A Check Point conta hoje com um portifólio completo para prevenção de ameaças avançadas, desde de soluções para empresas com Gateways de Segurança até soluções para Endpoint.
A tabela abaixo mostra os diferenciais de cada solução:
Neste artigo eu demonstrarei todas as capacidades do SandBlast Agent, nossa solução completa contra ameaças avançadas para Endpoints.
EXTENSÃO PARA BROWSER, EMULAÇÃO E EXTRAÇÃO DE AMEAÇAS
Este funcionalidade adiciona todas camadas de segurança para novos downloads feito pelo seu browser.
Sempre que o usuário baixar um documento, a extensão do browser pode automaticamente converter documentos Adobe PDF e Microsoft Office para arquivos PDF, totalmente livres de qualquer Malware.
Com opção do usuário baixar o arquivo original, após ser submetido a emulação:
Para quaisquer outros tipos de downloads, todos os arquivos são submetidos a emulação antes que o usuário possa baixar o arquivo. A Check Point é a única que consegue fazer a PREVENÇÃO até mesmo do primeiro Malware, antes que ele possa entrar na rede.
ANTI-RANSOMWARE
Esta funcionalidade adiciona a proteção completa contra Ransomware para o Endpoint.
O Anti-Ransomware da Check Point funciona da seguinte maneira:
- Detecção comportamental, não baseada em assinatura, de ransomware
- Não requer conexão de internet para operar.
- Detecção de atividade de criptografia de arquivos.
- Quarentena do ransomware automatizada.
- Restauração automatizada de dados criptografados (se a criptografia tiver sido iniciada antes da quarentena).
No exemplo abaixo, um computador está sendo infectado com Ransomware (CryptoMix):
Neste próximo estágio da infecção, os arquivos foram criptografados, uma mensagem de resgate é enviada ao usuário e a Blade de Anti-Ransomware detecta a infecção.
Após a detecção, a blade de Forensics entra em funcionamento e começa a analisar todas as operações e atividades no sistema, tais como:
- Processos
- Registros
- Atividades de Filesystem
- Conexões de rede
- Injeções/Hook Ops
- Eventos suspeitos
- Danos causados
Quando a análise é finalizada, a fase de remediação automatica entra em ação:
Quando a fase de remediação é encerrada, todos os arquivos, previamente encryptados na infecção são restaurados.
E todos os arquivos do Ransomware/Malware foram automaticamente apagados do sistema.
No final, a blade de forensics gera um relatório completo com todas as atividades do Ransomware.
THREAT EMULATION E MONITORAÇÃO DE FILESYSTEM
A monitoração de filesystem com emulação do Endpoint da Check Point, tem as seguintes caracteristicas:
Emulação de ameaças
- Conteúdo copiado de dispositivos de armazenamento removíveis
- Movimento lateral de dados e malware entre sistemas em um segmento de rede
Modos de Execução
- Detectar e Alertar
- Bloquear (Hold ou Background)
No exemplo abaixo, um arquivo zipado e protegido por senha vai tentar descompactar os seus arquivos em uma outra pasta:
Imediatamente a emulação (na Cloud) é iniciada nos arquivos escritos no filesystem da máquina:
Uma vez que o Threat Emulation para Endpoint detecta um arquivo malicioso, o arquivo é colocado em quarentena ou apagado imediatamente, de acordo com a escolha do administrador.
ZERO PHISHING AND CREDENTIAL PROTECTION
- Proteção em tempo real de sites de phishing desconhecidos
- Detecção baseada em heurística de elementos suspeitos em sites que solicitam credenciais de usuário
- Detecção de reutilização de credenciais corporativas em sites externos
Quando um usuário tentar colocar suas credenciais em sites públicos pela primeira vez, o Zero Phishing do Endpoint da Check Point analisará o site para validar se aquele site não é um phising.
Uma vez validado que o site não é Phishing, o usuário consegue prosseguir no preenchimento das suas credenciais.
No outro exemplo abaixo, o usuário tentar usar as mesmas credenciais corporativas em um site público:
Quando o usuário tentar se logar, o Endpoint vai alertar o usuário do re-uso de credenciais corporativas:
FORENSICS
Gatilhos para uma análise
- Detecção Anti-Bot na rede ou do Endpoint
- Detecção de emulação de ameaças na rede
- Detecção do Antivirus do Endpoint
- Detecção de Antivirus de terceiros integrados ao Endpoint
- Indicadores Manuais de Compromisso (IoC)
Detecção de Danos
- Identificar automaticamente: Exfiltração de dados, manipulação de dados ou criptografia, registro de chave
Análise de Causa Raiz
- Rastrear e identificar a causa raiz em vários reinícios do sistema em tempo real
Análise de Causa Raiz
- Rastrear e identificar a causa raiz em vários reinícios do sistema em tempo real
Análise do Fluxo do Malware
- Modelo gráfico interativo gerado automaticamente do fluxo de ataque
Detecção de Comportamento Malicioso
- Mais de 40 categorias de comportamento malicioso
- Centenas de Indicadores maliciosos.
Abaixo um exemplo do Log de um evento de Ransomware gerado pelo Forensics:
CONCLUSÃO
A solução de Endpoint da Check Point hoje é a mais completa do mercado para proteção de Endpoints, fazendo proteção contra phishing, emulação e extração de malwares desconhecidos, monitoração de filesystem com emulação, Anti-bot, Proteção de Credenciais e Forensics.
Para mais informações, entre em contato conosco atraves do numero: 11 5181-0752.
Credito do conteúdo: Eduardo Bergonse Pereira