Продукты Doctor web: как на самом деле нужно защищаться?

2. По каким критериям выбирается
антивирус?
2

3. • По рекомендациям знакомых
• По количеству побед в “независимых
тестированиях”
• Пришел шеф и сказал, какой на самом
деле продукт нужно использовать
3

4. А какую задачу в организации должен
выполнять антивирус?
4

5. В большинстве случаев считается, что
задача антивируса – не допустить ни одной
вредоносной программы в локальную сеть
Но это ответ, устаревший на кучку лет
5

6. Каков итог такого подхода?
6

7. Как правило в компании или
организации установлен антивирус, а
иногда и иные средства обеспечения
безопасности. Приняты документы по
ИБ
7

8. Антивирус «тормозит»!
Ваш антивирус пропустил
вирус! Мы переходим на
другой!
8

9. Чуть-чуть статистики
9

10. 12
10
8
6
4
2
0
2010 год
2011 год
Попытки Хищения
2010г.:
- 2 из 6 попыток успешные (33%);
- посягательств на 4,8 млн.руб.,
- похищено 175 тыс.руб. (4%)
- средняя сумма хищения 90 тыс. руб.
2011г.:
- 9 из 23 попыток успешные (~40%);
- посягательств на 12 млн.руб.
- похищено 8,5 млн.руб. (70%)
- средняя сумма хищения 450 тыс. руб.
млн. руб.
10
По материалам IV Межбанковской конференции “УРАЛЬСКИЙ ФОРУМ: ИНФОРМАЦИОНННАЯ БЕЗОПАСНОСТЬ БАНКОВ”

11. 11
• По сравнению с 2011–2012 гг. средний уровень
защищенности сетевого периметра и внутренних сетей
понизился.
• Для проведения атак внешнему злоумышленнику теперь
требуется более низкая квалификация. Для 50% атак
достаточно низкой квалификации, тогда как ранее такая
квалификация была достаточной для 40% атак
• Получение полного контроля над важными ресурсами из
внутренней сети теперь возможно для 100%
рассмотренных систем, тогда как ранее подобный
результат был получен в 84% случаев. В 71% случаев
внутренний нарушитель может получить полный
контроль над всей информационной инфраструктурой.
Статистика уязвимостей корпоративных
систем (2013 ) Positive Technologies

12. 12
• с 10 до 64% возросла доля систем, где не установлены
актуальные обновления безопасности на узлах сетевого
периметра.
• Наиболее распространенной уязвимостью ресурсов
внутренней сети по-прежнему является использование
слабых паролей, которые встречаются в 92% систем.
• В каждой третьей системе уровень осведомленности
пользователей был оценен как низкий, в этих системах
свыше 20% адресатов рассылки, эмулирующей фишинг,
перешли по предложенным ссылкам и запустили
предложенный файл или ввели свои учетные данные.
Статистика уязвимостей корпоративных
систем (2013 ) Positive Technologies

13. Только три примера новых угроз:
• Троян-шифровальщик для шифрования файлов,
хранящиеся в сетевых хранилищах производства
компании Synology.
http://news.drweb.com/show/?c=5&i=5890&lng=ru
• Трояны для блокировки Android устройств и кражи с них
денежных средств
http://news.drweb.com/show/?c=5&i=5886&lng=ru
http://news.drweb.com/show/?c=5&i=5815&lng=ru
• Хакеры могут следить за пользователями, даже не
расшифровывая трафик
http://www.securitylab.ru/news/456716.php
13

14. Троян, предназначенный для удаления
на инфицированном компьютере других
вредоносных программ.
http://news.drweb.com/show/?c=5&i=5813&lng=ru
В этих условиях за чистотой в сети начинают следить уже
вирусы
14

15. Несмотря на значительные вложения в
информационную безопасность компании и
организации беззащитны
-
при полной уверенности как
руководства, так и сотрудников ИТ-
отделов в обратном
15

16. Традиционные вопросы:
• Почему так?
• Что делать?
16

17. Причина раз
Качественное изменение угроз и
неосведомленность об этом пользователей
17

18. Сколько вредоносных файлов
приходит на анализ ежедневно
?
100?
1000?
18

19. Ежедневно на анализ в антивирусную
лабораторию поступает более 200 тысяч
новых вирусов
19
По данным Dr.Web Virus Analysts Web Site

20. 250 тысяч
в день
И это далеко не все, что создано…
20

21. Вредоносные программы разрабатываются
не хакерами-одиночками, но
криминальными структурами, что
позволяет “выпускать на рынок”
вредоносные программы,
протестированные на необнаружение
антивирусами
Справка. Тесты на обнаружение неизвестных
вирусов определяют возможность обнаружения
угроз подобных ранее известным и ничего не
говорят о возможности решения противостоять
угрозе, заточенной на необнаружение конкретным
решением
21

22. http://updates.drweb.com/ - ТОЛЬКО для обновлений за 2012-03-02:
Trojan.Carberp.14(2) Trojan.Carberp.15(7) Trojan.Carberp.194
Trojan.Carberp.195 Trojan.Carberp.196 Trojan.Carberp.197 Trojan.Carberp.198
Trojan.Carberp.199 Trojan.Carberp.200 Trojan.Carberp.201 Trojan.Carberp.202
Trojan.Carberp.203 Trojan.Carberp.204 Trojan.Carberp.205 Trojan.Carberp.206
Trojan.Carberp.207 Trojan.Carberp.208(14) Trojan.Carberp.209
Trojan.Carberp.210 Trojan.Carberp.211 Trojan.Carberp.213 Trojan.Carberp.214
Trojan.Carberp.215 Trojan.Carberp.216 Trojan.Carberp.217 Trojan.Carberp.218
Trojan.Carberp.219 Trojan.Carberp.220 Trojan.Carberp.221 Trojan.Carberp.222
Trojan.Carberp.224 Trojan.Carberp.225 Trojan.Carberp.226 Trojan.Carberp.227
Trojan.Carberp.228 Trojan.Carberp.229 Trojan.Carberp.230 Trojan.Carberp.231
Trojan.Carberp.232 Trojan.Carberp.233 Trojan.Carberp.234 Trojan.Carberp.235
Trojan.Carberp.236 Trojan.Carberp.237 Trojan.Carberp.238 Trojan.Carberp.239
Trojan.Carberp.240 Trojan.Carberp.241 Trojan.Carberp.242 Trojan.Carberp.243
Trojan.Carberp.244 Trojan.Carberp.245 Trojan.Carberp.246 Trojan.Carberp.247
Trojan.Carberp.248 Trojan.Carberp.249 Trojan.Carberp.250 Trojan.Carberp.251
Trojan.Carberp.252 Trojan.Carberp.253 Trojan.Carberp.254 Trojan.Carberp.255
Trojan.Carberp.256 Trojan.Carberp.257 Trojan.Carberp.258 Trojan.Carberp.259
Trojan.Carberp.260 Trojan.Carberp.261 Trojan.Carberp.262 Trojan.Carberp.263
Trojan.Carberp.264 Trojan.Carberp.265 Trojan.Carberp.266 Trojan.Carberp.267
Trojan.Carberp.29(14) Trojan.Carberp.33(10) Trojan.Carberp.45(4)
Trojan.Carberp.5(3) Trojan.Carberp.60(6) Trojan.Carberp.61 Trojan.Carberp.80
22

23. Троянцы семейства Trojan.Carberp нацелены на хищение денежных
средств компаний и частных лиц. Распространяется Trojan.Carberp с
использованием набора эксплоитов Black Hole Exploit Kit —
коллекции уязвимостей, эксплуатирующих ошибки и
недокументированные возможности современного ПО, в частности,
браузеров и операционных систем. В большинстве случаев жертве
Black Hole не нужно предпринимать вообще никаких действий для
того, чтобы «получить троянца»: заражение происходит
автоматически при просмотре инфицированных веб-сайтов
Разработкой и “продвижением” Trojan.Carberp занимается
организованная группа: разработчики находятся в одной стране,
сервера, с которых непосредственно распространяется троян – в
другой, организаторы – в третьей
23

24. Trojan.Carberp для перехвата связанной с работой ДБО
информации использует различные методы:
 логирование нажатий пользователем клавиш,
 вклинивание в HTTP-трафик в поисках учетных данных и
передаваемых значений экранных форм,
 встраивание в процессы программ системы банк-клиент,
 создание скриншотов в моменты ввода важной информации,
 перехваты отдельных функций, которые могут участвовать в
передаче данных,
 поиск и похищение сертификатов и ключей.
Все варианты троянцев зашифрованы вирусными
упаковщиками.
Среди команд, которые способен выполнять
Trojan.Carberp, имеются директивы запуска произвольных
файлов на инфицированном компьютере, команда установки
сеанса «удаленного рабочего стола» по протоколу RDP, и
даже удаления на зараженном ПК операционной системы.
24

25. Современные вредоносные программы:
• Отлично маскируются в системе. Trojan.Carberp запускаясь на
инфицированной машине, предпринимает целый ряд действий
для того, чтобы уйти от средств контроля и наблюдения. После
успешного запуска троянец внедряется в другие работающие
приложения, а свой основной процесс завершает, таким
образом, вся его дальнейшая работа происходит частями
внутри сторонних процессов, что является его характерным
свойством. Миф о том, что появление любого вируса можно
заметить визуально отжил себя окончательно
• конкурируют между собой - в Trojan.Carberp имеется
возможность уничтожения «конкурирующих» банковских
троянцев
• действуют в составе ботнетов, управляемых из одного (или
нескольких) командных центров. Таким образом зараженная
машина или сеть служит еще и источником заражения
• благодаря возможности удаленного управления и возможности
использования плагинов имеется возможность организации
атаки на конкретную компанию по заказу извне. На данный
момент имеются версии плагинов под большинство
известных банковских систем!
25

26. Carberp контролирует работу пользователей и собирает логи для:
26
• Windows Live Messenger
• Google talk
• Paltalk
• QIP Online
• JAJC
• Miranda ICQ
• Yahoo Messenger
• Outlook
• Jabber
• AOL Instant Messenger
• Camfrog
• POP Peeper
• PocoMail
• Vypress Auvis
• Group Mail
• Incredi Mail
• Mail.Ru
• Eudora
• The Bat!
• Becky! Internet Mail
• Windows Mail
• MRA
• Internet Explorer
• Safari
• Firefox
• Chrome
• Opera
Carberp собирает пароли от Windows Commander, Total Commander,
FileZilla, FTP Commander, CuteFTP, CoffeeCup, Frigate3, WinSCP, Free
FTP, LeapFTP, Cryper Web Site Publisher, Far Manager FTP

27. Carberp пытается внедриться на страницы с именами
• esk.sbrf.ru
• online.sberbank.ru
• *.alfabank.*
• sbi.sberbank.ru
• ibank.prbb.ru
• *telebank.ru
Carberp пытается перехватить платежи через PayPal, IBank,
Cyberplat и PSB
27

28. В этих условиях полагать, что антивирус
предотвратив все попытки проникновения –
безумие.
Задачи антивируса в современных сетях
стали принципиально иными
28

29. Проблема два
А как мы должны защищаться?
29

30. Нам нужно исключить появление вирусов.
Что предлагается делать специалистам по
безопасности
?
30

31. Требования к реализации АВЗ.1: Оператором
обеспечивается антивирусная защита информационной
системы.
Реализация антивирусной защиты должна предусматривать:
• применение средств антивирусной защиты на
автоматизированных рабочих местах, … средствах
межсетевого экранирования, прокси-серверах, почтовых
шлюзах и других средствах защиты информации),
мобильных технических средствах и иных точках
доступа в информационную систему, подверженных
внедрению (заражению) вредоносными
компьютерными программами…;
• проверка в масштабе времени, близком к реальному,
объектов (файлов) из внешних источников (съемных
машинных носителей информации, сетевых
подключений, в том числе к сетям общего пользования,
и других внешних источников) при загрузке, открытии
или исполнении таких файлов;
31

32. Требования к усилению АВЗ.1:
• в информационной системе должно обеспечиваться
централизованное управление (установка,
удаление, обновление, конфигурирование и
контроль актуальности версий программного
обеспечения средств антивирусной защиты)
средствами антивирусной защиты,
установленными на элементах информационной
системы (серверах, автоматизированных рабочих
местах);
• оператором должен обеспечиваться запрет
использования съемных машинных носителей
информации;
• в информационной системе должна обеспечиваться
проверка объектов файловой системы средством
антивирусной защиты до загрузки операционной
системы;
32

33. Решит все вышеперечисленное проблему
защиты от вредоносных файлов?
33

34. Только одно требование
Меры по антивирусной защите должны
обеспечивать обнаружение в информационной
системе компьютерных программ либо иной
компьютерной информации, предназначенной для
несанкционированного уничтожения,
блокирования, модификации, копирования
компьютерной информации или нейтрализации
средств защиты информации, а также
реагирование на обнаружение этих программ и
информации.
Приказ ФСТЭК России от 11 февраля 2013 г. N 17
34

35. И чем защищаться?
Организационные и технические меры защиты информации,
реализуемые в информационной системе в рамках ее системы
защиты информации, в зависимости от угроз безопасности
информации, используемых информационных технологий и
структурно-функциональных характеристик информационной
системы должны обеспечивать:
• идентификацию и аутентификацию субъектов доступа и
объектов доступа;
• управление доступом субъектов доступа к объектам доступа;
• ограничение программной среды;
• защиту машинных носителей информации;
• антивирусную защиту;
• обнаружение (предотвращение) вторжений;
• целостность информационной системы и информации;
• …
Приказ ФСТЭК России от 11 февраля 2013 г. N 17
Что в данном списке должно обеспечить защиту от
вирусов?
35

36. Имеется разрыв между тем, как видится
система защиты ее создателям и тем, что
она может реально
36

37.  Разрыв между требованиями, прописанными
в документах регуляторов и тем, что могут
средства защиты
 Разрыв между положениями документов и
тем, как их понимают исполнители
 Разрыв между реальным уровнем угроз и его
всем известным значением
 Разрыв между требуемым уровнем
компетенции и знаниями, даваемыми в
ВУЗах
 Разрыв между затратами, требуемыми для
реальной защиты – и возможностью
компаний
37

38. В этих условиях совершение
компьютерного преступления – вопрос
времени
38

39. Проблемы три/четыре/пять
Недоучет рисков
Формальный подход к обеспечению
безопасности
Обеспечение безопасности в соответствии
с имеющимися финансами
39

40. … вредоносная программа действует с использованием ряда
уязвимостей в ПО сетевых хранилищ NAS (Network Attached
Storage) производства компании Synology. Троянец выполняет
шифрование хранящихся на устройстве данных и требует у жертвы
выкуп
http://news.drweb.com/show/?c=5&i=5890&lng=ru
Уязвимости есть везде
Вопрос не в наличии уязвимостей – вопрос можно
ли через них проникнуть к вам!
40

41. «Готовы ли вы перейти на работу с большей
зарплатой к конкурентам, при условии передачи им
конфиденциальных данных?»
«Я уже так делал» - 5.3%;
«Жаль только не предлагают» - 20.2%;
«Да, но я ничего не знаю» - 10.1%;
«Нет. Боюсь, меня оттуда быстро уволят» - 11.5%;
«Нет, это аморально» - 52.8%.
«Использовали ли вы в личных целях служебную
информацию?»
«Использовал» - 26.8%.
«Не было возможности, но хотелось» - 8.9%;
«Нет» - 50.8%;
«Никогда не обладал такой информацией» - 13.4%;
http://searchinform.ru/news/digest-articles/2758
41

42. Компоненты защиты для OS Windows
“Зачем мне нужны непонятные компоненты?”

43. Заражено может быть все!
В очередной раз описаны способы эксплуатации уязвимостей
JetDirect — технологии, которая обеспечивает подключение
сетевых принтеров к локальной сети, обычно по порту TCP
9100.
В частности можно получить доступ к содержимому чужих
документов в памяти принтера
Список производителей, выпускающих принтеры с поддержкой
JetDirect: Canon, Fujitsu, HP, Konica Minolta, Lexmark, Xerox,
Sharp, Kodak, Brother, Samsung, Toshiba, Ricoh, Kyocera Mita,
Lanier, Gestetner, Infotek, OCE, OKI.
http://blog.seguesec.com/2013/01/ahora-puedes-imprimir-ahora-no
43

44. Только установка антивируса на всех узлах сети
способна предотвратить распространение
неизвестного вируса по сети и возникновение
повторных заражений – незащищенный сервер или
рабочая станция – лакомый кусок для
злоумышленника!
44

45. Проблема шесть
А все ли золото, что блестит или Мы
отвечаем за то, что мы выбираем или
стоит ли верить моде?
45

46. Интеграция с корпоративными системами управления,
использование в своих приложениях сторонних
библиотек
Интеграция с корпоративными системами управления позволяет, в
частности, не переключаясь между интерфейсами систем
управления, контролировать состояние всей сети.
Но каждая система безопасности настолько надежна, насколько
она себя контролирует. Примеры взлома защищенных систем (java,
защищенные среды исполнения) постоянно освещаются в
новостях. Полагаясь на систему управления, компоненты которой
не защищены от модификации или подмены, администратор может
в один прекрасный момент увидеть совсем не то, что происходит в
сети.
46

47. А между прочим:
Разделение в информационной системе функций по управлению
(администрированию) информационной системой, управлению
(администрированию) системой защиты информации, функций по
обработке информации и иных функций информационной системы
Приказ ФСТЭК России № 17
47

48. Использование в локальной сети ПО, имеющего
известные уязвимости или ПО для которого нет
средств защиты
48

49. Вирус AdThief заразил более 75 тыс. iOS-устройств
http://www.anti-malware.ru/news/2014-08-21/14586
Гетерогенная среда создается путем применения различных типов
информационных технологий с целью ограничения возможностей
потенциальных нарушителей по реализации угроз безопасности
информации (по несанкционированному доступу к информации,
внедрению вредоносного программного обеспечения
(компьютерных вирусов) и по организации вторжений
(проведению компьютерных атак)).
В информационной системе должно применяться прикладное и
специальное программное обеспечение, имеющих возможность
функционирования на различных типах операционных системах
(независимое от вида операционной системы прикладное и
специальное программное обеспечение).
Приказ ФСТЭК России № 17
49

50. Проактивные системы (обычного типа)
Требуют наличия в базах данных всех профилей всех
существующих в мире программ, что нереально – в том
числе в связи с тем, что программы постоянно обновляются.
Это приводит к тому, что у пользователя временами
запрашивается разрешение на то или иное действие. И
неверный ответ может привести к тяжелым последствиям.
Таким образом, реальна атака на «приучение» пользователя
отвечать «да» и последующее вредоносное действие.
50

