Наше решение объединяет защиту от угроз zero-day и включает средства автоматического анализа и реагирования на инциденты. Решение сочетает в себе следующие функциональные элементы: Threat Extraction, Threat Emulation, Anti-Bot, Forensics. Технологии SandBlast Threat Extraction и Threat Emulation, работающие в связке для блокирования проникновения в сеть угроз нулевого дня с минимизацией времени задержки отправки проверяемого файла пользователю.
Установка и архитектура
Для защиты рабочих станций у Check Point Software Technologies есть решение Endpoint Security. В состав Endpoint Security входит и SandBlast Agent, отвечающий за Anti-APT защиту.
Агент управляется с сервера Endpoint Security и включен в клиентскую часть ПО, устанавливаемого на защищаемые рабочие станции. Продукт Endpoint Security – это программный блейд управления, он может быть активирован на том же сервере управления Check Point Security Management, который управляет сетевой защитой всей организации, либо установлен на отдельный сервер. Клиентская часть может содержать в себе только функционал SandBlast Agent или включать дополнительные возможности других программных блейдов, относящихся к защите рабочих станций.
Установка клиентов может быть проведена с помощью автоматических правил установки, либо с использованием сторонних инструментов распространения и установки ПО, либо вручную с помощью инсталляционного пакета. Есть два варианта установки клиентской части. Первый – установка подготовленного клиента Software Blades Package, уже включающего необходимый набор программных блейдов для защиты рабочих станций, в том числе SandBlast Agent. Второй вариант – установка начального Initial Client, который отвечает только за подключение к серверу управления. Затем необходимо в консоли управления SmartEndpoint активировать нужный функционал для защиты рабочих станций.
Операционные системы
SandBlast Agent поддерживает Windows 7, 8 и 10, в ближайшее время планируется добавить поддержку серверных платформ Windows.
Устранение последствий заражения
Функция автоматического анализа инцидентов SandBlast Agent Forensics обеспечивает полную видимость событий безопасности для минимизации потенциального ущерба и затрат на его устранение. На основе данных автоматизированной экспертизы SandBlast Agent немедленно формирует практические интерактивные отчеты, которые помогают понять причины инцидента, увидеть точки входа вредоносного ПО и масштабы повреждений.
Карантин скомпрометированной станции
При обнаружении вредоносного файла или активности можно поместить файл в карантин, изолировать скомпрометированную рабочую станцию или выполнить другие действия для устранения вредоносной активности благодаря функции Remediation. Помещение изолированной машины в карантин означает принудительное ограничение доступа только до определенных сетевых ресурсов, разрешенных администратором в определенной политике доступа, необходимых для выполнения процедуры устранения последствий заражения, либо полное ограничение сетевого трафика.
Обучение агента
Нет необходимости вносить параметры или настройки с определением разрешенных и запрещенных процессов. Но при необходимости можно указать процессы, которые нужно исключить из отслеживания компонентом Forensics.
Анализ файлов
Помимо загруженных из Интернета и полученных по электронной почте файлов «песочница» Threat Emulation проверяет на безопасность документы, скопированные на локальные диски с флеш-носителей, а также файлы, созданные с активными элементами. Двухуровневая «песочница» Threat Emulation защищает от неизвестного ПО, предотвращает инфицирование в результате применения злоумышленниками эксплойтов нулевого дня и реализации целевых атак. Файлы быстро проверяются и запускаются в виртуальной «песочнице» для обнаружения вредоносного кода на уровнях центрального процессора (ЦП) и операционной системы. На уровне операционной системы для анализа и проверки офисных и исполняемых типов файлов, архивов и других форматов Threat Emulation загружает и запускает файлы в изолированной схожей виртуальной операционной среде, отслеживая изменения в состоянии файловой системы, работе сетевых подключений, работе процессов, состоянии реестра и т.п. после запуска. Threat Emulation использует уникальную технологию для выполнения проверки на уровне ЦП для определения эксплуатации уязвимости (например, ROP) путем тщательного отслеживания активности ЦП и процесса выполнения на уровне ассемблерного кода, в то время пока происходит работа эксплойта. Определяя попытки эксплойта до того, как код обхода получает права на выполнение, SandBlast выявляет вредоносную активность и блокирует возможность использования вредоносным ПО методик обхода обнаружения системами защиты. Если проверяемый файл определен как вредоносный, пользователю будет направлен автоматический отчет с подробным описанием всей обнаруженной вредоносной активности.
Блокировка активностей вредоносов
Компонент SandBlast Threat Extraction проактивно предотвращает получение пользователями вредоносного контента, загруженного из Интернета или присланного по почте. После скачивания файла он отправляется не пользователю, а на проверку на наличие потенциальных угроз «песочницей» SandBlast Threat Emulation, позволяющей обнаруживать аномальное поведение и выявлять угрозы нулевого дня и неизвестные атаки. Чтобы пользователь не ждал, пока осуществляется данная проверка, технология SandBlast Threat Extraction удаляет из полученного файла все встроенные элементы и активный контент и создает безопасную реконструированную PDF-копию пользователю без заметных временных задержек. Если пользователь хочет получить исходный документ, ему необходимо указать причину необходимости использования. Если же Threat Emulation выявил, что данный файл является вредоносным, пользователь исходный файл не получит.
Благодаря совместной работе с Threat Extraction вы можете смело переводить Threat Emulation в режим блокировки вредоносной активности (Prevent mode).
Если впоследствии копии данного вредоносного файла будут выявлены на других рабочих станциях, они также будут заблокированы без повторной отправки на проверку компонентом ThreatEmulation. Изолированная среда, в которой происходит проверка файлов, может быть размещена в облачном сервисе Check Point SandBlast Cloud или можно использовать специализированные SandBast-устройства, размещаемые на площадке заказчика.
Anti-Bot отслеживает коммуникации рабочей станции с удаленными ресурсами злоумышленников, а также аномальное поведение, схожее с активностью ботов. При обнаружении заражения оповещает администраторов безопасности о наличии вредоносной активности и блокирует сетевые соединения к серверам хакеров. В облачном сервисе ThreatCloud хранится информация об атаках, базах сигнатур ботов, базах злоумышленных сайтов, базах шаблонов поведения бот-семейств. Сервис обновляется круглосуточно.
Инструментарий для проведения расследования
Компонент Forensics отвечает за анализ жизненного цикла каждой конкретной атаки, отслеживая всю подозрительную активность на рабочих станциях. В качестве результата анализа при запросе данных о том, что происходило на рабочей станции в определенный момент, предоставляет отчет с информацией о векторах атаки, ущербе и деталях атаки. Отчет также создается автоматически при срабатывании определенных триггеров. Например, при выявлении средствами защиты признаков заражения на рабочей станции. Для того, чтобы в дальнейшем обнаружить источник атаки и ее ход, компонент Forensics фиксирует информацию об активности процессов, сетевых соединениях, работе файловой системы, изменениях в реестре и другие параметры, позволяющие выявлять аномальную активность. Отчеты могут быть централизованно просмотрены как в консоли управления SmartEndpoint, так и в консоли системы отчетности и корреляции событий SmartEvent.
Поиск маркеров компрометации
Компонент Forensics дает возможность найти и определить на рабочих станциях вредоносные элементы, процессы, попытки подключения к зараженному URL и другие маркеры компрометации как вручную посредством консоли управления или утилиты командной строки, так и автоматически.
Совместимость с существующими антивирусами
SandBlast Agent усиливает традиционную антивирусную защиту на рабочих станциях, независимо от того, что вы используете: антивирус в составе Check Point Endpoint Security или сторонний антивирус. Агент умеет запускать автоматизированный анализ инцидента для событий, обнаруженных антивирусным ПО, а также благодаря добавлению механизма обнаружения угроз zero-day на уровне ЦП выявлять вредоносную активность, которая смогла обойти традиционную антивирусную защиту. Взаимодействие с антивирусом осуществляется путем гибкой интеграции с сервером управления антивирусного решения, позволяющей стороннему антивирусу отправлять информацию о каждом найденном инциденте для анализа на сервер Check Point Endpoint Security.