ayudando en temas de ciberseguridad
TRANSCRIPT
1©2019 Check Point Software Technologies Ltd.
Carlos Diaz
InfinitySOC
AYUDANDO EN TEMAS DE CIBERSEGURIDAD
[Internal Use] for Check Point employees
6©2019 Check Point Software Technologies Ltd. [Internal Use] for Check Point employees
El SOC siempre tiene problemas
Check Point survey, n=199
53% de los SOCsComentan que hoy en día su operación es
inmadura
8©2019 Check Point Software Technologies Ltd. [Internal Use] for Check Point employees
SOCAYUDANDO A MEJORAR TU OPERACIÓN DE
SEGURIDAD
Introducimos
BETA
10©2019 Check Point Software Technologies Ltd. [Internal Use] for Check Point employees
Acciones de Búsqueda
Analyst Mind
SOC
MEJORA LA INVESTIGACIÓN Y LA RESPUESTA
Aceleramos la investigación
Respuesta y Prevención Efectiva
BETA
11©2019 Check Point Software Technologies Ltd. [Internal Use] for Check Point employees
SOCBETA
Automatización e integración
API
Una experiencia inversiva en el infinity
portal
Web UI
Mantiene un flujo de análisis
SIEM
INTEGRADO CON TU SOC
13©2019 Check Point Software Technologies Ltd. [Internal Use] for Check Point employees
Como expones a un host infectado con un malware sigiloso?
50M logs x dia
TU RED
10,000 hosts
SIEM
14©2019 Check Point Software Technologies Ltd. [Internal Use] for Check Point employees
Correlación de logs
El acercamiento tradicional falla
Detección de anomalías
EXPOSICIÓN A ATAQUES
Demasiados falsos positivos
Reglas de correlacióndejan pasar algunos eventos
15©2019 Check Point Software Technologies Ltd.
Exponiendo ataques con precisión
1. Aprende de ThreatCloud
2. Aplica a eventos del cliente
3. Recibe retroalimentación del clienteModelado AI
ExposeAtaques Ocultos
17©2019 Check Point Software Technologies Ltd.
Velocidad de Conexión
Tiempo de conexión
Conexiones repetitivas
Numero de sesiones
Volumen de la información
…[Internal Use] for Check Point employees
Análisis de big data usando AI
1. APRENDE
Modelado AI
Eventos de hosts benignos
Evetnos de hosts infectadosmillions of events
AprendizajePatrones de
eventos
18©2019 Check Point Software Technologies Ltd. [Internal Use] for Check Point employees
Análisis de big data usando AI
2. EXPOSICIÓN
Eventos del Cliente
ExponiendoAtaques ocultos
1. APRENDE
Modelado AI
Eventos de hosts benignos
Eventos de hosts infectadosmillions of events
AprendizajePatrones de
eventos
19©2019 Check Point Software Technologies Ltd.
Expone con precisión ataques dirigidos y sigilosos
ExponiendoAtaques ocultos
20©2019 Check Point Software Technologies Ltd.
Expone con precisión ataques dirigidos y sigilosos
Hosts infectados
Expone recursos de nube comprometidos
DNS tunneling
APTs
Campañas dirigidas
Falsos Positivos < 1%
ExponiendoAtaques ocultos
22©2019 Check Point Software Technologies Ltd.
Que si un ataque vivefuera de tu red?
Campañas de Phishing
Ataques dirigidos a
clientes
Suplantación de marca
23©2019 Check Point Software Technologies Ltd.
Weaponization Delivery Install Actions
C&CExploit
Reconnaissance
ThreatGuard Vision
Impersonated mobile appsLookalikeDomains
Misconfigurations
Brand Infrastructure
Impersonated social accounts
Secret projects
Patents
Vulnerabilities
API Keys
CertificatesConfidential Content
Leaked Accounts
Open Ports
Infected Hosts
25©2019 Check Point Software Technologies Ltd.
Exponiendo ataques de suplantación de marcas
• Registro del dominio
• URLs vistas al publico
• Reputación e inteligenciaTextual similarity
Visual analysis
Domain attributes
…
InfinitySOCExposición
Suplantación de marcas
Dominios del cliente
27©2019 Check Point Software Technologies Ltd.
