Security One Step Ahead

Transkript

1 Security One Step Ahead 2016 Check Point Software Technologies Ltd. DIE ERA DER DIGITAL TRANSFORMATION Mobile überholt Desktop, Socialschlägt Suchen, Messagingapps fordern e Mail heraus, und alles um uns herum wird connected.

2 ZUNAHME VON UNKNOWN MALWARE CVEs Exploits Botnets Trojans Bad URLs ES GIBT IMMER MEHR DAS WIR NICHT KENNEN ZERO DAY, APT s, UNKNOWN MALWARE Virus Signatures [Restricted] ONLY for designated groups and individuals

3 Check Point SandBlast Webinare Der traditionelle Ansatz Virus Anti Virus Malicious Websites URL Filtering IPS Attacks Anti Bot Botnet High Risk Applications Application Control Check Point schließt die Sicherheitslücken IPS, ANTI-VIRUS & ANTI-BOT SCHÜTZT VOR BEKANNTER UND ALTER MALWARE aber: 71 von 1000 werden nicht erkannt OS- UND CPU-LEVEL ZERO-DAY PROTECTION SCHÜTZT VOR UNBEKANNTER UND NEUER MALWARE mit OS- und CPU-level Schutz THREAT EXTRACTION VOLLSTÄNDIGE ENTFERNUNG VON ALLEN GEFAHREN das Dokument wird in ECHTZEIT rekonstruiert und malwarefrei ausgeliefert [Restricted] ONLY for designated groups and individuals

4 Mehrschichtiger Schutz URL Reputation Erlaubt, blockt oder limitiert Webseiten Gebrauch anhand von Reputation URL Check Antivirus SandBlast Threat Extraction SandBlast Threat Emulation 2015 Check Point Software Technologies Ltd. 7 Mehrschichtiger Schutz Antivirus Blockt den Download von bekannter Malware URL Check Antivirus SandBlast Threat Extraction SandBlast Threat Emulation 2015 Check Point Software Technologies Ltd. [Restricted] ONLY for designated groups and individuals 8

5 Mehrschichtiger Schutz URL Check Threat Extraction Auslieferung von gesäuberten Dokumenten in ECHTZEIT Antivirus SandBlast Threat Extraction SandBlast Threat Emulation 2015 Check Point Software Technologies Ltd. [Restricted] ONLY for designated groups and individuals 9 Mehrschichtiger Schutz URL Check Antivirus Threat Emulation Blockt die Auslieferung von unbekannter Malware SandBlast Threat Extraction SandBlast Threat Emulation 2015 Check Point Software Technologies Ltd. [Restricted] ONLY for designated groups and individuals 10

6 Sandbox Umgehungs-Technik Mein Ziel: Malware nur auf Endpoints ausführen, aber nicht in einer Sandbox! Verzögerte Ausführung Sandbox Erkennung Menschliche Interaktion Eine Sandbox kann nicht für immer warten Eine Sandbox ist nicht gleich wie ein Endpoint Eine Sandbox wird von Maschinen ausgeführt Halte die Malware für einige Zeit inaktiv Lass die Malware nach Anzeichen auf eine Sandbox Umgebung suchen Lass die Malware auf Benutzeraktionen warten 11 Zero-Days in der Exploit Phase mit CPU Level Detection identifizieren Tausende VULNERABILITY Nur eine Handvoll EXPLOIT CPU Level Sandboxing SHELLCODE EVASION CODE Millionen MALWARE OS Level Sandboxing 12

7 Check Point SandBlast Webinare Bypass OS und CPU Sicherheits-Kontrollen ROP: Return Oriented Programming Prüfe Code, welcher zur Ausnutzung von Exploits geladen wird Executable und DLLs des Ziel OS Executable und DLLs der Ziel Anwendung Suche nach nützlichen Gadgets Kurze Sequenzen von Code dem ein Return Befehl folgt Programmiere ein Exploit welches Gadgets als einfachen Code nutzt 13 SANDBOXING braucht Zeit 2015 Check Point Software Technologies Ltd. [Restricted] ONLY for designated groups and individuals 14

