Hillstone E-PRO
Hillstone A
Hillstone T
Next-Generation Firewalls (NGFW)
Hillstone Seria E to klasyczne firewalle 3 generacji dzięki którym masz pełna kontrolę wysokiej klasy nad klasycznym bezpieczeństwem swojej sieci.
Next-Generation Firewalls (NGFW)
Hillstone Seria E-Pro to klasyczne Next Generations Firewall o zwiększonej 4-krotnie wydajności dzięki zastosowaniu nowej architektury sprzętowej.
Next-Generation Firewalls (NGFW)
Hillstone Seria A to firewalle skonstruowane w celu zapewnienia wysokowydajnej architektury dostosowanej do pracy pod wysokim obciążeniem.
Intelligent Next-Generation Firewall iNGFW
Hillstone Seria T to wyjątkowe firewalle 4 generacji wyposażone dodatkowo w sztuczna inteligencję AI. Dzięki której po przez uczenie maszynowe chronią sieć.
KillChain “Analiza Forensic”
analiza detektywistyczna, śledcza
KillChain Hillstone (uproszczony schemat) przedstawia kilka etapów procesu włamywania i związanych z nimi konsekwencji. Poniżej opis łańcucha włamań.
Hillstone Autorski silnik Abnormal Behaviour Detection (ABD)
Prawdziwy trzon inteligentnej zapory, który ciągle się uczy i adaptuje. Już po około tygodniu wpięcia w naszą sieć, silnik ma spore pojęcie o tym jak wygląda w niej codzienny ruch, w zależności od pory czasowej. Używa do tego aż 50-wymiarowej tablicy do obliczania i analizowania normalnego ruchu sieciowego z warstw 4-7. Co bardzo ważne i imponujące, wiedzę tę wykorzystuje do sprawdzania zachowania i ruchu z zewnątrz (external), ale też z wewnątrz (internal). Jeśli wektor ataku jest z wnętrza naszej sieci (np. poprzez zainfekowany pendrive) i wykonuje ruch w sieci (np. próbuje połączyć się z serwerem Command&Control), zostanie to również wykryte i zaoferuje granuralne opcje przeciwdziałania, które w najbardziej optymalny sposób uniemożliwią kolejne fazy ataku
Hillstone Advanced Threat Detection Engine (ATD)
Hasło klucz to “klastrowanie statystyczne”. Zwykłe silniki sygnaturowe mają ogromny problem w wyłapywaniu zmodyfikowanych sum kontrolnych w mutacjach wirusów, ale ATD analizuje każdą część złośliwego kodu na kilka sposobów i porównuje ze swoją bazą ponad miliona próbek sklasyfikowanych i opisanych na podstawie wielu zmiennych charakteryzujących ich działanie, zasoby i atrybuty. Analizę ATD wyraża poprzez podobieństwo procentowe. W tej metodzie chodzi o to, że zdecydowana większość wirusów nie jest w stu procentach oryginalna, bowiem często cyberprzestępcy korzystają z wiedzy innych lub kopiują swoją. Ta droga na skróty jednak szybko pada ofiarą silnika ATD. Ponadto silnik uczy się także nieznanych próbek i podobnie je klasyfikuje. Trochę przypomina to “mini-lab” we własnej sieci.
Autorski silnik Advanced Threat Detection (ATD)
Inteligentna zapora nowej generacji (iNGFW) firmy Hillstone wykorzystuje trzy kluczowe technologie do wykrywania zaawansowanych ataków i ciągłej ochrony przed zagrożeniami w dzisiejszych sieciach.Hillstone Advanced Threat Detection Engine (ATD)
Po pierwsze, wykorzystuje klastry statystyczne do wykrywania nieznanego złośliwego oprogramowania, wykorzystując opatentowany silnik Hillstone Advanced Threat Detection (ATD).
Initial Exploit
Inicjalizacja oznacza znalezienie przez włamywacza podatności/słabości w systemie lub uzywanych aplikacjach i wykorzystanie jej do wysłania/wstrzyknięcia exploita/złośliwego kodu. (np. przepełnienie bufora na stosie lub stercie, czy format string) w celu przejęcia kontroli nad działaniem procesu.
Delivery
Dostarczenie oznacza, że obcy kod programu został pobrany do komputera. Może to oznaczać, że stacja robocza została zainfekowana lub np. będzie zainfekowana po następnym uruchomieniu (rootkit). Jeśli tak się stanie najczęściej, włamywacz przejmie kontrolę nad stacją roboczą.
C&C
Wskazanie na etap zarządzania i kontroli (ang. “Command and Control”) oznacza że zainfekowany komputer został przejęty przez hackera i znajduje się pod jego kontrolą.
Wykrycie takiego stanu przez klasyczne firewalle lub antywirusy jest bardzo trudne a często niemożliwe, ponieważ starannie zaprojektowane malware nie wykonuje podejrzanych operacji, w widoczny sposób nie obciąża systemu i nie generuje ruchu sieciowego, wyglądającego na szkodliwy.
Internal Recon
Wewnętrzny rekonesans (zwiad) może mieć miejsce po tym, gdy włamujący dostał się do wnętrza sieci lokalnej i ma pod kontrolą któryś z hostów.
Oprócz wykorzystywania hosta do własnych celów (patrz: Monetyzacja Monetization (zabezpieczenia.it), intruz może również pójść w kierunku dalszej eskalacji uprawnień i podjąć próbę rozszerzenia obszaru włamania na kolejne stacje lub serwery.
Etap rozpoznania wewnętrznego (ang. “Internal Recognition”) podobny jest do etapu pierwszego (inicjacji), z tą różnicą że:
– intruz atakuje z obszaru sieci wewnętrznej i domyślnie jest traktowany, jak jej zaufana część
– sieci nie chronią tu również inne, opcjonalne zabezpieczenia oferowane przez dostawców usług internetowych
Najczęstsze działania to skanowanie naszej sieci IP, wyszukiwanie kluczowych maszyn (serwerów) i podatności, skanowanie otwartych partów, usług, nasłuch sieciowy w celu wykrycia poufnych informacji, podszywanie się pod inne adresy IP.
Lateral Movement
Jeśli łańcuch łamania zabezpieczeń dochodzi do sygnalizowania tzw. “ataków bocznych” oznacza to, że włamujący się – zdążył już dalece eskalować swoje uprawnienia wewnątrz sieci.
Cele ataków na tym etapie bywają już inne od pierwotnych (injekcja, kontrola, monetyzacja).
W dalszej kolejności celem włamania są hosty z danymi i usługami bardzo wrażliwymi, opisanymi jako tzw. “aktywa krytyczne”, więcej tutaj: Critical Assets – (zabezpieczenia.it)
Hosty takie, ze względów bezpieczeństwa, nie mają dostępu do Internetu, za to mają do nich dostęp inne stacje z sieci lokalnej, w tym także stacje zainfekowane.
Atak “od środka” może być skierowany na serwer z poufnymi informacjami, świadczący usługi tylko wewnątrz firmy/instytucji lub na macierz dyskową odpowiedzialną za kopie zapasowe (backup).
Często cyber-przestępca wykorzystuje techniki cyber-ataków w sieci lokalnej Man in the middle – (atak kryptologiczny polegający na podsłuchu i modyfikacji wiadomości przesyłanych pomiędzy dwiema stronami bez ich wiedzy)
Monetization
Obecność zainfekowanych stacji oznacza, że włamywacz przedostał się do wewnątrz systemu operacyjnego. Mając kontrolę nad komputerem, może go wykorzystywać do wcześniej założonych, własnych celów. Taką eksploatację zasobów nazywamy monetyzacją (“Monetization”).
W ramach monetyzacji, przechwycony komputer może m. in.:
– stać sie bezpośrednim komputerem w włamaniu (nasz IP bedzie widoczny dla atakowanego)
– rozsyłać niechciane wiadomości, głównie ofertowe/reklamowe (spamować)
– rozpowszechniać lub pośredniczyć w rozpowszechnianiu nielegalnych treści (przenosić ryzyko ewentualnej odpowiedzialności karnej)
– być komputerem zombie dla sieci typu Bot Net;
– wykonywać ataki np. flood, DoS, lub w koordynacji z innymi zombie (DDoS)
– zajmować się monetyzacją rozumianą dosłownie, tzn. wykorzystywać moc obliczeniową do kopania kryptowalut