mehr sein Check Point Software Technologies Ltd. 9 [Restricted] ONLY for designated groups and individuals 2016 Check Point Software Technologies Ltd.

10 aller Organisationen laden sich unbekannte malware runter neue Angriffe werden täglich aufgedeckt 2015 Check Point Software Technologies Ltd. 10 [Restricted] ONLY for designated groups and individuals

11 Percentage Die kürzlich erfolgte Locky Attacke Februar % 90% 80% 70% Die top 3 AVs haben nur um die 50% der Variationen erkannt 60% 50% 40% 30% 20% 10% + 30 weitere AVs OHNE Erkennung 0% Source: First time submission to VirusTotal 2015 Check Point Software Technologies Ltd. [Protected] Non-confidential content 11

12 Deutsche Presse Computer-Virus legt das Lukaskrankenhaus lahm Krankenhaus IT: mittlerweile zweistellige Zahl von attackierten Häusern" Computervirus kostet täglich Euro - Interview mit Tobias Heintges und Nicolas Krämer - Geschäftsführer des Lukaskrankenhauses Krypto-Trojaner Locky wütet in Deutschland: Über 5000 Infektionen pro Stunde Offizielle BKA Warnung vor Comutervirus Locky Warnung: Bewerbung enthält Virus, aktuell wird der angehängte Trojaner in der Bewerbungs- von fast keinem Antivirus-Programm erkannt. und es wird immer so weiter gehen Check Point Software Technologies Ltd. 12 [Restricted] ONLY for designated groups and individuals

13 Wir müssen anfangen ANDERS zu DENKEN und uns fragen 2015 Check Point Software Technologies Ltd. 13 [Restricted] ONLY for designated groups and individuals

14 Ist es wirklich ausreichend nur bekannte Malware zu erkennen? 2015 Check Point Software Technologies Ltd. 14 [Restricted] ONLY for designated groups and individuals

15 Wie können wir uns vor den neuesten Angriffen schützen? Vor allem vor denen, die noch gar nicht existieren? 2015 Check Point Software Technologies Ltd. 15 [Restricted] ONLY for designated groups and individuals

16 Was wäre, wenn IT-SECURITY EINEN SCHRITT VORAUS WÄRE? 2015 Check Point Software Technologies Ltd. 16 [Restricted] ONLY for designated groups and individuals

17 2015 Check Point Software Technologies Ltd. 17 [Restricted] ONLY for designated groups and individuals

18 Check Point schließt die Sicherheitslücken IPS, ANTI-VIRUS & ANTI-BOT SCHÜTZT VOR BEKANNTER UND ALTER MALWARE aber: 71 von 1000 werden nicht erkannt OS- UND CPU-LEVEL ZERO-DAY PROTECTION THREAT EXTRACTION SCHÜTZT VOR UNBEKANNTER UND NEUER MALWARE mit OS- und CPU-level Schutz VOLLSTÄNDIGE ENTFERNUNG VON ALLEN GEFAHREN das Dokument wird in ECHTZEIT rekonstruiert und malwarefrei ausgeliefert 2015 Check Point Software Technologies Ltd. [Restricted] ONLY for designated groups and individuals 18

19 Mehrschichtiger Schutz URL Reputation Erlaubt, blockt oder limitiert Webseiten Gebrauch anhand von Reputation URL Check Antivirus SandBlast Threat Extraction SandBlast Threat Emulation 2015 Check Point Software Technologies Ltd. 19

20 Mehrschichtiger Schutz Antivirus Blockt den Download von bekannter Malware URL Check Antivirus SandBlast Threat Extraction SandBlast Threat Emulation 2015 Check Point Software Technologies Ltd. 20 [Restricted] ONLY for designated groups and individuals

21 Mehrschichtiger Schutz URL Check Threat Extraction Auslieferung von gesäuberten Dokumenten in ECHTZEIT Antivirus SandBlast Threat Extraction SandBlast Threat Emulation 2015 Check Point Software Technologies Ltd. 21 [Restricted] ONLY for designated groups and individuals

