Reputation
Upcoming SlideShare
Loading in...5
×
 

Reputation

on

  • 1,621 views

Сервисы репутации в информационной безопасности

Сервисы репутации в информационной безопасности

Statistics

Views

Total Views
1,621
Views on SlideShare
867
Embed Views
754

Actions

Likes
0
Downloads
5
Comments
0

2 Embeds 754

http://bezmaly.wordpress.com 749
http://www.gosbook.ru 5

Accessibility

Categories

Upload Details

Uploaded via as Microsoft PowerPoint

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

Reputation Reputation Presentation Transcript

  • Сервисы репутаций винформационной безопасности Безмалый В.Ф. MVP Consumer Security Microsoft Security Trusted Advisor vladb@wondowslive.com http://bezmaly.wordpress.com
  • Автор выражаетособуюпризнательностьМихаилуКондрашину, директору ЗАО АПЛ, эксперту попродуктам и сервисамTrend Micro за помощьв подготовке разделаTrend Micro 2
  • КИБЕРУГРОЗЫ ИИНФОРМАЦИОННАЯБЕЗОПАСНОСТЬ ВКОРПОРАТИВНОМ СЕКТОРЕ:ТЕНДЕНЦИИ В МИРЕ И ВУКРАИНЕ 3 View slide
  • Текущая ситуация 2006: Новая вредоносная программа каждую минуту 2011: Новая вредоносная программа каждую СЕКУНДУ 4 View slide
  • Киберугрозы в корпоративномсегменте 97% 91% 48% 48% 45% 32% сталкивались отметили рост числа теряли c внешними кибератак конфиденциальные киберугрозами данные из-за вирусных атак 5
  • 69% 57% 30% 32% 17% 23% 25% 25% 21% 27% считают, что считают, что боятся облачных считают считают сетевые к значительным мобильные технологий и вирусы, черви, шп вторжения/хакерск рискам для устройства рассматривают ионское ПО ие атаки наиболеебизнеса приводит представляют их скорее как наиболее значимой значимой внешней использование слишком угрозу угрозой угрозой сотрудниками большой риск IT-безопасности в будущем 6социальных медиа для бизнеса
  • Защита киберпространства компаний 81% 72% 25% 36% 19% 33% запрещают или ограничивают используют антивирусную являются фаталистами, считая, доступ к соцсетям защиту, клиентские сетевые что «большинство проблем с IT- экраны, резервное копирование безопасностью невозможно данных, патч-менеджмент в предугадать, поэтому нет смысла полном объеме даже пытаться предотвратить все возможные проблемы» 7
  • Рост значимости IT-угроз. ПрогнозСпециальносозданный e-mail свредоноснымвложениемИспользование на Вредоносны Это Вредоносная После команды Данныеработе зараженного й код приводит к программа с удаленного загружаютсясъемного диска эксплуатиру тому, что устанавлива сервера на сервер ет другая ет вредоносная преступниковПереход по«зараженной» уязвимость вредоносна соединение программассылке в в я с удаленным получает доступсоциальной сети популярной программа сервером кПосещение программе запускается конфиденциальлегитимного, но с высокими -ным даннымвзломанного сайта. привилегияРезультат - drive-by миатака считают, что через два года считают43% 46% киберугрозы будут одним из 48% 15% киберугрозы одним из трех трех наиболее наиболее значимых рисков значимых для бизнеса рисков для бизнеса 8
  • Выводы  В Украине наблюдается хороший уровень осведомленности об основных киберугрозах, но при этом уровень инвестиций в области кибербезопасности совершенно недостаточен и ниже среднемировых показателей.  91% компаний во всем мире сталкивались с киберугрозами за последние 12 месяцев. В Украине таких компаний – 97%.  Только 35% украинских компаний считают нынешний уровень инвестиций в ИТ безопасность достаточным (по сравнению с 55% в мире).  Только 25% компаний в Украине полностью внедрили набор базовых технологий ИТ безопасности (антивирус, сетевой экран, резервное копирование и обновления программ), что ниже мирового уровня (36%) 9
  • Технологии защиты в новыхкорпоративных решенияхИтак, в течение года в Украине:97% компаний столкнулись сИБ бы одним инцидентом в области хотя81% атак были связаны с заражением вредоносным ПО Контрол ь Внешние устройств устройст48% компаний отметили рост числа атак в а45% компаний потеряли конфиденциальные данные Контроль приложен ий Веб- Интернет- контроль угрозы 10
  • НЕОБХОДИМОСТЬПОЯВЛЕНИЯ СЕРВИСОВРЕПУТАЦИИ 11
  • Бот-конструктор Aldi Bot Лаборатория G Data Security Labs обнаружила распродажу ботнетов. Программа-билдер + бот + обновления + помощь в инсталляции = €10. Несколько дней назад цена достигла €5 Евро. Для новичков проводится курс «Молодого бойца». Используется TeamViewer, чтобы сделать покупателей более готовыми к атаке. Наличие дешевого вредоносного кода на рынке, делает организацию DDoS-атаки легким способом заработать деньги. 12
  • По данным ЛабораторииКасперского 200 000 000 сетевых атак блокируется ежемесячно 2 000 уязвимостей в приложениях обнаружено только в 2010 году 70 000 вредоносных программ появляется ежедневно 19 000 000 + новых вирусов появилось в 2010 году 30 000+ новых угроз появляется в день ежедневно появляется около 70 000 новых вредоносных программ. 13
  • Рост числа уникальных вредоносныхфайлов, перехваченных «ЛабораториейКасперского» 14
  • Объем антивирусных обновлений 15 (по данным "Лаборатории Касперского")
  • Рост числа вирусов по версиикомпании G-Data 16
  • Страшные цифры Интернет 17
  • Сколько стоит пользователь Рунет 18
  • Спасение в эвристическихтехнологиях? Эвристические технологии - методики детектирования не на основе сигнатуры, а с использованием методов искусственного интеллекта, встраиваемого в антивирус. Лучшие примеры реализации эвристического анализа обеспечивают уровень обнаружения в пределах 50-70% для знакомых семейств вирусов и совершенно бессильны перед совершенно новыми видами атак. 19
  • Время, необходимое дляблокирования web-угроз По данным исследования, проведенного во втором квартале 2010 года компанией NSS Labs, время, необходимое антивирусным компаниям для блокирования web-угроз, составляет от 4,62 до 92,48 часа (http://nsslabs.com/host-malware- protection/q2-2010-endpoint- protection-product-group-test- report.html ). 20
  • Процесс защиты пользователя от моментапоявления угрозы до установки антивирусныхобновлений 21
  • ЧТО ТАКОЕ СЕРВИСРЕПУТАЦИИ? 22
  • Что такое сервис репутации? Сервисы репутации показывают надежность того или иного источника (почта, интернет), показывают репутацию (насколько широко применяется, является ли злонамеренным) того или иного программного обеспечения. При этом вычисление репутации производится на серверах соответствующего производителя в Интернет. 23
  • СЕРВИСЫ РЕПУТАЦИИ ВБРАУЗЕРАХ 24
  • Google Chrome 25
  • Как это работает Google Chrome загружает и сохраняет на вашем ПК обновленные списки зараженных сайтов через 5 минут после запуска, а затем с интервалом в полчаса. Для ускорения применяется хэширование ссылок по алгоритму SHA-256. При этом в список заносятся только первые 32 бита из 256. Все посещаемые ссылки хэшируются и сравниваются со списком. 26
  • Как это работает При совпадении первых 32 бит отправляется запрос на сервер и сравнивается полный хэш. В случае полного совпадения выводится уведомление о том, что данная страница может расцениваться как вредоносная. 27
  • Как это работает В случае, если компьютер обращается в Google для запроса информации о конкретном фрагменте URL или для обновления списка, будет отправлен стандартный набор данных, в том числе ваш IP-адрес, а иногда и файл cookie. Эти данные хранятся в Google несколько недель. 28
  • Как это работает Вся информация, полученная таким образом, защищается в соответствии со стандартными условиями политики конфиденциальности Google . Безопасный просмотр защищает от целевого фишинга (так называемого spear- phishing), при котором сайт может быть еще не зарегистрирован в Google списках опасных сайтов. Для этого Chrome анализирует содержание сайта и, если оно кажется подозрительным, выдает предупреждение. 29
  • Как это работает Если вы решили предоставлять Google статистику об использовании и зашли на сайт, который может оказаться опасным, в Google отправляются и некоторые другие данные, в том числе полный URL посещаемой страницы, заголовок referer, отправленный на эту страницу, и URL, совпавший с одним из адресов в списке вредоносного ПО функции Безопасного просмотра Google. 30
  • Как это работает C 5 апреля 2011 года Google Chrome научился блокировать загрузку вредоносных файлов с помощью того же Safe Browsing API. Отключить эту функцию можно в меню «Параметры – Расширенные – Конфиденциальность». Для этого достаточно снять флажок «Включить защиту от фишинга и вредоносного ПО». 31
  • Оповещения Google Chrome офишинге и вредоносном ПОСообщение ЗначениеВнимание! Это сообщениеОбнаружена отображается для сайтов,проблема. которые Google Chrome определяет как потенциально содержащие вредоносное ПО.Внимание! Возможно, Это сообщение появляется,этот сайт создан с когда Google Chromeцелью фишинга обнаруживает, что посещаемый вами сайт подозревается в фишинге. 32
  • Антифишинговая защита в Opera Используется функция «Защита от мошенничества» (Fraud and Malware Protection), включенная по умолчанию. В начале каждого сеанса с конкретным веб-сайтом она проверяет адрес, используя шифрованный канал: передает имя домена и адрес запрашиваемой страницы на специальный сервер, где ищет его в черных списках фишинговых ссылок, формируемых Netcraft (www.netcraft.com) и PhishTank (www.phishtank.com), а также в списках сайтов с вредоносным ПО, которые ведет «Яндекс». Если доменное имя совпадет с именем из черного списка, сервер Fraud and Malware Protection возвратит браузеру XML-документ, в котором будет описана проблема (фишинг или вредоносное ПО). 33
  •  Opera Fraud and Malware Protection server не сохраняет IP-адрес пользователя или любую другую идентифицирующую его информацию. Никакая сессионная информация, включая cookies, не сохраняется; в любое время можно отключить функцию «Защита от мошенничества» в меню «Настройки - Расширенные (Crtl-F12) - Безопасность». 34
  • Предупреждение о мошенничестве 35
  • Safari Для поиска фишинговых сайтов используется технологии Google. Как только пользователь пытается открыть подозрительную страницу в Safari, браузер соединяется с Google и запрашивает информацию из двух основных баз Google: базы фишинговых ссылок и базы ссылок вредоносного ПО. 36
  • Предупреждение 37
  • Фильтр SmartScreen в InternetExplorer 9 Сравнение адреса посещаемого сайта со списком известных мошеннических и вредоносных сайтов. Если сайт найден в этом списке, больше проверок не производится. В противном случае он анализируется на предмет наличия признаков, характерных для мошеннических сайтов. Также возможна отправка адреса того сайта, куда пользователь собирается зайти, онлайн-службе Microsoft, которая ищет его в списке 38 фишинговых и вредоносных сайтов.
  • Как это работает Для защиты от фишинга и эксплойтов фильтр SmartScreen исследует строку URL целиком, а не подмножество адресов URL, на которые заходил пользователь, а значит, службе URL Reputation Service (URS) могут быть переданы личные сведения, поскольку иногда они находятся в самой строке URL. 39
  • Application Reputation Service (ARS) При загрузке программы в IE9 идентификатор файла и издателя приложения (если оно подписано цифровой подписью) отправляются на проверку с помощью услуги репутации приложений в облаке. Если программа имеет репутацию, то предупреждение отсутствует. 40
  • Application Reputation Service (ARS) Если же файл будет загружаться с вредоносного сайта, IE9 блокирует закачку, так же, как и IE8. Если файл не имеет репутации, IE покажет это в строке уведомления и менеджере загрузки, что позволит принять обоснованное решение о доверии к этому файлу. 41
  • Три способа защиты отмошеннических и вредоносных узлов Сравнение адреса посещаемого сайта со списком известных сайтов. Если сайт найден в этом списке, больше проверок не производится. Анализ сайта на предмет наличия признаков, характерных для мошеннических сайтов. Отправка адреса сайта, на который пользователь собирается зайти, онлайн-службе Microsoft, которая ищет сайт в списке фишинговых и вредоносных сайтов. При этом доступ к онлайн-службе производится асинхронно по SSL-соединению, так что это не сказывается на скорости загрузки страниц. 42
