Partnerami technologicznymi Check Pointa podczas konferencji były firmy Clico, Extreme Networks oraz VMware. Podkreślając ich udział, zwrócono uwagę na to, że zmienia się podejście klientów do ochrony przed cyberzagrożeniami. Wszyscy chcą być obsłużeni nie tyle poprzez dostarczenie pojedynczych produktów, ale za pomocą kompleksowych zabezpieczeń. Stad wzrost roli partnerstwa technologicznego wśród dostawców rozwiązań IT Security. 

Malware „specjalnie dla ciebie”

Maciej Mączka, Security Consultant w Clico, tematem swojej prezentacji uczynił malware, który ma na celu zaatakowanie konkretnej infrastruktury firmowej. Zaprezentował, z jakich narzędzi obecnie cyberprzestępcy mogą korzystać pisząc złośliwe oprogramowanie i co mogą zrobić, aby pokonać poszczególne części systemu bezpieczeństwa, chcąc się dostać do infrastruktury wybranej firmy. Omówione zostały możliwości zaatakowania firewalla, antywirusa, sandboxa i tzw. agenta działającego na urządzeniu końcowym.  W kontekście atakowania  firewalla na przykład przedstawiono słuchaczom narzędzia, m.in. Metasploit, Empire, Papi, które stanowią pełne rozwiązanie umożliwiające przygotowanie malware’u i jego kontrolowanej dystrybucji. Specjalista opisał też metodę szyfrowania ruchu, jako bardzo skuteczny sposób na ominięcie firewalla oraz dekrypcję ruchu – jako antidotum na takie działania hakerów.  
Maciej Mączka omówił także rolę narzędzia Ebola w omijaniu środowisk sandbox i opowiedział jak przy użyciu narzędzia Metasploit wygenerować plik .exe, który zostanie zaakceptowany przez program antywirusowy. Znamienne jest, że w internecie można znaleźć gotowe artykuły na ten temat. Według specjalisty to jednak skrypty pisane w języku powershell stanowią obecnie szczególnie istotne zagrożeniem. Mimo że programy antywirusowe „wiedzą” jak wygląda struktura takiego pliku, wystarczy trochę modyfikacji, aby stał się on dla oprogramowania ochronnego niewykrywalny. Za przekazaną przez specjalistę Clico teorią poszła praktyka – odbiorcom zaprezentowano scenariusze ataków i pokazano jak zmienia się wykrywalność złośliwego oprogramowania w zależności od używanych narzędzi hakerskich. 

Systemy krytyczne: trudna sprawa

Z kolei Marcin Pobudejski, Security Engineer w Check Point podkreślał coraz większą potrzebę stosowania narzędzi, które pomagałyby zabezpieczać dostęp do usług chmurowych, z których firmy i instytucje korzystają coraz częściej. Według specjalisty te obecnie stosowane chronią przed wyciekiem danych, wykrywają shadow IT,  umożliwiają kontrolę wykorzystywanych aplikacji chmurowych. Tym czego brakuje, jest możliwość prewencyjnego zapobiegania atakom. Dlatego Check Point zaproponował rozwiązanie CloudGuard wyposażone w dodatkowe moduły – np. taki, który pomaga w zapobieganiu phishingowi, czy zaawansowany moduł ochrony tożsamości. 

O ochronie systemów krytycznych mówił Mariusz Stawowski, dyrektor techniczny Clico. Specjalista przypomniał, że nowego podejścia do tej kwestii wymaga ustawa o cyberbezpieczeństwie. Architekci bezpieczeństwa mają obecnie problem, bo muszą pogodzić budowę rzetelnych zabezpieczeń dla systemów krytycznych nie ograniczając jednocześnie wysokiej dostępności, która ma być cechą tych ostatnich. 
Jedną z pewnych niedogodności dla specjalistów od IT security jest to, że dla systemów krytycznych nie robi się testów bezpieczeństwa (aby nie zablokować ich działania), tylko modeluje się zagrożenia. Testerzy analizując ich architekturę przewidują wektory ataków i tworzą scenariusze incydentów. Podczas prezentacji zostały omówione trzy takie scenariusze: atak przez VPN, sieć biznesową i z wnętrza sieci. Przybliżono też rolę strefy DMZ, architektury trójwarstwowej i narzędzi behawiorystycznych w zapobieganiu incydentom. 
Inżynier Clico przypomniał także, że istnieją standardy bezpieczeństwa systemów krytycznych – na przykład standard wydany przez International Society of Automation – (ISA Standards), który kładzie mocny nacisk na wdrażanie zabezpieczeń sieciowych. Najnowsza wytyczna pochodzi z 2018 r. Wydana została przez National Institute of Standards and Technology. W tym przypadku kluczową rolę przypisuje się wdrażaniu narzędzi, które pozwolą na prześledzenie, w jaki sposób doszło do incydentu.

