Сервисы репутаций в информационной безопасности

Безмалый В.Ф.MVP Consumer Security

Microsoft Security Trusted Advisorvladb@wondowslive.com

http://bezmaly.wordpress.com

2

Автор выражает особую признательность Михаилу Кондрашину, директору ЗАО АПЛ, эксперту по продуктам и сервисам Trend Micro за помощь в подготовке раздела Trend Micro

3

КИБЕРУГРОЗЫ И ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ В КОРПОРАТИВНОМ СЕКТОРЕ: ТЕНДЕНЦИИ В МИРЕ И В УКРАИНЕ

4

Текущая ситуация2006: Новая вредоносная программа

каждую минуту

2011: Новая вредоносная программа каждую СЕКУНДУ

5

Киберугрозы в корпоративном сегменте

32%48%91% 48%

сталкивалисьc внешними

киберугрозами

отметили рост числа кибератак

теряли конфиденциальные

данные из-за вирусных атак

97% 45%

6

25% 27%25% 21%23%17%32%30%57%

считают, чток значительным

рискам для бизнеса приводит

использование сотрудниками

социальных медиа

69%считают, что мобильные устройства

представляют слишком

большой рискдля бизнеса

боятся облачных технологий и

рассматривают их скорее как

угрозу IT-безопасности

считают вирусы, черви, шпионское

ПО наиболее значимой угрозой

в будущем

считают сетевые вторжения/хакерские атаки наиболее значимой внешней

угрозой

7

Защита киберпространства компаний

33%36%72% 25%запрещают или ограничивают

доступ к соцсетямиспользуют антивирусную

защиту, клиентские сетевые экраны, резервное копирование

данных, патч-менеджмент в полном объеме

являются фаталистами, считая, что «большинство проблем с IT-

безопасностью невозможно предугадать, поэтому нет смысла даже пытаться предотвратить все

возможные проблемы»

81% 19%

8

Вредоносный код эксплуатирует уязвимость в популярной программе

Это приводит к тому, что другая вредоносная программа запускается с высокими привилегиями

Вредоносная программа устанавливает соединение с удаленным сервером

После команды с удаленного сервера вредоносная программа получает доступ к конфиденциаль-ным данным

Данные загружаются на сервер преступников

Специально созданный e-mail с вредоносным вложениемИспользование на работе зараженного съемного диска

Переход по «зараженной» ссылке в социальной сетиПосещение легитимного, но взломанного сайта. Результат - drive-by атака

46%43%считают, что через два года киберугрозы будут одним из трех наиболее значимых рисков для бизнеса

15%48%считают киберугрозы одним из трех наиболее значимых рисков для бизнеса

Рост значимости IT-угроз. Прогноз

9

Выводы В Украине наблюдается хороший уровень

осведомленности об основных киберугрозах, но при этом уровень инвестиций в области кибербезопасности совершенно недостаточен и ниже среднемировых показателей.

91% компаний во всем мире сталкивались с киберугрозами за последние 12 месяцев. В Украине таких компаний – 97%.

Только 35% украинских компаний считают нынешний уровень инвестиций в ИТ безопасность достаточным (по сравнению с 55% в мире).

Только 25% компаний в Украине полностью внедрили набор базовых технологий ИТ безопасности (антивирус, сетевой экран, резервное копирование и обновления программ), что ниже мирового уровня (36%)

10

Технологии защиты в новых корпоративных решениях

Контроль устройств

Веб-контроль

Контроль приложений

Внешние устройства

Интернет-угрозы

97% компаний столкнулись с хотя бы одним инцидентом в области ИБ

81% атак были связаны с заражением вредоносным ПО

48% компаний отметили рост числа атак

45% компаний потеряли конфиденциальные данные

Итак, в течение года в Украине:

11

НЕОБХОДИМОСТЬ ПОЯВЛЕНИЯ СЕРВИСОВ РЕПУТАЦИИ

12

Бот-конструктор Aldi Bot Лаборатория G Data Security Labs обнаружила

распродажу ботнетов. Программа-билдер + бот + обновления +

помощь в инсталляции = €10. Несколько дней назад цена достигла €5 Евро.

Для новичков проводится курс «Молодого бойца». Используется TeamViewer, чтобы сделать покупателей более готовыми к атаке.

Наличие дешевого вредоносного кода на рынке, делает организацию DDoS-атаки легким способом заработать деньги.

13

По данным Лаборатории Касперского 200 000 000 сетевых атак блокируется

ежемесячно 2 000 уязвимостей в приложениях

обнаружено только в 2010 году 70 000 вредоносных программ

появляется ежедневно 19 000 000 + новых вирусов появилось в

2010 году 30 000+ новых угроз появляется в день ежедневно появляется около 70 000

новых вредоносных программ.

14

Рост числа уникальных вредоносных файлов, перехваченных «Лабораторией Касперского»

15

Объем антивирусных обновлений

(по данным "Лаборатории Касперского")

16

Рост числа вирусов по версии компании G-Data

17

Страшные цифры Интернет

18

Сколько стоит пользователь Рунет

19

Спасение в эвристических технологиях? Эвристические технологии - методики

детектирования не на основе сигнатуры, а с использованием методов искусственного интеллекта, встраиваемого в антивирус.

Лучшие примеры реализации эвристического анализа обеспечивают уровень обнаружения в пределах 50-70% для знакомых семейств вирусов и совершенно бессильны перед совершенно новыми видами атак.

20

Время, необходимое для блокирования web-угроз

По данным исследования, проведенного во втором квартале 2010 года компанией NSS Labs, время, необходимое антивирусным компаниям для блокирования web-угроз, составляет от 4,62 до 92,48 часа (http://nsslabs.com/host-malware-protection/q2-2010-endpoint-protection-product-group-test-report.html ).

21

Процесс защиты пользователя от момента появления угрозы до установки антивирусных обновлений

22

ЧТО ТАКОЕ СЕРВИС РЕПУТАЦИИ?

23

Что такое сервис репутации? Сервисы репутации показывают

надежность того или иного источника (почта, интернет), показывают репутацию (насколько широко применяется, является ли злонамеренным) того или иного программного обеспечения.

При этом вычисление репутации производится на серверах соответствующего производителя в Интернет.

24

СЕРВИСЫ РЕПУТАЦИИ В БРАУЗЕРАХ

25

Google Chrome

26

Как это работает Google Chrome загружает и сохраняет

на вашем ПК обновленные списки зараженных сайтов через 5 минут после запуска, а затем с интервалом в полчаса.

Для ускорения применяется хэширование ссылок по алгоритму SHA-256. При этом в список заносятся только первые 32 бита из 256. Все посещаемые ссылки хэшируются и сравниваются со списком.

27

Как это работаетПри совпадении первых 32 бит

отправляется запрос на сервер и сравнивается полный хэш.

В случае полного совпадения выводится уведомление о том, что данная страница может расцениваться как вредоносная.

28

Как это работаетВ случае, если компьютер

обращается в Google для запроса информации о конкретном фрагменте URL или для обновления списка, будет отправлен стандартный набор данных, в том числе ваш IP-адрес, а иногда и файл cookie.

Эти данные хранятся в Google несколько недель.

29

Как это работает Вся информация, полученная таким образом,

защищается в соответствии со стандартными условиями политики конфиденциальности Google .

Безопасный просмотр защищает от целевого фишинга (так называемого spear-phishing), при котором сайт может быть еще не зарегистрирован в Google списках опасных сайтов.

Для этого Chrome анализирует содержание сайта и, если оно кажется подозрительным, выдает предупреждение.

30

Как это работает Если вы решили предоставлять Google

статистику об использовании и зашли на сайт, который может оказаться опасным, в Google отправляются и некоторые другие данные, в том числе полный URL посещаемой страницы, заголовок referer, отправленный на эту страницу, и URL, совпавший с одним из адресов в списке вредоносного ПО функции Безопасного просмотра Google.

31

Как это работает

C 5 апреля 2011 года Google Chrome научился блокировать загрузку вредоносных файлов с помощью того же Safe Browsing API.

Отключить эту функцию можно в меню «Параметры – Расширенные – Конфиденциальность». Для этого достаточно снять флажок «Включить защиту от фишинга и вредоносного ПО».

32

Оповещения Google Chrome о фишинге и вредоносном ПО

Сообщение Значение

Внимание! Обнаружена проблема.

Это сообщение отображается для сайтов, которые Google Chrome определяет как потенциально содержащие вредоносное ПО.

Внимание! Возможно, этот сайт создан с целью фишинга

Это сообщение появляется, когда Google Chrome обнаруживает, что посещаемый вами сайт подозревается в фишинге.

33

Антифишинговая защита в Opera Используется функция «Защита от мошенничества»

(Fraud and Malware Protection), включенная по умолчанию.

В начале каждого сеанса с конкретным веб-сайтом она проверяет адрес, используя шифрованный канал: передает имя домена и адрес запрашиваемой страницы на специальный сервер, где ищет его в черных списках фишинговых ссылок, формируемых Netcraft (www.netcraft.com) и PhishTank (www.phishtank.com), а также в списках сайтов с вредоносным ПО, которые ведет «Яндекс».

Если доменное имя совпадет с именем из черного списка, сервер Fraud and Malware Protection возвратит браузеру XML-документ, в котором будет описана проблема (фишинг или вредоносное ПО).

34

Opera Fraud and Malware Protection server не сохраняет IP-адрес пользователя или любую другую идентифицирующую его информацию.

Никакая сессионная информация, включая cookies, не сохраняется;

в любое время можно отключить функцию «Защита от мошенничества» в меню «Настройки - Расширенные (Crtl-F12) - Безопасность».

35

Предупреждение о мошенничестве

36

SafariДля поиска фишинговых сайтов

используется технологии Google.Как только пользователь пытается

открыть подозрительную страницу в Safari, браузер соединяется с Google и запрашивает информацию из двух основных баз Google: базы фишинговых ссылок и базы ссылок вредоносного ПО.

37

Предупреждение

38

Фильтр SmartScreen в Internet Explorer 9 Сравнение адреса посещаемого сайта со

списком известных мошеннических и вредоносных сайтов. Если сайт найден в этом списке, больше проверок не производится.

В противном случае он анализируется на предмет наличия признаков, характерных для мошеннических сайтов. Также возможна отправка адреса того сайта, куда пользователь собирается зайти, онлайн-службе Microsoft, которая ищет его в списке фишинговых и вредоносных сайтов.

39

Как это работаетДля защиты от фишинга и

эксплойтов фильтр SmartScreen исследует строку URL целиком, а не подмножество адресов URL, на которые заходил пользователь, а значит, службе URL Reputation Service (URS) могут быть переданы личные сведения, поскольку иногда они находятся в самой строке URL.

40

Application Reputation Service (ARS)При загрузке программы в IE9

идентификатор файла и издателя приложения (если оно подписано цифровой подписью) отправляются на проверку с помощью услуги репутации приложений в облаке.

Если программа имеет репутацию, то предупреждение отсутствует.

41

Application Reputation Service (ARS)Если же файл будет загружаться с

вредоносного сайта, IE9 блокирует закачку, так же, как и IE8.

Если файл не имеет репутации, IE покажет это в строке уведомления и менеджере загрузки, что позволит принять обоснованное решение о доверии к этому файлу.

42

Три способа защиты от мошеннических и вредоносных узлов Сравнение адреса посещаемого сайта со

списком известных сайтов. Если сайт найден в этом списке, больше проверок не производится.

Анализ сайта на предмет наличия признаков, характерных для мошеннических сайтов.

Отправка адреса сайта, на который пользователь собирается зайти, онлайн-службе Microsoft, которая ищет сайт в списке фишинговых и вредоносных сайтов. При этом доступ к онлайн-службе производится асинхронно по SSL-соединению, так что это не сказывается на скорости загрузки страниц.

43

Как это работает Во избежание задержек обращения к

URS производятся асинхронно, так что на работе пользователя это не отражается.

Чтобы уменьшить сетевой трафик, на клиентском компьютере хранится зашифрованный DAT-файл со списком тысяч наиболее посещаемых узлов; все включенные в этот список узлы не подвергаются проверке фильтром SmartScreen.

44

Как это работает В фильтре SmartScreen применяется

механизм локального кэширования адресов URL, позволяющий сохранять ранее полученные рейтинги узлов и избежать лишних обращений по сети.

Один из способов выявления потенциально подставных узлов, применяемый службой URS, — сбор отзывов пользователей о ранее неизвестных узлах.

45

Как это работаетДля защиты от фишинга и

эксплойтов фильтр SmartScreen исследует строку URL целиком, а не подмножество адресов URL, на которые заходил пользователь.

Фильтр SmartScreen можно включать или отключать избирательно для каждой зоны безопасности, но только в том случае, когда эта функция включена глобально.

46

Как это работает По умолчанию фильтр SmartScreen включен

для всех зон, кроме местной интрасети. Если вы захотите исключить некоторые узлы из

списка проверяемых фильтром SmartScreen, но не отключать при этом фильтр полностью, то необходимо включить фильтр глобально, а затем отключить фильтрацию только для зоны «Надежные узлы», после чего конкретные узлы добавить в эту зону.

Для того чтобы пользователи в организации не могли отключить фильтр SmartScreen, необходимо применить групповую политику.

47

СЕРВИСЫ РЕПУТАЦИЙ В АНТИВИРУСАХ

48

KASPERSKY SECURITY NETWORK

49

Основные вопросы, которые стоят перед антивирусной индустрией в последнее время

Как сделать процессы защиты автоматическими, чтобы противодействовать лавинообразному потоку угроз?

Как минимизировать размеры антивирусных баз, сохраняя при этом уровень защиты на высоком уровне?

Как значительно увеличить скорость реакции на появляющиеся угрозы?

50

Общение пользователей с серверами обновлений (было)

51

Общение пользователя с «облаком» (стало)

52

Основные принципы работы Kaspersky Security Network

Географически распределенный мониторинг актуальных угроз на компьютерах пользователей

Мгновенная доставка собранных данных на серверы «Лаборатории Касперского»

Анализ полученной информацииРазработка и применение мер по

защите от новых угроз.

53

Ключевое отличие «облаков» Если технологии предыдущего

поколения (например, те же сигнатуры) работали с файловыми объектами, то антивирусные «облака» работают с метаданными.

Допустим, есть файл — это объект. Метаданные — это данные об этом файле: уникальный идентификатор файла (хэш-функция), информация о том, каким образом он появился в системе, как себя вел и т.д.

54

Ключевое отличие «облаков» Выявление новых угроз в «облаках»

осуществляется по метаданным, сами файлы при первичном анализе в «облако» не передаются.

Такой подход позволяет практически в реальном времени собирать информацию от десятков миллионов добровольных участников распределенной антивирусной сети с целью выявления недетектируемых вредоносных программ.

После обработки метаданных информация о только что появившемся вредоносном контенте транслируется всем участникам информационной сети.

55

Как это работает В Kaspersky Security Network автоматически

поступает информация о попытках заражения, которая затем передается экспертам «Лаборатории Касперского». Также собирается информация о подозрительных файлах, загруженных и исполняемых на компьютерах пользователей, независимо от источника их получения (веб-сайты, почтовые вложения, одноранговые сети и т.д.).

Для отправки информации в KSN требуется согласие пользователя.

Конфиденциальная информация – пароли и другие личные данные – в KSN не передается.

56

Если по завершении проверки программа признается вредоносной, данные о ней поступают в Urgent Detection System (UDS), и эта информация становится доступной пользователям «Лаборатории Касперского» еще до создания соответствующей сигнатуры и включения ее в обновления антивирусных баз.

Таким образом, клиенты «Лаборатории Касперского» получают оперативную информацию о новых и неизвестных угрозах спустя считанные минуты после начала кибератаки, в то время как традиционные антивирусные базы, которые, как правило, обновляются раз в несколько часов.

57

WhitelistingВ отличие от сигнатурного метода

(пытается найти «плохого» по внешним признакам), вайтлистинг знает кто «хороший» (например, заведомо безопасное приложение, которое проверено у нас по программе Whitelist).

В начале сентября в базе было около 300 миллионов проверенных файлов.

58

WhitelistingКроме того можно запустить

программу в изолированной, безопасной среде (Safe Run) или посмотреть репутацию файла в KSN

В среднем каждую секунду KSN получает 400 тысяч таких запросов.

59

60

К чему это всё и чем это лучше традиционного подхода?Сегодня каждый день

детектируется порядка 70 тыс. вредоносов, а что будет завтра?

Сейчас среднее время выпуска обновления – всего 40 секунд.

А вайтлистинг точно знает то, что уже проверено и гарантировано чисто.

61

К чему это всё и чем это лучше традиционного подхода?Whitelisting повышает

производительность антивируса – ему не надо проверять файлы из белого списка.

Такой подход называется “Default Deny” – сначала всё запретить, потом разрешить только безопасное.

62

Технологии облачной защиты

63

Wisdom of the CrowdИспользуется технология Wisdom of

the Crowd (WoC), предоставляющая информацию о степени популярности программы и ее репутации среди пользователей KSN.

64

Глобальные рейтинги безопасности

Последние версии продуктов «Лаборатории Касперского» позволяют получать данные Глобальных рейтингов безопасности (GSR) непосредственно из «облака». Рейтинг (GSR) каждой программы рассчитывается с помощью специального алгоритма и широкого набора репутационных данных.

65

KSN сегодня

1 000 000 новых файлов в день

Время реакции40 секунд

300 000 000 файлов в белых списках

Обнаружение 1 400 000 вредоносных файловв день

66

ИтогВ Kaspersky Security Network

используется сочетание сигнатурных и эвристических методов детектирования вредоносных программ, технологии контроля программ с использованием белых и черных списков и репутационных сервисов (WoC и GSR).

67

Пример Юзер запускает ранее неизвестный

файл. Локальный антивирус проверяет его всеми доступными инструментами – чисто. Спрашиваем облако – нет данных. Ок – даём добро на запуск.

Оказывается, что он как-то странно прописывает себя в реестр, пытается получить доступ к системным сервисам, устанавливает подозрительные соединения, имеет двойное расширение (jpg.exe) или что-то ещё.

68

Пример Сигнал поступает в KSN, где система

автоматически вычисляет репутацию файла (веса всех признаков и действий) и принимает решение о детекте. В результате на защищённый компьютер отправляется команда «фас», файл блокируется, а его действия откатываются.

Разумеется, чем больше сообщений об одном и том же файле с разных компьютеров, тем более высокий приоритет обработки и выше точность и критичность вердикта. Появись такой файл на других компьютерах, подключённых к KSN – им сразу говорится, что опасно и не надо экспериментировать.

69

Пример 2 Сразу несколько пользователей скачали файл по

одной и той же ссылке. Но каждый раз у файла разный хэш.

KSN начинает раскручивать дело и видит, что, например, сайт зарегистрирован всего пару дней назад, на нём «висит» какой-нибудь iframe или с него раньше уже рассылались зараженные файлы. И снова облако вычисляет репутацию и посылает команду блокировать как сам файл, так и доступ к сайту.

Важно: благодаря такому подходу в среднем между детектом и вердиктом проходит всего лишь 40 сек!

70

Пример 2 Другая система

выкачивает из сети тот самый подозрительный файл и передаёт его на анализ автоматическому обработчику.

Этот обработчик разрабатывает и тестирует знакомые всем обновления и выкладывает на серверы для скачки.

71

Программа, запускаемая пользователем, проверяется по белым спискам и базе UDS. В зависимости от результатов этой проверки программа получает права доступа к ресурсам компьютера или блокируется.

72

Схема работы Kaspersky Security Network Информация о запускаемых или

загружаемых приложениях и посещаемых веб-страницах (URL) отправляется в KSN с компьютеров, на которых установлены последние версии продуктов «Лаборатории Касперского» для домашних и корпоративных пользователей.

Файлы и URL проверяются и, в случае признания их вредоносными, добавляются в базу Urgent Detection System. Легитимные файлы вносятся в белые списки (Whitelisting).

73

Схема работы Kaspersky Security Network Эксперты «Лаборатории Касперского»

анализируют подозрительные файлы, определяют степень их опасности и добавляют описание в базу сигнатур.

Спустя считанные минуты информация о вновь обнаруженных вредоносных и легитимных файлах и URL становится доступна всем пользователям продуктов «Лаборатории Касперского» (не только пользователям Kaspersky Security Network).

По завершении анализа новой вредоносной программы создается ее сигнатура, которая включается в антивирусные базы, регулярно обновляемые на компьютерах пользователей.

74

Технологии, используемые в KSN В KSN также используется технология Wisdom of the

Crowd (WoC), предоставляющая информацию о степени популярности программы и ее репутации среди пользователей KSN.

Данные Глобальных рейтингов безопасности (GSR) непосредственно из «облака». Рейтинг (GSR) каждой программы рассчитывается с помощью специального алгоритма и широкого набора репутационных данных.

В Kaspersky Security Network используется сочетание сигнатурных и эвристических методов детектирования вредоносных программ, технологии контроля программ с использованием белых и черных списков и репутационных сервисов (WoC и GSR).

75

Расширенная облачная защита для корпоративных клиентов Облачные технологии (данные из Kaspersky

Security Network) используются для создания белых списков приложений. Известные легитимные приложения автоматически распределяются по категориям (игры, коммерческое ПО и т.д.).

Используя категории, системный администратор может быстро настроить и применить правила для определенных типов программ в соответствии с корпоративной политикой

При формировании белых списков приложений используются данные, предоставляемые более чем 200 ведущими производителями ПО.

76

Расширенная облачная защита для корпоративных клиентов Инструмент для централизованного управления

Kaspersky Security Center дает возможность тонкой настройки взимодействия с Kaspersky Security Network для защиты узлов корпоративной сети.

Администратор может активировать или отключить облачную защиту в различных модулях Kaspersky Endpoint Security 8 для Windows. Также есть возможность отключить передачу данных в Kaspersky Security Network, если этого требует корпоративная политика безопасности.

77

ПреимуществаСкорость реакции.Скрытая логика принятия решений.Выявление не только новых

недетектируемых угроз, но и источников их распространения.

78

ПреимуществаПолнота выявляемых угроз.Минимизация ложных

срабатываний. ак показывает практика, уровень ложных срабатываний при детектировании с помощью «облаков», как минимум в 100 раз ниже обычного сигнатурного детектирования

79

ПреимуществаПростота автоматизации процессов

детектированияИспользование «облачной» защиты

позволяет минимизировать размеры скачиваемых пользователем AV-баз.

80

Недостатки Детектирование только по хэш-функции

объекта В первых версиях реализации

«облачной» инфраструктуры используется детектирование только по хэш-функциям. Однако в настоящее время, понимая, что этого недостаточно, компании внедряют и другие подходы, которые позволяют по одной «облачной» сигнатуре выявлять целые семейства угроз (в том числе полиморфные).

81

НедостаткиПроблема с трафиком на «узких»

каналах (DialUp/GPRS/etc.)Работа только с исполняемыми

файламиНенадежность сети (есть/нет)Отсутствие аутентификации и

проверки корректности отправляемых источниками данных.

82

СЕРВИСЫ РЕПУТАЦИИ В TREND MICRO

83

Trend Micro SPNКлючевой идеей этой системы была

концепция “репутации”, то есть вынесения вердикта для ресурса (файла, сайта, сообщения электронной почты) только на основе накопленных ранее данных.

То есть, без необходимости анализировать сам ресурс непосредственно в момент обращения к нему пользователя.

84

Методы отслеживания репутации в SPN Формирование базы ресурсов, например

сайтов, и отслеживание происходящих изменений.

Если, например, сайт слишком часто меняет свой IP-адрес, то это типичный признак вредоносного сайта. При этом в чем собственно заключается его вредоносность не известно.

При попытке посетить этот сайт, антивирус Trend Micro в реальном времени сверяется с SPN и блокируется доступ.

85

SPN хранит базу репутации источников сообщений электронной почты, а также базу репутации отдельных файлов.

Наличие всех трех баз, дает второй и самый изощренный способ выявления угроз.

Разработчики Trend Micro называют этот метод корреляцией. Суть метода в том, что используя по информацию в одних базах наполняются другие.

86

Технология Web Reputation Отслеживает надежность веб-сайтов и веб-страниц,

используя сведения о репутации доменов, содержащиеся в одной из крупнейших в мире баз данных.

Оценивает репутацию веб-доменов и отдельных страниц, а также ссылок на веб-сайтах (поскольку законные сайты периодически частично взламываются).

Блокирует доступ пользователей к сомнительным или зараженным сайтам.

87

Технология Email Reputation Проверяет IP-адреса по базе данных, содержащей

сведения об их репутации. Оценивает репутацию отправителей почтовых сообщений

в режиме реального времени. Постоянно анализирует IP-адреса, переоценивая

репутацию. Блокирует вредоносные почтовые сообщения и угрозы

(например, «зомби») в «облачной» среде до их проникновения в систему.

88

Технология File Reputation Проверяет репутацию всех файлов по «облачной» базе

данных, прежде чем предоставить пользователям доступ к ним.

Минимизирует время задержки при проверке благодаря использованию высокопроизводительных сетей для доставки содержимого и локальных серверов кэширования.

Использует архитектуру «облако — клиент», чтобы уменьшить размер файла локальной антивирусной базы данных и таким образом свести к минимуму угрозу увеличения объемов (большое количество создаваемых за день угроз).

89

Технология сравнения и анализа поведенияСравнивает сочетания действий и

компоненты угрозы и определяет, являются ли они вредоносными.

Постоянно обновляет множество баз данных угроз, обеспечивая реагирование на угрозы в режиме реального времени.

90

Программа Smart Feedback Улучшенная комплексная защита пользователей

обеспечивается благодаря круглосуточному взаимодействию продуктов Trend Micro, исследовательских центров и технологий.

Информация обо всех новых угрозах, обнаруженных на клиентских компьютерах в ходе плановых проверок, автоматически заносится в вирусные базы данных Trend Micro.

91

Пример Рассмотрим сообщение электронной почты, которое

приходит в ловушку для спама в TrendLabs с известного источника спама.

Если к сообщению прикреплен исполняемый файл, то с него снимается контрольная сумма и она пополняет базу репутации файлов. Одновременно этот файл автоматически запускается в контролируемом окружении и выявляется, например, что он загружает из Интернета еще два каких-то исполняемых файла.

Отметим, что именно такое поведение характерно для популярных последнее время троянов семейства Trojan.Downloader. Хеш-суммы загруженных файлов также помещаются в базу репутации файлов, а адреса, с которых производилась загрузка пополняют базу репутации сайтов. Адреса, с которых загружаются дополнительные компоненты также помещаются в базу репутации сайтов.