  • Как это работает Во избежание задержек обращения к URS производятся асинхронно, так что на работе пользователя это не отражается. Чтобы уменьшить сетевой трафик, на клиентском компьютере хранится зашифрованный DAT-файл со списком тысяч наиболее посещаемых узлов; все включенные в этот список узлы не подвергаются проверке фильтром SmartScreen. 43
  • Как это работает В фильтре SmartScreen применяется механизм локального кэширования адресов URL, позволяющий сохранять ранее полученные рейтинги узлов и избежать лишних обращений по сети. Один из способов выявления потенциально подставных узлов, применяемый службой URS, — сбор отзывов пользователей о ранее неизвестных узлах. 44
  • Как это работает Для защиты от фишинга и эксплойтов фильтр SmartScreen исследует строку URL целиком, а не подмножество адресов URL, на которые заходил пользователь. Фильтр SmartScreen можно включать или отключать избирательно для каждой зоны безопасности, но только в том случае, когда эта функция включена глобально. 45
  • Как это работает По умолчанию фильтр SmartScreen включен для всех зон, кроме местной интрасети. Если вы захотите исключить некоторые узлы из списка проверяемых фильтром SmartScreen, но не отключать при этом фильтр полностью, то необходимо включить фильтр глобально, а затем отключить фильтрацию только для зоны «Надежные узлы», после чего конкретные узлы добавить в эту зону. Для того чтобы пользователи в организации не могли отключить фильтр SmartScreen, необходимо применить групповую политику. 46
  • СЕРВИСЫ РЕПУТАЦИЙ ВАНТИВИРУСАХ 47
  • KASPERSKYSECURITYNETWORK 48
  • Основные вопросы, которые стоят передантивирусной индустрией в последнее время Как сделать процессы защиты автоматическими, чтобы противодействовать лавинообразному потоку угроз? Как минимизировать размеры антивирусных баз, сохраняя при этом уровень защиты на высоком уровне? Как значительно увеличить скорость реакции на появляющиеся угрозы? 49
  • Общение пользователей ссерверами обновлений (было) 50
  • Общение пользователя с «облаком»(стало) 51
  • Основные принципы работыKaspersky Security Network Географически распределенный мониторинг актуальных угроз на компьютерах пользователей Мгновенная доставка собранных данных на серверы «Лаборатории Касперского» Анализ полученной информации Разработка и применение мер по защите от новых угроз. 52
  • Ключевое отличие «облаков» Если технологии предыдущего поколения (например, те же сигнатуры) работали с файловыми объектами, то антивирусные «облака» работают с метаданными. Допустим, есть файл — это объект. Метаданные — это данные об этом файле: уникальный идентификатор файла (хэш-функция), информация о том, каким образом он появился в системе, как себя вел и т.д. 53
  • Ключевое отличие «облаков» Выявление новых угроз в «облаках» осуществляется по метаданным, сами файлы при первичном анализе в «облако» не передаются. Такой подход позволяет практически в реальном времени собирать информацию от десятков миллионов добровольных участников распределенной антивирусной сети с целью выявления недетектируемых вредоносных программ. После обработки метаданных информация о только что появившемся вредоносном контенте транслируется всем участникам информационной сети. 54
  • Как это работает В Kaspersky Security Network автоматически поступает информация о попытках заражения, которая затем передается экспертам «Лаборатории Касперского». Также собирается информация о подозрительных файлах, загруженных и исполняемых на компьютерах пользователей, независимо от источника их получения (веб-сайты, почтовые вложения, одноранговые сети и т.д.). Для отправки информации в KSN требуется согласие пользователя. Конфиденциальная информация – пароли и другие личные данные – в KSN не передается. 55
  •  Если по завершении проверки программа признается вредоносной, данные о ней поступают в Urgent Detection System (UDS), и эта информация становится доступной пользователям «Лаборатории Касперского» еще до создания соответствующей сигнатуры и включения ее в обновления антивирусных баз. Таким образом, клиенты «Лаборатории Касперского» получают оперативную информацию о новых и неизвестных угрозах спустя считанные минуты после начала кибератаки, в то время как традиционные антивирусные базы, которые, как правило, обновляются раз в несколько часов. 56
  • Whitelisting В отличие от сигнатурного метода (пытается найти «плохого» по внешним признакам), вайтлистинг знает кто «хороший» (например, заведомо безопасное приложение, которое проверено у нас по программе Whitelist). В начале сентября в базе было около 300 миллионов проверенных файлов. 57
  • Whitelisting Кроме того можно запустить программу в изолированной, безопасной среде (Safe Run) или посмотреть репутацию файла в KSN В среднем каждую секунду KSN получает 400 тысяч таких запросов. 58
  • 59
  • К чему это всѐ и чем это лучшетрадиционного подхода? Сегодня каждый день детектируется порядка 70 тыс. вредоносов, а что будет завтра? Сейчас среднее время выпуска обновления – всего 40 секунд. А вайтлистинг точно знает то, что уже проверено и гарантировано чисто. 60
  • К чему это всѐ и чем это лучшетрадиционного подхода? Whitelisting повышает производительность антивируса – ему не надо проверять файлы из белого списка. Такой подход называется ―Default Deny‖ – сначала всѐ запретить, потом разрешить только безопасное. 61
  • Технологии облачной защиты 62
  • Wisdom of the Crowd Используется технология Wisdom of the Crowd (WoC), предоставляющая информацию о степени популярности программы и ее репутации среди пользователей KSN. 63
  • Глобальные рейтинги безопасности Последние версии продуктов «Лаборатории Касперского» позволяют получать данные Глобальных рейтингов безопасности (GSR) непосредственно из «облака». Рейтинг (GSR) каждой программы рассчитывается с помощью специального алгоритма и широкого набора репутационных данных. 64
  • KSN сегодня 300 000 000 файлов в белых списках 1 000 000 новых файлов в день Время реакции 40 секунд Обнаружение 1 400 000 вредоносных файлов в день 65
  • Итог В Kaspersky Security Network используется сочетание сигнатурных и эвристических методов детектирования вредоносных программ, технологии контроля программ с использованием белых и черных списков и репутационных сервисов (WoC и GSR). 66
  • Пример Юзер запускает ранее неизвестный файл. Локальный антивирус проверяет его всеми доступными инструментами – чисто. Спрашиваем облако – нет данных. Ок – даѐм добро на запуск. Оказывается, что он как-то странно прописывает себя в реестр, пытается получить доступ к системным сервисам, устанавливает подозрительные соединения, имеет двойное расширение (jpg.exe) или что-то ещѐ. 67
  • Пример Сигнал поступает в KSN, где система автоматически вычисляет репутацию файла (веса всех признаков и действий) и принимает решение о детекте. В результате на защищѐнный компьютер отправляется команда «фас», файл блокируется, а его действия откатываются. Разумеется, чем больше сообщений об одном и том же файле с разных компьютеров, тем более высокий приоритет обработки и выше точность и критичность вердикта. Появись такой файл на других компьютерах, подключѐнных к KSN – им сразу говорится, что опасно и не надо экспериментировать. 68
  • Пример 2 Сразу несколько пользователей скачали файл по одной и той же ссылке. Но каждый раз у файла разный хэш. KSN начинает раскручивать дело и видит, что, например, сайт зарегистрирован всего пару дней назад, на нѐм «висит» какой- нибудь iframe или с него раньше уже рассылались зараженные файлы. И снова облако вычисляет репутацию и посылает команду блокировать как сам файл, так и доступ к сайту. Важно: благодаря такому подходу в среднем между детектом и вердиктом проходит всего лишь 40 сек! 69
  • Пример 2  Другая система выкачивает из сети тот самый подозрительный файл и передаѐт его на анализ автоматическому обработчику.  Этот обработчик разрабатывает и тестирует знакомые всем обновления и выкладывает на серверы для скачки. 70
  • Программа, запускаемаяпользователем,проверяется по белымспискам и базе UDS. Взависимости от результатовэтой проверки программаполучает права доступа кресурсам компьютера илиблокируется. 71
  • Схема работы Kaspersky SecurityNetwork Информация о запускаемых или загружаемых приложениях и посещаемых веб-страницах (URL) отправляется в KSN с компьютеров, на которых установлены последние версии продуктов «Лаборатории Касперского» для домашних и корпоративных пользователей. Файлы и URL проверяются и, в случае признания их вредоносными, добавляются в базу Urgent Detection System. Легитимные файлы вносятся в белые списки (Whitelisting). 72
  • Схема работы Kaspersky SecurityNetwork Эксперты «Лаборатории Касперского» анализируют подозрительные файлы, определяют степень их опасности и добавляют описание в базу сигнатур. Спустя считанные минуты информация о вновь обнаруженных вредоносных и легитимных файлах и URL становится доступна всем пользователям продуктов «Лаборатории Касперского» (не только пользователям Kaspersky Security Network). По завершении анализа новой вредоносной программы создается ее сигнатура, которая включается в антивирусные базы, регулярно обновляемые на компьютерах пользователей. 73
  • Технологии, используемые вKSN В KSN также используется технология Wisdom of the Crowd (WoC), предоставляющая информацию о степени популярности программы и ее репутации среди пользователей KSN. Данные Глобальных рейтингов безопасности (GSR) непосредственно из «облака». Рейтинг (GSR) каждой программы рассчитывается с помощью специального алгоритма и широкого набора репутационных данных. В Kaspersky Security Network используется сочетание сигнатурных и эвристических методов детектирования вредоносных программ, технологии контроля программ с использованием белых и черных списков и репутационных сервисов (WoC и GSR). 74
  • Расширенная облачная защита длякорпоративных клиентов Облачные технологии (данные из Kaspersky Security Network) используются для создания белых списков приложений. Известные легитимные приложения автоматически распределяются по категориям (игры, коммерческое ПО и т.д.). Используя категории, системный администратор может быстро настроить и применить правила для определенных типов программ в соответствии с корпоративной политикой При формировании белых списков приложений используются данные, предоставляемые более чем 200 ведущими производителями ПО. 75
  • Расширенная облачная защита длякорпоративных клиентов Инструмент для централизованного управления Kaspersky Security Center дает возможность тонкой настройки взимодействия с Kaspersky Security Network для защиты узлов корпоративной сети. Администратор может активировать или отключить облачную защиту в различных модулях Kaspersky Endpoint Security 8 для Windows. Также есть возможность отключить передачу данных в Kaspersky Security Network, если этого требует корпоративная политика безопасности. 76
  • Преимущества Скорость реакции. Скрытая логика принятия решений. Выявление не только новых недетектируемых угроз, но и источников их распространения. 77
  • Преимущества Полнота выявляемых угроз. Минимизация ложных срабатываний. ак показывает практика, уровень ложных срабатываний при детектировании с помощью «облаков», как минимум в 100 раз ниже обычного сигнатурного детектирования 78
  • Преимущества Простота автоматизации процессов детектирования Использование «облачной» защиты позволяет минимизировать размеры скачиваемых пользователем AV-баз. 79
  • Недостатки Детектирование только по хэш- функции объекта В первых версиях реализации «облачной» инфраструктуры используется детектирование только по хэш-функциям. Однако в настоящее время, понимая, что этого недостаточно, компании внедряют и другие подходы, которые позволяют по одной «облачной» сигнатуре выявлять целые семейства угроз (в том числе полиморфные). 80
  • Недостатки Проблема с трафиком на «узких» каналах (DialUp/GPRS/etc.) Работа только с исполняемыми файлами Ненадежность сети (есть/нет) Отсутствие аутентификации и проверки корректности отправляемых источниками данных. 81
  • СЕРВИСЫ РЕПУТАЦИИ ВTREND MICRO 82
  • Trend Micro SPN Ключевой идеей этой системы была концепция ―репутации‖, то есть вынесения вердикта для ресурса (файла, сайта, сообщения электронной почты) только на основе накопленных ранее данных. То есть, без необходимости анализировать сам ресурс непосредственно в момент обращения к нему пользователя. 83
  • Методы отслеживания репутации вSPN Формирование базы ресурсов, например сайтов, и отслеживание происходящих изменений. Если, например, сайт слишком часто меняет свой IP-адрес, то это типичный признак вредоносного сайта. При этом в чем собственно заключается его вредоносность не известно. При попытке посетить этот сайт, антивирус Trend Micro в реальном времени сверяется с SPN и блокируется доступ. 84
  •  SPN хранит базу репутации источников сообщений электронной почты, а также базу репутации отдельных файлов. Наличие всех трех баз, дает второй и самый изощренный способ выявления угроз. Разработчики Trend Micro называют этот метод корреляцией. Суть метода в том, что используя по информацию в одних базах наполняются другие. 85
  • Технология Web Reputation Отслеживает надежность веб-сайтов и веб-страниц, используя сведения о репутации доменов, содержащиеся в одной из крупнейших в мире баз данных. Оценивает репутацию веб-доменов и отдельных страниц, а также ссылок на веб-сайтах (поскольку законные сайты периодически частично взламываются). Блокирует доступ пользователей к сомнительным или зараженным сайтам. 86
  • Технология Email Reputation Проверяет IP-адреса по базе данных, содержащей сведения об их репутации. Оценивает репутацию отправителей почтовых сообщений в режиме реального времени. Постоянно анализирует IP-адреса, переоценивая репутацию. Блокирует вредоносные почтовые сообщения и угрозы (например, «зомби») в «облачной» среде до их проникновения в систему. 87
  • Технология File Reputation Проверяет репутацию всех файлов по «облачной» базе данных, прежде чем предоставить пользователям доступ к ним. Минимизирует время задержки при проверке благодаря использованию высокопроизводительных сетей для доставки содержимого и локальных серверов кэширования. Использует архитектуру «облако — клиент», чтобы уменьшить размер файла локальной антивирусной базы данных и таким образом свести к минимуму угрозу увеличения объемов (большое количество создаваемых за день угроз). 88
  • Технология сравнения и анализаповедения Сравнивает сочетания действий и компоненты угрозы и определяет, являются ли они вредоносными. Постоянно обновляет множество баз данных угроз, обеспечивая реагирование на угрозы в режиме реального времени. 89
  • Программа Smart Feedback Улучшенная комплексная защита пользователей обеспечивается благодаря круглосуточному взаимодействию продуктов Trend Micro, исследовательских центров и технологий. Информация обо всех новых угрозах, обнаруженных на клиентских компьютерах в ходе плановых проверок, автоматически заносится в вирусные базы данных Trend Micro. 90
  • Пример Рассмотрим сообщение электронной почты, которое приходит в ловушку для спама в TrendLabs с известного источника спама. Если к сообщению прикреплен исполняемый файл, то с него снимается контрольная сумма и она пополняет базу репутации файлов. Одновременно этот файл автоматически запускается в контролируемом окружении и выявляется, например, что он загружает из Интернета еще два каких-то исполняемых файла. Отметим, что именно такое поведение характерно для популярных последнее время троянов семейства Trojan.Downloader. Хеш-суммы загруженных файлов также помещаются в базу репутации файлов, а адреса, с которых производилась загрузка пополняют базу репутации сайтов. Адреса, с которых загружаются дополнительные компоненты также помещаются в базу репутации сайтов. 91
