1. Анализ зловредов с помощью форензики Check Point. SandBlast Network

Почему важна форензика предотвращенных инцидентов? Казалось бы, поймал вирус, уже хорошо, зачем с ним разбираться? Как показывает практика, атаку желательно не просто блокировать, но и понимать, как именно она работает: какая была точка входа, какая использовалась уязвимость, какие процессы задействованы, затрагивается ли реестр и файловая система, какое семейство вирусов, какой потенциальный ущерб и т.д. Эти и другие полезные данные можно получить в исчерпывающих отчетах форензики Check Point (как в текстовом, так и графическом виде). Получить такой отчет вручную очень трудно. Затем эти данные могут помочь принять нужные меры и исключить возможность успеха подобных атак в будущем. Сегодня мы рассмотрим отчет форензики Check Point SandBlast Network.

SandBlast Network

Использование песочниц, для усиления защиты периметра сети, уже давно стало обычном делом и таким же обязательным компонентом, как IPS. У Check Point за функционал песочницы отвечает блейд Threat Emulation, который и входит в состав технологий SandBlast (там же есть еще Threat Extraction). Мы уже публиковали ранее небольшой курс по Check Point SandBlast еще для версии Gaia 77.30 (очень рекомендую к просмотру если вы не понимаете о чем сейчас идет речь). С точки зрения архитектуры с тех пор принципиально ничего не изменилось. Если у вас на периметре сети стоит Check Point Gateway, то вы можете использовать два варианта интеграции с песочницей: