Противодействие угрозам на уровне рабочих станций: решение SandBlast Agent
Информационная безопасность Информационная безопасность

Как реализована защита от целенаправленных кибератак на конечных точках в решении SandBlast Agent

Главная>Информационная безопасность>Противодействие угрозам на уровне рабочих станций: решение SandBlast Agent
Информационная безопасность Тренд

Противодействие угрозам на уровне рабочих станций: решение SandBlast Agent

Дата публикации:
05.10.2016
Посетителей:
280
Просмотров:
234
Время просмотра:
2.3

Авторы

Спикер
Виктория Носова Консультант по безопасности компании Check Point Software Technologies
Мы продолжаем рассказывать о том, как реализована защита от целенаправленных кибератак на конечных точках в решениях разных поставщиков решений. Сегодня Виктория Носова, консультант по безопасности Check Point Software Technologies расскажет о решении SandBlast Agent.

 

 

Наше решение объединяет защиту от угроз zero-day и включает средства автоматического анализа и реагирования на инциденты. Решение сочетает в себе следующие функциональные элементы: Threat Extraction, Threat Emulation, Anti-Bot, Forensics. Технологии SandBlast Threat Extraction и Threat Emulation, работающие в связке для блокирования проникновения в сеть угроз нулевого дня с минимизацией времени задержки отправки проверяемого файла пользователю.

 

Установка и архитектура

 

Для защиты рабочих станций у Check Point Software Technologies есть решение Endpoint Security. В состав Endpoint Security входит и SandBlast Agent, отвечающий за Anti-APT защиту.

 

Агент управляется с сервера Endpoint Security и включен в клиентскую часть ПО, устанавливаемого на защищаемые рабочие станции. Продукт Endpoint Security – это программный блейд управления, он может быть активирован на том же сервере управления Check Point Security Management, который управляет сетевой защитой всей организации, либо установлен на отдельный сервер. Клиентская часть может содержать в себе только функционал SandBlast Agent или включать дополнительные возможности других программных блейдов, относящихся к защите рабочих станций.

Установка клиентов может быть проведена с помощью автоматических правил установки, либо с использованием сторонних инструментов распространения и установки ПО, либо вручную с помощью инсталляционного пакета. Есть два варианта установки клиентской части. Первый – установка подготовленного клиента Software Blades Package, уже включающего необходимый набор программных блейдов для защиты рабочих станций, в том числе SandBlast Agent. Второй вариант – установка начального Initial Client, который отвечает только за подключение к серверу управления. Затем необходимо в консоли управления SmartEndpoint активировать нужный функционал для защиты рабочих станций.

 

Операционные системы

 

SandBlast Agent поддерживает Windows 7, 8 и 10, в ближайшее время планируется добавить поддержку серверных платформ Windows.

 

Устранение последствий заражения

 

Функция автоматического анализа инцидентов SandBlast Agent Forensics обеспечивает полную видимость событий безопасности для минимизации потенциального ущерба и затрат на его устранение. На основе данных автоматизированной экспертизы SandBlast Agent немедленно формирует практические интерактивные отчеты, которые помогают понять причины инцидента, увидеть точки входа вредоносного ПО и масштабы повреждений.

 

Карантин скомпрометированной станции

 

При обнаружении вредоносного файла или активности можно поместить файл в карантин, изолировать скомпрометированную рабочую станцию или выполнить другие действия для устранения вредоносной активности благодаря функции Remediation. Помещение изолированной машины в карантин означает принудительное ограничение доступа только до определенных сетевых ресурсов, разрешенных администратором в определенной политике доступа, необходимых для выполнения процедуры устранения последствий заражения, либо полное ограничение сетевого трафика.

 

Обучение агента

 

Нет необходимости вносить параметры или настройки с определением разрешенных и запрещенных процессов. Но при необходимости можно указать процессы, которые нужно исключить из отслеживания компонентом Forensics.

 

Анализ файлов

 

Помимо загруженных из Интернета и полученных по электронной почте файлов «песочница» Threat Emulation проверяет на безопасность документы, скопированные на локальные диски с флеш-носителей, а также файлы, созданные с активными элементами. Двухуровневая «песочница» Threat Emulation защищает от неизвестного ПО, предотвращает инфицирование в результате применения злоумышленниками эксплойтов нулевого дня и реализации целевых атак. Файлы быстро проверяются и запускаются в виртуальной «песочнице» для обнаружения вредоносного кода на уровнях центрального процессора (ЦП) и операционной системы. На уровне операционной системы для анализа и проверки офисных и исполняемых типов файлов, архивов и других форматов Threat Emulation загружает и запускает файлы в изолированной схожей виртуальной операционной среде, отслеживая изменения в состоянии файловой системы, работе сетевых подключений, работе процессов, состоянии реестра и т.п. после запуска. Threat Emulation использует уникальную технологию для выполнения проверки на уровне ЦП для определения эксплуатации уязвимости (например, ROP) путем тщательного отслеживания активности ЦП и процесса выполнения на уровне ассемблерного кода, в то время пока происходит работа эксплойта. Определяя попытки эксплойта до того, как код обхода получает права на выполнение, SandBlast выявляет вредоносную активность и блокирует возможность использования вредоносным ПО методик обхода обнаружения системами защиты. Если проверяемый файл определен как вредоносный, пользователю будет направлен автоматический отчет с подробным описанием всей обнаруженной вредоносной активности.

 

Блокировка активностей вредоносов

 

Компонент SandBlast Threat Extraction проактивно предотвращает получение пользователями вредоносного контента, загруженного из Интернета или присланного по почте. После скачивания файла он отправляется не пользователю, а на проверку на наличие потенциальных угроз «песочницей» SandBlast Threat Emulation, позволяющей обнаруживать аномальное поведение и выявлять угрозы нулевого дня и неизвестные атаки. Чтобы пользователь не ждал, пока осуществляется данная проверка, технология SandBlast Threat Extraction удаляет из полученного файла все встроенные элементы и активный контент и создает безопасную реконструированную PDF-копию пользователю без заметных временных задержек. Если пользователь хочет получить исходный документ, ему необходимо указать причину необходимости использования. Если же Threat Emulation выявил, что данный файл является вредоносным, пользователь исходный файл не получит.

 

Благодаря совместной работе с Threat Extraction вы можете смело переводить Threat Emulation в режим блокировки вредоносной активности (Prevent mode).

 

Если впоследствии копии данного вредоносного файла будут выявлены на других рабочих станциях, они также будут заблокированы без повторной отправки на проверку компонентом ThreatEmulation. Изолированная среда, в которой происходит проверка файлов, может быть размещена в облачном сервисе Check Point SandBlast Cloud или можно использовать специализированные SandBast-устройства, размещаемые на площадке заказчика.

Anti-Bot отслеживает коммуникации рабочей станции с удаленными ресурсами злоумышленников, а также аномальное поведение, схожее с активностью ботов. При обнаружении заражения оповещает администраторов безопасности о наличии вредоносной активности и блокирует сетевые соединения к серверам хакеров. В облачном сервисе ThreatCloud хранится информация об атаках, базах сигнатур ботов, базах злоумышленных сайтов, базах шаблонов поведения бот-семейств. Сервис обновляется круглосуточно.

 

Инструментарий для проведения расследования

 

Компонент Forensics отвечает за анализ жизненного цикла каждой конкретной атаки, отслеживая всю подозрительную активность на рабочих станциях. В качестве результата анализа при запросе данных о том, что происходило на рабочей станции в определенный момент, предоставляет отчет с информацией о векторах атаки, ущербе и деталях атаки. Отчет также создается автоматически при срабатывании определенных триггеров. Например, при выявлении средствами защиты признаков заражения на рабочей станции. Для того, чтобы в дальнейшем обнаружить источник атаки и ее ход, компонент Forensics фиксирует информацию об активности процессов, сетевых соединениях, работе файловой системы, изменениях в реестре и другие параметры, позволяющие выявлять аномальную активность. Отчеты могут быть централизованно просмотрены как в консоли управления SmartEndpoint, так и в консоли системы отчетности и корреляции событий SmartEvent.

 

Поиск маркеров компрометации

 

Компонент Forensics дает возможность найти и определить на рабочих станциях вредоносные элементы, процессы, попытки подключения к зараженному URL и другие маркеры компрометации как вручную посредством консоли управления или утилиты командной строки, так и автоматически.

 

Совместимость с существующими антивирусами

 

SandBlast Agent усиливает традиционную антивирусную защиту на рабочих станциях, независимо от того, что вы используете: антивирус в составе Check Point Endpoint Security или сторонний антивирус. Агент умеет запускать автоматизированный анализ инцидента для событий, обнаруженных антивирусным ПО, а также благодаря добавлению механизма обнаружения угроз zero-day на уровне ЦП выявлять вредоносную активность, которая смогла обойти традиционную антивирусную защиту. Взаимодействие с антивирусом осуществляется путем гибкой интеграции с сервером управления антивирусного решения, позволяющей стороннему антивирусу отправлять информацию о каждом найденном инциденте для анализа на сервер Check Point Endpoint Security.

Уведомления об обновлении тем – в вашей почте

Противодействие угрозам на уровне рабочих станций: решение Trend Micro Endpoint Sensor

Как реализована защита от целенаправленных кибератак на конечных точках в решении Trend Micro Endpoint Sensor

Гонка вооружений ИБ. Сводки с полей

Как Банк «Союз» ускорил Time-to-Market при разработке интеграционной шины для своего кредитного конвейера

Противодействие угрозам на уровне рабочих станций: решение FireEye HX

Как реализована защита от целенаправленных кибератак на конечных точках в решении FireEye HX

Противодействие угрозам на уровне рабочих станций: решение FortiClient

Как реализована защита от целенаправленных кибератак на конечных точках в решении FortiClient

Круглый стол: «Лаборатория Касперского», Positive Technologies, R-Vision, Group-IB, UserGate и «Гарда Технологии» об изменениях в ИБ-отрасли

Как изменилась роль ИБ-отрасли за последние месяцы? Какова кадровая ситуация в сфере информационной безопасности? Почему далеко не все отечественные ИБ-решения нуждаются в доработке? Как относиться к Open Source (спойлер — единого мнения нет)?

Песочницы под микроскопом: обзор решений (продолжение)

Обзор решений класса Anti-APT с акцентом на наиболее важные критерии по выбору «песочниц»

«Не думайте, что хакеры живут на других планетах…»

Станислав Павлунин, вице-президент по безопасности Тинькофф Банка рассказ о подходе банка к защите от кибератак

Опыт MSSP по противодействию кибератакам

В статье описан опыт использования различных технологий в SOC для противодействия целенаправленным атакам

Advanced Persistent Threat скоро перейдут из понятия «Advanced» в понятие «Basic»…

Директор департамента ИБ Росбанка рассказал в интервью Jet Info, как правильно подойти к выбору решения Anti-APT

Спасибо!
Вы подписались на обновления наших статей
Предложить
авторский материал





    Спасибо!
    Вы подписались на обновления наших статей
    Подписаться
    на тему







      Спасибо!
      Вы подписались на обновления наших статей
      Оформить
      подписку на журнал







        Спасибо!
        Вы подписались на обновления наших статей
        Оформить
        подписку на новости







          Спасибо!
          Вы подписались на обновления наших статей
          Задать вопрос
          редактору








            Оставить заявку

            Мы всегда рады ответить на любые Ваши вопросы

            * Обязательные поля для заполнения

            Спасибо!

            Благодарим за обращение. Ваша заявка принята

            Наш специалист свяжется с Вами в течение рабочего дня