De acuerdo al Cuadrante Mágico de Gartner para el SWG en su reporte de este año, 'el panorama de las amenazas en evolución ha forzado a los fabricantes de Seguridad Web a responder agregando nuevas tecnologías para defenderse contra las amenazas persistentes avanzadas, el Sandboxing ha emergido como el enfoque de implementación más común para los fabricantes de SWG durante el 2013 y 2014.'
4. En la actualidad el malware avanzado no
puede ser detenido solamente con la
tecnología basada en firmas
5. Cuando los métodos basados en firmas
fallan las redes pueden quedar expuestas
por semanas o meses
6. Las firmas lo protegen de las amenazas
que reconozcan…
7. Las firmas lo protegen de las amenazas
que reconozcan…
¿Pero que hay de
las que no?
8. El Sandboxing va más allá de las firmas para
ejecutar y monitorear el comportamiento
sospechoso
9. Detecta y disecciona el tráfico desconocido
APTs
Virus
Polimórfico
Amenazas
Dia-Cero
10. FIRESPHERE Sandboxing
◼Arquitectura Cloud
◼Multiples SO y emulación de
maquinas para mayor detección
de amenazas
◼Multiples tipo de Archivos
incluyendo PDF, Java,
documentos Microsoft Office
◼Tecnología de Archivos Señuelos
◼Análisis de seguridad detallado
◼Arquitectura de Ciclo cerrado
actualiza a los cliente de iboss en
minutos no horas
11. Detecta hasta las amenazas más evasivas
◼Emulasión completa del sistema para una detección más efectiva
Carga del
Archivo
Archivo se
Abre/Ejecuta
Análisis de
Comporta-miento
Inteligencia
de Amenazas
Accionable
Sync Base de
Datos de
iboss
12. Expande la detección de amenazas al
escanear mas tipos de archivos
◼Detecta el malware evasivo y
amenazas a través de PDF, Java,
documentos Microsoft Office
13. Métodos Avanzados del Sandboxing
◼Capacidad para la captura de
paquetes para inteligencia
forense
◼Archivos señuelo que
aumentan la velocidad de
detección
15. Apalanca los suministros cerrados de amenazas
◼Reciba actualizaciones en solo minutos
Red iboss Sandbox
iboss Sandbox Central
Bases de Datos de
Firmas
16. FIRESPHERE por iboss
◼Prevención APT Avanzada, Detección, y Forense
◼Cambio de monitoreo reactivo a proactivo
◼Previene el malware con defensa avanzada de amenazas
◼Detecta infecciones y mitiga el
riesgo ante la pérdida de datos
◼Responde a las brechas con
herramientas de investigación
17. Seguridad Proactiva para Amenazas Modernas
• Fundada:
2003, producto liberado 2007
• Clientes:
4000+
• Patentes/Patentes Pendientes:
56
• Suite de Productos:
– FireSphere™ Defensa APT en capas
– Seguridad Web a través de todos los
flujos de la Web y los 131K canales de
datos
– Seguridad Móvil con MDM/EMM
integrado
Notas del editor
Advanced Sandboxing for Effective APT Defense
Modern Data Protection Requires that You Detect and Respond in Close to Real Time
FireSphere
Sandboxing
Today’s advanced malware can’t be stopped by signature-based technology alone
Malware has gone beyond most existing signature-based security controls
Criminal hackers can easily obtain malware cryptors, designed to mask malware from security solutions
They scan this malware against all popular AV engines to make sure it is immune
Av signatures are effective only after the malware has been detected and a signature created, meanwhile leaving your network vulnerable
What’s worse, they are ineffective against zero-day exploits, evasive malware, and polymorphic viruses
Polymorphic viruses creates copies of themselves, with variations in each copy to fool a virus detection program and user.
They are difficult to cleanse because one version can have hundreds or thousands of variants
When signature-based methods fail, networks can be exposed for weeks or months
During this time, networks are exposed for hours, weeks or even months
This is not to say signatures are dead, they are needed but simply not enough on their own
Signatures protect you from the threats they recognize…
data that’s detected as ‘bad’
How do you protect against ‘bad’ data when the ‘bad’ data looks good?
Signatures protect you from the threats they recognize…data that’s detected as ‘bad’
What about the ones they don’t? How do you protect against ‘bad’ data when the ‘bad’ data looks good?
Sandboxing goes beyond signatures to execute files and monitor for suspicious behavior
Launch files, websites or applications in a tightly controlled environment to detect malicious applications
Then monitor to detect suspicious behavior such as backdoor communications
This leads to more effective detection of malware without reliance on signatures
Detects and dissects unknown traffic
Effective in defending against new/unknown viruses (i.e. polymorphic)
Provides the ability to investigate and classify any unknown traffic increasing threat detection
Increases defense against zero day threats which signature based malware detection lacks
FIRESPHERE Sandboxing
Cloud architecture -- Can be run in the cloud or locally for greater flexibility
Multiple OS and machine emulation (i.e. 64-bit,32-bit, Intel, SPARK) for greater threat detection
Multiple File types including PDF, Java, Microsoft Office documents
File Baiting technology
Detailed security analysis
Closed loop architecture updates all iboss customers in minutes not hours -- Malware signatures are automatically created and distributed to all iboss customers within 3 minutes increases malware defense
Detect even the most evasive threats
Full system emulation for more effective detection
File Uploaded
File Opened/Run
Behavior Analyzed
Actionable Threat Intelligence generated
Results synchronized to iboss closed loop database
Expand threat detection by scanning more file types
Detect evasive malware and threats across PDF, Java, Microsoft Office documents
Advanced Sandboxing Methods
Packet capture capability to assist in forensics and investigations
File Baiting technology increases malware classification speeds and detection rates when ‘bait’ (i.e. SSN & CC #s) is accessed by the application in the sandbox
Leverage Closed Loop threat feeds
Updates received within minutes to prevent more malware from entering network
Effective continuous monitoring requires dynamic access to historical network information
FireSpheres integrated Micro SIEM is essential components :
Increases visibility into when the malware first entered the network
Identify other potentially compromised devices
Contain outbreaks
Who got infected
How infection spread