Descubriendo ataques reales
Automatizando ataques visuales
Detallanado analiticos de dominios
Servicios de baja de dominios
ExposiciónSuplantación de
marcas
29©2019 Check Point Software Technologies Ltd. [Internal Use] for Check Point employees
Acciones de Búsqueda
BOOST INVESTIGATION AND RESPONSE
SOCBETA
Expone ataques en tu red
Expone ataques fuera de la red
30©2019 Check Point Software Technologies Ltd. [Internal Use] for Check Point employees
Acciones de Búsqueda
Aceleramos la investigación
Respuesta y Prevención Efectiva
MEJORA LA INVESTIGACIÓN Y LA RESPUESTA
SOCBETA
33©2019 Check Point Software Technologies Ltd. [Internal Use] for Check Point employees
El acercamiento tradicional…
Se dedica mucho tiempo
En una investigación manual compleja
34©2019 Check Point Software Technologies Ltd. [Internal Use] for Check Point employees
Acelera las investigacionescon ThreatCloud
35©2019 Check Point Software Technologies Ltd. [Internal Use] for Check Point employees
Liberando el poder de Threatcloud
F E E D S
• CERTS• Law enforcement• Partnerships• Cyber Threat Alliance
E N R I Q U E S I M I E N T O D E L I A
• Campañas de ataques• Análisis de Phishing• DNA del Malware• Detección basada en contexto• DGA
RESEARCH & ANALYSIS
Devices
Gateways
V I S I B I L I D A D
Cloud
10
0’s
mill
on
es
36©2019 Check Point Software Technologies Ltd. [Internal Use] for Check Point employees
Un portal en Threat Cloud
Buscar por indicadores
Activity timeline
Check Point Research insights
OSINT
Capa de ataqueconocida
Propagación grafica
Mejora tu investigación con una capa de inteligencia Threat Cloud contextualizada
38©2019 Check Point Software Technologies Ltd. ©2019 Check Point Software Technologies Ltd.
INFINITY THREAT PREVENTIONMANAGEMENT
39©2019 Check Point Software Technologies Ltd. [Internal Use] for Check Point employees
El Problema
• Configurar apropiadamente las politicas de Threat Prevention no es una tarea facil.
Firmas IPS, configuracion de TE/TEX, el manejo de tipos de archivos, mantenerse al dia con las nuevas caracteristicas, mejores practicas…
• La mayoria de los clientes no tienen los recursos humanos para mantenerse actualizados
• Cambios en la Interfaz requieren parches y actualizaciones importantes
• El Resultado – Brechas de Seguridad y Frustracion en el cliente
©2019 Check Point Software Technologies Ltd.
Facilidad de Administracion
[Internal Use] for Check Point employees
41©2019 Check Point Software Technologies Ltd. [Internal Use] for Check Point employees
Infinity Threat Prevention Management
Simple UI
Single-Click Configuration - Diganos que proteje el GW y nosotros lo tomaremos desde alli
Gateway immediately configured De acuerdo a las mejores practicas de Check Point
Automatic Configuration Updates
- Clientes disfrutaran automaticamente de nuevas funciones, protecciones avanzadas y otras mejores practicas
42©2019 Check Point Software Technologies Ltd. [Internal Use] for Check Point employees
Ejemplo 1 – Soporte a un Nuevo tipo de archivo
• Antes de ITPM, Cuando introducimos soporte a nuevos tipos de archivo en TE/X, los clientes tienen que:
• Saberlo (No es trivial)
• Decidir cual es la mejor practica (eliminar, emular, limpiar)
• Abrir los perfiles relevantes (TE, TEX y AV)
• Chequear los textos relevantes
• Instalar política
Con ITPM – no se requiere hacer nada
43©2019 Check Point Software Technologies Ltd. [Internal Use] for Check Point employees
Ejemplo 2 – Enable TP technologies based on GW protection need
• Antes de ITPM - To enable inspection of SMB/CIFS traffic by AV and TE, customers had to:
Saber que es compatible
Saber en que GW deberian tenerlo habilitado(no se ajusta a GW de perimetro)
Buscar y seguir el SK101606
Ejecutar instrucciones manuales desde el CLI
Instalacion de Politica
• Con ITPM NO hay necesidad de hacer algo
Habilitado para red interna, Data Centers y Perfiles Estrictos
44©2019 Check Point Software Technologies Ltd. [Internal Use] for Check Point employees
Ejemplo 3– Cambios en Mejores Practicas
• Check Point 24/7 research teams detectan un ataque on the wild*
• Incluye movimientos laterales en redes internas utilizando un archivo especifico en CIFS
• Antes de ITPM, clients tenian que:
Conocer el ataque en tiempo real(SOC team?)
Crear una nueva regla de Threat Prevention para el protocolo CIFSl
Ajustar el perfil
Ir a las configuraciones del AV y bloquear el tipo de archivo especifico
Instalar Politicas
Con ITPM
Nuestras mejores practicas son automaticamente actualizadas
Estos archivos seran bloqueados inmediatamente en todas las redes internas
45©2019 Check Point Software Technologies Ltd. [Internal Use] for Check Point employees
Personalizacion
• Los administradores aun pueden realizer cambios manuales para anularde forma granular los perfiles recomendados por Check Point
• Con excepciones globales: Anular / Desactivar la proteccion IPS, archivos, blades..
• En Q3 – Anulacion de politica de Archivos
46©2019 Check Point Software Technologies Ltd.
Zero-Touch Threat Prevention Management
Out of the box profiles
Drag-and-drop gradual deployment
Automatically updated configuration No day-to-day maintenance
[Internal Use] for Check Point employees
47©2019 Check Point Software Technologies Ltd. [Internal Use] for Check Point employees
Roadmap
Visible en R81!
File policy overrides (Q3)
Soporte MTA
Integracion Segura a Medida
Soporte a TE appliances locales
Disponible como EA en R80.40 Siguiendo el SK163593 - Infinity Threat Prevention Management
48©2019 Check Point Software Technologies Ltd. [Internal Use] for Check Point employees
Analysts access Threat Emulation
reports from InfinitySOC
49©2019 Check Point Software Technologies Ltd. [Internal Use] for Check Point employees
Acelera la investigación con endpointforensics
50©2019 Check Point Software Technologies Ltd.
ANALISIS FORENSES AUTOMATIZADOS
[Restricted] ONLY for designated groups and individuals
GENERADOS DE FORMAAUTOMATICA
INFORMACIÓN ACCIONABLE
Visibilidad instantánea de lo
que necesitas conocer
Resumen interactivo del
ataque
Evita el analisismanual de la
información en crudo
Accionados por todos los eventos
51©2019 Check Point Software Technologies Ltd. [Internal Use] for Check Point employees
Endpoint Forensics demo
57©2019 Check Point Software Technologies Ltd. [Internal Use] for Check Point employees
Soportamos tu ambiente
Plataforma Infinity SOC
AutomatizaciónInfinity Portal
Interface UI Nativa
AP
I
sysl
og
SIEM
Splunk
Qradar
ArcSight
Logrithm
App de Splunk
58©2019 Check Point Software Technologies Ltd.
Descubra eventos criticos
Acelerando la Investigacion conla Alicación de InfinitySOC para Splunk
OPTIMIZADO PARA ANALISTAS DEL SOC
Reportes de Threat Emulation
AnalisisMITRE Att&ck
60©2019 Check Point Software Technologies Ltd. [Internal Use] for Check Point employees
Aceleramos la investigación
MEJORA LA INVESTIGACIÓN Y LA RESPUESTA
SOCBETA
Investigación de ThreatCloud
Threat hunting
Análisis forenses automáticos
Integración con SIEM
61©2019 Check Point Software Technologies Ltd. [Internal Use] for Check Point employees
Acciones de Búsqueda
Aceleramos la investigación
Respuesta y Prevención Efectiva
MEJORA LA INVESTIGACIÓN Y LA RESPUESTA
SOCBETA
62©2019 Check Point Software Technologies Ltd.
SKUs y Costos
[Internal Use] for Check Point employees
64©2019 Check Point Software Technologies Ltd. [Internal Use] for Check Point employees
Contiene y Remedia
Network & Cloud Security
Endpoint Security
Aísla hosts infectados
Contiene: Previene comunicaciones C&C
Contiene: Movimientos Laterales
Recupera ataques Ransomeware
Remedia infecciones
AUTOMATE
65©2019 Check Point Software Technologies Ltd. [Internal Use] for Check Point employees
PREVENTION FIRST
DETECTION PREVENTION
80% 20%20% 80%0 100
66©2019 Check Point Software Technologies Ltd. [Internal Use] for Check Point employees
Best Security starts with Best In Class Prevention
69©2019 Check Point Software Technologies Ltd.
Instant Response Speedy Recovery Mitigate Future Risks
73©2019 Check Point Software Technologies Ltd. [Internal Use] for Check Point employees
Effective Response & Prevention
AccelerateInvestigation
Actionable Insights
SOCBOOST INVESTIGATION AND RESPONSE
BETA
Join InfinitySOC Early Availability program
74©2019 Check Point Software Technologies Ltd. [Internal Use] for Check Point employees
AccelerateInvestigation
Speed-up investigation with ThreatCloud & forensics
• Investigate with ThreatCloud
• Zero-day malware analysis
• Forensics and EDR
• Hunt with network sensors
• Infection containment
• Enforce IOCs
• Remediate endpoints
• Recover from ransomware
• Zero-day prevention
Effective Response & Prevention
Leverage the power of SandBlast technology
• Infected hosts
• Lookalike URLs
• APTs
• DNS tunneling
• Targeted campaigns
Actionable Insights
Receive accurate alertsto hidden attacks