Aktuelles aus unserer Technik  -  Q4 / 2017

Seit Check Point auf der Check Point Experience 2017 R80.10 zum Magnum Opus seiner bisherigen Entwicklung erklärt hat und im August 2017 bereits R77.20 auslief, steht für viele Kunden die R80.10 Migration samt Konsolidierung & Optimierung der Security Policy an. Wir setzen diese Projekte erfahren & kundenspezifisch um.

techblog.esc.de

Tag: Sandblast

Aufgrund der akuten Bedrohung durch Zero-Day Angriffe wird Sandboxing zur Emulierung und Abwehr bisher unbekannter Schadsoftware ein immer wichtiger werdender Bestandteil moderner IT-Sicherheitsinfrastrukturen. Das Verfahren der Software-Emulation (bei Check Point: Sandblast) bringt jedoch gerade durch die für die Emulation benötigte Zeit auch Nachteile mit sich. So müssen Anwender ggf. länger auf Downloads warten oder erhalten ihre Dateien am Ende nicht bzw. werden nicht ausreichend über den Download-Fortschritt informiert. Hierzu hat Check Point eine Lösung entwickelt!

Check Point’s neuer Sandblast Agent beinhaltet ein Browser-Plugin (Chrome Web Store, Firefox, IE), welches dem Problem der fehlenden Benutzerinteraktion Abhilfe schafft. Das Browser-Plugin kann lokal, über die Windows Gruppenrichtlinien (GPO), oder am Besten über ein, ggf. bereits vorhandenes, Check Point EndPoint Policy Management konfiguriert werden.

[ Datasheet | Knowledgebase Artikel ]
 

Was ist Check Point SandBlast Agent für Webbrowser?

Hierbei handelt es sich um eine Erweiterung bzw. ein Plugin für Webbrowser, die proaktiv vor Zero-Day Malware und Folgen von Social Engineering Angriffen, welche Anwender zum Aufruf schädlicher Websites veranlassen, schützt.

Folgende Sicherheitsfunktionen sind im SandBlast Agent für Webbrowser enthalten:

A. Real-Time Zero-Day Schutz für Web-Downloads

  • Threat Extraction schützt vor Gefahren bei Datei-Downloads durch direkte Bereitstellung einer Dateikopie, welche um potentiell schädliche Inhalte bereinigt wurde. Gleichzeitig kann die Original-Datei Threat Emulation zur Überprüfung in einer Sandbox zugeführt werden.
  • Threat Emulation überprüft Dateien bereits auf dem CPU-Level sowie innerhalb der Betriebssystem-Umgebung in einer Sandbox um unbekannte Malware und Zero-Day Angriffe zu erkennen und zu blockieren.

B. Zero Phishing

  • Real-time / Echtzeit Schutz vor neuen und unbekannten Phishing Websites schützt Anwender vor erweiterten Phishing-Angriffen und damit vor dem Verlust von vertraulichen Daten und Informationen. Sobald ein Anwender auf ein Eingabefeld klickt, startet Zero Phishing verschiedene statische, heuristische und computergestützte Analysen der Website-Attribute – URL, TLD, IP Adresse, etc.
  • Schützt Logindaten und Firmen-Passwörter vor Verwendung auf externen Websites sowie vor Wiederverwendung gem. der jeweiligen Firmenrichtlinie. Generiert eine Warnmeldung für den Anwendung samt Logeintrag.

Bei Downloads informiert das Browser-Plugin den Anwender über die Emulation und ist auch bei Verwendung von Check Point Threat Extraction in der Lage dem Anwender eine Vorabversion des Dokumentes ohne aktive Inhalte bereitzustellen. Die Originaldatei kann nach der Emulation vom Anwender angefordert werden. Auch Zero-Phishing wird unterstützt und schützt den Anwender davor Logindaten auf Phishing-Sites oder Firmenlogins auf externen Websites einzugeben.


Der SandBlast Agent erfordert keine spezifische Anti-Virus Software, kann jedoch mit Check Point’s eigener Anti-Malware wie auch AV-Lösungen anderer Hersteller zusammenarbeiten. Auf technischer Ebener beinhaltet der Check Point Sandblast Agent folgende Endpoint Komponenten:

1. SandBlast Agent (integriert Threat Emulation/Extraction im Endpoint)
2. Threat Forensics (sendet Event-Informationen an das Endpoint Management zur Erstellung eines Threat Forensic Reports)
3. Anti-Bot (integriert Check Point AntiBot im Endpoint)


Konfiguration des Sandblast Agents:

Log-Eintrag einer durch den Sandblast Agent ausgelösten Emulation:

Blockierte Website in Folge der Emulation:

Seit heute erweitert der Check Point SandBlast Partnerstatus das umfangreiche IT-Sicherheitsportfolio der ESC. Herzlichen Glückwunsch!

Check Point SandBlast ist Teil der Produktfamilie der Next Generation Threat Prevention und eine Kombination aus Threat Emulation (Sandboxing) und Threat Extraction auf CPU-Prozessorebene. So kann neuartige und noch unbekannte Schadsoftware im Netzwerk erkannt und gebannt werden, bevor sie aktiv wird.

SandBlast verstärkt die Bedrohungsabwehr durch umgehungssichere Malware-Erkennung und bietet damit Schutz vor gefährlichen Angriffen zur Minderung des Risikos erfolgreicher Angriffe.

Link: Threat Prevention Resources

In dem andauernden Kampf zwischen Cyberkriminellen und Sicherheitsexperten bedienen sich die Angreifer verstärkt raffinierterer Instrumente, wie neuer Zero-Day-Angriffsmethoden und angepasster Varianten bereits existierender Malware, um so die herkömmliche Sandboxing-Technologie zu umgehen und unerkannt in die Infrastrukturen ihrer Opfer eindringen zu können.

Diese neuen Angriffsvektoren verlangen eine proaktive Methode mit modernen Lösungen und Technologien, die nicht nur bekannte Bedrohungen erfassen, sondern auch in der Lage sind, unbekannte Malware beim ersten Auftreten zu erkennen und zu stoppen. Check Points neue, bahnbrechende Exploit-Erkennungsmaschine auf CPU-Ebene ist als einzige fähig, die gefährlichsten Zero-Day-Bedrohungen bereits in ihrer Anfangsphase zu erkennen, bevor die Malware überhaupt eine Chance hat, sich zu entfalten und zu versuchen, die Erkennung zu umgehen.

SandBlast läuft wahlweise in der Check Point Cloud oder auf einer lokalen Check Point SandBlast Appliance. Beide Szenarien werden bereits von den IT-Sicherheitsexperten der ESC bei verschiedenen Kunden umgesetzt und kompetent betreut.

Bei Interesse beraten wir Sie gern!