• Technologie
  • Byznys
  • Software
  • Hardware
  • Internet
  • Telco
  • Science
  • České IT
  • Události
Žádné výsledky
Zobrazit všechny výsledky
ITBiz.cz
ITBiz.cz
Žádné výsledky
Zobrazit všechny výsledky

Check Point svléká útoky zero-day-attacks donaha

Richard Jan Voigts
4. 10. 2015
| Články

Thierry Karsenti, evropský technologický viceprezident společnosti Check Point se na konferenci Check Point Security Day v Praze stručně zmínil o nových bezpečnostních technologiích. Co umějí z technologického hlediska jsme se zeptali Davida Řeháčka, který pracuje v lokálním zastoupení Check Pointu.
Mohl byste nové technologie Check Pointu pojmenovat a přiblížit, jak fungují?

David Řeháček | Check Point Software Technologies

David Řeháček | Check Point Software Technologies

Pro Threat Prevention – ochranu proti hrozbám, existuje více technologií a každá z nich řeší nějakým způsobem jak odstranit známé hrozby, pro které existují tzv. signatury. Náš pohled na tuto problematiku je ten, že ochrana proti známým hrozbám není už nejdůležitější – nikoliv však v tom smyslu, že by neměla v prostředí IT existovat, naopak. Měla by být naprosto základní součástí jeho ochrany, ať už jde o síť, server nebo koncovou stanici, bez diskuze. Pro analogii jen uvedu, že když jdu ven a je zima, vezmu si automaticky kabát a vůbec o tom nepřemýšlím.

Dnes však je zásadní ochrana proti neznámým hrozbám, říkáme jim zero-day-attacks, útoky nultého dne, pro které známé malwarové signatury neexistují a způsobují prvotní útoky a úniky dat. I my jsme přemýšleli, jak tomuto čelit a vytvořili jsme několik nových technologií – Threat Extraction, Threat Emulation a ochranu na úrovni procesoru – CPU Level Threat Protection.

Threat Extraction je zaměřena zejména na přílohy e-mailů, bavíme se o připojených souborech v běžných dokumentů ve formátech PDF a dokumenty Microsoft Office. Pokud se tak stane, naše technologie umí ve virtualizovaném prostředí velmi rychle zkontrolovat a zjistit, zda obsahuje aktivní kód, a to v řádu zlomků vteřin. Za aktivní kód považujeme různé skripty, spustitelné kódy v podobě maker, ale i odkazy v HTML. Pokud jej příloha obsahuje, považujeme tento kód za potenciální nebezpečí. Neznamená to, že to je špatně, protože běžná makra v Excelu nebo ve Wordu nemusejí být nebezpečná, potenciální průšvih podstrčený hackerem se v nich však skrývat může. Veškerý takovýto aktivní obsah z dokumentů odstraníme a cílovému příjemci pošleme dokument bez něj, čistý soubor, takže 100% zaručíme, že příloha, kterou dostane, neobsahuje škodlivý kód.

Nedostane tak žádný závadný kód, i když například text HTML odkazu v dokumentu zůstává, avšak bez možnosti prokliku, který by uživatele mohl přesměrovat na závadné stránky místo těch, které se jako odkaz zobrazují. Například ve Wordu vytvoříme naprosto čistý nový (textově identický) dokument a překopírujeme jej do přílohy – jen obsah, bez maker, aktivních HTML odkazů nebo skriptů. Uživatel navíc dostane v e-mailu upozornění, že došlo ke kontrole souboru, jehož součástí byl potenciálně rizikový obsah, od kterého byl vyčištěn. Pokud uživatel původní soubor požaduje, může si kliknout na odkaz uvedený v mailu a stáhnout si jej z úložiště. Například když ví, že jde o odesílatele, zdroj kterému věří. Dalšími variantami je vytištění původního souboru do formátů PDF nebo TIFF, které jsou také zcela čisté. Záleží na tom, jak nastaví systém administrátor v té které organizaci podle vlastních bezpečnostních pravidel. Jde o rychlou akci bez zpoždění, hlavně však je důležité, že příjemce data dostane, že neskončí v nějakém sandboxu, nebo někde jinde ve ztracenu.

Threat Emulation je druhou novou technologií Check Pointu. Příloha, která byla označena jako potenciálně nebezpečná, skončí ve virtuálním prostředí, kde provedeme emulaci jeho chování. Toto prostředí běží buď v našem cloudu, nebo – pokud jde o větší organizaci, která vyžaduje správu všech dat ve svém prostředí nebo to regulační předpisy dané organizace nařizují – může tuto emulaci dělat na stroji ve vlastním perimetru, jehož prostředí má zcela pod kontrolou. Tam běží několik instancí operačních systémů, typicky Windows XP nebo Windows 7. Toto si správce nastaví sám – pokud ve firmě například nepoužívají Windows XP, nemá smysl emulovat kód v došlé příloze a sledovat jeho chování v prostředí tohoto OS.

