Breaking the Kill Chain

Save this PDF as:

WORD PNG TXT JPG

Größe: px

Ab Seite anzeigen:

Download "Breaking the Kill Chain"

Tristan Arnold
vor 2 Jahren
Abrufe

Transkript

2 Typischer Ablauf eines zielgerichteten Angriffs Anti-spam vermeintlich saubere bösartiger Link in Mail Zero-day Exploit Web Filtering bösartige Webseite Intrusion Prevention Exploit unbekannte Datei durchläuft AV-Filter Antivirus Malware Command & Control Center Botnet Kommunikation und Abfluss von Daten App Control/ IP Reputation verschlüsselte Kommunikation durchläuft Filter 2

unbekannte Datei durchläuft AV-Filter Antivirus Malware Command & Control Center Botnet

3 Malware? Goodware? I-don t-know-ware? FortiGate / FortiMail FortiSandbox FortiGate / FortiMail Known Good Probably Good Might be Good Completely Unknown Somewhat Suspicious Very Suspicious Known Bad Whitelists Reputation: App Signatures Digitally signed files Sandboxing Heuristics Blacklists Reputation: Signatures App, Generic Signatures 3

Might be Good Completely Unknown Somewhat Suspicious Very Suspicious Known Bad

4 Einsatz der FortiSandbox Anti-spam vermeintlich saubere bösartiger Link in Mail Zero-day Exploit unbekannte Datei durchläuft AV-Filter Sandbox Web Filtering Intrusion Prevention Antivirus Exploit Malware bösartige Webseite Command & Control Center Botnet Kommunikation und Abfluss von Daten App Control/ IP Reputation verschlüsselte Kommunikation durchläuft Filter, wenn kein SSL-Interception aktiviert ist 4

Malware bösartige Webseite Command & Control Center Botnet Kommunikation und Abfluss von Daten App

5 Die ganzheitliche Fortinet ATP Lösung FortiSandbox Datei wird zur Sandbox übertragen 1 1 Datei wird zur Sandbox übertragen Status Report Sandbox überträgt Threat DB Update a 4 Status Report für die Funktionen auto File Hold & Quarantine Sandbox überträgt Threat DB Update Real-time engine and intelligence updates FortiGate FortiClient SSL- Interception 3b Control Host Quarantine 3c Enforce Network Quarantine 5

Funktionen auto File Hold & Quarantine Sandbox überträgt Threat DB Update Real-time engine and

6 Intelligentes Inline Blocking verfügbar in FortiOS 5.4 Prüft die FortiSandbox alle 2 min. für neues DB update FortiSandbox erstellt AV DB Updates für erkannte verdächtige Dateien Proaktiver Schutz im gesamten Netzwerk über das AV Profil File Submission FSA DB Update 6

für neues DB update FortiSandbox erstellt AV DB Updates für

7 Endpoint / Client Integration FortiClient Quarantäne gesteuert von der FortiGate Die FortiSandbox informiert die FortiGate über infizierte Clients. Die FortiGate kann dann:» sämtlichen Verkehr am Client blocken» Anweisungen zum weiteren Vorgehen an den Client schicken verfügbar mit FortiClient 5.4 7

8 Unabhängig getestete und ausgezeichnete Sandbox ausgezeichnete Breach Detection (NSS Labs Recommended) geprüfter Durchsatz (1GBit/s) enthält legale Microsoft Lizenzen für Windows und Office unabhängige Tests durch Dritte 8

geprüfter Durchsatz (1GBit/s) enthält legale Microsoft

9 FortiSandbox 5 Stufen für optimale Leistung Call Back Detection Erkennen von Calling-Home Aktivitäten Full Virtual Sandbox Code Execution in der VM Code Emulation Pre-Emulation von Scripting und Makros Cloud File Query Hashbasierte Cloud-Prüfung Anti-Malware Prefilter proaktive Anti-Malware-Engine Scan 9

Emulation Pre-Emulation von Scripting und Makros Cloud File Query

10 Flexible Einsatzmöglichkeiten Sniffer-Modus» Dateien werden aus dem durch das Gerät geleiteten Verkehrsstrom extrahiert Network Traffic FortiSandbox Ergänzung zu Fortigate/FortiMail» Dateien werden von der FortiGate oder FortiMail an die FortiSanbox gesendet Network Traffic FortiGate / FortiMail On-demand» Dateien werden manuell oder per API zur Analyse zur FortiSandbox hochgeladen FortiSandbox 10

werden von der FortiGate oder FortiMail an die FortiSanbox gesendet Network Traffic FortiGate /

11 FortiSandbox- Architekturbeispiele Headquarters (Enterprise Core) Branch Offices (Distributed Enterprise) Data Center Standalone Mode ideal bei dedizierten Netz-Zugängen und für die on-demand-analyse Integrated Mode ideal für das zentrale Gateway im Inline- Modus Distributed Mode ideal für die Nutzung der Sandbox durch Außenstellen mit lokalem Internet-Zugang Flexible Architektur ermöglicht die bestmögliche Implementierung in das Kundennetzwerk Schutz der Investition durch flexible Einsatzmöglichkeiten der Appliances keine Bindung an Web- oder Mail-Verkehr 11

ideal für die Nutzung der Sandbox durch Außenstellen mit lokalem Internet-Zugang Flexible Architektur ermöglicht die bestmögliche

12 FortiSandbox Platform Optionen flexible Lösung Cloud VM-based - Appliances FortiSandbox 3000D FortiSandbox 1000D FortiSandbox VM FortiSandbox Cloud VMs NA

13 Drei Argumente für die Sicherheit Ihres Netzwerks besserer Schutz beste Preis/Leistung flexible Architektur FortiSandbox erreichte in den Tests ein NSS Labs Recommended 99% effective/ detection in 1 min Alle Funktionen, alle Protokolle (Web, Mail,..) in einer Box zu einem Preis Stand-alone oder integriert Mehrfach ausgezeichneter anti-malware Vor-Filter Option zur Integration mit FortiGate und Fortimail für noch besseren Schutz Appliance, VM oder als Cloud Service Automatische Updates AV Scan, Datei-Reputations-Abfrage und code emulation spart Analyse-Zeit Export der Dateien zur weiteren Analyse auf 3 rd -Party Geräten FortiSandbox Die beste Wahl für Advanced Threat Protection 13

.) in einer Box zu einem Preis Stand-alone oder integriert Mehrfach ausgezeichneter anti-malware Vor-Filter Option zur Integration mit FortiGate und Fortimail für noch

14 Vielen Dank für Ihre Aufmerksamkeit.

15 Funktionsweise FortiSandbox mit FortiGate 5 neues AV Signature Update Daten? 4b optional: Die Datei und das Analyseergebnis wird an die FortiGuard-Labs gesendet, um eine AV-Signatur zu erzeugen Datei wird zur FortiSandbox gesendet 1 2 Datei wird analysiert 3 Datei wird als verdächtig eingestuft 4a Eine Meldung wird erzeugt und verschickt 17

um eine AV-Signatur zu erzeugen Datei wird zur FortiSandbox gesendet 1 2 Datei wird

16 Funktionsweise FortiSandbox mit FortiMail 5 neues AV Signature Update? 4b optional: Die Datei und das Analyseergebnis wird an die FortiGuard-Labs gesendet, um eine AV-Signatur zu erzeugen eingehende Mail wird überprüft, ein verdächtiger Anhang wird zur FortiSandbox gesendet 1 2 Datei wird analysiert 4a 3 Datei wird als verdächtig eingestuft Rückmeldung an Fortimail Blocken des Mail-Anhangs 18

AV-Signatur zu erzeugen eingehende Mail wird überprüft, ein verdächtiger Anhang wird zur

17 Fragen?

Ähnliche Dokumente

Sicherheit auf dem Weg in die Microsoft Office365 Cloud Hybrider Exchange Schutz. Philipp Behmer Technical Consultant

Sicherheit auf dem Weg in die Microsoft Office365 Cloud Hybrider Exchange Schutz Philipp Behmer Technical Consultant Agenda Herausforderungen auf dem Weg in die Cloud Cloud App Security for Office 365