EINEN SCHRITT VORAUS. mit SandBlast - Sandboxing einen Schritt weiter gedacht. Mirco Kloss Sales Manager Threat Prevention - Central Europe

Transkript

1 EINEN SCHRITT VORAUS mit SandBlast - Sandboxing einen Schritt weiter gedacht Mirco Kloss Sales Manager Threat Prevention - Central Europe 2015 Check Point Software Technologies Ltd. [Restricted] ONLY for designated groups and individuals 1

2 AGENDA Warum SandBlast? Was ist SandBlast? 2015 Check Point Software Technologies Ltd. 2 [Restricted] for designated teams

3 WIR BEFINDEN UNS IN EINER WELT VOLLER SCHWACHSTELLEN SIE MÜSSEN SICH VOR ALLEN SCHÜTZEN ANGREIFER BENÖTIGEN NUR EINE SCHWACHSTELLE 2015 Check Point Software Technologies Ltd. [Restricted] ONLY for designated groups and individuals 3

4 Die Gefahren und Angriffe steigen täglich und werden jedes Jahr AUSGEKLÜGELTER und HÄUFIGER 400,000+ Variationen TÄGLICH ,300 bekannte Viren ,000 bekannte Viren VIRUSES AND WORMS 2004 ADWARE AND SPYWARE 2007 DDOS APTS GoldenEye Locky TeslaCrypt v4 Cerber RANSOMWARE Osiris HACTIVISM STATE SPONSORED INDUSTRIAL ESPIONAGE NEXT GEN APTS (MASS APT TOOLS) UTILIZING WEB INFRASTRUCTURES (DWS) 2015 Check Point Software Technologies Ltd. [Restricted] ONLY for designated groups and individuals

5 Deutsche Presse Anfang 2016: Krypto-Trojaner Locky wütet in Deutschland: Über 5000 Infektionen pro Stunde Mitte 2016: Ransomware Cerber nimmt Office-365-Nutzer ins Visier Ende 2016: GoldenEye wütet in Deutschland: Verschlüsselungstrojaner zielt direkt auf Personalverantwortliche Check Point Software Technologies Ltd. 5 [Restricted] ONLY for designated groups and individuals

6 Deutsche Presse Anfang 2016: Krypto-Trojaner Locky wütet in Deutschland: Über 5000 Infektionen pro Stunde Mitte 2016: Ransomware Cerber nimmt Office-365-Nutzer ins Visier Ende 2016: GoldenEye wütet in Deutschland: Verschlüsselungstrojaner zielt direkt auf Personalverantwortliche Check Point Software Technologies Ltd. 6 [Restricted] ONLY for designated groups and individuals

7 Es wird weiter gehen! 99% der Malware Hashes gibt es für Source: Verizon 2016 Data Breach Investigations Report Ziemlich häufig gibt es Malware nur einmalig 58 Sekunden oder weniger Dieses zeigt wie schnell Hacker Ihren Code heute modifizieren um unerkannt zu bleiben Check Point Software Technologies Ltd. 7

8 2015 Check Point Software Technologies Ltd. 8 [Restricted] ONLY for designated groups and individuals

9 Wir müssen anfangen ANDERS zu DENKEN und uns fragen 2015 Check Point Software Technologies Ltd. 9 [Restricted] ONLY for designated groups and individuals

10 Ist es wirklich ausreichend nur bekannte Malware zu erkennen? 2015 Check Point Software Technologies Ltd. 10 [Restricted] ONLY for designated groups and individuals

11 Wie können wir uns vor den neuesten Angriffen schützen? Vor allem vor denen, die noch gar nicht existieren? 2015 Check Point Software Technologies Ltd. 11 [Restricted] ONLY for designated groups and individuals

12 Was wäre, wenn IT-SECURITY EINEN SCHRITT VORAUS WÄRE? 2015 Check Point Software Technologies Ltd. 12 [Restricted] ONLY for designated groups and individuals

13 2015 Check Point Software Technologies Ltd. 13 [Restricted] ONLY for designated groups and individuals

14 Check Point s Ecosystem schließt die Sicherheitslücken IPS, ANTI-VIRUS & ANTI-BOT SCHÜTZT VOR BEKANNTER UND ALTER MALWARE 2015 Check Point Software Technologies Ltd. [Restricted] ONLY for designated groups and individuals 14

15 DER TRADITIONALE ANSATZ Virus Malicious Web Sites Anti -Virus URL Filtering Attacks IPS Botnet High Risk Applications Anti-Bot Application Control 2015 Check Point Software Technologies Ltd. 15 [Restricted] ONLY for designated groups and individuals

16 Check Point s Ecosystem schließt die Sicherheitslücken IPS, ANTI-VIRUS & ANTI-BOT SCHÜTZT VOR BEKANNTER UND ALTER MALWARE OS- UND CPU-LEVEL ZERO-DAY PROTECTION THREAT EXTRACTION SCHÜTZT VOR UNBEKANNTER UND NEUER MALWARE mit OS- und CPU-level Schutz VOLLSTÄNDIGE ENTFERNUNG VON ALLEN GEFAHREN das Dokument wird in ECHTZEIT rekonstruiert und malwarefrei ausgeliefert 2015 Check Point Software Technologies Ltd. [Restricted] ONLY for designated groups and individuals 16

17 SANDBOXING der nächsten Generation 2015 Check Point Software Technologies Ltd. 17 [Restricted] ONLY for designated groups and individuals

18 Umgehungs-Techniken der traditionelle Sandbox Systeme Angreifer entwickeln kontinuierlich neue Umgehungs-Techniken Schadsoftware überprüft die Umgebung auf Sandboxmerkmale Schadsoftware setzt für eine bestimmte Zeit aus Schadsoftware wartet auf menschliche Interaktion Katz und Maus 2015 Check Point Software Technologies Ltd. [Restricted] ONLY for designated groups and individuals 18

19 EINZIGARTIGE Check Point Technologie SANDBOX mit CPU LEVEL THREAT PREVENTION Erkennt den Angriff vor der Infektion Betriebssystem unabhängig Resistent gegen Umgehungstechniken 2015 Check Point Software Technologies Ltd. 19 [Restricted] ONLY for designated groups and individuals

20 EINZIGARTIGE Check Point Technologie SANDBOX mit CPU LEVEL THREAT PREVENTION Erkennt den Angriff vor der Infektion Betriebssystem unabhängig Resistent gegen Umgehungstechniken 2015 Check Point Software Technologies Ltd. 20 [Restricted] ONLY for designated groups and individuals

21 EINEN SCHRITT VORAUS MIT MALWARE ERKENNUNG IN DER EXPLOIT PHASE Tausende SCHWACHSTELLEN eine Handvoll EXPLOIT SHELLCODE UMGEHUNGS-TECHNIKEN Millionen MALWARE Traditionale Sandbox Systeme 2015 Check Point Software Technologies Ltd. [Restricted] ONLY for designated groups and individuals 21

22 SANDBOXING braucht Zeit 2015 Check Point Software Technologies Ltd. 22 [Restricted] ONLY for designated groups and individuals

23 ERWARTUNGEN des ANWENDERS Dokumente müssen in Echtzeit ausgeliefert werden damit der Geschäftsprozess nicht unterbrochen wird 2015 Check Point Software Technologies Ltd. [Restricted] ONLY for designated groups and individuals 23

24 2015 Check Point Software Technologies Ltd. 24 [Restricted] ONLY for designated groups and individuals

25 Anwender Interaktion und ZUGANG zum ORIGINAL Dokument per NACH der EMULATION 2015 Check Point Software Technologies Ltd. 25 [Restricted] ONLY for designated groups and individuals

26 Anwender Interaktion für Webdownloads CONVERT to PDF oder BEREINIGTES original Format 2015 Check Point Software Technologies Ltd. 26

27 ZUGANG zum ORIGINAL Dokument per Download NACH der EMULATION NACH der Emulation wenn als gut eingestuft AUTOMATISIERT kein Helpdesk Overhead 2015 Check Point Software Technologies Ltd. 27

28 E I N E N W E I T E R E N S C H R I T T V O R A U S M I T D E M die SandBlast Technologie auch auf dem Endpoint 2015 Check Point Software Technologies Ltd. 28

29 Angriffsvektoren auf dem Endpoint Ausserhalb des Büros Wechsel Datenträger M2M hinter dem Perimeter 2015 Check Point Software Technologies Ltd. 29

30 Eliminierung von Zero Day Malware auf dem Endpoint SANDBLAST SERVICE 3 emuliert 1 Web downloads oder 2 Eine gereinigte USB Inhalt werden zu Version wird in SandBlast gesendet Echtzeit ausgeliefert 2015 Check Point Software Technologies Ltd. 30 Original Dokument wird im Hintergrund

31 Erkennung von maliziösem ausgehendem Datenstrom Ausgehender 2 Datenstrom wird lokal von ANTI-BOT überprüft THREAT 1 INTELLIGENCE ständiger Austausch mit dem Agent 3 C&C Verbindung und Datenabfluss werden GEBLOCKT 4 Maliziöse Prozesse werden unter QUARANTÄNE gestellt oder das ganze System erfolgt einem LOCKDOWN 2015 Check Point Software Technologies Ltd. 32

32 Die Lösung um folgendes zu beantworten: Fragen: Ist es ein realer Angriff? Wie kam der Angreifer rein? Wurden Daten gestohlen? Wie können wir das bereinigen? Es gibt keinen effektiven Incident Response Ohne Incident Verständnis 2015 Check Point Software Technologies Ltd. 33

33 Sammeln von forensischen Daten und Generierung eines Trigger Reportes FORENSISCHE Daten werden kontinuierlich von Ein Report wird automatisch 2 generiert, sobald ein Trigger von Netzwerk Events oder eines 3 rd party AnitVirus erkannt wird 1 Network Files verschiedenen OS Sensoren gesammelt Processes Registry 4 Ein aufbereiteter Incident Report wird an SmartEvent gesendet Ein hochentwickelter Algorithmus analysiert die 3 forensischen roh Daten 2015 Check Point Software Technologies Ltd. 34

34 So werden Angriffe verfolg- und handhabbar Bot Event entdeckt C&C Kommuniktion geblockt Infizierter Host C&C Server Die Attacke verstehen SandBlast Agent Forensics 2015 Check Point Software Technologies Ltd. 35

35 Original Attacke identifizieren Chrome Exploit während des browsens Exploit Code Dropper Process wurde von Chrome gestartet Vom Trigger zur Infektion Automatische Rückverfolgung des Infektionseintrittspunkt Investigation Trigger Den Process identifizieren welcher den Zugang zum C&C Server hergestellt hat Die Attacke erfolgte nach dem System Boot Malware Aktivierung Geplanter Angriff startete nach dem Boot Dropped Malware Dropper Download und Malware Installation Data Breach Malware liest sensitive Dokumente aus Ausführungsplan Malware wurde ausgelegt nach dem Boot zu starten 2015 Check Point Software Technologies Ltd. 36

36 Check Point SandBlast Zero Phishing 2015 Check Point Software Technologies Ltd. 37

37 Check Point SandBlast Zero Phishing 2015 Check Point Software Technologies Ltd. 38

38 Check Point SandBlast Zero Phishing 2015 Check Point Software Technologies Ltd. 39

39 Check Point SandBlast Zero Phishing 2015 Check Point Software Technologies Ltd. 40

40 Erweiterung des Schutzes gegen UNBEKANNTE MALWARE und ZERO-DAY ATTACKEN für Microsoft Office Check Point Software Technologies Ltd. 41 [Restricted] ONLY for designated groups and individuals

41 SandBlast Cloud schützt Microsoft Office 365 schnelle und transparente Anwender Erfahrung Mail wird zum Office 365 Server gesendet SANDBLAST Inspection Anhänge und URLs werden zur Extraction und Inspection gesendet Abgelegt in einem versteckten und gesicherten Folder innerhalb von Office 365 Eine gereinigte Version wird in Echtzeit ausgeliefert Enterprise Users Original ist nur verfügbar, wenn als gut eingestuft Inhalt wird parallel in der Cloud analysiert 2015 Check Point Software Technologies Ltd. 42

42 Zusammenfassung 2015 Check Point Software Technologies Ltd. [Restricted] ONLY for designated groups and individuals 43

43 Schutz auf allen Ebenen Network Endpoints Cloud Applications Custom Applications SandBlast Appliances und NGTX Gateways SandBlast Agent SandBlast Cloud SandBlast API 2015 Check Point Software Technologies Ltd. 44

44 Check Point SandBlast Ecosystem on premise cloud cloud Check Point Appliances SANDBLAST SERVICE Check Point Cloud in Frankfurt SANDBLAST SERVICE NetUSE Cloud in Kiel 2015 Check Point Software Technologies Ltd. 45

45 SandBlast Ecosystem Schutz auf allen Ebenen SandBlast Cloud Service SandBlast Appliance 2015 Check Point Software Technologies Ltd. 46

46 Check Point Vorteile Sandboxing Umgehungssicherer SCHUTZ vor unbekannten Bedrohungen Threat Extraction Auslieferung von gesäuberten Dokumenten in ECHTZEIT 2015 Check Point Software Technologies Ltd. [Restricted] ONLY for designated groups and individuals 47

47 Best Practices für Ihren Schutz Blocking Schützen Sie sich vor neuen Crytolocker Varianten Verhindern Sie die Ausbreitung in Ihrem Unternehmen Backup Nicht nur um einer Zahlung vorzubeugen, sondern die Malware kann Bugs haben Research Beugen Sie weiteren und/oder erneuter Infektion vor und schulen Sie Ihre Mitarbeiter 2015 Check Point Software Technologies Ltd. 48

48 Fragen 2015 Check Point Software Technologies Ltd. 49

49 VIELEN DANK! CHECK POINT EINEN Mirco Kloss Sales Manager Threat Prevention Central Europe SCHRITT VORAUS 2015 Check Point Software Technologies Ltd. 50 [Restricted] ONLY for designated groups and individuals