Při emulaci se soubor otevře a pokud začne něco dělat, monitorujeme to. Příkladem podezřelého chování je samovolný zápis do registrů OS, otevírání stránek na internetu, stahování a spouštění kódu. V těchto případech jde o typické chování, které se od textového dokumentu nebo od pdf neočekává. Nečekám přece, že dokument s výroční správou začne zapisovat do registrů nebo stahovat kódy. Pokud se začne takto chovat, označíme jej za nositele malwaru a už jej ani k cílovému uživateli nepustíme, ani nemá možnost si jej stáhnout. Dostane pouze přes Threat Extraction vyčištěný soubor, bez škodlivých kódů. Protistrana je chytrá a může se i tomu bránit – například nastavit spouštění kódu až po určité době po doručení, za týden, i měsíc po doručení – kdo by normálně emuloval přílohu po tak dlouhé době a zjišťoval, zda není nebezpečná? Normální způsob emulace probíhá v řádu jednotek minut a pokud se nic neděje, soubor se pouští dál.

Nebo zabudovaný malware umožňuje rozpoznat, že je uložen ve virtualizovaném prostředí a kódy nespustí. Checkpoint však reaguje i na tyto varianty chování malwaru, tyto techniky známe, umíme se jim bránit a zajistit, že škodlivý kód emulaci neobejde a do systému nepronikne.

CPU Level Threat Protection je třetí kostičkou do skládačky Check Pointu, kvůli které jsme koupili firmu Hyperwise. CPU Level Threat Protection řeší útoky přímo na úrovni procesoru. Jednou z technik, jak dostat do počítače malware totiž je, že se do něj dostane miniaturní kousek kódu, který si pak dokáže malware stáhnout, čímž opět obchází řadu bezpečnostních technik. Nejde totiž o útok zvenčí, nýbrž zevnitř.

Jednou z těchto technik je ROP – Return Oriented Programming, kdy tento malý kousek kódu umí přesměrovat instrukce na procesor. V kódu procesoru je vždy obrovské množství instrukcí a některé z nich se dají poskládat trochu jinak – tak, aby procesor udělal něco jiného, než původně měl. Původní, zkontrolovaný kód je přitom v pořádku a nic závadného neobsahuje. Procesor tak dostane nikoliv kód, který mu byl původně poslán, ale vykoná něco zcela jiného, v tomto případě škodlivý kód. Ten už si může někam sáhnout, stáhnout zbytek malwaru a způsobit škodu. Check Point má dnes technologii, která může tomuto předcházet a tuto techniku prostě zaříznout, a to na nejnižší procesorové úrovni. Tyto techniky jsou jinak velmi těžko odhalitelné a neexistuje na ně příliš mnoho způsobů, jak je objevit a předcházet jim.

Dá se říci, že vaše technologie CPU Level Threat Protection by uměla odhalit i rootkit?

Zprostředkovaně ano, přestože jde o jiný typ útoků. Umí nicméně odhalit činnosti, které mají za úkol rootkit do počítače dostat a tím zamezit jeho výskyt v systému.

Když vše shrnu, tak
Threat Extraction, Threat Emulation a CPU Level Threat Protectionjsou tři základní kameny ochrany proto hrozbám společnosti Check Point. Nabízíme vše jako celek a říkáme tomu Sand Blast. Tak jako je sand box místo, kde se provádí emulace proti hrozbám, náš Sand Blast je komplexnější technologií. Checkpoint Sand Blast jde za hranice sand boxu – „pískoviště“ emulace a umí chránit nejen proti známým hrozbám, ale i proti těm neznámým, které umíme odhalit bez jejich prvotní znalosti.

Technologicky jsme se dostali o velký kus dopředu – jak samozřejmě před ostatními technologickými výrobci antimalwaru, tak před útočníky.

Vždy jde o boj dvou stran – někdo vymyslí nový typ útoku, druhý jak se mu bránit. Metody celého balíku Threat Extraction a Threat Emulation předcházejí spoustě dnes známým technikám hrozeb zero-day-attacks, které normální způsoby antimalwaru neumějí na základě detekce známých hrozeb překonat. V Check Pointu máme technologii, která tento typ útoků umí odhalit a je šance, že s útočníky budeme opět nějakou dobu držet krok.

  • Check Point SandBlast: Nové řešení prevence hrozeb a ochrany proti škodlivému kódu
  • Napadení malwarem je problém byznysu
  • Check Point ve spolupráci s VMware nabízí pokročilou ochranu pro softwarově definovaná datová centra
  • Check Point představuje nové zařízení na ochranu průmyslových řídicích systémů proti kyberhrozbám
  • Check Point představil celosvětovou mapu kyberhrozeb a ukazuje útoky v reálném čase
Rubriky: Security

Související příspěvky

Zprávičky

Hackeři ukradli data 5,7 milionu zákazníků australských aerolinek Qantas

11. 7. 2025
Články

Útoky zaměřené na cloud jsou stále sofistikovanější kvůli automatizaci a vytrvalosti

11. 7. 2025
Nebojte se hlásit na seniornější pozice, radí IT pracovní portál
Články

NÚKIB vydal oficiální varování před některými produkty společnosti DeepSeek

10. 7. 2025
Sophos představil XDR řešení pro synchronizované zabezpečení
Zprávičky

Ministerstvo vnitra odhalilo kybernetický útok, údaje občanů neunikly

10. 7. 2025

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *

Souhlasím se Zásadami ochrany osobních údajů .

Zprávičky

750 zaměstnanců ČSOB se díky Atosu zvládlo rychle přesunout do domácích kanceláří

Google investuje 2,4 miliardy dolarů do technologie AI od start-upu Windsurf

ČTK
12. 7. 2025

Společnost Google ze skupiny Alphabet zaplatí asi 2,4 miliardy USD (50,64 miliardy Kč) za

Muskova xAI chce další peníze od investorů při ohodnocení na 200 miliard dolarů

ČTK
12. 7. 2025

Americká společnost xAI miliardáře Elona Muska plánuje vybrat peníze od investorů v novém kole

Kryptoměny a jejich ekonomika

Bitcoin pokračuje v růstu na další rekordy, překonal hranici 118 000 dolarů

ČTK
11. 7. 2025

Cena bitcoinu dnes pokračuje v prudkém růstu. Kolem 8:30 SELČ se vyšplhala na další

Hackeři ukradli data 5,7 milionu zákazníků australských aerolinek Qantas

ČTK
11. 7. 2025

Hackeři v rámci rozsáhlého kybernetického útoku z minulého týdne ukradli data 5,7 milionu zákazníků

Meta lákala zaměstnance OpenAI na bonus ve výši 100 milionů dolarů

Muskova společnost xAI představila novou verzi chatbota Grok 4

ČTK
11. 7. 2025

Americká společnost xAI miliardáře Elona Muska představila nový model chatbota Grok 4. Ten má

Sophos představil XDR řešení pro synchronizované zabezpečení

Ministerstvo vnitra odhalilo kybernetický útok, údaje občanů neunikly

ČTK
10. 7. 2025

Ministerstvo vnitra odhalilo kybernetický útok na jeden ze systémů úřadu, oznámil dnes na tiskové

Český T-Mobile vyčleňuje vysílače do samostatné firmy

Na Slovensku skončila největší elektronická aukce mobilních frekvencí

ČTK
10. 7. 2025

Na Slovensku včera skončila největší elektronická aukce mobilních frekvencí v historii země. Vynesla rekordní

Vláda zakázala používat ve státní správě produkty čínské společnosti DeepSeek

ČTK
9. 7. 2025

Vláda zakázala používat ve státní správě jakékoli produkty čínské společnosti DeepSeek. Rozhodla tak na

Tiskové zprávy

Společnost QNAP představuje myQNAPcloud One Beta

Acer slaví několikanásobné ocenění cenou Red Dot Product Design Awards 2025

Acer for Business EMEA překonává růst trhu

Nejnovější modely Acer Chromebook Plus nyní s 12měsíčním balíčkem Google AI Pro včetně služby NotebookLM zdarma

ANECT mění vedení společnosti a posiluje management

Optimize by Acer: nejnovější evoluce v oblasti podnikových záručních podmínek

Zpráva dne

Květen je měsícem růstu, můžete růst s Windows 11 jen za €20.00!

Květen je měsícem růstu, můžete růst s Windows 11 jen za €20.00!

Redakce
15. 5. 2025

Kupte Windows 11 CDkey od Goodoffer24.com a můžete růst s tímto OS jak při...

Komentujeme

Chvála černých skřínek

Malé modely AI mají být velkým trendem

Pavel Houser
3. 1. 2025

V záplavě prognóz technologického vývoje (nejen) v roce 2025 zde prozatím trochu zapadlo jedno téma, které...

Slovník

Ban

Button

Spínač

Nejpopulárnější články

Žádný obsah není dostupný

Kategorie

  • Články
  • Komentujeme
  • Slovník
  • Tiskové zprávy
  • Zprávičky

Portál ITbiz.cz přináší informace z IT a byznysu již od roku 2006. Provozuje jej internetové vydavatelství Nitemedia. Hosting zajišťuje společnost Greenhousing.cz. Mezi další naše projekty patří například ABClinuxu.cz a Sciencemag.cz. Na stránce Redakce naleznete informace o redakci a možnostech inzerce.

Rubriky

Akce a události Byznys Cloud Ekomerce Hardware Internet Operační systémy Podnikový software Právo Science Security Technologie Telekomunikace Veřejná správa Vývoj a HTML Zpráva dne České IT
Žádné výsledky
Zobrazit všechny výsledky
  • Technologie
  • Byznys
  • Software
  • Hardware
  • Internet
  • Telco
  • Science
  • České IT
  • Události

© 2019 Vydává Nitemedia s.r.o. Hosting zajišťuje Greenhousing.cz.

Tento web používá cookies. Pokračováním dáváte souhlas s jejich používáním. Více na itbiz.cz/soukromi.