Как стать автором
Обновить

Комментарии 8

Интересно было прочитать про новые методы. Идея с принтером, по-моему, очень классная!

А вот с анализом эксплоитов я не очень понял.
Песочница
На текущий день это наверно единственный способ борьбы с атаками нулевого дня.

Чекпоинт на уровне процессора видит выполнение эксплойта и позволяет заблокировать файл еще до выполнения или скачивания дополнительных модулей.
Фактически это получается база сигнатур эксплоитов на уровне процессора. Как в этой ситуации Check Point сумеет детектировать 0-day?
Все немного сложнее. Процессор позволяет видеть «неправильный» вызов функций. Т.е. мы например заранее знаем, как должен работать adobe reader и видим, когда он начинает работать не так (момент эксплойта, когда порядок вызова функций нарушается). Более точно я вряд ли расскажу, т.к. эта технология на текущий момент есть только у CheckPoint. Да и я не эксперт в ROP…
Я, к сожалению, тоже очень плохо разбираюсь в этой теме. Но хотелось бы понять хотя бы общий концепт.
Ведь чтобы знать, как должен работать Adobe Reader, мы должны иметь опять-таки сигнатуру, «слепок» его поведения. Для каждой версии (потому что эксплоиты часто предназначены для разных версий).
Это же нереальный объём данных.
Кол-во эмулируемых типов файлов ограниченное. Объемы будут весьма скромными.
Всё равно прилично. У одного только Adobe Reader'а билдов не счесть. У MS Office — тем более.

P.S. Check Point — неплохая компания, но её совершенно еврейская политика прятать от не-клиентов всё, включая форумы поддержки (!) и документацию (!!), дико бесит. :-(
Да, есть такое. Комьюнити (особенно русскоязычный) у них пока очень слабо развит. Мы потихоньку стараемся заполнять информационный вакуум)
У вас отличный блог, и этот цикл статей тоже неплох.

Но есть маленькое замечание: что именно понимается под «песочницей», я понял лишь в конце 2-й статьи, и то не до конца. :)

SandBlast работает в режиме анализа проходящего трафика и принимаемых файлов? Как тогда анализировать файлы, передаваемые по защищенному каналу?
Спасибо за отзыв. Да, первая статья была лишь обзором текущей картины в сфере ИБ. Про песочницу в основном рассказывается здесь и в следующей части. Да, в песочницу могут отправляться все входящие файлы, в том числе и вложения почты (для этого CheckPoint должен работать как Mail Transfer Agent). Что касается защищенных соединений — то для этого есть HTTPS инспекция. Check Point сможет «выцеплять» даже файлы скачиваемые с google drive или dropbox.
Если по защищенными соединениями вы имеете ввиду различные виды VPN, то их надо блокировать (с помощью application control можно тот же Tor закрыть). На машину пользователя конечно все равно может попасть зараженный файл (например с флешкой). Для этого есть технология защиты непосредственно рабочих станций. О ней мы в следующем модуле поговорим (в понедельник или вторник).
Зарегистрируйтесь на Хабре , чтобы оставить комментарий