Artykuł Check Point Security Day: dylematy architektów bezpieczeństwa pochodzi z serwisu CRN.

Udział w konferencji jest bezpłatny. Aby wziąć w niej udział należy wypełnić formularz internetowy.

Agendę znajdziecie tutaj.

Artykuł Check Point Security Day 2018 pochodzi z serwisu CRN.

Dlatego Check Point zaprezentował wprowadzone właśnie do
oferty urządzenie Check Point 600 Appliance, którego cena zaczyna się od 399
dolarów. Umożliwia ono pełną ochronę przed wieloma rodzajami zagrożeń
(wirusami, spamem, niebezpiecznymi aplikacjami i stronami internetowymi).
Pozwala też na stworzenie bezpiecznej sieci bezprzewodowej i wydzielenie
w niej segmentu dla gości. Zapewnia bezpieczny dostęp do firmowych danych
z dowolnego laptopa, tabletu czy smartfonu.

Dogłębna ochrona z R77

Przedstawiciele
firmy Check Point zaprezentowali publiczności także swój sposób na poradzenie
sobie z rosnącą liczbą wyzwań związanych z coraz bardziej
skomplikowanymi sieciami, rozbudowanymi i ukierunkowanymi atakami, jak
również coraz większymi wymaganiami prawnymi. Skutecznym panaceum na to ma być
rozwiązanie Check Point R77, które blokuje ataki zero-day, umożliwiając ich
emulację w wyizolowanym środowisku, i zapewnia wydajność wbudowanego
firewalla większą o 50 proc. w porównaniu z wcześniej
oferowanymi rozwiązaniami dzięki zastosowaniu opatentowanej przez Check Point
technologii HyperSpect. Ochronę firmowych danych zapewniają także moduły IPS,
antywirus oraz usługa Anti-Bot, blokujące możliwość uruchomienia oprogramowania
przeznaczonego do tworzenia botnetów.

Check Point kładzie
szczególny nacisk na edukację w kwestii eliminacji zagrożeń zero-day.
Rozwiązanie R77 analizuje uruchamiany na komputerach kod (dokumenty
i pliki wykonywalne). W przypadku podejrzenia o potencjalnie
szkodliwe działanie uruchamia go w specjalnie zakładanej do tego celu
małej wirtualnej maszynie (sandbox), która może znajdować się na lokalnym
urządzeniu lub w chmurze. Następnie monitorowane są takie obszary, jak
system plików, rejestr, połączenia sieciowe i procesy systemowe. Jeżeli wykonana
emulacja działania kodu wykaże, że ma on szkodliwy charakter, blokowane jest
aktywowanie go w środowisku produkcyjnym. Informacje o tego typu
nowym zagrożeniu są dystrybuowane do innych urządzeń R77 w ramach
uruchomionej przez Check Point usługi ThreatCloud.

Jak chronić się przed botnetami?

Dużym zainteresowaniem
cieszył się pokaz możliwości ochrony przed złośliwym oprogramowaniem,
które czyni zarażony komputer częścią światowej sieci botnet. Jest to realne
zagrożenie zarówno dla przedsiębiorstw, jak też osób prywatnych – poprzez
taką sieć może być prowadzona działalność przestępcza (dystrybucja pornografii
dziecięcej lub wirusów, kradzież danych prywatnych i finansowych,
pieniędzy z kont bankowych, haseł do logowania w różnych serwisach
lub użycie przejętego komputera do włamań do innych obszarów systemu
informatycznego albo wręcz ataku DoS na system innych firm). Zgodnie
z prawem współodpowiedzialność za taką działalność ponosi także właściciel
zarażonego komputera.

Podczas demonstracji do ochrony przed botnetami wykorzystano
moduł Check Point Anti-Bot oraz wspomnianą już usługę Check Point ThreatCloud.
Dostarcza ona modułowi Anti-Bot informacji o lokalizacji systemów
zarządzania botnetami, wzorce protokołów informacji wysyłanych w sieci
botnet do centrum zarządzania jej działaniem oraz opis samych przestępczych
działań. Do swojej pracy Anti-Bot wykorzystuje różne mechanizmy kontroli, m.in.
usługi reputacyjne (analiza IP, DNS, URL), sygnatury oraz fałszowanie adresu
DNS – zamiana właściwego DNS-u na podstawiony specjalnie z myślą
o botach szukających lokalizacji swojego centrum zarządzania.

Artykuł Check Point i Clico – razem już 18 lat! pochodzi z serwisu CRN.