92

Пример 2Если с серверов определенного

провайдера рассылается подозрительно много спама, то и все сайты, которые размещены у данного провайдера получают низкую репутацию. Разумеется, что это не означает, что доступ к ним однозначно блокируется, но им оказывается более пристальное внимание.

93

Пример 3 Третьим способом определения

репутации ресурсов в базах SPN является система обратной связи. Фактически SPN учитывает обращение клиентов Trned Micro к ней для ее собственного пополнения.

При выявлении спам-письма, IP-адрес отправителя помещается в базу на относительно короткий срок (в пределах нескольких часов).

94

Пример 3 Если же в течение этих нескольких

часов большое количество клиентов Trend Micro обратиться к базе репутации электронной почты, чтобы свериться относительно репутации данного адреса, то это явный признак того, что адрес попал с базу не случайно.

Разумеется, что если все таки произошла ошибка, у любого пользователя всегда есть возможность удалить свой адрес из базы.

95

СЕРВИСЫ РЕПУТАЦИИ В ПРОДУКТАХ КОМПАНИИ SYMANTEC

96

Согласно Отчету Symantec об угрозах Интернет-безопасности, в 2010 году зафиксировано более 286 миллионов уникальных вредоносных программ.

97

InsightДля обеспечения защиты от

сложных и новейших угроз, Symantec Endpoint Protection 12 использует усовершенствованную технологию Insight. Эта облачная технология определения репутации файлов обеспечивает защиту виртуальных сред, основываясь на данных сообщества пользователей продуктов Symantec.

98

InsightSymantec собирает информацию о

том, какие исполняемые файлы существуют в мире, когда они были созданы, каким количеством людей используются, откуда появляются и т.д. Это позволяет без анализа содержимого понять категорию файла: опасный файл или нет.

99

InsightSymantec собирает информацию о

том, какие исполняемые файлы существуют в мире, когда они были созданы, каким количеством людей используются, откуда появляются и т.д. Это позволяет без анализа содержимого понять категорию файла: опасный файл или нет.

Insight позволяет снизить на 70 % нагрузку на рабочую станцию.

100

SONAR Используемая технология SONAR,

основанная на репутационно-поведенческом подходе, позволяет отслеживать работающие приложения на предмет подозрительного поведения и блокировать уязвимости нулевого дня и узконаправленные угрозы в режиме реального времени.

101

Гибридные технологии защиты Гибридные технологии защиты с

использованием облачной репутационной технологии Insight сегодня представлены как в домашних (Norton), так и в корпоративных (Symantec Endpoint Protection 12) продуктах Symantec для защиты рабочих станций, серверов и других устройств, подключенных к сети.

102

Гибридные технологии защитыВ облаке Symantec

содержатся анонимные данные о распространении более 2,5 миллиардов файлов более чем на 175 миллионах компьютерах клиентов

103

Shared Insight Cache Shared Insight Cache позволяет

производить сканирование любых файлов всего лишь один раз на инфраструктуру. Т.е. если на нескольких серверах или рабочих станциях есть одинаковые файлы, то лишь на одной машине файл будет просканирован, а на всех остальных машинах сканирование производиться не будет.

104

«ОБЛАЧНЫЙ» ПОДХОД: УНИВЕРСАЛЬНАЯ ТАБЛЕТКА ИЛИ МОДНЫЙ ПИАР?

105

Не стоит рассматривать антивирусные «облака» в качестве обособленной технологии защиты пользователя.

Максимальная эффективность защиты достигается при одновременном использовании уже имеющихся наработанных технологий защиты вместе с «облачной» антивирусной системой.

При таком объединении мы получаем лучшее от обоих подходов: «облачную» скорость реакции на неизвестные угрозы, высокий уровень детектирования, проактивность, низкий уровень ошибок и полноту выявляемых угроз.

Спасибо за внимание! Вопросы?Безмалый В.Ф.

MVP Consumer SecurityMicrosoft Security Trusted Advisor

vladb@wondowslive.comhttp://bezmaly.wordpress.com