REŠENJE ZA ZAŠTITU OD NEPOZNATIH MALICIOZNIH PRETNJI

Bezbednost-16 | Bezbednost-nova | Business&IT-br.7 | Offtopic

Korišćenjem jedinstvenog mehanizma detekcije na nivou procesora, uz inovativne ThreatEmulation i ThreatExtraction tehnologije, Check Point SandBlast rešenje podiže zaštitu od poznatih i nepoznatih pretnji na viši nivo.

 

Cyber zajednica je danas sve inventivnija u pronalaženju novih načina za zaobilaženje postojećeg network security modela. Hakeri stalno menjaju strategije i tehnike za postizanje svojih ciljeva, a da pri tom ostanu neuhvatljivi. Da bi ostvarili svoj cilj, a to je da zaraze što više radnih stanica, hakeri treba da:

  • otkriju bezbednosni propust,
  • kreiraju maliciozni kod,
  • osmisle način da taj maliciozni kod distribuiraju ka korisnicima.

Udruživanjem u cyber zajednice, hakeri razmenjuju informacije o bezbednosnim propustima (eng. security vulnerability) načinjenim u operativnim sistemima i aplikacijama koje koristimo. Na internetu čak postoje i javno dostupni sajtovi preko kojih se po određenoj ceni može kupiti security propust. Na osnovu novootkrivenih propusta lako je napisati maliciozni kod koji će ih iskoristiti, sa ciljem da zarazi žrtvu, odnosno moguće je kreirati do tada još nepoznatu vrstu pretnje (eng. zero‑day attack).

Maliciozni kod se dalje razmenjuje unutar cyber zajednice, a najmanja promena u tom kodu stvara novu podvarijantu već postojećeg malvera ili novu zero‑day pretnju. Dostupnost malicioznog koda i činjenica da je prilično lako kreirati novi zero‑day napad omogućava čak i hakerima početnicima da budu podjednako opasni kao i oni iskusniji.

Najpopularniji način za distribuciju malicioznog koda je putem zlonamerno izmenjenih dokumenata. Unutar aktivnog dela dobro poznatih formata fajlova utiskuje se maliciozni sadržaj, a pokretanjem tako izmenjenog dokumenta korisnik, ne znajući da biva zaražen, u pozadini pokreće maliciozni kod.

Jednom kada je bezbednosni propust uočen i maliciozni kod kreiran, cilj hakera je da osmisle što maštovitiji način za njegovu distribuciju. Pristupanjem veoma interesantnom internet sadržaju korisnik ga preuzima, nesvestan opasnosti, i nakon pokretanja takvog dokumenta biva zaražen.

Najčešće lokacije sa kojih bismo mogli da preuzmemo maliciozni fajl jesu:

  • lažne URL stranice koje izgledaju identično kao originalne (eng. phishing URL),
  • lažni e‑mail koji izgleda kao da je od poznate osobe (eng. phishing e‑mail),
  • maliciozni URL oglasi (eng. malicious ads),
  • prenosivi mediji (USB, CD/DVD) itd.

Tradicionalni network security model zasnovan na post‑infection tehnologijama, kao što su antivirus i IPS, pokazao se kao nedovoljan u zaštiti od zero‑day pretnji. Adekvatnu zaštitu od maliciozno izmenjenih dokumenata moguće je postići jedino emulacijom, odnosno pokretanjem dokumenata u kontrolisanom okruženju da bi se proverilo da li sadrže aktivnu malver komponentu. Ovo rešenje u svetu je poznato kao sandboxing tehnologija.

Check Point SandBlast

Sandbox tehnologija kao rešenje za emulaciju poznata je u svetu već dugi niz godina. Sa razvojem ove tehnologije, pojavila su se i rešenja za detektovanje i zaobilaženje tradicionalnih sandbox rešenja. Korišćenjem jedinstvenog mehanizma detekcije na nivou procesora, Check Point SandBlast podiže zaštitu od zero‑day pretnji na viši nivo. Detekcija ponašanja fajlova pri njihovom izvršavanju na nivou CPU instrukcija omogućava korisnicima da ostanu zaštićeni od najopasnijih zero‑day napada; tehnologije za zaobilaženje sandbox rešenja ovde nemaju nikakvu šansu.

Sa svojom jedinstvenom Threat Emulation tehnologijom, Check Point SandBlast rešenje ima najviši mogući nivo detekcije zero‑day pretnji, što su potvrdile i nezavisne istraživačke kuće (NSS LAB, Gartner, Miercom, Forrester Wave). Vreme potrebno za emulaciju fajlova je ispod 3 minuta. SandBlast Threat Extraction tehnologija nadopunjuje Threat Emulation tehnologiju na taj način što trenutno isporučuje bezbedan sadržaj, očišćen od aktivnih delova potencijalno malicioznog fajla, pri čemu se redukuje vreme potrebno za emulaciju fajlova.

Korišćenjem jedinstvenih ThreatEmulation i ThreatExtraction tehnologija, Check Point SandBlast rešenje obezbeđuje kompletnu detekciju, inspekciju i zaštitu od poznatih i nepoznatih malicioznih pretnji, sa najvišim nivoom detekcije, najkraćim vremenom potrebnim za emulaciju fajlova i isporukom očišćenih (malware free) fajlova.

Mogućnosti za implementaciju

Fleksibilnost u implementaciji omogućava svim postojećim i novim Check Point korisnicima da SandBlast rešenje prilagode svojim potrebama i mrežnom okruženju. Tu su:

  • distribuirani način rada sa lokalnom ili cloud emulacijom fajlova za korisnike koji poseduju Check Point Security Gateway uređaje, odnosno sa ICAP protokolom za korisnike koji poseduju Security Gateway uređaje drugih proizvođača;
  • inline način rada za postojeće i nove korisnike, sa mogućnošću SSL inspekcije; ovaj način rada ne narušava postojeću topologiju;
  • Mail Transfer Agent (MTA) – Check Point SandBlast gateway prima dolazni e‑mail saobraćaj i prosleđuje ga, skeniran i očišćen, ka e‑mail serveru;
  • SandBlast agent ‑ SandBlast zero‑day zaštita na nivou radnih stanica.

Prednosti SandBlast rešenja

  • Najbolji procenat detekcije zero‑day pretnji potvrđen od strane NSS LAB‑a.
  • Detekcija malicioznog ponašanja koda pre nego što on uspe da izazove stvarnu pretnju.
  • Podrška za emulaciju više od 40 različitih tipova dokumenata i izvršnih fajlova.
  • Jedinstvena CPU‑level detekcija sprečava mogućnost primene algoritama za zaobilaženje sandbox rešenja.
  • Vreme potrebno za emulaciju fajlova kraće od 3 minuta.
  • Mogućnost trenutne isporuke bezbednog sadržaja i pre nego što se završi proces emulacije.
  • Fleksibilnost i lakoća implementacije.
  • Mogućnost SSL inspekcije u inline režimu rada.
  • Generisanje detaljnih izveštaja o bezbednosnim incidentima.
  • Threat Prevention otvoren API.
  • Web browser ekstenzija.
  • SandBlast agent.

Ključne funkcionalnosti Check Point SandBlast zero‑day rešenja su:

  • Threat Emulation – izvršavanje fajlova u kontrolisanom okruženju i praćenje njihovog ponašanja na nivou CPU, u cilju detekcije malicioznih aktivnosti;
  • Threat Extraction – konvertuje fajlove u PDF format ili ih prosleđuje u originalnom formatu, uz prethodno uklanjanje aktivnih delova (makroi i skripte) iz fajla;
  • Web browser dodatak – podržava emulaciju fajlova koji se preuzimaju preko pretraživača (Internet Explorer, Google Chrome);
  • SandBlast agent – end point rešenje za emulaciju fajlova koji se razmenjuju preko prenosivih medija (USB, CD i dr.).

Check Point

Kompanija Check Point osnovana je 1993. godine, sa sedištem u Tel Avivu, u Izraelu, i od samog osnivanja je globalni lider u zaštiti korisnika od najsofisticiranijih malicioznih pretnji. Kontinuirano ulaganje u nove tehnologije i fokusiranost na network security portfolio doneli su kompaniji brojna priznanja od strane nezavisnih istraživačkih kuća. Check Point je vlasnik više od 30 registrovanih patenata i jedina je kompanija koja je u godinama 1999‑2002. i 2004‑2016. konstantni lider u Enterprise Network Security magičnom kvadrantu agencije Gartner.

www.checkpoint.com

0 %s Comments

Prosledi komentar

Vaša adresa e-pošte neće biti objavljena.

Najnoviji

Novi-NetApp-proizvodi
30th oktobar 2023,,

Novi NetApp proizvodi

Da li su vam već poznati novi NetApp sistemi C-serije, sa QLC Flash tipom ...
Detaljnije
Veštačka-inteligencija-u-našim-rukama
30th oktobar 2023,,

Veštačka inteligencija u

Broj oblasti u kojima se eksperimentiše sa različitim dostignućima veštačke ...
Detaljnije
Azure-Active-Directory--postaje-Entra-ID
30th oktobar 2023,,

Azure Active Directory

Azure Active Directory je sada Entra ID. I premda većina korisnika ovu promenu ...
Detaljnije
Transformacija-tehničkog-duga--pomoću-DevOps-tehnologija
30th oktobar 2023,,

Transformacija tehničkog duga

Najveću opasnost za organizacije ne predstavlja samo postojanje tehničkog duga, ...
Detaljnije