  • Пример 2 Если с серверов определенного провайдера рассылается подозрительно много спама, то и все сайты, которые размещены у данного провайдера получают низкую репутацию. Разумеется, что это не означает, что доступ к ним однозначно блокируется, но им оказывается более пристальное внимание. 92
  • Пример 3 Третьим способом определения репутации ресурсов в базах SPN является система обратной связи. Фактически SPN учитывает обращение клиентов Trned Micro к ней для ее собственного пополнения. При выявлении спам-письма, IP-адрес отправителя помещается в базу на относительно короткий срок (в пределах нескольких часов). 93
  • Пример 3 Если же в течение этих нескольких часов большое количество клиентов Trend Micro обратиться к базе репутации электронной почты, чтобы свериться относительно репутации данного адреса, то это явный признак того, что адрес попал с базу не случайно. Разумеется, что если все таки произошла ошибка, у любого пользователя всегда есть возможность удалить свой адрес из базы. 94
  • СЕРВИСЫ РЕПУТАЦИИ ВПРОДУКТАХ КОМПАНИИSYMANTEC 95
  •  Согласно Отчету Symantec об угрозах Интернет-безопасности, в 2010 году зафиксировано более 286 миллионов уникальных вредоносных программ. 96
  • Insight Для обеспечения защиты от сложных и новейших угроз, Symantec Endpoint Protection 12 использует усовершенствованную технологию Insight. Эта облачная технология определения репутации файлов обеспечивает защиту виртуальных сред, основываясь на данных сообщества пользователей продуктов Symantec. 97
  • Insight Symantec собирает информацию о том, какие исполняемые файлы существуют в мире, когда они были созданы, каким количеством людей используются, откуда появляются и т.д. Это позволяет без анализа содержимого понять категорию файла: опасный файл или нет. 98
  • Insight Symantec собирает информацию о том, какие исполняемые файлы существуют в мире, когда они были созданы, каким количеством людей используются, откуда появляются и т.д. Это позволяет без анализа содержимого понять категорию файла: опасный файл или нет. Insight позволяет снизить на 70 % нагрузку на рабочую станцию. 99
  • SONAR Используемая технология SONAR, основанная на репутационно- поведенческом подходе, позволяет отслеживать работающие приложения на предмет подозрительного поведения и блокировать уязвимости нулевого дня и узконаправленные угрозы в режиме реального времени. 100
  • Гибридные технологии защиты Гибридные технологии защиты с использованием облачной репутационной технологии Insight сегодня представлены как в домашних (Norton), так и в корпоративных (Symantec Endpoint Protection 12) продуктах Symantec для защиты рабочих станций, серверов и других устройств, подключенных к сети. 101
  • Гибридные технологии защитыВ облаке Symantec содержатся анонимные данные о распространении более 2,5 миллиардов файлов более чем на 175 миллионах компьютерах клиентов 102
  • Shared Insight Cache Shared Insight Cache позволяет производить сканирование любых файлов всего лишь один раз на инфраструктуру. Т.е. если на нескольких серверах или рабочих станциях есть одинаковые файлы, то лишь на одной машине файл будет просканирован, а на всех остальных машинах сканирование производиться не будет. 103
  • «ОБЛАЧНЫЙ» ПОДХОД:УНИВЕРСАЛЬНАЯ ТАБЛЕТКАИЛИ МОДНЫЙ ПИАР? 104
  •  Не стоит рассматривать антивирусные «облака» в качестве обособленной технологии защиты пользователя. Максимальная эффективность защиты достигается при одновременном использовании уже имеющихся наработанных технологий защиты вместе с «облачной» антивирусной системой. При таком объединении мы получаем лучшее от обоих подходов: «облачную» скорость реакции на неизвестные угрозы, высокий уровень детектирования, проактивность, низкий уровень ошибок и полноту выявляемых угроз. 105
  • Спасибо за внимание! Вопросы? Безмалый В.Ф. MVP Consumer Security Microsoft Security Trusted Advisor vladb@wondowslive.com http://bezmaly.wordpress.com