Check Point представила SandBlast новое решение для борьбы с вредоносным ПО

Check Point представила SandBlast новое решение для борьбы с вредоносным ПО

Check Point представил Check Point SandBlast, новое улучшенное решение для предотвращения угроз, обеспечивающее высокий уровень защиты на рынке. Благодаря использованию диагностики на уровне ЦП для обнаружения угроз до заражения Check Point SandBlast выводит безопасность на новый уровень.

С помощью устойчивых к попыткам обхода средств обнаружения вредоносного ПО и улучшенной защиты даже от самых серьезных атак новое решение позволяет значительно снижать риск затрат от взломов.

В постоянной борьбе хакеров и специалистов по безопасности киберпреступники используют все более совершенные инструменты, в том числе атаки «нулевого дня» или модифицированные варианты существующего вредоносного ПО, которые легко обходят традиционные «песочницы» и проникают в инфраструктуры их жертв незамеченными. Эти новые направления атак требуют превентивного подхода с применением современных решений и технологий, которые смогут не только улавливать известные угрозы, но и идентифицировать и останавливать незнакомый вредоносный код с момента его первого появления. Новый передовой механизм обнаружения эксплойтов на уровне ЦП от Check Point имеет уникальную способность идентифицировать самые опасные угрозы «нулевого дня» на начальной стадии до того, как вредоносная программа внедрится в инфраструктуру или попытается обойти системы обнаружения.

«Кибервойна продолжается, и чтобы оставаться на шаг впереди всех современных угроз, необходимо применять превентивные меры безопасности для получения максимального уровня защиты без ущерба для эффективности эксплуатации, — говорит Майк Стиглианезе (Mike Stiglianese), управляющий директор компании Axis Technology LLC и бывший директор по информационным технологиям и рискам крупной финансовой организации. — С новыми возможностями обнаружения на уровне ЦП Check Point снова поднимают планку для всей отрасли. Компания предлагает инновационные комплексные решения с самым совершенным арсеналом защиты от продвинутых таргетированных кибератак».

«В современном мире, где ландшафт угроз постоянно меняется, безопасность — один из самых важных приоритетов. Использование технологии, которая может защитить наши критически важные активы от новейшего вредоносного ПО и при этом позволит доставлять данные без ущерба для бизнес-процессов, является огромным шагом вперед, — говорит Ричард Пирс (Richard Peirce), директор отдела инфраструктурных сервисов компании Boston Properties. —  Для нас важно тщательно оценивать ресурсы, необходимые для внедрения любого нового продукта в нашу среду. «Песочница» от Check Point была установлена и запущена очень быстро, ее эксплуатация требует минимального текущего контроля управления».

Ключевые особенности Check Point SandBlast включают:

  • Обнаружение вредоносного кода на стадии вторжения еще до того, как он применит методы уклонения от обнаружения. Механизм обнаружения нельзя обойти с помощью циклов временной задержки, попыток вычислить использование виртуализованной ОС или иных методов обхода «песочницы».
  • Сочетание мощности обнаружения на уровне ЦП с эмуляцией на уровне ОС позволяет анализировать содержимое файлов различных типов, включая документы MS Office, PDF, flash, исполнительные файлы, архивы и т.д.
  • Быстрая доставка безопасных версий файлов с данными с помощью встроенной функции Threat Extraction, позволяющей блокировать вредоносный контент в режиме реального развертывания без значительных задержек. 

Check Point SandBlast — представитель нового семейства продуктов Next Generation, которое также включает Threat Emulation и Threat Extraction. Решение Threat Emulation объединяет обнаружение на уровне ЦП с недавно разработанной «песочницей» уровня ОС. В тесте NSS Breach Detection Systems Check Point Threat Emulation получило одну из самых высоких оценок и было отмечено как «Рекомендованное» решение за эффективность защиты, производительность и ценность. Новое решение также включает функцию Threat Extraction, которая дает пользователю немедленный доступ к безопасным версиям контента, пока основные файлы проходят проверку. Сочетание обнаружения на уровне ЦП и функции Threat Extraction позволяет Check Point SandBlast поднять планку еще выше, обеспечивая лучший уровень превентивной защиты.

«Компании являются мишенями для таргетированных атак, но применение превентивных технологий для блокировки вредоносного ПО и проникновения в сеть может защитить ваш бизнес без ущерба для его производительности. Решение Check Point SandBlast создает дополнительный уровень защиты даже от самых продвинутых атак и перехватывает больше вредоносного ПО с минимальным влиянием на время доставки данных, — говорит Гил Швед (Gil Shwed), основатель и генеральный директор компании Check Point Software Technologies. —  Развитие портфолио наших продуктов для предотвращения угроз углубляет наши технологические возможности, что позволяет нам и дальше предлагать нашим клиентам новые стратегии защиты от киберпреступников. Вместе с решением Check Point Mobile Threat Prevention для предотвращения мобильных угроз компания Check Point быстро и активно движется к обеспечению безопасности будущего».

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

WDAC в составе Microsoft Defender можно использовать для обхода EDR

ИБ-исследователи убедились, что защитную функцию Windows Defender Application Control (WDAC) можно использовать как инструмент атаки. Разработанный ими метод позволяет с успехом отключить EDR, притом даже в масштабах сети Active Directory.

Злоумышленнику нужно лишь прописать блокировку EDR в политиках WDAC, однако для этого потребуются права администратора. В случае успеха он сможет беспрепятственно развить атаку.

 

В ходе тестирования PoC возникло одно препятствие: некоторые EDR-системы используют драйверы, заверенные подписью WHQL. Политики WDAC по умолчанию разрешают их загрузку и запуск даже при отключенной службе EDR.

Как оказалось, решить проблему простым запретом WHQL-драйверов нельзя: велик риск, что конечное устройство перестанет стартовать и исчезнет возможность дальнейшего продвижения по сети. Опытным путем решение было найдено — блокировка атрибутов файла.

Чтобы оптимизировать процесс, экспериментаторы создали NET-инструмент Krueger, который вносит вредоносную WDAC-политику в папку CodeIntegrity и инициирует перезагрузку. При наличии админ-доступа к домену Active Directory защиту можно отключить на всех конечных точках, используя объекты групповой политики (GPO).

 

Выявить подобную атаку, по словам исследователей, нелегко, так как она проста и проводится быстро. Организациям рекомендуется использовать GPO при установке WDAC-политик и ограничить доступ к папкам вроде CodeIntegrity, SMB-ресурсам, а также групповым политикам с целью их изменения.

Разработчики Microsoft периодически патчат WDAC и закрывают возможности для злоупотреблений этим инструментом защиты. Остается надеяться, что публикация нового PoC тоже не останется незамеченной.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru