Sandboxing nové generace Efektivní ochrana proti pokročilému malwaru. Michal Mezera COMGUARD a.s.

Podobné dokumenty
Úroveň 1: Shromažďování indikátorů, použití Port Mirroring nebo sondy pro zachytávání síťového provozu.

Není cloud jako cloud, rozhodujte se podle bezpečnosti

Důvěryhodná výpočetní základna v prostředí rozsáhlých IS státní správy

Představení Kerio Control

Technické aspekty zákona o kybernetické bezpečnosti

Praha, Martin Beran

Případová studie: Ochrana citlivých dat v automobilovém průmyslu

Nasazení bezpečnostního monitoringu v praxi. Jan Svoboda AEC

Flow Monitoring & NBA. Pavel Minařík

Moderní privátní cloud pro město na platformě OpenStack a Kubernetes

PB169 Operační systémy a sítě

Co vše přináší viditelnost do počítačové sítě?

Efektivní řízení rizik webových a portálových aplikací

FoxStat. Change the Net.Work. Nástroj pro záznam a analýzu datového provozu

Koncept BYOD. Jak řešit systémově? Petr Špringl

Jak ochráníte svoji síť v roce 2015? Michal Motyčka

Enterprise Mobility Management AirWatch & ios v businessu

Koncept centrálního monitoringu a IP správy sítě

FORPSI Cloud Computing Virtuální datacentrum v cloudu

Enterprise Mobility Management AirWatch - p edstavení ešení. Ondřej Kubeček duben 2017

Enterprise Mobility Management & GDPR AirWatch - představení řešení

Bezpečná autentizace přístupu do firemní sítě

Bohemia Energy. Případová studie. Uzavírání smluv prostřednictvím tabletů přineslo významné zvýšení výkonu obchodní sítě.

& GDPR & ŘÍZENÍ PŘÍSTUPU

Novinky ve FlowMon 6.x/FlowMon ADS 6.x

TSM for Virtual Environments Data Protection for VMware v6.3. Ondřej Bláha CEE+R Tivoli Storage Team Leader. TSM architektura IBM Corporation

Bohemia Energy. Případová studie. Uzavírání smluv prostřednictvím tabletů přineslo významné zvýšení výkonu obchodní sítě.

FAKULTNÍ NEMOCNICE BRNO. Jihlavská 20, Brno tel:

Enterprise Mobility Management AirWatch - představení řešení. Ondřej Kubeček březen 2017

Koncept. Centrálního monitoringu a IP správy sítě

Detekce volumetrických útoků a jejich mi4gace v ISP

FlowMon Vaše síť pod kontrolou

Aktivní bezpečnost sítě

Lotus Quickr - ECM Integrace s LD/LN aplikacemi. Ing. Josef Homolka VUMS Legend

Státní ICT jak to zvládáme na NKÚ. Jan Mareš

Ochranný svaz autorský zefektivnil svou činnost s produktem Webtica HelpDesk na platformě Microsoft

Integrace formou virtualizace

Mobilní malware na platformě Android Přednáška 2. Ing. Milan Oulehla

Intune a možnosti správy koncových zařízení online

Software Operaèní systém autorské dílo licenci multilicenci Aplikaèní software Komerèní programy upgrade OEM software Demoverze a zku ební verze

Software Operaèní systém autorské dílo licenci multilicenci Aplikaèní software Komerèní programy upgrade OEM software Demoverze a zku ební verze

Software Operaèní systém autorské dílo licenci multilicenci Aplikaèní software Komerèní programy upgrade OEM software Demoverze a zku ební verze

Bezpečnostní monitoring SIEM (logy pod drobnohledem)

ISSS. Ochrana citlivých dokumentů. v prostředí státní správy. Tomáš Hlavsa

Technické podmínky a doporučení provozu OneSoftConnect na infrastruktuře zákazníka

ICZ - Sekce Bezpečnost

Next-Generation Firewalls a reference

Detailní report nezávislého Network auditu pro FIRMA, s.r.o.

FlowMon. Pokročilá analýza Cisco NetFlow pomocí řešení FlowMon. INVEA-TECH a.s.

Efektivní ochrana dat ve virtualizovaném prostředí. Marek Bradáč

VAKCÍNA PROTI RANSOMWARE & ŘEŠENÍ PROTI ANTIVIROVÝM BOUŘÍM. René Pospíšil IS4 Technologies Country Partner CZ/SK

Ochrana mobilních uživatelů před hrozbami Internetu mimo firemní prostředí. Simac Technik ČR, a.s.

Flow monitoring a NBA: Kdy, kde, jak a proč? Petr Špringl springl@invea.cz

Případové studie a kulatý stůl. Dalibor Kačmář, Microsoft

Jak se ztrácí citlivá data a jak tato data ochránit?:

Jak se ztrácí citlivá data a jak tato data ochránit?:

Flow monitoring a NBA

Dalibor Kačmář

Od virtualizace serverů k virtualizaci desktopů. Nebo opačně? Jaroslav Prodělal, OldanyGroup VMware VCP, consultant

Extrémně silné zabezpečení mobilního přístupu do sítě.

IXPERTA BEZPEČNÝ INTERNET

Next-Gen antiviry. Pokročilejší zabezpečení nebo jen buzzword? David Pecl 25. října 2018, Cyber Security 2018

Nasazení mobilního GIS

KASPERSKY SECURITY FOR BUSINESS KATALOG PRODUKTŮ

Server. Software serveru. Služby serveru

Komunikační protokoly počítačů a počítačových sítí

RHEV for Desktops & SPICE příklad nasazení v akademickém prostředí. Milan Zelenka, RHCE Enlogit s.r.o.

Microsoft Windows Server System

Jaké zvolit Softwarově definované datové úložiště?

ArcGIS for Server. V oblasti správy, vizualizace a zpracování prostorových dat nabízí ArcGIS for Server tyto možnosti:

FlowMon ADS 3. Nová generace řešení pro analýzu provozu datové sítě. Pavel Minařík

Produktové portfolio

Kybernetické hrozby jak detekovat?

Virtualizace koncových stanic Položka Požadováno Nabídka, konkrétní hodnota

Cloud - jak jej monitorovat, reporty, účtování a fakturace

IBM Cloud computing. Petr Leština Client IT Architect. Jak postavit enterprise cloud na klíč IBM Corporation

Peklák (PKK) interní rezervační systém

Enterprise Mobility Management

ArcGIS Server 10. Řešení pro sdílení geodat

Nasazení protokolu IPv6 v prostředí univerzitní sítě VŠB-TU Ostrava

Sledování výkonu aplikací?

Monitoring ArcGIS systémů Hromadné řízení ArcGIS serverů

ANECT, SOCA a CISCO Cognitive Threat Analytics Breach Detection v praxi

Řešení ochrany databázových dat

Citidea monitorovací a řídicí centrála pro smart řešení

NetFlow a NBA? FlowMon 7 umí mnohem více! (NPM, APM, VoIPM, packet capture) Petr Špringl springl@invea.com

CASE MOBILE MOBIL JAKO AUTENTIZAČNÍ TOKEN

VÝPOČETNĚ NÁROČNÉ APLIKACE S VYUŽITÍM VIRTUALIZACE PRACOVNÍCH STANIC NA BÁZI INTEGRACE TECHNOLOGIÍ MICROSOFT VDI A SUN RAY

Silná autentizace a detekce fraudu (nejen) ve finančním sektoru jak to udělat správně

Úvod. Klíčové vlastnosti. Jednoduchá obsluha

Bezpečnost sítí

Příručka pro rychlou instalaci

ISMS. Síťová bezpečnost. V Brně dne 7. a 14. listopadu 2013

PETR MAZÁNEK Senior systemový administrátor C# Developer

Řešení EMC pro VMware

Dodatečné informace č. 7

Firewall, IDS a jak dále? Flow monitoring a NBA, případové studie. Jiří Tobola INVEA-TECH

Zakladatel Next-generation firewallů, které rozpoznají a kontrolují více než 1300 síťových aplikací

Důvěryhodná výpočetní základna -DVZ

Pravidla pro připojování zařízení a jejich užívání v sítích SCIENCE ČZU

Transkript:

Sandboxing nové generace Efektivní ochrana proti pokročilému malwaru Michal Mezera COMGUARD a.s.

Organizace z finančního segmentu Use Case Společnost, která si za poslání dala poskytovat specifické finanční služby s vyšší mírou rizika a bez ohledu na velikost kontraktu. Zaměřuje se na rizikovější aktivity, kam jiné obdobné organizace nenabízí své služby vůbec, a nebo je nabízí jen s velmi omezenými možnostmi. Současně se jedná o oblasti s velkým ekonomickým potenciálem. Společnost musí být při nakládání s citlivými daty klientů pečlivá a preventivně předcházet možným bezpečnostním rizikům.

Use Case Výchozí situace V rámci komunikace je společnost vázána řadou interních směrnic a značným počtem partnerských smluv, kvůli kterým je povinna přijímat v rámci elektronické komunikace různé typy souborů. Tím se klade větší důraz na bezpečnostní opatření ve společnosti. Pro dosažení maximální míry ochrany jsou mimo klasických bezpečnostních technologií nezbytnou součástí i pokročilé technologie, které dokáží testovat a kontrolovat soubory v reálném prostředí mimo provozní IT infrastrukturu. Vhodným řešením je využití sandboxu, který v rámci virtuálního prostředí umí testovat různé soubory a aplikace, dokáže vysledovat jejich chování po spuštění a zaznamenat různé nekalé aktivity, které používá pokročilý malware. Společnost v minulosti využívala ve svém provozu sandbox vykazující nepřesvědčivé výsledky, a tak se rozhodla pro jeho náhradu za novou generaci.

Co vidí tradiční sandbox? Tradiční sandbox Mnoho způsobů pro malware, jak provést detekci, že běží v sandboxu! Stalling Loops Last User Login Presence Of Typical Programs Last Time System Booted Delaying Tactics Race Conditions CPU Core Checks

Nový přístup Co může sandbox vidět také? Technologie Full System Emulation. Vidí všechny instrukce Pracuje s podmínkami a identifikuje vysoce evasivní techniky Detekce bez potřeby množství virtuálních instancí

FUSE Žádný GOLD image Každý vzorek běží ve svém systému Testuje se tak například i jeho chování při restartu systému Testuje se na různých platformách Windows 10 Windows 7 Windows XP *MAC OS X Android

Sandbox Detector PAFISH ve VMware

Sandbox Detector PAFISH ve FUSE Sandbox

PAFISH Analýza ve FUSE

Implementace řešení All-in-one appliance pro cca 300 uživatelů běžící na vlastním hardware. V prvopočátku jen monitoring komunikace. Use Case Analýza souborů v komunikaci, kdy na základě jejich rizikovosti je přiřazeno skóre dle závažnosti. Později přenastavení do in-line módu schopného blokace. Kontrola emailového i webového provozu.

Hodnocení vzorku Jednoduchý přehled aktivit vzorku a jejich závažnost Za každou malicious aktivitu obdrží vzorek body Na základě bodů je vypočteno výsledné skóre

Detailní pohled na incident

Výsledky po nasazení Use Case Za měsíc bylo z komunikace vybráno 300 podezřelých souborů předaných ke kontrole sandoboxu. Z uvedených podezřelých a potencionálně nebezpečných souborů sandbox vyhodnotil 18 zjištění, jenž vykazovaly známky nejvyššího skóre (95 ze 100) dle hodnotících kritérií. Až díky pokročilému sandboxu nasazenému za standardní emailovou ochranou, který analyzuje to, co by standardně bylo doručeno IT infrastruktury, bylo zabráněno ohrožení klienta. Výsledek potvrzuje, že i přes standardně nasazené bezpečnostní technologie, nebezpečné vzorky prošly do IT infrastruktury, aniž by jimi byly zaznamenány.

Kontrola emailů Pouze kontrola Inline nasazení možnost blokace Kontrola stahovaných souborů Sandbox web proxy ICAP integrace s proxy třetí strany Sonda v síti (IPS) Kontrola provozu v síti a detekce malware aktivit Kontrola souborů z provozu ftp, HTTP, API a integrace s dalšími produkty Manuální upload souborů Řešení pro SOC a Incident Responder týmy Využití sandboxu

Hloubková analýza SOC Analyst Incident Responder

Hloubková analýza Subjects Tree View Subject Details

Activity graph Hloubková analýza

Use Case Aktuální stav a statistika za srpen Celkem přišlo 324tis. emailů. Standardně zablokováno 257tis. emailů. Standardně legitimních 56tis. emailů. Doplnění infrastruktury o sandbox přineslo

Využití sandboxu i pro malé a střední organizace Využití Sandboxu nemusí být drahé! Sandbox se skládá: Manager Sensor Engine

Využití sandboxu i pro malé a střední organizace Příklad ekonomicky výhodného nasazení Sandboxu internet internet Proxy Bridge SPAN/ Mirror/ TAP MX & SMTP MX & SMTP ICAP www TCP Reset

Děkuji za pozornost Michal Mezera michal.mezera@comguard.cz www.comguard.cz

2025 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář