Breaking the Kill Chain

Transkript

1 Breaking the Kill Chain Eine ganzheitliche Lösung zur Abwehr heutiger Angriffe Frank Barthel, Senior System Engineer Copyright Fortinet Inc. All rights reserved.

2 Typischer Ablauf eines zielgerichteten Angriffs Anti-spam vermeintlich saubere bösartiger Link in Mail Zero-day Exploit Web Filtering bösartige Webseite Intrusion Prevention Exploit unbekannte Datei durchläuft AV-Filter Antivirus Malware Command & Control Center Botnet Kommunikation und Abfluss von Daten App Control/ IP Reputation verschlüsselte Kommunikation durchläuft Filter 2

3 Malware? Goodware? I-don t-know-ware? FortiGate / FortiMail FortiSandbox FortiGate / FortiMail Known Good Probably Good Might be Good Completely Unknown Somewhat Suspicious Very Suspicious Known Bad Whitelists Reputation: App Signatures Digitally signed files Sandboxing Heuristics Blacklists Reputation: Signatures App, Generic Signatures 3

4 Einsatz der FortiSandbox Anti-spam vermeintlich saubere bösartiger Link in Mail Zero-day Exploit unbekannte Datei durchläuft AV-Filter Sandbox Web Filtering Intrusion Prevention Antivirus Exploit Malware bösartige Webseite Command & Control Center Botnet Kommunikation und Abfluss von Daten App Control/ IP Reputation verschlüsselte Kommunikation durchläuft Filter, wenn kein SSL-Interception aktiviert ist 4

5 Die ganzheitliche Fortinet ATP Lösung FortiSandbox Datei wird zur Sandbox übertragen 1 1 Datei wird zur Sandbox übertragen Status Report Sandbox überträgt Threat DB Update a 4 Status Report für die Funktionen auto File Hold & Quarantine Sandbox überträgt Threat DB Update Real-time engine and intelligence updates FortiGate FortiClient SSL- Interception 3b Control Host Quarantine 3c Enforce Network Quarantine 5

6 Intelligentes Inline Blocking verfügbar in FortiOS 5.4 Prüft die FortiSandbox alle 2 min. für neues DB update FortiSandbox erstellt AV DB Updates für erkannte verdächtige Dateien Proaktiver Schutz im gesamten Netzwerk über das AV Profil File Submission FSA DB Update 6

7 Endpoint / Client Integration FortiClient Quarantäne gesteuert von der FortiGate Die FortiSandbox informiert die FortiGate über infizierte Clients. Die FortiGate kann dann:» sämtlichen Verkehr am Client blocken» Anweisungen zum weiteren Vorgehen an den Client schicken verfügbar mit FortiClient 5.4 7

8 Unabhängig getestete und ausgezeichnete Sandbox ausgezeichnete Breach Detection (NSS Labs Recommended) geprüfter Durchsatz (1GBit/s) enthält legale Microsoft Lizenzen für Windows und Office unabhängige Tests durch Dritte 8

9 FortiSandbox 5 Stufen für optimale Leistung Call Back Detection Erkennen von Calling-Home Aktivitäten Full Virtual Sandbox Code Execution in der VM Code Emulation Pre-Emulation von Scripting und Makros Cloud File Query Hashbasierte Cloud-Prüfung Anti-Malware Prefilter proaktive Anti-Malware-Engine Scan 9

10 Flexible Einsatzmöglichkeiten Sniffer-Modus» Dateien werden aus dem durch das Gerät geleiteten Verkehrsstrom extrahiert Network Traffic FortiSandbox Ergänzung zu Fortigate/FortiMail» Dateien werden von der FortiGate oder FortiMail an die FortiSanbox gesendet Network Traffic FortiGate / FortiMail On-demand» Dateien werden manuell oder per API zur Analyse zur FortiSandbox hochgeladen FortiSandbox 10

11 FortiSandbox- Architekturbeispiele Headquarters (Enterprise Core) Branch Offices (Distributed Enterprise) Data Center Standalone Mode ideal bei dedizierten Netz-Zugängen und für die on-demand-analyse Integrated Mode ideal für das zentrale Gateway im Inline- Modus Distributed Mode ideal für die Nutzung der Sandbox durch Außenstellen mit lokalem Internet-Zugang Flexible Architektur ermöglicht die bestmögliche Implementierung in das Kundennetzwerk Schutz der Investition durch flexible Einsatzmöglichkeiten der Appliances keine Bindung an Web- oder Mail-Verkehr 11

12 FortiSandbox Platform Optionen flexible Lösung Cloud VM-based - Appliances FortiSandbox 3000D FortiSandbox 1000D FortiSandbox VM FortiSandbox Cloud VMs NA

13 Drei Argumente für die Sicherheit Ihres Netzwerks besserer Schutz beste Preis/Leistung flexible Architektur FortiSandbox erreichte in den Tests ein NSS Labs Recommended 99% effective/ detection in 1 min Alle Funktionen, alle Protokolle (Web, Mail,..) in einer Box zu einem Preis Stand-alone oder integriert Mehrfach ausgezeichneter anti-malware Vor-Filter Option zur Integration mit FortiGate und Fortimail für noch besseren Schutz Appliance, VM oder als Cloud Service Automatische Updates AV Scan, Datei-Reputations-Abfrage und code emulation spart Analyse-Zeit Export der Dateien zur weiteren Analyse auf 3 rd -Party Geräten FortiSandbox Die beste Wahl für Advanced Threat Protection 13

14 Vielen Dank für Ihre Aufmerksamkeit.

15 Funktionsweise FortiSandbox mit FortiGate 5 neues AV Signature Update Daten? 4b optional: Die Datei und das Analyseergebnis wird an die FortiGuard-Labs gesendet, um eine AV-Signatur zu erzeugen Datei wird zur FortiSandbox gesendet 1 2 Datei wird analysiert 3 Datei wird als verdächtig eingestuft 4a Eine Meldung wird erzeugt und verschickt 17

16 Funktionsweise FortiSandbox mit FortiMail 5 neues AV Signature Update? 4b optional: Die Datei und das Analyseergebnis wird an die FortiGuard-Labs gesendet, um eine AV-Signatur zu erzeugen eingehende Mail wird überprüft, ein verdächtiger Anhang wird zur FortiSandbox gesendet 1 2 Datei wird analysiert 4a 3 Datei wird als verdächtig eingestuft Rückmeldung an Fortimail Blocken des Mail-Anhangs 18

17 Fragen?