1©2019 Check Point Software Technologies Ltd.

Carlos Diaz

InfinitySOC

AYUDANDO EN TEMAS DE CIBERSEGURIDAD

[Internal Use] for Check Point employees

6©2019 Check Point Software Technologies Ltd. [Internal Use] for Check Point employees

El SOC siempre tiene problemas

Check Point survey, n=199

53% de los SOCsComentan que hoy en día su operación es

inmadura

8©2019 Check Point Software Technologies Ltd. [Internal Use] for Check Point employees

SOCAYUDANDO A MEJORAR TU OPERACIÓN DE

SEGURIDAD

Introducimos

BETA

10©2019 Check Point Software Technologies Ltd. [Internal Use] for Check Point employees

Acciones de Búsqueda

Analyst Mind

SOC

MEJORA LA INVESTIGACIÓN Y LA RESPUESTA

Aceleramos la investigación

Respuesta y Prevención Efectiva

BETA

11©2019 Check Point Software Technologies Ltd. [Internal Use] for Check Point employees

SOCBETA

Automatización e integración

API

Una experiencia inversiva en el infinity

portal

Web UI

Mantiene un flujo de análisis

SIEM

INTEGRADO CON TU SOC

13©2019 Check Point Software Technologies Ltd. [Internal Use] for Check Point employees

Como expones a un host infectado con un malware sigiloso?

50M logs x dia

TU RED

10,000 hosts

SIEM

14©2019 Check Point Software Technologies Ltd. [Internal Use] for Check Point employees

Correlación de logs

El acercamiento tradicional falla

Detección de anomalías

EXPOSICIÓN A ATAQUES

Demasiados falsos positivos

Reglas de correlacióndejan pasar algunos eventos

15©2019 Check Point Software Technologies Ltd.

Exponiendo ataques con precisión

1. Aprende de ThreatCloud

2. Aplica a eventos del cliente

3. Recibe retroalimentación del clienteModelado AI

ExposeAtaques Ocultos

17©2019 Check Point Software Technologies Ltd.

Velocidad de Conexión

Tiempo de conexión

Conexiones repetitivas

Numero de sesiones

Volumen de la información

…[Internal Use] for Check Point employees

Análisis de big data usando AI

1. APRENDE

Modelado AI

Eventos de hosts benignos

Evetnos de hosts infectadosmillions of events

AprendizajePatrones de

eventos

18©2019 Check Point Software Technologies Ltd. [Internal Use] for Check Point employees

Análisis de big data usando AI

2. EXPOSICIÓN

Eventos del Cliente

ExponiendoAtaques ocultos

1. APRENDE

Modelado AI

Eventos de hosts benignos

Eventos de hosts infectadosmillions of events

AprendizajePatrones de

eventos

19©2019 Check Point Software Technologies Ltd.

Expone con precisión ataques dirigidos y sigilosos

ExponiendoAtaques ocultos

20©2019 Check Point Software Technologies Ltd.

Expone con precisión ataques dirigidos y sigilosos

Hosts infectados

Expone recursos de nube comprometidos

DNS tunneling

APTs

Campañas dirigidas

Falsos Positivos < 1%

ExponiendoAtaques ocultos

21©2019 Check Point Software Technologies Ltd. [Internal Use] for Check Point employees

22©2019 Check Point Software Technologies Ltd.

Que si un ataque vivefuera de tu red?

Campañas de Phishing

Ataques dirigidos a

clientes

Suplantación de marca

23©2019 Check Point Software Technologies Ltd.

Weaponization Delivery Install Actions

C&CExploit

Reconnaissance

ThreatGuard Vision

Impersonated mobile appsLookalikeDomains

Misconfigurations

Brand Infrastructure

Impersonated social accounts

Secret projects

Patents

Vulnerabilities

API Keys

CertificatesConfidential Content

Leaked Accounts

Open Ports

Infected Hosts

25©2019 Check Point Software Technologies Ltd.

Exponiendo ataques de suplantación de marcas

• Registro del dominio

• URLs vistas al publico

• Reputación e inteligenciaTextual similarity

Visual analysis

Domain attributes

…

InfinitySOCExposición

Suplantación de marcas

Dominios del cliente

26©2019 Check Point Software Technologies Ltd.

ExposiciónSuplantación de

marcas

27©2019 Check Point Software Technologies Ltd.

Descubriendo ataques reales

Automatizando ataques visuales

Detallanado analiticos de dominios

Servicios de baja de dominios

ExposiciónSuplantación de

marcas

28©2019 Check Point Software Technologies Ltd. [Internal Use] for Check Point employees

29©2019 Check Point Software Technologies Ltd. [Internal Use] for Check Point employees

Acciones de Búsqueda

BOOST INVESTIGATION AND RESPONSE

SOCBETA

Expone ataques en tu red

Expone ataques fuera de la red

30©2019 Check Point Software Technologies Ltd. [Internal Use] for Check Point employees

Acciones de Búsqueda

Aceleramos la investigación

Respuesta y Prevención Efectiva

MEJORA LA INVESTIGACIÓN Y LA RESPUESTA

SOCBETA

32©2019 Check Point Software Technologies Ltd.

Como puedes entenderCon lo que se esta lidiando?

33©2019 Check Point Software Technologies Ltd. [Internal Use] for Check Point employees

El acercamiento tradicional…

Se dedica mucho tiempo

En una investigación manual compleja

34©2019 Check Point Software Technologies Ltd. [Internal Use] for Check Point employees

Acelera las investigacionescon ThreatCloud

35©2019 Check Point Software Technologies Ltd. [Internal Use] for Check Point employees

Liberando el poder de Threatcloud

F E E D S

• CERTS• Law enforcement• Partnerships• Cyber Threat Alliance

E N R I Q U E S I M I E N T O D E L I A

• Campañas de ataques• Análisis de Phishing• DNA del Malware• Detección basada en contexto• DGA

RESEARCH & ANALYSIS

Devices

Gateways

V I S I B I L I D A D

Cloud

10

0’s

mill

on

es

36©2019 Check Point Software Technologies Ltd. [Internal Use] for Check Point employees

Un portal en Threat Cloud

Buscar por indicadores

Activity timeline

Check Point Research insights

OSINT

Capa de ataqueconocida

Propagación grafica

Mejora tu investigación con una capa de inteligencia Threat Cloud contextualizada

37©2019 Check Point Software Technologies Ltd. [Internal Use] for Check Point employees

38©2019 Check Point Software Technologies Ltd. ©2019 Check Point Software Technologies Ltd.

INFINITY THREAT PREVENTIONMANAGEMENT

39©2019 Check Point Software Technologies Ltd. [Internal Use] for Check Point employees

El Problema

• Configurar apropiadamente las politicas de Threat Prevention no es una tarea facil.

Firmas IPS, configuracion de TE/TEX, el manejo de tipos de archivos, mantenerse al dia con las nuevas caracteristicas, mejores practicas…

• La mayoria de los clientes no tienen los recursos humanos para mantenerse actualizados

• Cambios en la Interfaz requieren parches y actualizaciones importantes

• El Resultado – Brechas de Seguridad y Frustracion en el cliente

©2019 Check Point Software Technologies Ltd.

Facilidad de Administracion

[Internal Use] for Check Point employees

41©2019 Check Point Software Technologies Ltd. [Internal Use] for Check Point employees

Infinity Threat Prevention Management

Simple UI

Single-Click Configuration - Diganos que proteje el GW y nosotros lo tomaremos desde alli

Gateway immediately configured De acuerdo a las mejores practicas de Check Point

Automatic Configuration Updates

- Clientes disfrutaran automaticamente de nuevas funciones, protecciones avanzadas y otras mejores practicas

42©2019 Check Point Software Technologies Ltd. [Internal Use] for Check Point employees

Ejemplo 1 – Soporte a un Nuevo tipo de archivo

• Antes de ITPM, Cuando introducimos soporte a nuevos tipos de archivo en TE/X, los clientes tienen que:

• Saberlo (No es trivial)

• Decidir cual es la mejor practica (eliminar, emular, limpiar)

• Abrir los perfiles relevantes (TE, TEX y AV)

• Chequear los textos relevantes

• Instalar política

Con ITPM – no se requiere hacer nada

43©2019 Check Point Software Technologies Ltd. [Internal Use] for Check Point employees

Ejemplo 2 – Enable TP technologies based on GW protection need

• Antes de ITPM - To enable inspection of SMB/CIFS traffic by AV and TE, customers had to:

Saber que es compatible

Saber en que GW deberian tenerlo habilitado(no se ajusta a GW de perimetro)

Buscar y seguir el SK101606

Ejecutar instrucciones manuales desde el CLI

Instalacion de Politica

• Con ITPM NO hay necesidad de hacer algo

Habilitado para red interna, Data Centers y Perfiles Estrictos

44©2019 Check Point Software Technologies Ltd. [Internal Use] for Check Point employees

Ejemplo 3– Cambios en Mejores Practicas

• Check Point 24/7 research teams detectan un ataque on the wild*

• Incluye movimientos laterales en redes internas utilizando un archivo especifico en CIFS

• Antes de ITPM, clients tenian que:

Conocer el ataque en tiempo real(SOC team?)

Crear una nueva regla de Threat Prevention para el protocolo CIFSl

Ajustar el perfil

Ir a las configuraciones del AV y bloquear el tipo de archivo especifico

Instalar Politicas

Con ITPM

Nuestras mejores practicas son automaticamente actualizadas

Estos archivos seran bloqueados inmediatamente en todas las redes internas

45©2019 Check Point Software Technologies Ltd. [Internal Use] for Check Point employees

Personalizacion

• Los administradores aun pueden realizer cambios manuales para anularde forma granular los perfiles recomendados por Check Point

• Con excepciones globales: Anular / Desactivar la proteccion IPS, archivos, blades..

• En Q3 – Anulacion de politica de Archivos

46©2019 Check Point Software Technologies Ltd.

Zero-Touch Threat Prevention Management

Out of the box profiles

Drag-and-drop gradual deployment

Automatically updated configuration No day-to-day maintenance

[Internal Use] for Check Point employees

47©2019 Check Point Software Technologies Ltd. [Internal Use] for Check Point employees

Roadmap

Visible en R81!

File policy overrides (Q3)

Soporte MTA

Integracion Segura a Medida

Soporte a TE appliances locales

Disponible como EA en R80.40 Siguiendo el SK163593 - Infinity Threat Prevention Management

48©2019 Check Point Software Technologies Ltd. [Internal Use] for Check Point employees

Analysts access Threat Emulation

reports from InfinitySOC

49©2019 Check Point Software Technologies Ltd. [Internal Use] for Check Point employees

Acelera la investigación con endpointforensics

50©2019 Check Point Software Technologies Ltd.

ANALISIS FORENSES AUTOMATIZADOS

[Restricted] ONLY for designated groups and individuals

GENERADOS DE FORMAAUTOMATICA

INFORMACIÓN ACCIONABLE

Visibilidad instantánea de lo

que necesitas conocer

Resumen interactivo del

ataque

Evita el analisismanual de la

información en crudo

Accionados por todos los eventos

51©2019 Check Point Software Technologies Ltd. [Internal Use] for Check Point employees

Endpoint Forensics demo

56©2019 Check Point Software Technologies Ltd.

Investigación Acelerada con SIEM

57©2019 Check Point Software Technologies Ltd. [Internal Use] for Check Point employees

Soportamos tu ambiente

Plataforma Infinity SOC

AutomatizaciónInfinity Portal

Interface UI Nativa

AP

I

sysl

og

SIEM

Splunk

Qradar

ArcSight

Logrithm

App de Splunk

58©2019 Check Point Software Technologies Ltd.

Descubra eventos criticos

Acelerando la Investigacion conla Alicación de InfinitySOC para Splunk

OPTIMIZADO PARA ANALISTAS DEL SOC

Reportes de Threat Emulation

AnalisisMITRE Att&ck

59©2019 Check Point Software Technologies Ltd. [Internal Use] for Check Point employees

60©2019 Check Point Software Technologies Ltd. [Internal Use] for Check Point employees

Aceleramos la investigación

MEJORA LA INVESTIGACIÓN Y LA RESPUESTA

SOCBETA

Investigación de ThreatCloud

Threat hunting

Análisis forenses automáticos

Integración con SIEM

61©2019 Check Point Software Technologies Ltd. [Internal Use] for Check Point employees

Acciones de Búsqueda

Aceleramos la investigación

Respuesta y Prevención Efectiva

MEJORA LA INVESTIGACIÓN Y LA RESPUESTA

SOCBETA

62©2019 Check Point Software Technologies Ltd.

SKUs y Costos

[Internal Use] for Check Point employees

64©2019 Check Point Software Technologies Ltd. [Internal Use] for Check Point employees

Contiene y Remedia

Network & Cloud Security

Endpoint Security

Aísla hosts infectados

Contiene: Previene comunicaciones C&C

Contiene: Movimientos Laterales

Recupera ataques Ransomeware

Remedia infecciones

AUTOMATE

65©2019 Check Point Software Technologies Ltd. [Internal Use] for Check Point employees

PREVENTION FIRST

DETECTION PREVENTION

80% 20%20% 80%0 100

66©2019 Check Point Software Technologies Ltd. [Internal Use] for Check Point employees

Best Security starts with Best In Class Prevention

68©2019 Check Point Software Technologies Ltd.

ARE YOU UNDER ATTACK?

69©2019 Check Point Software Technologies Ltd.

Instant Response Speedy Recovery Mitigate Future Risks

72©2019 Check Point Software Technologies Ltd. [Internal Use] for Check Point employees

73©2019 Check Point Software Technologies Ltd. [Internal Use] for Check Point employees

Effective Response & Prevention

AccelerateInvestigation

Actionable Insights

SOCBOOST INVESTIGATION AND RESPONSE

BETA

Join InfinitySOC Early Availability program

74©2019 Check Point Software Technologies Ltd. [Internal Use] for Check Point employees

AccelerateInvestigation

Speed-up investigation with ThreatCloud & forensics

• Investigate with ThreatCloud

• Zero-day malware analysis

• Forensics and EDR

• Hunt with network sensors

• Infection containment

• Enforce IOCs

• Remediate endpoints

• Recover from ransomware

• Zero-day prevention

Effective Response & Prevention

Leverage the power of SandBlast technology

• Infected hosts

• Lookalike URLs

• APTs

• DNS tunneling

• Targeted campaigns

Actionable Insights

Receive accurate alertsto hidden attacks

75©2019 Check Point Software Technologies Ltd. [Internal Use] for Check Point employees

SUPERCHARGE YOUR SECURITY OPERATIONS

SOCBETA