Advanced Endpoint Protection Petr Kadrmas | SE Eastern Europe
©2015 Check Point Software Technologies Ltd.
Check Point Endpoint Security Overview
©2015 Check Point Software Technologies Ltd.
[Restricted] ONLY for designated groups and individuals
2
Check Point Endpoint Security Unifikovaný klient Firewall: blokuje nepovolaný provoz, chrání proti šíření malwaru a cíleným útokům FDE: Transparentní ochrana dat na disku s autentikací před spuštěním OS. ME: Řízení přístupu na porty a externí média, šifrování dat na externích médiích VPN: Bezpečný přístup k firemním zdrojům AM/Program Control: Ochrana proti malwaru a nebezpečným aplikacím Capsule Docs: Řízení přístupu k souborům a jejich bezpečné sdílení Sandblast Agent: Ochrana proti 0-Day malwaru a antiphishing ©2015 Check Point Software Technologies Ltd.
[Restricted] ONLY for designated groups and individuals
Jednotný a přehledný policy management
©2015 Check Point Software Technologies Ltd.
[Restricted] ONLY for designated groups and individuals
Bezpečnostní visibilita napříč sítí a endpointem
John Stevens
©2015 Check Point Software Technologies Ltd.
[Restricted] ONLY for designated groups and individuals
Check Point Endpoint Security Access Control
©2015 Check Point Software Technologies Ltd.
[Restricted] ONLY for designated groups and individuals
6
Desktop Firewall § Firewall blade povoluje nebo blokuje síťový provoz na základě protokolů, portů (servis), zdrojů a cílů komunikace. § Politika na základě konektivity a souladu s požadavky (compliance) pro stav klienta: Connected, Disconnected a Restricted
©2015 Check Point Software Technologies Ltd.
[Restricted] ONLY for designated groups and individuals
7
Compliance blade § Compliance blade verifikuje konfigurační kriteria a prítomnost (nepřítomnost) specifického SW.
§ Nesoulad s požadavky umožňuje spuštění alertu a automatických
kroků nápravy. Pokud uživatel neprovede nápravu v definovaném intervalu, může být klient uveden do „restricted“ stavu.
§ Compliance pravidla mohou být nastavena pro stav klienta: Connected, Disconnected
©2015 Check Point Software Technologies Ltd.
[Restricted] ONLY for designated groups and individuals
8
Application Control § Application Control blade umožňuje řídit použití aplikací (programů). Nastavení umožňuje povolit/blokovat nebo terminovat specifické aplikace na základě definice administrátora nebo reputační databáze (služby)
§ Aplikační pravidla mohou být nastavena pro stav klienta: Connected, Disconnected a Restricted
©2015 Check Point Software Technologies Ltd.
[Restricted] ONLY for designated groups and individuals
9
Check Point Endpoint Security Data Protection
©2015 Check Point Software Technologies Ltd.
[Restricted] ONLY for designated groups and individuals
10
Full Disk Encryption § Full Disk Encryption chrání „data at rest“, uložená na HDD počítače § Plná enkrypce sector-by-sector
§ Preboot autentikace (heslo, certifikát, OTP token) Boot Records
Highly Sensitive Files
User Data
Unprotected MBR
PBR
Operating System
System Files
Modified Partition
Operating System
Data
(PW Swap etc.)
Full Disk Encryption
Master Boot Record ©2015 Check Point Software Technologies Ltd.
Preboot Environment
System Files
Data
(PW Swap etc.)
Boot Record [Restricted] ONLY for designated groups and individuals
11
Media Encryption (a port control) § Řízení přístupu na komunikační porty a enkrypce externích zařízení § Když je externí zařízení šifrované vytvoří se na něm zabezpečený konteiner – Velikost může být nastavitelná uživatelem (% kapacity disku) – Šifrovaná i nešifrovaná část je dostupná jako samostatné jednotky. Lze vynutit uložení některých typů souborů pouze do šifrovaného konteineru Personal
Business
©2015 Check Point Software Technologies Ltd.
ü ü
Data is not encrypted
ü
Data is encrypted
ü
Transparent access only to approved users and devices
Access to any user/device
[Protected] Non-confidential content
12
UserCheck pro Media Encryption
X
Need to provide this presentation to our partner
©2015 Check Point Software Technologies Ltd.
[Protected] Non-confidential content
13
Capsule Docs Bezpečné sdílení dokumentů My-Company
Žádná hesla Transparentní přístup pro autorizované uživatele
Granulární práva práce s dokumentem
©2015 Check Point Software Technologies Ltd.
[Restricted] ONLY for designated groups and individuals
14
Klasifikace:
Internal\External\Author práva
©2015 Check Point Software Technologies Ltd.
[Restricted] ONLY for designated groups and individuals
15
Klasifikace bez šifrování § Pro integraci s externímy systémy, jako DLP. § Podporuje značkování MS Office dokumentů. § Plný audit práce s dokumenty přes SmartLog
©2015 Check Point Software Technologies Ltd.
16
Automatizovaná ochrana § Uživatelé/skupiny/OU mohou mít “Default protection level“ pro všechny nové/upravované dokumenty
§ Systé může také doporučit ochranu při uložení dokumentu
©2015 Check Point Software Technologies Ltd.
17
Automatická ochrana souborů na Windows stanicích a serverech, Development tools § Aplikované lokálně podle nastavení definičního souboru. § Proces běžící na Windows stanici/serveru kontinuálně
monitoruje definované adresáře a nastavuje ochranu podle typu a parametrů souborů.
§ Capsule Docs Protection API: § Capsule Docs SDK - C/C++/.Net/Java Wrappers. § Capsule Docs Protection Services - WebServices API on the management server.
§ Capsule Docs Protection Tool - command line utility.
©2015 Check Point Software Technologies Ltd.
18
Content-Aware ochrana Integrace s Check Point DLP “On the Fly” Capsule Docs ochrana na základě obsahu dokumentu při odeslání jako přílohy mailu (SMTP)
Exchange Client MS Outlook
Mail Server
Smart Center and Logs
PCI data found – AD/LDAP server apply protection Check Point Security Gateway With DLP Blade
Endpoint Management Server
[Restricted] ©2015 Check Point Software Technologies Ltd.
ONLY for designated groups and individuals
Internet Internet
19
Content-Aware ochrana (2) Integrace s Check Point DLP Ochrana dokumentů na síťových úložištích
Files are protected according to DLP rule Manual or scheduled scan starts Smart Center and Logs
File server
Check Point Security Gateway With DLP Blade
Endpoint Management Server
[Restricted] ©2015 Check Point Software Technologies Ltd.
ONLY for designated groups and individuals
Internet Internet
20
Check Point Endpoint Security Threat Prevention
©2015 Check Point Software Technologies Ltd.
[Restricted] ONLY for designated groups and individuals
21
Anti-Malware blade § Ochrana proti malwaru na koncových stanicích (viry, spyware, key loggers, Trojany, rootkity) . § Engine používá kombinace signatur, behaviorální analýzy a heuristické funkce. Threat Cloud malware databáze updatuje signatury v reálném čase. § Anti-Malware pravidla mohou být nastavena pro stav klienta: Connected, Disconnected
©2015 Check Point Software Technologies Ltd.
[Restricted] ONLY for designated groups and individuals
22
Vzdálení uživatelé Externí uložiště Některé hrozby je ale třeba zastavit také na koncových bodech Šifrovaný obsah Přímá komunikace uvnitř
©2015 Check Point Software Technologies Ltd.
[Confidential] For designated groups and individuals
23
Check Point SandBlast Agent
PREVENT Zero-Day Attacks
©2015 Check Point Software Technologies Ltd.
DEFEND Against Phishing
Quickly IDENTIFY and CONTAIN Infections
REMEDIATE and RESPOND Effectively
24
Check Point SandBlast Agent
PREVENT Zero-Day Attacks
©2015 Check Point Software Technologies Ltd.
DEFEND Against Phishing
Quickly IDENTIFY and CONTAIN Infections
REMEDIATE and RESPOND Effectively
25
Odstranění Zero Day Malware na koncových bodech
SANDBLAST CLOUD
1
Stahované soubory jsou kontrolovány SandBlastem
©2015 Check Point Software Technologies Ltd.
2
Čistá verze je rychle k dispozici
3
Originální soubor je vyhodnocen na pozadí 26
Okamžitá ochrana obsahu z webu
Soubory převedeny do PDF nebo vyčistěny pro bezpečné použití ©2015 Check Point Software Technologies Ltd.
27
Check Point SandBlast Agent
PREVENT Zero-Day Attacks
©2015 Check Point Software Technologies Ltd.
DEFEND Against Phishing
Quickly IDENTIFY and CONTAIN Infections
REMEDIATE and RESPOND Effectively
28
Zero Day Phishing Protection Předcházení NEZNÁMÝM a ZERO-DAY phishing útokům BLOKOVÁNÍ BLOKOVÁNÍ PHISHINGOVÝCH RECYKLACE HESEL STRÁNEK
Odhalování neznámých phishingových stránek na základě jejich charakteristik a indikátorů
©2015 Check Point Software Technologies Ltd.
Zabránění recyklace přístupových údajů na nefiremních stránkách
Zero Day Protection před sociálním inženýrstvím 29
Zero Phishing Technology Ochrana před phishingovými stránkami – i před dosud neznámými
Beware! Probable Phishing Attack
IP Reputati on URL Similarity Title Similarity Visual Similarity Text Similarity
Domain Reputation Lookalike Characters Image Only Site Multiple TopLevel Domain Lookalike Favicon
PHISHING SCORE: 95%
1
Nově navštívená stránka je přezkoumána
©2015 Check Point Software Technologies Ltd.
2
Vyhodnocení na základe reputace a pokročilé heuristiky
3
Verdikt v řádu vteřin 30
Zero Phishing Technology Zabránění recyklace firemních přistupových údajů
Corporate Credentials
Udržení firemních přístupových údajů v bezpečí zabráněním využívaní firemních hesel na externích webech ©2015 Check Point Software Technologies Ltd.
31
Check Point SandBlast Agent
PREVENT Zero-Day Attacks
©2015 Check Point Software Technologies Ltd.
DEFEND Against Phishing
Quickly IDENTIFY and CONTAIN Infections
REMEDIATE and RESPOND Effectively
32
SandBlast Agent - rychlé odhalování a potlačení škodlivé komunikace Odhalení a zablokování škodlivé komunikace
• Odkrytí dosud nedetekovaných infekcí • Zabránení dalšího šíření malware • Předcházení úniku dat
Neutralizace infekce
• Uzamčení infikované stanice • Karanténa škodlivých souborů
©2015 Check Point Software Technologies Ltd.
33
Zaostřeno na škodlivou odchozí komunikaci z koncových bodů
2 3
ANTI-BOT kontroluje odchozí provoz
1
Agentovi je neustále k dispozici aktuální THREAT INTELLIGENCE
Provoz na C&C a úniky da jsou BLOKOVÁNY
4 ©2015 Check Point Software Technologies Ltd.
KARANTÉNA škodlivého procesu a UZAMČENÍ celého systému 34
Check Point SandBlast Agent
PREVENT Zero-Day Attacks
©2015 Check Point Software Technologies Ltd.
DEFEND Against Phishing
Quickly IDENTIFY and CONTAIN Infections
REMEDIATE and RESPOND Effectively
35
Sběr forenzních dat a sestavení dokumentace incidentu
2
Interní indikátory nebo detekce 3. strany (jako AV) vedou k sestavení forenzního reportu
1
Senzory v OS neustále sbítají FORENZNÍ data
Network Files
3 ©2015 Check Point Software Technologies Ltd.
Processes Registry
4
Sestavená zpráva o incidentu je dostupná centrálně ve SmartEvent-u
Pokročilé algoritmy analyzují surová forenzní data 36
Identify Attack Origin Chrome exploited while browsing
Exploit Code
Schedule Execution
Dropper process launched by Chrome
Malware registered to launch after boot
Dropped Malware From Trigger to Infection Automatically trace back the infection point
Attack Traced Even across system boots
Dropper downloads and installs malware
Data Breach
Malware reads sensitive documents Investigation Trigger Identify the process that accessed the C&C server
©2015 Check Point Software Technologies Ltd.
Activate Malware Scheduled task launches after boot
[Confidential] For designated groups and individuals
37
SandBlast Agent – možnosti nasazení SandBlast Agent for Browsers Protection against web-downloaded malware, and Zero Phishing capabilities to protect against unknown and zero-day phishing sites and re-use of corporate credentials on non-corporate sites
SandBlast Agent Complete Complete solution including Everything in SandBlast Agent for Browsers, plus local device protection (USB, lateral movement), Anti-Bot, Forensics and Automated Incident Analysis
Full Endpoint Protection Suite SandBlast Agent Complete package can be deployed as part of the endpoint protection platform, including Antivirus, Full Disk Encryption, Firewall and VPN ©2015 Check Point Software Technologies Ltd.
[Confidential] For designated groups and individuals
38
SandBlast Agent Dostupné balíčky
Part of the SandBlast Zero-Day Protection Family Endpoint Suite
SandBlast Agent for Browsers
SandBlast Agent Complete
Deployment
Browser extension
Endpoint Agent
Endpoint Agent
Management
Cloud
SmartCenter
SmartCenter
Threat Emulation w/ CPU-level detection
ü
ü
ü
Threat Extraction
ü
ü
ü
Zero Phishing
ü
ü
ü
Credential Protection
ü
ü
ü
Web Downloads
ü
ü
ü
Anti-Bot
ü
ü
Automated Forensics
ü
ü
Features
Antivirus
ü
Full Disk Encryption, Media Encryption
ü
Firewall, VPN ©2015 Check Point Software Technologies Ltd.
ü
39
Check Point Mobile Security
„Secure container“ přístup k mailům, kalendáři, kontaktům a web aplikacím Full IPSec a SSL VPN přístup
Transparentí přístup ke klasifikovaným a šifrovaným dokumentům Mobile Threat Prevention
©2015 Check Point Software Technologies Ltd.
40
Mobile Threat Prevention Unknown Threats and Zero Day
MOBILNÍ BEZPEČNOST
Mobile Device Management Policy Enfoncement
Secure Containers Data Leakage Prevention
Anti-Virus, App Reputation Known Threats
©2015 Check Point Software Technologies Ltd.
41
MDM EMM
©2015 Check Point Software Technologies Ltd.
42
DĚKUJI ZA POZORNOST
©2015 Check Point Software Technologies Ltd. ©2014
[Restricted] ONLY for designated groups and individuals
43