8 ERWARTUNGEN des ANWENDERS Dokumente müssen in Echtzeit ausgeliefert werden damit der Geschäftsprozess nicht unterbrochen wird 2015 Check Point Software Technologies Ltd. [Restricted] ONLY for designated groups and individuals 15 16

9 Zugriff auf das Original Dokument NACH der Emulation 17 SandBlast Threat Extraction Proaktiver Schutz Direkte Verfügbarkeit Präventiv, nicht nur Erkennung Einsicht in Angiffsversuche 18

10 SANDBLAST AGENT SANDBLAST AGENT Zero-Day Protection für Endpoints Prevent Zero-Day Attacks Identify & Contain Infections Effective Response & Remediation Threat Extraction & Emulation für Endpoints Zustellung gesäuberter Inhalte Emulation der Originaldaten Schützt Web-downloads und Dateikopien 20

11 Zero day Endpoint Protection Funktionsweise Browser Erweiterung Web downloads + Theft Prevention (Anti Phising) Threat Extraction & Threat Emulation SANDBLAST CLOUD (Public or Private) Datei System Monitor Jede erstellte oder kopierte Datei Threat Emulation [Restricted] ONLY for designated groups and individuals 21 SANDBLAST AGENT Zero-Day Protection for Endpoints Prevent Zero-Day Attacks Identify & Contain Infections Effective Response & Remediation Anti-Bot für Endpoints & Endpoint Quarantäne Erkennt & Verhindert C&C Kommunikation Lokalisiert Infektionen Quarantäne für den infizierten Host 22

12 Sandblast Agent: Anti Bot Anti-Bot auf dem Endpoint Erkennt den C&C Channel und wir wissen der Host ist infiziert Blocken des C&C Channel und wir dämmen die Malware ein C&C Kommunikation ANTI BOT Kommunikation Geblockt Identifiziere kompromitierte Systeme Innerhalb & Ausserhalb Lokalisierung, falls innerhalb des Netzwerks Abriegelung und Isolation infizierter Systeme Verhindert Malware Schäden Blockt Command and Control Kommunikation Verhindert Daten Abfluss 23 SANDBLAST AGENT Zero-Day Protection for Endpoints Prevent Zero-Day Attacks Identify & Contain Infections Effective Response & Remediation Automatische Forensische Analyse & Sanierung Incident Analyse spart Zeit & Geld Erfolgreiche Netzwerk Erkennung Endpoint AV Nachvollziehbarkeit Reinigung & Sanierung 24

13 Anti Virus beantwortet folgende Fragen nicht Ist die Bedrohung Real? Wie kam es rein? Wurden Daten gestohlen? Wie können wir alles wieder säubern? Es gibt keine effektive Incident Response Ohne Incident Understanding 25 So werden Angriffe nachvollzieh und handhabbar Bot Event entdeckt C&C Kommuniktion geblockt Infizierter Host C&C Server Die Attacke verstehen SandBlast Agent Forensics 26

14 Original Attacke identifizieren Chrome Exploit während des browsens Exploit Code Dropper Process wurde von Chrome gestartet Vom Trigger zur Infektion Automatische Rückverfolgung des Infektionseintrittspunkt Die Attacke erfolgte nach dem System Boot Dropped Malware Dropper Download und Malware Installation Data Breach Malware liest sensitive Dokumente aus Ausführungsplan Malware wurde ausgelegt nach dem Boot zu starten Investigation Trigger Den Process identifizieren welcher den Zugang zum C&C Server hergestellt hat Malware Aktivierung Geplanter Angriff startete nach dem Boot 27 LIVE DEMO

15 Check Point SandBlast Solution Sandboxing Umgehungssicher Malware Erkennung SANDBLAST CLOUD Threat Extraction Sofortige Auslieferung von sicheren, rekonstruierten Daten BUT THE CYBER WAR IS RAGING ON It's a CAT AND MOUSE game We try to stay ahead. People will try to break in, and it's our job to STOP them breaking in Check Point Software Technologies Ltd. Steve Jobs

16 Vielen Dank! 2016 Check Point Software Technologies Ltd.