22 Mehrschichtiger Schutz URL Check Antivirus Threat Emulation Blockt die Auslieferung von unbekannter Malware SandBlast Threat Extraction SandBlast Threat Emulation 2015 Check Point Software Technologies Ltd. 22 [Restricted] ONLY for designated groups and individuals

23 SANDBOXING der nächsten Generation 2015 Check Point Software Technologies Ltd. 23 [Restricted] ONLY for designated groups and individuals

24 Umgehungs-Techniken der traditionelle Sandbox Systeme Angreifer entwickeln kontinuierlich neue Umgehungs-Techniken Schadsoftware überprüft die Umgebung auf Sandboxmerkmale Schadsoftware setzt für eine bestimmte Zeit aus Schadsoftware wartet auf menschliche Interaktion Katz und Maus 2015 Check Point Software Technologies Ltd. [Restricted] ONLY for designated groups and individuals 24

25 EINZIGARTIGE und NEUE Check Point Technologie SANDBOX mit CPU LEVEL THREAT PREVENTION Erkennt den Angriff vor der Infektion Sehr hohe Malware Erkennung Betriebssystem unabhängig Resistent gegen Umgehungstechniken 2015 Check Point Software Technologies Ltd. 25 [Restricted] ONLY for designated groups and individuals

26 EINEN SCHRITT VORAUS MIT MALWARE ERKENNUNG IN DER EXPLOIT PHASE Tausende SCHWACHSTELLEN eine Handvoll EXPLOIT SHELLCODE UMGEHUNGS-TECHNIKEN Millionen MALWARE Traditionale Sandbox Systeme 2015 Check Point Software Technologies Ltd. [Restricted] ONLY for designated groups and individuals 26

27 SANDBOXING braucht Zeit 2015 Check Point Software Technologies Ltd. 27 [Restricted] ONLY for designated groups and individuals

28 ERWARTUNGEN des ANWENDERS Dokumente müssen in Echtzeit ausgeliefert werden damit der Geschäftsprozess nicht unterbrochen wird 2015 Check Point Software Technologies Ltd. [Restricted] ONLY for designated groups and individuals 28

29 2015 Check Point Software Technologies Ltd. 29 [Restricted] ONLY for designated groups and individuals

30 Anwender Interaktion und ZUGANG zum ORIGINAL Dokument per NACH der EMULATION 2015 Check Point Software Technologies Ltd. 30 [Restricted] ONLY for designated groups and individuals

31 Anwender Interaktion für Webdownloads CONVERT to PDF oder BEREINIGTES original Format 2015 Check Point Software Technologies Ltd. 31

32 ZUGANG zum ORIGINAL Dokument per Download NACH der EMULATION NACH der Emulation wenn als gut eingestuft AUTOMATISIERT kein Helpdesk Overhead 2015 Check Point Software Technologies Ltd. 32

33 E I N E N W E I T E R E N S C H R I T T V O R A U S M I T D E M die SandBlast Technologie auch auf dem Endpoint 2015 Check Point Software Technologies Ltd. 33

34 Angriffsvektoren auf dem Endpoint Ausserhalb des Büros Wechsel Datenträger M2M hinter dem Perimeter 2015 Check Point Software Technologies Ltd. 34

35 Eliminierung von Zero Day Malware auf dem Endpoint SANDBLAST CLOUD 1 Web downloads oder 2 USB Inhalt werden zu SandBlast gesendet Eine gereinigte 3 Version wird in Echtzeit ausgeliefert emuliert Original Dokument wird im Hintergrund 2015 Check Point Software Technologies Ltd. 35

36 Identifizieren & Eingrenzen Infektionen ausserhalb des Büros identifizieren Daten Exfiltration ausserhalb des Büros blocken Infizierte Maschinen in Quarantäne nehmen und wiederherstellen 2015 Check Point Software Technologies Ltd. 36

37 Erkennung von maliziösem ausgehendem Datenstrom Ausgehender 2 Datenstrom wird lokal von ANTI-BOT überprüft THREAT 1 INTELLIGENCE ständiger Austausch mit dem Agent 3 C&C Verbindung und Datenabfluss werden GEBLOCKT Maliziöse Prozesse werden unter 4 QUARANTÄNE gestellt oder das ganze System erfolgt einem LOCKDOWN 2015 Check Point Software Technologies Ltd. 37

38 Die Lösung um folgendes zu beantworten: Fragen: Ist es ein realer Angriff? Wie kam der Angreifer rein? Wurden Daten gestohlen? Wie können wir das bereinigen? Es gibt keinen effektiven Incident Response Ohne Incident Verständnis 2015 Check Point Software Technologies Ltd. 38

39 2 Sammeln von forensischen Daten und Generierung eines Trigger Reportes FORENSISCHE Daten 1 werden kontinuierlich Ein Report wird von verschiedenen OS automatisch generiert, Sensoren gesammelt sobald ein Trigger von Netzwerk Events oder eines 3 rd Network Processes party AnitVirus Registry Files erkannt wird Ein aufbereiteter 4 Incident Report wird an SmartEvent gesendet Ein hochentwickelter 3 Algorithmus analysiert die forensischen roh Daten 2015 Check Point Software Technologies Ltd. 39

40 So werden Angriffe verfolg- und handhabbar Bot Event entdeckt C&C Kommuniktion geblockt Infizierter Host C&C Server Die Attacke verstehen SandBlast Agent Forensics 2015 Check Point Software Technologies Ltd. 40

41 Original Attacke identifizieren Chrome Exploit während des browsens Exploit Code Dropper Process wurde von Chrome gestartet Vom Trigger zur Infektion Automatische Rückverfolgung des Infektionseintrittspunkt Die Attacke erfolgte nach dem System Boot Dropped Malware Dropper Download und Malware Installation Data Breach Malware liest sensitive Dokumente aus Ausführungsplan Malware wurde ausgelegt nach dem Boot zu starten Investigation Trigger Den Process identifizieren welcher den Zugang zum C&C Server hergestellt hat Malware Aktivierung Geplanter Angriff startete nach dem Boot 2015 Check Point Software Technologies Ltd. 41

42 Check Point SandBlast Zero Phishing 2015 Check Point Software Technologies Ltd. 42

43 Erweiterung des Schutzes gegen UNBEKANNTE MALWARE und ZERO-DAY ATTACKEN für Microsoft Office Check Point Software Technologies Ltd. 43 [Restricted] ONLY for designated groups and individuals

44 SandBlast Cloud schützt Microsoft Office 365 schnelle und transparente Anwender Erfahrung Mail wird zum Office 365 Server gesendet SANDBLAST Inspection Anhänge und URLs werden zur Extraction und Inspection gesendet Abgelegt in einem versteckten und gesicherten Folder innerhalb von Office 365 Eine gereinigte Version wird in Echtzeit ausgeliefert Enterprise Users Original ist nur verfügbar, wenn als gut eingestuft Inhalt wird parallel in der Cloud analysiert 2015 Check Point Software Technologies Ltd. 44

45 Check Point SandBlast Lösung NETWORK ENDPOINT OFFICE 365 SandBlast Appliance GW + Cloud Service 2015 Check Point Software Technologies Ltd. 45

46 Check Point SandBlast Vorteile Sandboxing Umgehungssicherer SCHUTZ vor unbekannten Bedrohungen mit CPU-Level- Prevention SANDBLAST CLOUD Threat Extraction Auslieferung von gesäuberten Dokumenten in ECHTZEIT 2015 Check Point Software Technologies Ltd. [Restricted] ONLY for designated groups and individuals 46

47 Best Practices für Ihren Schutz Blocking Schützen Sie sich vor neuen Crytolocker Varianten Verhindern Sie die Ausbreitung in Ihrem Unternehmen Backup Nicht nur um einer Zahlung vorzubeugen, sondern die Malware kann Bugs haben Research Beugen Sie weiteren und/oder erneuter Infektion vor, sowie schulen Sie die Mitarbeiter 2015 Check Point Software Technologies Ltd. [Protected] Non-confidential content 47

48 Fragen 2015 Check Point Software Technologies Ltd. 48

49 VIELEN DANK! CHECK POINT EINEN SCHRITT Mirco Kloss Sales Manager Threat Prevention Central Europe VORAUS 2015 Check Point Software Technologies Ltd. 49 [Restricted] ONLY for designated groups and individuals