51. Системы на основе контроля за изменениями, в том числе
облачные
Прорывная технология в момент возникновения,
позволяющая сократить время проверки, сейчас не имеет
смысла – контрольные суммы файлов нужно пересчитывать
после каждого обновления, то есть примерно раз в час, что
увеличивает торможение системы.
В дополнение к этому облачные системы критичны к каналу
доступа в Интернет.
51

52. Достаточно много систем “безопасности” рекламируют
подход на основе контрольных сумм
Да, когда-то и антивирусы имели в своем составе подобное,
но отказались от этой технологии – файл может остаться
неизвестным, но поменяв переменные окружения вместо
него запускается иной файл
И не забываем о неизвестных вирусах!
52

53. Возможность внедрения вредоносных программ в
легитимные загрузки – в том числе в подписанные
исполняемые файлы, если проверка подписи не проводится
перед их выполнением
http://www.securitylab.ru/news/456834.php
Во-первых, антивирусная защита поддерживается только
для Windows. Для реализации безагентового сценария при
виртуализации Linux/Unix/… придётся подождать VMware.
Во-вторых, … не работает функция карантина для файлов и
зараженных «виртуалок». Т.е. отловленного зловреда можно
только убить, вылечить или протрубить сигнал сисадмину.
В-третьих… Увы – всё это тоже особенности API от
VMware.
Eugene Kaspersky Амбиции, лень и жадность в IT-бизнесе
53

54. Антиспам системы на основе байесовских сумм
Могут быть доведены до 100-процентого обнаружения
спама, но требуют постоянного обучения и используют
внешние базы DNSBL – в связи с чем уязвимы к атакам на
дискриминацию отправителя через внесение его в данные
базы.
Облачные системы антиспама также могут быть уязвимы к
атакам на дискриминацию отправителя.
54

55. Блокирование сменных носителей на основе их
идентификаторов
Но сейчас партии флешек выпускаются с одним
идентификатором
55

56. Думаете это полный список ложных технологий,
которые вам продают?
• Виртуальные клавиатуры
• Защищенные среды исполнения
• Менеджеры паролей
• Системы анализа уязвимостей
• Программы, именующиеся себя
антируткитами и антиспуваре
56

57. Каждая из этих технологий имеет свои плюсы –
глупо это отрицать – но каждая из них должна
быть обложена варнингами о возможных
проблемах
57

58. А как преступники получают доступ к
информации и деньгам компании?
58

59. Большинство компаний:
• Считают, что они слишком мелкие чтобы
заинтересовать хакеров
• Доверяют и своим сотрудникам и их
квалификации – “на серверах у нас
работают только системные
администраторы, поэтому там вирусов
быть не может”
59

60. Сейчас тоже можно по старинке – фишингом - выудив у
жертвы базу данных e-mail адресов корпоративных клиентов
Можно ограбить жертву…
Но люди ленивы, а чем преступники хуже всех?
60

61. Интернет велик, но большинство посещают одни и те же
сайты – причем ежедневно.
Сайты новостные, сайты финансовые…
Нужно же быть в курсе!
61

62. Для проникновения/внедрения вирусов в защищаемую
систему используются:
 Методы социальной инженерии (вирус Стихнет)
 Взлом сайтов и ресурсов сети Интернет, наиболее часто
посещаемых целевой группой
Так же для целью криминальных структур служат личные
устройства и домашние компьютеры сотрудников и клиентов
компании-цели. Целью их взлома и заражения является, как
хищение и подмена данных, так и проникновение с их
помощью в защищаемую сеть
62

63. От момента совершения мошеннической
операции и до вывода средств проходит 1–3
минуты!
63

64. Учтем что:
 Все люди одной специальности ходят на одни
и те же сайты.
 Как минимум с личных машин сотрудники
работают с правами администратора
 Большинство выходит в Интернет с рабочего
компьютера
 У почти всех стоят Adobe Acrobat и Adobe
Flash.
64

65. Попробуем определить требования к
антивирусной защите?
65

66. Когда в 1988 году появились сообщения о вирусе Good Times,
небезызвестный Роберт Моррис III создал следующее
руководство по борьбе с вирусом:
 Не используйте электрическую сеть!
 Не используйте батарейки и аккумуляторы - есть
сведения, что вирусом захвачено большинство фабрик
по их производству, и вирус заражает положительный
полюс батарей и аккумуляторов (вы можете
попробовать присоединять только "-").
 Не скачивайте и не закачивайте файлы.
 Не храните файлы на жестком диске или дискетах.
 Не читайте почтовые сообщения. Даже это!
 Не используйте последовательные порты, модемы и
телефонные линии.
…
66

67. …
 Не пользуйтесь клавиатурой, монитором или
принтером.
 Не используйте процессор и память!
 Не пользуйтесь электрическим светом, электрическими
или газовыми обогревателями. Не включайте
кондиционер. Опасайтесь воды и огня!
Я уверен, что если все мы будем следовать этим 9 простым
инструкциям, вирус будет уничтожен, и электронные
флюиды наших компьютеров вновь станут чистыми.
67

68. Для собственной защиты от вредоносных
программ можно пользоваться и этими советами.
Но для компаний есть способ и лучше!
68

69. Что нужно пользователю?
 Чтобы все работало и не тормозило
 Чтобы продукт был:
 прост в использовании,
 потреблял мало ресурсов,
 не пропускал вирусов
 не давал возможности по незнанию
протащить вирус
69

70. Антивирус обязан
 иметь систему самозащиты, не позволяющую
неизвестной вредоносной программе нарушить
нормальную работу антивируса
 нормально функционировать до поступления обновления,
позволяющего пролечить заражение
 иметь систему сбора информации, позволяющую
максимально быстро передавать в антивирусную
лабораторию всю необходимую для решения проблемы
информацию
 лечить активные заражения
70

71. Продукт
Поддерживаемые
ОС/платформы
Базовая лицензия
Дополнительные
компоненты
Dr.Web®
Desktop Security
Suite
Windows
Комплексная
защита*  ЦУ
 Криптограф
Антивирус**
Mac OS X, Linux
Антивирус
 ЦУ
OS/2, MS DOS
Dr.Web®
Server Security Suite
Windows, Novell NetWare,
Mac OS X Server Антивирус  ЦУ
Unix (Samba)
Dr.Web®
Mail Security Suite
MS Exchange
IBM Lotus Domino
Unix
Kerio (Windows, Linux, Mac
OS X)
Антивирус
 ЦУ
 Антиспам (кроме
Kerio)
 SMTP proxy
Dr.Web®
Gateway Security
Suite
MS ISA/TMG
Антивирус
Kerio
 ЦУ
Unix
MIMEsweeper, Qbik WinGate  Антиспам
Dr.Web®
Mobile Security Suite
Windows Mobile
Антивирус
 ЦУ
Android
Symbian OS  Антиспам
* В лицензию Комплексная защита входят следующие компоненты: антивирус, антиспам, веб-антивирус, офисный контроль, брандмауэр (соответствует
продукту для домашних пользователей Dr.Web Security Space).
** В лицензию Антивирус входят антивирус, антишпион, антируткит, брандмауэр.
71
В состав Dr.Web Enterprise Security Suite
добавлялись новые продукты

72. Почему Dr.Web?
72

73. Защита информационных, финансовых и
временных ресурсов для любого бизнеса:
 Dr.Web Enterprise Security Suite – надёжная защита
корпоративной сети
 Dr.Web CureNET! – необходимое дополнение к
антивирусу другого производителя
 Dr.Web LiveCD – «скорая помощь» при сложнейших
заражениях
Запомним эти имена!
73

74. Dr.Web Enterprise Security Suite защищает не только
локальную сеть, но и мобильные устройства
сотрудников, их домашние ПК — как имеющие
выход в Интернет, так и не имеющие его.
Администратор компании может гарантировать,
что с личных компьютеров сотрудников в
локальную сеть не попадет ничего лишнего.
74

75. Все помнят количество дыр в Adobe Flash/Acrobat, через которые
потоком шли вирусы? Использование SpIDer Gate и SpIDer Mail
позволяет исключить проникновение вредоносных объектов через
уязвимости программ (таких как браузеры, Аdobe Flash и Аdobe
Acrobat, почтовые клиенты), поскольку весь трафик проверяется до
его поступления в соответствующую программу! Проверен будет
даже шифрованный трафик/
Наличие в Dr.Web Комплексная защита, так же как в Dr.Web Security
Space (в отличие от более дешевого решения Антивирус Dr.Web)
дополнительных модулей позволяет вам обеспечить комплексную
антивирусную защиту, поскольку основная масса вредоносных
программ (в том числе нацеленных на кражу денежных средств и
контроль за своими жертвами) попадает в компьютеры
пользователей из сети Интернет.
75

76. Dr.Web - только чистый интернет-контент
 Сканирует HTTP-
трафик
 Фильтрация файлов,
аплетов, скриптов
 Не зависит от
используемого
браузера
 Начинает
сканирование сразу
после установки в
системе
 Блокировка
фишинговых и
других опасных
сайтов по записям в
соответствующих
базах ссылок
76

77. Dr.Web: защита почтовых сообщений
 Работа с протоколами
POP3, IMAP4, NNTP,
SMTP в режиме
реального времени
 Проверка всех
компонентов письма
 Прозрачность работы
 Высокая степень
обнаружения
вредоносных кодов.
 Эффективная
фильтрация спама
77

78. Dr.Web - защита нужной информации
Запрет доступа к файлам, папкам, съемным
носителям и ресурсам сети
78

79. Фоновое сканирование на руткиты
 Новая подсистема фонового сканирования и
нейтрализации активных угроз в критических областях
Windows и системной BIOS компьютера
 Бережное потребление ресурсов системы (CPU, IO,
RAM), а также учет мощности аппаратного обеспечения
– автоматическое реагирование на изменение
потребностей пользователя
79

80. Расширенная превентивная защита
Опция блокировки автоматической модификации критических
объектов Windows, а также контроля некоторых небезопасных
действий (4 режима)
80

81. Антивирусное ядро компании не идет вслед за
угрозами, используя сигнатурные методы.
Использование технологии Origin Tracking
позволяет быть на шаг впереди
81

82. Dr.Web Virus-Finding Engine
 Оптимальное количество записей
82

83. Сокращение времени реакции
83

84. Расширенная превентивная защита
Опция блокировки автоматической модификации критических
объектов Windows, а также контроля некоторых небезопасных
действий (4 режима)
84

85. Dr.Web Cloud
 Мгновенная
проверка URL на
серверах компании
«Доктор Веб» через
сервис Dr.Web Cloud
в режиме реального
времени — вне
зависимости от
состояния вирусных
баз Dr.Web на
компьютере
пользователя и
настроек
обновления.
85

86. Комфортная работа при включенной системе
защиты
86

87. 87
Нет ничего проще!
Предотвратить заражения через сменные
носители?

88. Нет ничего проще!
Предотвратить заражения через сменные
носители?
88

89. Нет ничего проще!
Предотвратить заражения через
вредоносные веб-ресурсы?
89
SpiderGate проверяет веб-трафик до его
поступления в браузер, использует базу
вредоносных ресурсов, сигнатурный поиск
вирусов и эвристические технологии

90. Нет ничего проще!
Предотвратить заражения через
вредоносные веб-ресурсы?
90
Добавить
адрес в белый
список
Добавить
адрес в
черный список

91. Предотвратить заражения через
вредоносные веб-ресурсы? Почему
Dr.Web?
ScriptHeuristic:
• предотвращает исполнение любых вредоносных
скриптов в браузере и PDF-документах, не нарушая при
этом функциональности легитимных скриптов
• Защищает от любых вредоносных скриптов в HTML и
PDF-документах
• Защищает компьютер от заражения неизвестными
вирусами через веб-браузер
• Работает независимо от состояния вирусной базы
Dr.Web
• Работает с любыми веб-браузероми
91

92. Предотвратить заражения через
вредоносные веб-ресурсы? Почему
Dr.Web?
ScriptHeuristic это не только работа со
скриптами –
обнаружение неизвестных угроз
в HTML и PDF-документах.
92

93. Нет ничего проще!
Предотвратить заражения при запуске
вируса пользователем?
Обнаруживае
т
неизвестные
угрозы
Предотвращае
т запуск
вирусов
93

94.  Просмотр состава аппаратно-программного обеспечения на
защищенных станциях локальной сети
94
Нет ничего проще!
Контроль за установленным программным
и аппаратным обеспечением

95.  Контроль возникновения эпидемий
 Контроль списка работающих в
данный момент на станциях
антивирусной сети пользователей
 Просмотр местоположения станций
и серверов на карте
95
Где и что происходит?
Нет ничего проще!

96. В сети разные
операционные системы?
Централизованное управление
антивирусом только для одного
типа систем?
Приходится бегать от одного
компьютера к другому?
96

97. Центр Управления Dr.Web
поддерживает все популярные
платформы
97

98. 98

99.  Изменение первичной группы при
автоматическом подтверждении доступа
станций к антивирусному серверу
 Гибкая система управления заданиями
99
Dr.Web Enterprise Suite 10:
Сокращение стоимости сопровождения системы
защиты

100.  Интеграция с Active Directory и LDAP, включая
синхронизацию групп станций
100
Dr.Web Enterprise Suite 10:
Сокращение стоимости сопровождения системы
защиты

101.  Поддержка кластеров
антивирусных серверов Dr.Web
 Система распределения прав
администраторов антивирусной
сети
101
Dr.Web Enterprise Suite 10:
Безопасность и отказоустойчивость

102.  Новостной агент
 Система
оповещений
администраторов,
включающая
поддержку SNMP
102
Dr.Web Enterprise Suite 10:
Безопасность и отказоустойчивость

103.  Возможность
управления базой
данных через Центр
Управления
 SQL-консоль для
выполнения произвольных
SQL-запросов
103
Dr.Web Enterprise Suite 10:
Полное использование возможностей
современных решений

104.  Загрузка системой обновления только изменившихся
файлов
 Проверка обновлений на выбранных
компьютерах/группах
 Возможность ограничения канала по группам
 Управление ревизиями обновлений продуктов,
находящихся в репозитории Dr.Web Сервера
104
Dr.Web Enterprise Suite 10:
Российская система обновлений

105.  Возможность экспорта, импорта и распространения
конфигурации группы или рабочей станции на другие группы и
станции
 Удобный механизм изменения политик, применения их к
определенным группам
 Возможность скачивания конфигурационного файла с
настройками подключения Dr.Web Агентов под ОС Android, Mac
OS X и ОС семейства UNIX из Центра Управления
105
Dr.Web Enterprise Suite 10:
Управление политиками системы защиты

106.  Экспорт статистики антивирусной сети в формате PDF
 Отправка статистических отчетов по электронной почте
через расписание Dr.Web Сервера
 Отображение статистики работы самого антивирусного
сервера
 Контроль действий администраторов
106
Dr.Web Enterprise Suite 10:
Все под контролем

107.  Установка с помощью полного антивирусного агента –
дистрибутива, содержащего все необходимые для установки
компоненты
 В состав Dr.Web Enterpise Suite 10 вошли пакеты, с помощью
которых возможна установка на иные кроме Windows
операционные системы – в том числе Linux и FreeBSD
 Сканер сети позволяет производить поиск станций, находящихся
в разных доменах, а при установке станции могут
распределяться по группам в соответствии с заранее заданными
правилами
 Возможность рассылки инсталляционных файлов Dr.Web
Агентов из Центра Управления по электронной почте
 Установка с помощью службы распределенной файловой
системы (DFS)
107
Dr.Web Enterprise Suite 10:
Расширение возможностей по установке

108.  отсутствие влияния ограничений операционной
системы на количество станций на одном
сервере
 встроенная база данных
 возможность использования любых внешних баз
данных
108
Dr.Web Enterprise Suite 10:
Полное использование возможностей
современных решений

109.  Выбор тех обновлений, которые будут устанавливаться
 Установка обновлений в указанное время
 Групповые обновления
 Просмотр информации о результатах обновления на
станциях сети
 Выбор для обновления ближайших серверов ВСО
 Получение обновлений с помощью утилиты автономной
загрузки репозитория Dr.Web Сервера из ВСО
 Добавлена возможность обновления по защищенному
каналу с использованием SSL-сертификатов
109
Dr.Web Enterprise Suite 10:
Новая система обновлений

110. Только один пример увеличения качества
110

111. Наиболее популярные почтовые сервера:
Microsoft Exchange (40,1%)
Sendmail (30,6%)
Postfix (22,2%)
Kerio MailServer (12.8%)
IBM Lotus Domino (10.6%)
Exim (10.2%)
qmail (7.4%)
Communigate Pro (7.4%)
Почему нужно защищать почтовый
сервер?
111

112. Только защита почтового сервера может защитить
его от превращение в источник заражений при
проникновении в сеть неизвестного вируса!
112

113. Dr.Web Mail Security Suite
Защита почтовых серверов MS Exchange
113

114. 114
Dr.Web Mail Security Suite
Защита почтовых серверов MS Exchange

115. 115
Dr.Web для почтовых серверов Exchange не следует
канонам!

116. Однако все антивирусные программы, проверяющие почту,
поступающую на почтовый сервер, интегрируются с ним с
помощью API этого сервера - и тем самым ограничиваются в
своих возможностях. Например для MS Exchange в принципе
невозможно проверить письмо целиком – и использовать
правила опирающиеся на признаки, которые могут быть в
различных частях письма - MS Exchange отдает письма своим
плагинам только по частям. Для MS Exchange даже
статистика проверенного отражает не количество
проверенных писем, а количество проверенных объектов!
SMTP-шлюз, самостоятельно принимающий и
отправляющий почту не ограничен в своих возможностях
анализа – и качество фильтрации с помощью его заведомо
лучше!
116

117. Использование SMTP proxy
 Фильтрация почтового трафика на вирусы и спам
 Уникальные настройки на основе правил
 Фильтрация и исключение из проверки сообщений по
различным критериям
 Предотвращение массовых рассылок
 Архивация всех проходящих сообщений
 Возможность помечать и модифицировать письма
 Защита собственных модулей от сбоев
117

118. Облака
118

119. “Использование облачных сервисов безопасно”
“Наш ЦОД сертифицирован по TIER3”
Что можно сказать о безопасности клиента,
перешедшего на облачные сервисы?
119

120. Пользователь облачных сервисов не знает, где и
как обрабатываются его данные, не может
контролировать процесс их обработки, утечки и
изоляции от данных иных клиентов сервиса, а
также возможности доступа со стороны
сотрудников компании, обеспечивающей работу
сервиса
120

