Check Point SandBlast Webinare 7. / 15. Dezember 2016

Security One Step Ahead

©2016 Check Point Software Technologies Ltd. 

DIE ERA DER DIGITAL TRANSFORMATION Mobile überholt Desktop, Social schlägt Suchen, Messaging apps fordern e‐Mail heraus, und alles um uns herum wird connected.  

Check Point SandBlast Webinare 7. / 15. Dezember 2016 ZUNAHME VON UNKNOWN MALWARE Exploits

Botnets

CVEs

Trojans Bad URLs Virus

ES GIBT IMMER MEHR

DAS WIR NICHT KENNEN

ZERO DAY, APT’s, UNKNOWN MALWARE

 

[Restricted] ONLY for designated groups and individuals

Signatures

Check Point SandBlast Webinare 7. / 15. Dezember 2016

Der traditionelle Ansatz Virus

Anti‐Virus

Malicious Websites

URL Filtering IPS

Attacks Anti‐Bot

Botnet High Risk Applications

Application Control  

Check Point schließt die Sicherheitslücken

IPS, ANTI-VIRUS & ANTI-BOT

SCHÜTZT VOR BEKANNTER UND ALTER MALWARE aber: 71 von 1000 werden nicht erkannt

OS- UND CPU-LEVEL ZERO-DAY PROTECTION

SCHÜTZT VOR UNBEKANNTER UND NEUER MALWARE mit OS- und CPU-level Schutz

THREAT EXTRACTION

VOLLSTÄNDIGE ENTFERNUNG VON ALLEN GEFAHREN das Dokument wird in ECHTZEIT rekonstruiert und malwareFREI ausgeliefert

[Restricted] ONLY for designated groups and individuals

Check Point SandBlast Webinare 7. / 15. Dezember 2016 Mehrschichtiger Schutz URL Reputation Erlaubt, blockt oder limitiert Webseiten Gebrauch anhand von Reputation

URL Check

Antivirus

SandBlast Threat Extraction

SandBlast Threat Emulation

7

©2015 Check Point Software Technologies Ltd. 

Mehrschichtiger Schutz

URL Check

Antivirus Blockt den Download von bekannter Malware

Antivirus

SandBlast Threat Extraction

SandBlast Threat Emulation

©2015 Check Point Software Technologies Ltd. 

[Restricted] ONLY for designated groups and individuals

8

Check Point SandBlast Webinare 7. / 15. Dezember 2016 Mehrschichtiger Schutz

URL Check

Antivirus

Threat Extraction Auslieferung von gesäuberten Dokumenten in ECHTZEIT

SandBlast Threat Extraction

SandBlast Threat Emulation

©2015 Check Point Software Technologies Ltd. 

[Restricted] ONLY for designated groups and individuals

9

Mehrschichtiger Schutz

URL Check

Antivirus

SandBlast Threat Extraction

Threat Emulation Blockt die Auslieferung von unbekannter Malware

©2015 Check Point Software Technologies Ltd. 

SandBlast Threat Emulation

[Restricted] ONLY for designated groups and individuals

10

Check Point SandBlast Webinare 7. / 15. Dezember 2016 Sandbox Umgehungs-Technik Mein Ziel: Malware nur auf Endpoints ausführen, aber nicht in einer Sandbox!

Verzögerte Ausführung

Eine Sandbox kann nicht für immer warten

Halte die Malware für einige Zeit inaktiv

Sandbox Erkennung

Eine Sandbox ist nicht gleich wie ein Endpoint

Lass die Malware nach Anzeichen auf eine Sandbox‐ Umgebung suchen

Menschliche Interaktion

Eine Sandbox wird von  Maschinen ausgeführt

Lass die Malware auf  Benutzeraktionen warten

11

Zero-Days in der Exploit Phase mit CPU Level Detection identifizieren Tausende

VULNERABILITY Nur eine Handvoll

EXPLOIT

CPU Level Sandboxing

SHELLCODE EVASION CODE Millionen

MALWARE

OS Level Sandboxing

12

Check Point SandBlast Webinare 7. / 15. Dezember 2016 Bypass OS und CPU Sicherheits-Kontrollen

ROP: Return Oriented Programming • Prüfe Code, welcher zur Ausnutzung von Exploits geladen wird ̶ Executable und DLLs des Ziel OS ̶ Executable und DLLs der Ziel‐Anwendung

• Suche nach nützlichen “Gadgets” ̶ Kurze Sequenzen von Code dem ein Return Befehl folgt ̶ Programmiere ein Exploit welches Gadgets als einfachen Code nutzt 13

SANDBOXING braucht Zeit

©2015 Check Point Software Technologies Ltd. 

[Restricted] ONLY for designated groups and individuals

14

Check Point SandBlast Webinare 7. / 15. Dezember 2016

ERWARTUNGEN des ANWENDERS

Dokumente müssen in Echtzeit ausgeliefert werden damit der Geschäftsprozess nicht unterbrochen wird

©2015 Check Point Software Technologies Ltd. 

[Restricted] ONLY for designated groups and individuals

15

16

Check Point SandBlast Webinare 7. / 15. Dezember 2016 Zugriff auf das Original Dokument NACH der Emulation

17

SandBlast Threat Extraction

Proaktiver Schutz Direkte Verfügbarkeit Präventiv, nicht nur Erkennung Einsicht in Angiffsversuche

18

Check Point SandBlast Webinare 7. / 15. Dezember 2016

SANDBLAST AGENT

SANDBLAST AGENT Zero-Day Protection für Endpoints

Prevent Zero-Day Attacks

Identify & Contain Infections

Effective Response & Remediation

Threat Extraction & Emulation für Endpoints • • •

Zustellung gesäuberter Inhalte Emulation der Originaldaten Schützt Web-downloads und Dateikopien

20

Check Point SandBlast Webinare 7. / 15. Dezember 2016 Zero‐day Endpoint Protection – Funktionsweise

Browser Erweiterung Web downloads + Theft  Prevention (Anti‐Phising)

Threat Extraction & Threat Emulation SANDBLAST CLOUD (Public or Private)

Datei‐System Monitor

Threat Emulation

Jede erstellte oder kopierte Datei

21

[Restricted] ONLY for designated groups and individuals

SANDBLAST AGENT Zero-Day Protection for Endpoints

Prevent

Identify & Contain Infections

Zero-Day Attacks

Effective Response & Remediation

Anti-Bot für Endpoints & Endpoint Quarantäne • • •

Erkennt & Verhindert C&C Kommunikation Lokalisiert Infektionen Quarantäne für den infizierten Host

22

Check Point SandBlast Webinare 7. / 15. Dezember 2016

Sandblast Agent: Anti‐Bot Anti-Bot auf dem Endpoint  Erkennt den C&C Channel – und wir wissen der Host ist infiziert  Blocken des C&C Channel – und wir dämmen die Malware ein C&C Kommunikation

Kommunikation Geblockt ANTI‐BOT

 Identifiziere kompromitierte Systeme • •

Innerhalb & Ausserhalb Lokalisierung, falls innerhalb des  Netzwerks

 Abriegelung und Isolation infizierter Systeme  Verhindert Malware‐Schäden • •

Blockt Command and Control Kommunikation Verhindert Daten Abfluss 23

SANDBLAST AGENT Zero-Day Protection for Endpoints

Prevent Zero-Day Attacks

Effective Response

Identify & Contain Infections

& Remediation

Automatische Forensische Analyse & Sanierung • • • •

Incident Analyse – spart Zeit & Geld Erfolgreiche Netzwerk Erkennung Endpoint AV Nachvollziehbarkeit Reinigung & Sanierung

24

Check Point SandBlast Webinare 7. / 15. Dezember 2016 Anti Virus beantwortet folgende Fragen nicht • • • •

Ist die Bedrohung Real? Wie kam es rein? Wurden Daten gestohlen? Wie können wir alles wieder säubern?

Es gibt keine effektive Incident Response Ohne Incident Understanding 25

So werden Angriffe nachvollzieh‐ und handhabbar Bot Event entdeckt

C&C Kommuniktion geblockt

Infizierter Host

C&C Server

Die Attacke verstehen

SandBlast Agent Forensics

26

Check Point SandBlast Webinare 7. / 15. Dezember 2016 Original Attacke identifizieren

Exploit Code Dropper  Process wurde von Chrome  gestartet

Chrome Exploit während des  browsens

Dropped Malware  

Dropper Download und  Malware Installation

Vom Trigger zur Infektion

Automatische Rückverfolgung des  Infektionseintrittspunkt

Investigation Trigger  Den  Process identifizieren welcher den Zugang zum C&C Server  hergestellt hat

Die Attacke erfolgte nach dem System Boot

wurde ausgelegt nach dem Boot zu starten

Data Breach Malware  liest sensitive  Dokumente aus

Malware Aktivierung Geplanter Angriff startete nach dem Boot

 

LIVE DEMO

Ausführungsplan Malware 

27

Check Point SandBlast Webinare 7. / 15. Dezember 2016 Check Point SandBlast Solution

Sandboxing Umgehungssicher Malware Erkennung

SANDBLAST CLOUD

Threat Extraction Sofortige Auslieferung von sicheren, rekonstruierten Daten

BUT

THE CYBER WAR IS RAGING  ON “It's a CAT‐AND‐MOUSE game We try to stay ahead. People will try to break in, and it's our job to STOP them breaking in.” ©2016 Check Point Software Technologies Ltd. 

Steve Jobs

Check Point SandBlast Webinare 7. / 15. Dezember 2016

Vielen Dank!

©2016 Check Point Software Technologies Ltd.