場次: d-1 · 2014-08-14 · 公司名稱: check point 主題:軟體定義防護 主講人: mars...

場次: D-1

公司名稱: Check Point

主題:軟體定義防護

主講人: Mars Chen (職稱) SE

Check Point

軟體定義防護 企業安全藍圖

• 閘道資料來自 9,240 個組織

• 整合分析惡意程式, 應用, DLP資訊

• 2013全年

2014 資安報告

2014 資安報告關鍵重點

未知惡意程式在2013爆炸性成長 1

惡意程式感染劇增 2

企業內高風險應用使用持續增加 3

資料外洩事件成長 4

0/46

AV 廠商能偵測到HIMAN

* Source: http://www.checkpoint.com/threatcloud-central/articles/2013-12-16-te-catches-new-sophisticated-malware-variant.html

HIMAN: 防毒系統的問題

感染

• MS Word exploit

• 2-stage dropper

• No AV detection

• DLL 注入

C&C 通訊

• Brute force internal proxy

• Reverse proxy for C&C

外滲Exfiltration

• 收集系統與網路資訊

• AES 加密

• Outbound obfuscation

53 未知惡意程式每天穿越閘道

惡意程式偵測引擎能偵測首次出現的惡意程式

多數防惡意程式引擎能偵測在首次出現後 的未知惡意程式

未知惡意程式常能有效數天

2-3

days

<10%

84% 組織下載惡意檔案

• 主機每分鐘連接惡意網站

– In 2012, 是每23 minute

惡意程式感染在2013大幅成長

• 主機每十分鐘下載惡意程式

• 49%的組織有至少七台僵屍感染的主機

• 每三分鐘僵屍企圖連接C&C server

更多的殭屍威脅

MORE THAN 4 WEEKS

LESS THAN 4 WEEKS

感染超過四週

高風險應用持續散播

96% 組織有至少一種高風險應用被使用

高風險應用 in 2013

(No 2012 data)

(No 2012 data)

• 88% 的組織至少生一次資料外洩事件in 2013

資料外洩事件持續增加

2014 行動建議

未知惡意程式在2013爆炸性成長 整合惡意程式沙箱技術

1

惡意程式感染劇增

反僵屍與防病毒功能需有雲端智能 2

企業內高風險應用使用持續增加

須有整合應用識別控制功能 3

資料外洩事件成長

資料外洩防護方案須考量佈建 4

Check Point

軟體定義防護 企業安全藍圖

全新的挑戰來臨

科技無所不在

更精準更複雜更常發生

VIRUSES

AND

WORMS

ADWARE

AND

SPYWARE

DDOS

APTS

RANSOMWARE

HACTIVISM

STATE SPONSORED

INDUSTRIAL ESPIONAGE

NEXT GEN APTS

(MASS APT TOOLS)

UTILIZING WEB

INFRASTRUCTURES (DWS)

2014

2010

2007 2004

1997

大幅改變的威脅情勢

*Source: http://www.forbes.com

當威脅變成商品

持續演化複雜的IT環境

© 2014 Check Point Software Technologies Ltd.

安全需要

模組化MODULAR

高彈性AGILE

安全SECURE!!!

現在就能實行的安全架構

軟體定義防護

Introducing

防護執行層 於分區執行防護

控制層 下達即時防護至防護執行層

管理層 模組化 , 快速事件統合 , 整合資安與商業流程

軟體定義防護 SOFTWARE – DEFINED PROTECTION

© 2014 Check Point Software Technologies Ltd.

防護執行層ENFORCEMENT LAYER

中介使用者與系統的互動並執行防護

CLOUD SECURITY

MOBILE SECURITY

NETWORK SECURITY GATEWAY

ENDPOINT SECURITY

VIRTUAL SYSTEMS

防護執行層ENFORCEMENT LAYER

傳統資安典範

What’s going on inside the boundary? Don’t know and don’t care!

由USB感染

聯繫殭屍總部

內部傳遞感染

邊界混淆或消失

感染前,感染後

感染前: “即時 real time”企圖 持續行動 橫向感染前進

1

感染後: 聯繫殭屍總部

2

零信任信賴模式

© 2014 Check Point Software Technologies Ltd.

邊界已經消失

手機 雲端…….

區段化SEGMENTATION是新的邊界

區段化SEGMENTATION是新的邊界

© 2014 Check Point Software Technologies Ltd.

產生軟體定義防護

佈署至相關防護執行點

CONTROL LAYER

控制層

產生軟體定義防護

佈署至相關防護執行點

產生防護

控制層

控制使用者 資產 資料 應用 間互動

保護資料

存取控制與資料防護

© 2014 Check Point Software Technologies Ltd.

如何防護威脅

已知 未知

Threats we know we know

Threats we know we don’t know

ANTI VIRUS

ANTI BOT

IPS

THREAT EMULATION

ANTI BOT

已知與未知的威脅

已知是什麼意思? 以CVE-2008-2641 為例

• Acrobat Reader 的JavaScript漏洞

• Heap Spray attack –利用 JavaScript 針對軟體弱點產生溢位並利用 Heap spray 執行 JavaScript 內預先寫好的 shellcode，shellcode 即能在有權限的狀態下執行欲執行的惡意行為

• 如何撰寫特徵碼來防禦? – 很多方法(使用recursion, loops, whiles, divisions to functions 等)

– 寫程式去理解程式碼(而不執行)很難

– PDF 為一由物件架構組成的檔案格式

• 必須持續更新以支援Acrobat 的新功能

需要什麼?

對防護執行點下達即時動態防禦

即時更新 威脅防禦

© 2014 Check Point Software Technologies Ltd.

威脅防禦

威脅防禦阻擋攻擊 , 惡意載荷

資安政策很簡單 : 阻擋所有威脅 所有組織一致適用

© 2014 Check Point Software Technologies Ltd.

有效的防禦來自智能

即時合作 與開放智能轉譯為安全防護.

威脅智能

範例: 分區與防護對應

• App Control/URL Filtering • Threat Emulation • Anti-Bot • IPS • DLP • DDOS Protection

• Firewall ID-based Policy • IPS • Anti-Virus

• VPN • Sandbox • Remote Wipe

• Anti-Virus • FW • Compliance • VPN

© 2014 Check Point Software Technologies Ltd. [Confidential] For designated groups and individuals

管理層

管理層可將安全性與企業業務程序整合

模組化 MODULARITY

遵循安全區段邊界與防護類型，提供系統管理員所需的政策細則

開放性 AUTOMATION 可用 API 自動將控制層與企業系統同

步化

可見性VISIBILITY

管理層

管理模組化 : 彈性管理與控制提供

責任劃分

彈性分層策略

模組化

開放介面以整合企業程序

Open API

Web services

自動化AUTOMATION

收集來自防護執行點的事件

即時事件關聯

生成新防護

資安事件關聯整合&回應

可見性VISIBILITY

防護執行層 於分區執行防護

控制層 下達即時防護至防護執行層

管理層 模組化 , 快速事件統合 , 整合資安與商業流程

軟體定義防護 SOFTWARE – DEFINED PROTECTION

[Confidential] For designated groups and individuals

THANK YOU!