121. Пользователь облачных сервисов вынужден
доверять провайдеру услуг, который не
предоставляет никакой гарантии защиты данных
и не возмещает убытков
121

122. Данные могут быть скомпрометированы путем
проникновения со стороны гипервизора, соседних
виртуальных машин, во время их передачи по
сети Интернет
122

123. Особое внимание необходимо уделить защите локальной
сети при использовании облачных сервисов:
– рекомендуется использовать антивирусные прокси сервера
как на стороне облака, так и на стороне компании.
– хорошей практикой является использование защищенных
каналов связи, однако необходимо учитывать риск внедрения
вредоносных программ в разрыв между защищенным каналом
и клиентской программой
– рекомендуется использовать антивирусные средства для
защиты всех виртуальных машин вне зависимости от места их
расположения
123

124. При использовании облачных сервисов необходимо
предусматривать меры, противодействующие:
 получению доступа, хищению и/или модификации данных на
удаленных серверах, а также во время передачи данных
между удаленными серверами и серверами и рабочими
станциями, принадлежащими компании
 внедрению вредоносных программ на удаленные сервера и во
время передачи данных
 простоям на время отсутствия доступа к удаленным
серверпам
124

125. В качестве мер защиты должны использоваться :
 системы шифрования, а также системы создания
каналов VPN
 почтовые шлюзы на стороне ЦОД и на стороне
локальной сети или локальные почтовые сервера,
проверяющие входящую почту и накапливающие
почтовые сообщения во время отсутствия доступа к
ЦОД
 файловые сервера и сервисы, синхронизирующие
содержание с содержанием удаленных серверов
125

126. Не забываем!
Широко распространенной практикой является
использование сотрудниками облачных сервисов
(google.docs, google.mail, google.disk и аналогичных), доступ
к которым не контролируется системами безопасности
компании
126

127. Защита домашних и мобильных
127

128. Защита как и беременность не бывает частичной.
Нельзя поставить только часть защиты. Рыцарь, у
которого из защиты только шлем вызовет только
смех у хакеров
128

129. Каждая пятая программа с «дырой», что позволяет:
• блокировать телефон,
• отправлять СМС,
• включать динамик без ведома пользователя,
• звонить,
• получать доступ к почте и паролям,
• получать данные от GPS-навигатора,
• иметь доступ к файлам, фотографиям.
Это все Андроид!
129

130. Типы угроз
• Вредоносные приложения, отправляющие СМС на платные
номера
– Android.SmsSend
• Вирусы, ворующие ТAN-коды
– Android.SpyEye.1
• Платные шпионские программы
– Flexispy, Mobile Spy, Mobistealth
• Вирусы, предоставляющие удаленное управление телефоном
– Android.Plankton
– Android.Gongfu (Android.DreamExploid)
– Android.GoldDream
• Шпионские программы
– Android.AntaresSpy.1
130

131. Android.SpyEye.1
131

132. Мобильные устройства на данный момент
предоставляют криминалу куда большие
возможности, чем обычные компьютеры
132

133.  Возможность отслеживать местоположение владельца
устройства
 Возможность записывать все переговоры и
фотографировать участников встреч
 Возможность управлять температурой аккумулятора с
целью его подрыва и причинения вреда владельцу
На этом фоне традиционное воровство паролей и рассылка
СМС выглядят детским ребячеством
133

134. Для мобильных устройств уже сейчас существуют все
основные типы вредоносных программ, а заражение
происходит через уязвимости – для заражения
устройства достаточно зайти на зараженный сайт
134

135. 40 процентов планшетов не имеет никакой защиты
48% работников пытаются обходить требования
безопасности
Только 21% работников координируют свои действия с ИТ-
отделом
http://megafon.cnews.ru/top/2012/09/03/polovina_korporativnyh_abonentov_ignoriruet_zaprety_itsluzhby_501616
135

136. Dr.Web Enterprise Security Suite это:
 Поддержка всех версий Андроид
136

137. Dr.Web Enterprise Security Suite это:
 Удобный интерфейс
137

138. Dr.Web Enterprise Security Suite это:
 Защита в режиме реального
времени
 Автоматическая проверка
загружаемых приложений – как бы
они не загружались
 Облачная защита
 Блокирование еще неизвестных
угроз, подозрительных процессов
 Удобство настройки обновлений
 Проверка всех типов архивов
 Сканирование карты памяти при
подключении
 Перемещение подозрительных
файлов в карантин – и
восстановление из него
138

139. Dr.Web Enterprise
Security Suite это:
Детектирование
новых угроз с
помощью технологии
Origin Tracing
139

140. Dr.Web Enterprise Security Suite это:
 Фильтрация вызовов и СМС по
ключевым словам
 Антифишинг
 Белые и черные списки
 Просмотр и выбор действий
для заблокированных звонков и
сообщений
140

141. Dr.Web Enterprise Security Suite это:
 Удаленная блокировка устройства
 Удаленное определение
местоположения
 Удаленное уничтожение всей
информации в памяти устройства
 Удаленное включение звуковой
сигнализации
 Уведомление об изменении SIM-
карты
 Возможность восстановить пароль
Anti-Theft на сайте разработчика
141

142. Используя Dr.Web Enterprise
Security Suite пользователь не
остается один:
 Удобный контроль состояния
 Полная статистика
 Круглосуточная техподдержка
 Возможность отправки
подозрительного файла в
лабораторию для анализа
142

143. Только факты
 50 миллионов скачиваний только Dr.Web для
Андроид!
 Собственная антивирусная лаборатория
 Постоянный выпуск новых технологий на рынок
 Автоматизированная антивирусная аналитическая
система
 Высокая скорость реакции на поступающие
угрозы – выпуск обновлений сразу после анализа
угрозы
 Сервера обновлений по всему миру
143

144. Все работают с деньгами
144

145. Виды атаки:
 Атака на каналы передачи данных
 Вирусная атака на сервер
 Атака на компьютер через Интернет с целью кражи
секретного ключа ЭЦП, паролей
 Атака на компьютер через Интернет с целью захвата
удаленного управления ресурсами компьютера
 Атака с целью подмены документа при передаче его на
подпись
 Атака с целью подмены части или всего использующегося
ПО
 Внедрение программных закладок или троянских программ
По материалам IV Межбанковской конференции “УРАЛЬСКИЙ ФОРУМ: ИНФОРМАЦИОНННАЯ БЕЗОПАСНОСТЬ БАНКОВ”
145

146. Вывод средств производится на:
1. банковские карты для обналичивания,
2. счета мобильных телефонов, в основном «Билайн»
(услуга «МОБИ.Деньги»)
3. электронные кошельки виртуальных платежных систем, в
основном Яндекс.Деньги, Qiwi.
От момента совершения мошеннической операции и до
вывода средств проходит 1-3 минуты!
146

147.  Троянец «Zeus» - в июне 2011 г. украл около
миллиона долларов с банковских счетов;
 Вирус-троянец «URLZone» – за 3 недели в
Германии похитил 300 тыс. Евро с банковских
счетов;
 Троянец-бэкдор-руткит «TDSS» - удалённое
управление заражённой системой, крайне
сложен в лечении;
 Trojan.Bioskit.1 – заражение AWARD BIOS
«Безопасных» сред больше не существует –
заражено может быть все!
147

148. Как защититься?
148

149. 149
Для защиты непосредственно систем ДБО используются:
 Виртуальные клавиатуры
 Аутентификация в системе ДБО
 Запрет входящих каналов на время работы ДБО
 Подтверждение платежей с помощью криптокалькуляторов
(потенциально с использованием ключевых параметров
платежа) или SMS
 Организация доверенной среды (загрузка доверенной
операционной системы) - изоляция рабочего места ДБО от
внешнего мира (LiveCD) или использование защищенного
терминального режима доступа
 Защита платежных данных при передаче – шифрование
данных
 Защищенное хранение ключей ЭЦП. Неизвлекаемое хранение
на USB-токенах и смарт-картах
 Ввод платежной информации на внешних устройствах
(гарантия совпадения показываемой и формируемой
платежки)
Что из этих средств уже скомпрометировано?

150. • Виртуальные клавиатуры обходятся снятием экрана
• Запрет входящих каналов на время работы обходится
внедрением вируса до начала работы системы
• Аутентификация в системе — зависит от пользователей
— социальная инженерия использовалась и
используется
• Организация доверенной среды — изоляция рабочего
места от внешнего мира через LiveCD обходится с
помощью буткитов
• Виртуальные среды (в том числе на Java) взламываются
путем подмены базовых компонентов
• Использование внешних систем подразумевает
использование программных компонентов, что
позволяет компрометировать и эти устройства,
считавшиеся панацеей
• Подтверждение по СМС не подходит для большинства
организаций — в силу количества операций
150

151. Клиенты – государственные органы
 Администрация президента
 Федеральное собрание
Российской Федерации.
Совет Федерации
 Министерство обороны
 Министерство иностранных дел
 ФСБ
 Министерство финансов
 Министерство образования
и науки
151

152. Клиенты
Банки и компании
финансового сектора
 Центральный Банк
Российской Федерации
 Сбербанк России
 Raiffeisen Bank Aval
152

153. Клиенты
Промышленные
предприятия и
энергетический сектор
 РАО “Газпром”
 Российские Железные
дороги
 Предприятия военно-
промышленного комплекса
 ArcelorMittal (Kryvyj Rig)
153

154. Клиенты
Телеком
 EWE Tel (Germany)
 LKW (Luxembourg)
 Clara.Net (UK)
 Golden telecom
 УкрТелеком
 КазахТелеком
154

155. Что такое Dr.Web Enterprise Suite 10?
 Упрощение процедуры закупки и внедрения
 Сокращение стоимости сопровождения системы
защиты
 Полное использование возможностей
современных решений
 Защита большего количества операционных
систем с момента установки
 Усиление безопасности и отказоустойчивости
 Управление политиками системы защиты
 Dr.Web Enterpise Suite 10.0 – центр контроля
безопасности
 Новая система обновлений
 Удобная система отчетов и статистики
155

156. Размер документа с краткой информацией о
изменениях превышает 10 страниц
156

157. Почему Dr.Web?
157

158. Во первых - качество
158

159. Антивирусная технология
Доктор Веб входит в число немногих разработчиков
антивирусного ПО, обладающих собственной технологией
обнаружения и лечения вирусов.
Миссия компании Доктор Веб – постоянное развитие
технологий обнаружения современных вредоносных программ,
развитие систем информационной безопасности высочайшего
класса
Антивирусное ядро: Dr.Web®
Разрабатывается с: 1992
Автор антивируса Dr.Web: Игорь Данилов
Владелец технологий Dr.Web: «Доктор Веб» – 100%
российская компания
159

160. И это качество подтверждено не одним
сертификатом
160

161. Сертификаты
 Сертификаты соответствия
ФСТЭК и ФСБ
 Dr.Web – антивирус,
сертифицированный МО РФ
 Dr.Web полностью
соответствует требованиям
закона о защите
персональных данных
 Dr.Web – антивирус,
сертифицированный на
работу с программами 1С
161

162. Обучение специалистов
IT-специалисты могут получить
подтвержденные «Доктор Веб» знания
значительно быстрее и, что самое главное,
совершенно бесплатно.
Чтобы стать специалистом в администрировании
программных продуктов Dr.Web, необходимо:
1. Зарегистрироваться на сайте
training.drweb.com/external и получить доступ к
«Личному кабинету»;
2. Самостоятельно изучить учебные материалы,
которые находятся в «Личном кабинете»
3. Сдать соответствующий экзамен.
В случае успешной сдачи экзамена соискатель
получает электронный сертификат по
выбранному направлению.
162

163. Мы не внушаем нашим клиентам иллюзий
– мы развиваем технологии, дающие
реальную защиту!
163

164.  Предлагая клиентам наши продукты, мы не обманываем.
Купив наш продукт, пользователь получит тот функционал,
который ему обещали
 Только продукты Dr.Web способны не замедлять работу
программ, а, наоборот, даже ускорять ее
 Мы не проводим социальных экспериментов на
пользователях – мы их защищаем
164

165. Убедитесь, что на компьютерах нет вирусов:
165

166. Вопросы?
Благодарим за внимание!
Желаем вам процветания и еще больших успехов!
www.drweb.com
Номер службы технической поддержки
8-800-333-7932
Запомнить просто! – возникла проблема – набери DRWEB!
8-800-33-DRWEB