3. • По рекомендациям знакомых
• По количеству побед в “независимых
тестированиях”
• Пришел шеф и сказал, какой на самом
деле продукт нужно использовать
3
4. А какую задачу в организации должен
выполнять антивирус?
4
5. В большинстве случаев считается, что
задача антивируса – не допустить ни одной
вредоносной программы в локальную сеть
Но это ответ, устаревший на кучку лет
5
10. 12
10
8
6
4
2
0
2010 год
2011 год
Попытки Хищения
2010г.:
- 2 из 6 попыток успешные (33%);
- посягательств на 4,8 млн.руб.,
- похищено 175 тыс.руб. (4%)
- средняя сумма хищения 90 тыс. руб.
2011г.:
- 9 из 23 попыток успешные (~40%);
- посягательств на 12 млн.руб.
- похищено 8,5 млн.руб. (70%)
- средняя сумма хищения 450 тыс. руб.
млн. руб.
10
По материалам IV Межбанковской конференции “УРАЛЬСКИЙ ФОРУМ: ИНФОРМАЦИОНННАЯ БЕЗОПАСНОСТЬ БАНКОВ”
11. 11
• По сравнению с 2011–2012 гг. средний уровень
защищенности сетевого периметра и внутренних сетей
понизился.
• Для проведения атак внешнему злоумышленнику теперь
требуется более низкая квалификация. Для 50% атак
достаточно низкой квалификации, тогда как ранее такая
квалификация была достаточной для 40% атак
• Получение полного контроля над важными ресурсами из
внутренней сети теперь возможно для 100%
рассмотренных систем, тогда как ранее подобный
результат был получен в 84% случаев. В 71% случаев
внутренний нарушитель может получить полный
контроль над всей информационной инфраструктурой.
Статистика уязвимостей корпоративных
систем (2013 ) Positive Technologies
12. 12
• с 10 до 64% возросла доля систем, где не установлены
актуальные обновления безопасности на узлах сетевого
периметра.
• Наиболее распространенной уязвимостью ресурсов
внутренней сети по-прежнему является использование
слабых паролей, которые встречаются в 92% систем.
• В каждой третьей системе уровень осведомленности
пользователей был оценен как низкий, в этих системах
свыше 20% адресатов рассылки, эмулирующей фишинг,
перешли по предложенным ссылкам и запустили
предложенный файл или ввели свои учетные данные.
Статистика уязвимостей корпоративных
систем (2013 ) Positive Technologies
13. Только три примера новых угроз:
• Троян-шифровальщик для шифрования файлов,
хранящиеся в сетевых хранилищах производства
компании Synology.
http://news.drweb.com/show/?c=5&i=5890&lng=ru
• Трояны для блокировки Android устройств и кражи с них
денежных средств
http://news.drweb.com/show/?c=5&i=5886&lng=ru
http://news.drweb.com/show/?c=5&i=5815&lng=ru
• Хакеры могут следить за пользователями, даже не
расшифровывая трафик
http://www.securitylab.ru/news/456716.php
13
14. Троян, предназначенный для удаления
на инфицированном компьютере других
вредоносных программ.
http://news.drweb.com/show/?c=5&i=5813&lng=ru
В этих условиях за чистотой в сети начинают следить уже
вирусы
14
15. Несмотря на значительные вложения в
информационную безопасность компании и
организации беззащитны
-
при полной уверенности как
руководства, так и сотрудников ИТ-
отделов в обратном
15
19. Ежедневно на анализ в антивирусную
лабораторию поступает более 200 тысяч
новых вирусов
19
По данным Dr.Web Virus Analysts Web Site
20. 250 тысяч
в день
И это далеко не все, что создано…
20
21. Вредоносные программы разрабатываются
не хакерами-одиночками, но
криминальными структурами, что
позволяет “выпускать на рынок”
вредоносные программы,
протестированные на необнаружение
антивирусами
Справка. Тесты на обнаружение неизвестных
вирусов определяют возможность обнаружения
угроз подобных ранее известным и ничего не
говорят о возможности решения противостоять
угрозе, заточенной на необнаружение конкретным
решением
21
23. Троянцы семейства Trojan.Carberp нацелены на хищение денежных
средств компаний и частных лиц. Распространяется Trojan.Carberp с
использованием набора эксплоитов Black Hole Exploit Kit —
коллекции уязвимостей, эксплуатирующих ошибки и
недокументированные возможности современного ПО, в частности,
браузеров и операционных систем. В большинстве случаев жертве
Black Hole не нужно предпринимать вообще никаких действий для
того, чтобы «получить троянца»: заражение происходит
автоматически при просмотре инфицированных веб-сайтов
Разработкой и “продвижением” Trojan.Carberp занимается
организованная группа: разработчики находятся в одной стране,
сервера, с которых непосредственно распространяется троян – в
другой, организаторы – в третьей
23
24. Trojan.Carberp для перехвата связанной с работой ДБО
информации использует различные методы:
логирование нажатий пользователем клавиш,
вклинивание в HTTP-трафик в поисках учетных данных и
передаваемых значений экранных форм,
встраивание в процессы программ системы банк-клиент,
создание скриншотов в моменты ввода важной информации,
перехваты отдельных функций, которые могут участвовать в
передаче данных,
поиск и похищение сертификатов и ключей.
Все варианты троянцев зашифрованы вирусными
упаковщиками.
Среди команд, которые способен выполнять
Trojan.Carberp, имеются директивы запуска произвольных
файлов на инфицированном компьютере, команда установки
сеанса «удаленного рабочего стола» по протоколу RDP, и
даже удаления на зараженном ПК операционной системы.
24
25. Современные вредоносные программы:
• Отлично маскируются в системе. Trojan.Carberp запускаясь на
инфицированной машине, предпринимает целый ряд действий
для того, чтобы уйти от средств контроля и наблюдения. После
успешного запуска троянец внедряется в другие работающие
приложения, а свой основной процесс завершает, таким
образом, вся его дальнейшая работа происходит частями
внутри сторонних процессов, что является его характерным
свойством. Миф о том, что появление любого вируса можно
заметить визуально отжил себя окончательно
• конкурируют между собой - в Trojan.Carberp имеется
возможность уничтожения «конкурирующих» банковских
троянцев
• действуют в составе ботнетов, управляемых из одного (или
нескольких) командных центров. Таким образом зараженная
машина или сеть служит еще и источником заражения
• благодаря возможности удаленного управления и возможности
использования плагинов имеется возможность организации
атаки на конкретную компанию по заказу извне. На данный
момент имеются версии плагинов под большинство
известных банковских систем!
25
26. Carberp контролирует работу пользователей и собирает логи для:
26
• Windows Live Messenger
• Google talk
• Paltalk
• QIP Online
• JAJC
• Miranda ICQ
• Yahoo Messenger
• Outlook
• Jabber
• AOL Instant Messenger
• Camfrog
• POP Peeper
• PocoMail
• Vypress Auvis
• Group Mail
• Incredi Mail
• Mail.Ru
• Eudora
• The Bat!
• Becky! Internet Mail
• Windows Mail
• MRA
• Internet Explorer
• Safari
• Firefox
• Chrome
• Opera
Carberp собирает пароли от Windows Commander, Total Commander,
FileZilla, FTP Commander, CuteFTP, CoffeeCup, Frigate3, WinSCP, Free
FTP, LeapFTP, Cryper Web Site Publisher, Far Manager FTP
27. Carberp пытается внедриться на страницы с именами
• esk.sbrf.ru
• online.sberbank.ru
• *.alfabank.*
• sbi.sberbank.ru
• ibank.prbb.ru
• *telebank.ru
Carberp пытается перехватить платежи через PayPal, IBank,
Cyberplat и PSB
27
28. В этих условиях полагать, что антивирус
предотвратив все попытки проникновения –
безумие.
Задачи антивируса в современных сетях
стали принципиально иными
28
30. Нам нужно исключить появление вирусов.
Что предлагается делать специалистам по
безопасности
?
30
31. Требования к реализации АВЗ.1: Оператором
обеспечивается антивирусная защита информационной
системы.
Реализация антивирусной защиты должна предусматривать:
• применение средств антивирусной защиты на
автоматизированных рабочих местах, … средствах
межсетевого экранирования, прокси-серверах, почтовых
шлюзах и других средствах защиты информации),
мобильных технических средствах и иных точках
доступа в информационную систему, подверженных
внедрению (заражению) вредоносными
компьютерными программами…;
• проверка в масштабе времени, близком к реальному,
объектов (файлов) из внешних источников (съемных
машинных носителей информации, сетевых
подключений, в том числе к сетям общего пользования,
и других внешних источников) при загрузке, открытии
или исполнении таких файлов;
31
32. Требования к усилению АВЗ.1:
• в информационной системе должно обеспечиваться
централизованное управление (установка,
удаление, обновление, конфигурирование и
контроль актуальности версий программного
обеспечения средств антивирусной защиты)
средствами антивирусной защиты,
установленными на элементах информационной
системы (серверах, автоматизированных рабочих
местах);
• оператором должен обеспечиваться запрет
использования съемных машинных носителей
информации;
• в информационной системе должна обеспечиваться
проверка объектов файловой системы средством
антивирусной защиты до загрузки операционной
системы;
32
34. Только одно требование
Меры по антивирусной защите должны
обеспечивать обнаружение в информационной
системе компьютерных программ либо иной
компьютерной информации, предназначенной для
несанкционированного уничтожения,
блокирования, модификации, копирования
компьютерной информации или нейтрализации
средств защиты информации, а также
реагирование на обнаружение этих программ и
информации.
Приказ ФСТЭК России от 11 февраля 2013 г. N 17
34
35. И чем защищаться?
Организационные и технические меры защиты информации,
реализуемые в информационной системе в рамках ее системы
защиты информации, в зависимости от угроз безопасности
информации, используемых информационных технологий и
структурно-функциональных характеристик информационной
системы должны обеспечивать:
• идентификацию и аутентификацию субъектов доступа и
объектов доступа;
• управление доступом субъектов доступа к объектам доступа;
• ограничение программной среды;
• защиту машинных носителей информации;
• антивирусную защиту;
• обнаружение (предотвращение) вторжений;
• целостность информационной системы и информации;
• …
Приказ ФСТЭК России от 11 февраля 2013 г. N 17
Что в данном списке должно обеспечить защиту от
вирусов?
35
36. Имеется разрыв между тем, как видится
система защиты ее создателям и тем, что
она может реально
36
37. Разрыв между требованиями, прописанными
в документах регуляторов и тем, что могут
средства защиты
Разрыв между положениями документов и
тем, как их понимают исполнители
Разрыв между реальным уровнем угроз и его
всем известным значением
Разрыв между требуемым уровнем
компетенции и знаниями, даваемыми в
ВУЗах
Разрыв между затратами, требуемыми для
реальной защиты – и возможностью
компаний
37
38. В этих условиях совершение
компьютерного преступления – вопрос
времени
38
39. Проблемы три/четыре/пять
Недоучет рисков
Формальный подход к обеспечению
безопасности
Обеспечение безопасности в соответствии
с имеющимися финансами
39
40. … вредоносная программа действует с использованием ряда
уязвимостей в ПО сетевых хранилищ NAS (Network Attached
Storage) производства компании Synology. Троянец выполняет
шифрование хранящихся на устройстве данных и требует у жертвы
выкуп
http://news.drweb.com/show/?c=5&i=5890&lng=ru
Уязвимости есть везде
Вопрос не в наличии уязвимостей – вопрос можно
ли через них проникнуть к вам!
40
41. «Готовы ли вы перейти на работу с большей
зарплатой к конкурентам, при условии передачи им
конфиденциальных данных?»
«Я уже так делал» - 5.3%;
«Жаль только не предлагают» - 20.2%;
«Да, но я ничего не знаю» - 10.1%;
«Нет. Боюсь, меня оттуда быстро уволят» - 11.5%;
«Нет, это аморально» - 52.8%.
«Использовали ли вы в личных целях служебную
информацию?»
«Использовал» - 26.8%.
«Не было возможности, но хотелось» - 8.9%;
«Нет» - 50.8%;
«Никогда не обладал такой информацией» - 13.4%;
http://searchinform.ru/news/digest-articles/2758
41
43. Заражено может быть все!
В очередной раз описаны способы эксплуатации уязвимостей
JetDirect — технологии, которая обеспечивает подключение
сетевых принтеров к локальной сети, обычно по порту TCP
9100.
В частности можно получить доступ к содержимому чужих
документов в памяти принтера
Список производителей, выпускающих принтеры с поддержкой
JetDirect: Canon, Fujitsu, HP, Konica Minolta, Lexmark, Xerox,
Sharp, Kodak, Brother, Samsung, Toshiba, Ricoh, Kyocera Mita,
Lanier, Gestetner, Infotek, OCE, OKI.
http://blog.seguesec.com/2013/01/ahora-puedes-imprimir-ahora-no
43
44. Только установка антивируса на всех узлах сети
способна предотвратить распространение
неизвестного вируса по сети и возникновение
повторных заражений – незащищенный сервер или
рабочая станция – лакомый кусок для
злоумышленника!
44
45. Проблема шесть
А все ли золото, что блестит или Мы
отвечаем за то, что мы выбираем или
стоит ли верить моде?
45
46. Интеграция с корпоративными системами управления,
использование в своих приложениях сторонних
библиотек
Интеграция с корпоративными системами управления позволяет, в
частности, не переключаясь между интерфейсами систем
управления, контролировать состояние всей сети.
Но каждая система безопасности настолько надежна, насколько
она себя контролирует. Примеры взлома защищенных систем (java,
защищенные среды исполнения) постоянно освещаются в
новостях. Полагаясь на систему управления, компоненты которой
не защищены от модификации или подмены, администратор может
в один прекрасный момент увидеть совсем не то, что происходит в
сети.
46
47. А между прочим:
Разделение в информационной системе функций по управлению
(администрированию) информационной системой, управлению
(администрированию) системой защиты информации, функций по
обработке информации и иных функций информационной системы
Приказ ФСТЭК России № 17
47
48. Использование в локальной сети ПО, имеющего
известные уязвимости или ПО для которого нет
средств защиты
48
49. Вирус AdThief заразил более 75 тыс. iOS-устройств
http://www.anti-malware.ru/news/2014-08-21/14586
Гетерогенная среда создается путем применения различных типов
информационных технологий с целью ограничения возможностей
потенциальных нарушителей по реализации угроз безопасности
информации (по несанкционированному доступу к информации,
внедрению вредоносного программного обеспечения
(компьютерных вирусов) и по организации вторжений
(проведению компьютерных атак)).
В информационной системе должно применяться прикладное и
специальное программное обеспечение, имеющих возможность
функционирования на различных типах операционных системах
(независимое от вида операционной системы прикладное и
специальное программное обеспечение).
Приказ ФСТЭК России № 17
49
50. Проактивные системы (обычного типа)
Требуют наличия в базах данных всех профилей всех
существующих в мире программ, что нереально – в том
числе в связи с тем, что программы постоянно обновляются.
Это приводит к тому, что у пользователя временами
запрашивается разрешение на то или иное действие. И
неверный ответ может привести к тяжелым последствиям.
Таким образом, реальна атака на «приучение» пользователя
отвечать «да» и последующее вредоносное действие.
50
51. Системы на основе контроля за изменениями, в том числе
облачные
Прорывная технология в момент возникновения,
позволяющая сократить время проверки, сейчас не имеет
смысла – контрольные суммы файлов нужно пересчитывать
после каждого обновления, то есть примерно раз в час, что
увеличивает торможение системы.
В дополнение к этому облачные системы критичны к каналу
доступа в Интернет.
51
52. Достаточно много систем “безопасности” рекламируют
подход на основе контрольных сумм
Да, когда-то и антивирусы имели в своем составе подобное,
но отказались от этой технологии – файл может остаться
неизвестным, но поменяв переменные окружения вместо
него запускается иной файл
И не забываем о неизвестных вирусах!
52
53. Возможность внедрения вредоносных программ в
легитимные загрузки – в том числе в подписанные
исполняемые файлы, если проверка подписи не проводится
перед их выполнением
http://www.securitylab.ru/news/456834.php
Во-первых, антивирусная защита поддерживается только
для Windows. Для реализации безагентового сценария при
виртуализации Linux/Unix/… придётся подождать VMware.
Во-вторых, … не работает функция карантина для файлов и
зараженных «виртуалок». Т.е. отловленного зловреда можно
только убить, вылечить или протрубить сигнал сисадмину.
В-третьих… Увы – всё это тоже особенности API от
VMware.
Eugene Kaspersky Амбиции, лень и жадность в IT-бизнесе
53
54. Антиспам системы на основе байесовских сумм
Могут быть доведены до 100-процентого обнаружения
спама, но требуют постоянного обучения и используют
внешние базы DNSBL – в связи с чем уязвимы к атакам на
дискриминацию отправителя через внесение его в данные
базы.
Облачные системы антиспама также могут быть уязвимы к
атакам на дискриминацию отправителя.
54
55. Блокирование сменных носителей на основе их
идентификаторов
Но сейчас партии флешек выпускаются с одним
идентификатором
55
56. Думаете это полный список ложных технологий,
которые вам продают?
• Виртуальные клавиатуры
• Защищенные среды исполнения
• Менеджеры паролей
• Системы анализа уязвимостей
• Программы, именующиеся себя
антируткитами и антиспуваре
56
57. Каждая из этих технологий имеет свои плюсы –
глупо это отрицать – но каждая из них должна
быть обложена варнингами о возможных
проблемах
57
58. А как преступники получают доступ к
информации и деньгам компании?
58
59. Большинство компаний:
• Считают, что они слишком мелкие чтобы
заинтересовать хакеров
• Доверяют и своим сотрудникам и их
квалификации – “на серверах у нас
работают только системные
администраторы, поэтому там вирусов
быть не может”
59
60. Сейчас тоже можно по старинке – фишингом - выудив у
жертвы базу данных e-mail адресов корпоративных клиентов
Можно ограбить жертву…
Но люди ленивы, а чем преступники хуже всех?
60
61. Интернет велик, но большинство посещают одни и те же
сайты – причем ежедневно.
Сайты новостные, сайты финансовые…
Нужно же быть в курсе!
61
62. Для проникновения/внедрения вирусов в защищаемую
систему используются:
Методы социальной инженерии (вирус Стихнет)
Взлом сайтов и ресурсов сети Интернет, наиболее часто
посещаемых целевой группой
Так же для целью криминальных структур служат личные
устройства и домашние компьютеры сотрудников и клиентов
компании-цели. Целью их взлома и заражения является, как
хищение и подмена данных, так и проникновение с их
помощью в защищаемую сеть
62
63. От момента совершения мошеннической
операции и до вывода средств проходит 1–3
минуты!
63
64. Учтем что:
Все люди одной специальности ходят на одни
и те же сайты.
Как минимум с личных машин сотрудники
работают с правами администратора
Большинство выходит в Интернет с рабочего
компьютера
У почти всех стоят Adobe Acrobat и Adobe
Flash.
64
66. Когда в 1988 году появились сообщения о вирусе Good Times,
небезызвестный Роберт Моррис III создал следующее
руководство по борьбе с вирусом:
Не используйте электрическую сеть!
Не используйте батарейки и аккумуляторы - есть
сведения, что вирусом захвачено большинство фабрик
по их производству, и вирус заражает положительный
полюс батарей и аккумуляторов (вы можете
попробовать присоединять только "-").
Не скачивайте и не закачивайте файлы.
Не храните файлы на жестком диске или дискетах.
Не читайте почтовые сообщения. Даже это!
Не используйте последовательные порты, модемы и
телефонные линии.
…
66
67. …
Не пользуйтесь клавиатурой, монитором или
принтером.
Не используйте процессор и память!
Не пользуйтесь электрическим светом, электрическими
или газовыми обогревателями. Не включайте
кондиционер. Опасайтесь воды и огня!
Я уверен, что если все мы будем следовать этим 9 простым
инструкциям, вирус будет уничтожен, и электронные
флюиды наших компьютеров вновь станут чистыми.
67
68. Для собственной защиты от вредоносных
программ можно пользоваться и этими советами.
Но для компаний есть способ и лучше!
68
69. Что нужно пользователю?
Чтобы все работало и не тормозило
Чтобы продукт был:
прост в использовании,
потреблял мало ресурсов,
не пропускал вирусов
не давал возможности по незнанию
протащить вирус
69
70. Антивирус обязан
иметь систему самозащиты, не позволяющую
неизвестной вредоносной программе нарушить
нормальную работу антивируса
нормально функционировать до поступления обновления,
позволяющего пролечить заражение
иметь систему сбора информации, позволяющую
максимально быстро передавать в антивирусную
лабораторию всю необходимую для решения проблемы
информацию
лечить активные заражения
70
71. Продукт
Поддерживаемые
ОС/платформы
Базовая лицензия
Дополнительные
компоненты
Dr.Web®
Desktop Security
Suite
Windows
Комплексная
защита* ЦУ
Криптограф
Антивирус**
Mac OS X, Linux
Антивирус
ЦУ
OS/2, MS DOS
Dr.Web®
Server Security Suite
Windows, Novell NetWare,
Mac OS X Server Антивирус ЦУ
Unix (Samba)
Dr.Web®
Mail Security Suite
MS Exchange
IBM Lotus Domino
Unix
Kerio (Windows, Linux, Mac
OS X)
Антивирус
ЦУ
Антиспам (кроме
Kerio)
SMTP proxy
Dr.Web®
Gateway Security
Suite
MS ISA/TMG
Антивирус
Kerio
ЦУ
Unix
MIMEsweeper, Qbik WinGate Антиспам
Dr.Web®
Mobile Security Suite
Windows Mobile
Антивирус
ЦУ
Android
Symbian OS Антиспам
* В лицензию Комплексная защита входят следующие компоненты: антивирус, антиспам, веб-антивирус, офисный контроль, брандмауэр (соответствует
продукту для домашних пользователей Dr.Web Security Space).
** В лицензию Антивирус входят антивирус, антишпион, антируткит, брандмауэр.
71
В состав Dr.Web Enterprise Security Suite
добавлялись новые продукты
73. Защита информационных, финансовых и
временных ресурсов для любого бизнеса:
Dr.Web Enterprise Security Suite – надёжная защита
корпоративной сети
Dr.Web CureNET! – необходимое дополнение к
антивирусу другого производителя
Dr.Web LiveCD – «скорая помощь» при сложнейших
заражениях
Запомним эти имена!
73
74. Dr.Web Enterprise Security Suite защищает не только
локальную сеть, но и мобильные устройства
сотрудников, их домашние ПК — как имеющие
выход в Интернет, так и не имеющие его.
Администратор компании может гарантировать,
что с личных компьютеров сотрудников в
локальную сеть не попадет ничего лишнего.
74
75. Все помнят количество дыр в Adobe Flash/Acrobat, через которые
потоком шли вирусы? Использование SpIDer Gate и SpIDer Mail
позволяет исключить проникновение вредоносных объектов через
уязвимости программ (таких как браузеры, Аdobe Flash и Аdobe
Acrobat, почтовые клиенты), поскольку весь трафик проверяется до
его поступления в соответствующую программу! Проверен будет
даже шифрованный трафик/
Наличие в Dr.Web Комплексная защита, так же как в Dr.Web Security
Space (в отличие от более дешевого решения Антивирус Dr.Web)
дополнительных модулей позволяет вам обеспечить комплексную
антивирусную защиту, поскольку основная масса вредоносных
программ (в том числе нацеленных на кражу денежных средств и
контроль за своими жертвами) попадает в компьютеры
пользователей из сети Интернет.
75
76. Dr.Web - только чистый интернет-контент
Сканирует HTTP-
трафик
Фильтрация файлов,
аплетов, скриптов
Не зависит от
используемого
браузера
Начинает
сканирование сразу
после установки в
системе
Блокировка
фишинговых и
других опасных
сайтов по записям в
соответствующих
базах ссылок
76
77. Dr.Web: защита почтовых сообщений
Работа с протоколами
POP3, IMAP4, NNTP,
SMTP в режиме
реального времени
Проверка всех
компонентов письма
Прозрачность работы
Высокая степень
обнаружения
вредоносных кодов.
Эффективная
фильтрация спама
77
78. Dr.Web - защита нужной информации
Запрет доступа к файлам, папкам, съемным
носителям и ресурсам сети
78
79. Фоновое сканирование на руткиты
Новая подсистема фонового сканирования и
нейтрализации активных угроз в критических областях
Windows и системной BIOS компьютера
Бережное потребление ресурсов системы (CPU, IO,
RAM), а также учет мощности аппаратного обеспечения
– автоматическое реагирование на изменение
потребностей пользователя
79
80. Расширенная превентивная защита
Опция блокировки автоматической модификации критических
объектов Windows, а также контроля некоторых небезопасных
действий (4 режима)
80
81. Антивирусное ядро компании не идет вслед за
угрозами, используя сигнатурные методы.
Использование технологии Origin Tracking
позволяет быть на шаг впереди
81
84. Расширенная превентивная защита
Опция блокировки автоматической модификации критических
объектов Windows, а также контроля некоторых небезопасных
действий (4 режима)
84
85. Dr.Web Cloud
Мгновенная
проверка URL на
серверах компании
«Доктор Веб» через
сервис Dr.Web Cloud
в режиме реального
времени — вне
зависимости от
состояния вирусных
баз Dr.Web на
компьютере
пользователя и
настроек
обновления.
85
87. 87
Нет ничего проще!
Предотвратить заражения через сменные
носители?
88. Нет ничего проще!
Предотвратить заражения через сменные
носители?
88
89. Нет ничего проще!
Предотвратить заражения через
вредоносные веб-ресурсы?
89
SpiderGate проверяет веб-трафик до его
поступления в браузер, использует базу
вредоносных ресурсов, сигнатурный поиск
вирусов и эвристические технологии
90. Нет ничего проще!
Предотвратить заражения через
вредоносные веб-ресурсы?
90
Добавить
адрес в белый
список
Добавить
адрес в
черный список
91. Предотвратить заражения через
вредоносные веб-ресурсы? Почему
Dr.Web?
ScriptHeuristic:
• предотвращает исполнение любых вредоносных
скриптов в браузере и PDF-документах, не нарушая при
этом функциональности легитимных скриптов
• Защищает от любых вредоносных скриптов в HTML и
PDF-документах
• Защищает компьютер от заражения неизвестными
вирусами через веб-браузер
• Работает независимо от состояния вирусной базы
Dr.Web
• Работает с любыми веб-браузероми
91
92. Предотвратить заражения через
вредоносные веб-ресурсы? Почему
Dr.Web?
ScriptHeuristic это не только работа со
скриптами –
обнаружение неизвестных угроз
в HTML и PDF-документах.
92
93. Нет ничего проще!
Предотвратить заражения при запуске
вируса пользователем?
Обнаруживае
т
неизвестные
угрозы
Предотвращае
т запуск
вирусов
93
94. Просмотр состава аппаратно-программного обеспечения на
защищенных станциях локальной сети
94
Нет ничего проще!
Контроль за установленным программным
и аппаратным обеспечением
95. Контроль возникновения эпидемий
Контроль списка работающих в
данный момент на станциях
антивирусной сети пользователей
Просмотр местоположения станций
и серверов на карте
95
Где и что происходит?
Нет ничего проще!
96. В сети разные
операционные системы?
Централизованное управление
антивирусом только для одного
типа систем?
Приходится бегать от одного
компьютера к другому?
96
99. Изменение первичной группы при
автоматическом подтверждении доступа
станций к антивирусному серверу
Гибкая система управления заданиями
99
Dr.Web Enterprise Suite 10:
Сокращение стоимости сопровождения системы
защиты
100. Интеграция с Active Directory и LDAP, включая
синхронизацию групп станций
100
Dr.Web Enterprise Suite 10:
Сокращение стоимости сопровождения системы
защиты
101. Поддержка кластеров
антивирусных серверов Dr.Web
Система распределения прав
администраторов антивирусной
сети
101
Dr.Web Enterprise Suite 10:
Безопасность и отказоустойчивость
102. Новостной агент
Система
оповещений
администраторов,
включающая
поддержку SNMP
102
Dr.Web Enterprise Suite 10:
Безопасность и отказоустойчивость
103. Возможность
управления базой
данных через Центр
Управления
SQL-консоль для
выполнения произвольных
SQL-запросов
103
Dr.Web Enterprise Suite 10:
Полное использование возможностей
современных решений
104. Загрузка системой обновления только изменившихся
файлов
Проверка обновлений на выбранных
компьютерах/группах
Возможность ограничения канала по группам
Управление ревизиями обновлений продуктов,
находящихся в репозитории Dr.Web Сервера
104
Dr.Web Enterprise Suite 10:
Российская система обновлений
105. Возможность экспорта, импорта и распространения
конфигурации группы или рабочей станции на другие группы и
станции
Удобный механизм изменения политик, применения их к
определенным группам
Возможность скачивания конфигурационного файла с
настройками подключения Dr.Web Агентов под ОС Android, Mac
OS X и ОС семейства UNIX из Центра Управления
105
Dr.Web Enterprise Suite 10:
Управление политиками системы защиты
106. Экспорт статистики антивирусной сети в формате PDF
Отправка статистических отчетов по электронной почте
через расписание Dr.Web Сервера
Отображение статистики работы самого антивирусного
сервера
Контроль действий администраторов
106
Dr.Web Enterprise Suite 10:
Все под контролем
107. Установка с помощью полного антивирусного агента –
дистрибутива, содержащего все необходимые для установки
компоненты
В состав Dr.Web Enterpise Suite 10 вошли пакеты, с помощью
которых возможна установка на иные кроме Windows
операционные системы – в том числе Linux и FreeBSD
Сканер сети позволяет производить поиск станций, находящихся
в разных доменах, а при установке станции могут
распределяться по группам в соответствии с заранее заданными
правилами
Возможность рассылки инсталляционных файлов Dr.Web
Агентов из Центра Управления по электронной почте
Установка с помощью службы распределенной файловой
системы (DFS)
107
Dr.Web Enterprise Suite 10:
Расширение возможностей по установке
108. отсутствие влияния ограничений операционной
системы на количество станций на одном
сервере
встроенная база данных
возможность использования любых внешних баз
данных
108
Dr.Web Enterprise Suite 10:
Полное использование возможностей
современных решений
109. Выбор тех обновлений, которые будут устанавливаться
Установка обновлений в указанное время
Групповые обновления
Просмотр информации о результатах обновления на
станциях сети
Выбор для обновления ближайших серверов ВСО
Получение обновлений с помощью утилиты автономной
загрузки репозитория Dr.Web Сервера из ВСО
Добавлена возможность обновления по защищенному
каналу с использованием SSL-сертификатов
109
Dr.Web Enterprise Suite 10:
Новая система обновлений
111. Наиболее популярные почтовые сервера:
Microsoft Exchange (40,1%)
Sendmail (30,6%)
Postfix (22,2%)
Kerio MailServer (12.8%)
IBM Lotus Domino (10.6%)
Exim (10.2%)
qmail (7.4%)
Communigate Pro (7.4%)
Почему нужно защищать почтовый
сервер?
111
112. Только защита почтового сервера может защитить
его от превращение в источник заражений при
проникновении в сеть неизвестного вируса!
112
114. 114
Dr.Web Mail Security Suite
Защита почтовых серверов MS Exchange
115. 115
Dr.Web для почтовых серверов Exchange не следует
канонам!
116. Однако все антивирусные программы, проверяющие почту,
поступающую на почтовый сервер, интегрируются с ним с
помощью API этого сервера - и тем самым ограничиваются в
своих возможностях. Например для MS Exchange в принципе
невозможно проверить письмо целиком – и использовать
правила опирающиеся на признаки, которые могут быть в
различных частях письма - MS Exchange отдает письма своим
плагинам только по частям. Для MS Exchange даже
статистика проверенного отражает не количество
проверенных писем, а количество проверенных объектов!
SMTP-шлюз, самостоятельно принимающий и
отправляющий почту не ограничен в своих возможностях
анализа – и качество фильтрации с помощью его заведомо
лучше!
116
117. Использование SMTP proxy
Фильтрация почтового трафика на вирусы и спам
Уникальные настройки на основе правил
Фильтрация и исключение из проверки сообщений по
различным критериям
Предотвращение массовых рассылок
Архивация всех проходящих сообщений
Возможность помечать и модифицировать письма
Защита собственных модулей от сбоев
117
119. “Использование облачных сервисов безопасно”
“Наш ЦОД сертифицирован по TIER3”
Что можно сказать о безопасности клиента,
перешедшего на облачные сервисы?
119
120. Пользователь облачных сервисов не знает, где и
как обрабатываются его данные, не может
контролировать процесс их обработки, утечки и
изоляции от данных иных клиентов сервиса, а
также возможности доступа со стороны
сотрудников компании, обеспечивающей работу
сервиса
120
121. Пользователь облачных сервисов вынужден
доверять провайдеру услуг, который не
предоставляет никакой гарантии защиты данных
и не возмещает убытков
121
122. Данные могут быть скомпрометированы путем
проникновения со стороны гипервизора, соседних
виртуальных машин, во время их передачи по
сети Интернет
122
123. Особое внимание необходимо уделить защите локальной
сети при использовании облачных сервисов:
– рекомендуется использовать антивирусные прокси сервера
как на стороне облака, так и на стороне компании.
– хорошей практикой является использование защищенных
каналов связи, однако необходимо учитывать риск внедрения
вредоносных программ в разрыв между защищенным каналом
и клиентской программой
– рекомендуется использовать антивирусные средства для
защиты всех виртуальных машин вне зависимости от места их
расположения
123
124. При использовании облачных сервисов необходимо
предусматривать меры, противодействующие:
получению доступа, хищению и/или модификации данных на
удаленных серверах, а также во время передачи данных
между удаленными серверами и серверами и рабочими
станциями, принадлежащими компании
внедрению вредоносных программ на удаленные сервера и во
время передачи данных
простоям на время отсутствия доступа к удаленным
серверпам
124
125. В качестве мер защиты должны использоваться :
системы шифрования, а также системы создания
каналов VPN
почтовые шлюзы на стороне ЦОД и на стороне
локальной сети или локальные почтовые сервера,
проверяющие входящую почту и накапливающие
почтовые сообщения во время отсутствия доступа к
ЦОД
файловые сервера и сервисы, синхронизирующие
содержание с содержанием удаленных серверов
125
126. Не забываем!
Широко распространенной практикой является
использование сотрудниками облачных сервисов
(google.docs, google.mail, google.disk и аналогичных), доступ
к которым не контролируется системами безопасности
компании
126
128. Защита как и беременность не бывает частичной.
Нельзя поставить только часть защиты. Рыцарь, у
которого из защиты только шлем вызовет только
смех у хакеров
128
129. Каждая пятая программа с «дырой», что позволяет:
• блокировать телефон,
• отправлять СМС,
• включать динамик без ведома пользователя,
• звонить,
• получать доступ к почте и паролям,
• получать данные от GPS-навигатора,
• иметь доступ к файлам, фотографиям.
Это все Андроид!
129
130. Типы угроз
• Вредоносные приложения, отправляющие СМС на платные
номера
– Android.SmsSend
• Вирусы, ворующие ТAN-коды
– Android.SpyEye.1
• Платные шпионские программы
– Flexispy, Mobile Spy, Mobistealth
• Вирусы, предоставляющие удаленное управление телефоном
– Android.Plankton
– Android.Gongfu (Android.DreamExploid)
– Android.GoldDream
• Шпионские программы
– Android.AntaresSpy.1
130
132. Мобильные устройства на данный момент
предоставляют криминалу куда большие
возможности, чем обычные компьютеры
132
133. Возможность отслеживать местоположение владельца
устройства
Возможность записывать все переговоры и
фотографировать участников встреч
Возможность управлять температурой аккумулятора с
целью его подрыва и причинения вреда владельцу
На этом фоне традиционное воровство паролей и рассылка
СМС выглядят детским ребячеством
133
134. Для мобильных устройств уже сейчас существуют все
основные типы вредоносных программ, а заражение
происходит через уязвимости – для заражения
устройства достаточно зайти на зараженный сайт
134
135. 40 процентов планшетов не имеет никакой защиты
48% работников пытаются обходить требования
безопасности
Только 21% работников координируют свои действия с ИТ-
отделом
http://megafon.cnews.ru/top/2012/09/03/polovina_korporativnyh_abonentov_ignoriruet_zaprety_itsluzhby_501616
135
138. Dr.Web Enterprise Security Suite это:
Защита в режиме реального
времени
Автоматическая проверка
загружаемых приложений – как бы
они не загружались
Облачная защита
Блокирование еще неизвестных
угроз, подозрительных процессов
Удобство настройки обновлений
Проверка всех типов архивов
Сканирование карты памяти при
подключении
Перемещение подозрительных
файлов в карантин – и
восстановление из него
138
139. Dr.Web Enterprise
Security Suite это:
Детектирование
новых угроз с
помощью технологии
Origin Tracing
139
140. Dr.Web Enterprise Security Suite это:
Фильтрация вызовов и СМС по
ключевым словам
Антифишинг
Белые и черные списки
Просмотр и выбор действий
для заблокированных звонков и
сообщений
140
141. Dr.Web Enterprise Security Suite это:
Удаленная блокировка устройства
Удаленное определение
местоположения
Удаленное уничтожение всей
информации в памяти устройства
Удаленное включение звуковой
сигнализации
Уведомление об изменении SIM-
карты
Возможность восстановить пароль
Anti-Theft на сайте разработчика
141
142. Используя Dr.Web Enterprise
Security Suite пользователь не
остается один:
Удобный контроль состояния
Полная статистика
Круглосуточная техподдержка
Возможность отправки
подозрительного файла в
лабораторию для анализа
142
143. Только факты
50 миллионов скачиваний только Dr.Web для
Андроид!
Собственная антивирусная лаборатория
Постоянный выпуск новых технологий на рынок
Автоматизированная антивирусная аналитическая
система
Высокая скорость реакции на поступающие
угрозы – выпуск обновлений сразу после анализа
угрозы
Сервера обновлений по всему миру
143
145. Виды атаки:
Атака на каналы передачи данных
Вирусная атака на сервер
Атака на компьютер через Интернет с целью кражи
секретного ключа ЭЦП, паролей
Атака на компьютер через Интернет с целью захвата
удаленного управления ресурсами компьютера
Атака с целью подмены документа при передаче его на
подпись
Атака с целью подмены части или всего использующегося
ПО
Внедрение программных закладок или троянских программ
По материалам IV Межбанковской конференции “УРАЛЬСКИЙ ФОРУМ: ИНФОРМАЦИОНННАЯ БЕЗОПАСНОСТЬ БАНКОВ”
145
146. Вывод средств производится на:
1. банковские карты для обналичивания,
2. счета мобильных телефонов, в основном «Билайн»
(услуга «МОБИ.Деньги»)
3. электронные кошельки виртуальных платежных систем, в
основном Яндекс.Деньги, Qiwi.
От момента совершения мошеннической операции и до
вывода средств проходит 1-3 минуты!
146
147. Троянец «Zeus» - в июне 2011 г. украл около
миллиона долларов с банковских счетов;
Вирус-троянец «URLZone» – за 3 недели в
Германии похитил 300 тыс. Евро с банковских
счетов;
Троянец-бэкдор-руткит «TDSS» - удалённое
управление заражённой системой, крайне
сложен в лечении;
Trojan.Bioskit.1 – заражение AWARD BIOS
«Безопасных» сред больше не существует –
заражено может быть все!
147
149. 149
Для защиты непосредственно систем ДБО используются:
Виртуальные клавиатуры
Аутентификация в системе ДБО
Запрет входящих каналов на время работы ДБО
Подтверждение платежей с помощью криптокалькуляторов
(потенциально с использованием ключевых параметров
платежа) или SMS
Организация доверенной среды (загрузка доверенной
операционной системы) - изоляция рабочего места ДБО от
внешнего мира (LiveCD) или использование защищенного
терминального режима доступа
Защита платежных данных при передаче – шифрование
данных
Защищенное хранение ключей ЭЦП. Неизвлекаемое хранение
на USB-токенах и смарт-картах
Ввод платежной информации на внешних устройствах
(гарантия совпадения показываемой и формируемой
платежки)
Что из этих средств уже скомпрометировано?
150. • Виртуальные клавиатуры обходятся снятием экрана
• Запрет входящих каналов на время работы обходится
внедрением вируса до начала работы системы
• Аутентификация в системе — зависит от пользователей
— социальная инженерия использовалась и
используется
• Организация доверенной среды — изоляция рабочего
места от внешнего мира через LiveCD обходится с
помощью буткитов
• Виртуальные среды (в том числе на Java) взламываются
путем подмены базовых компонентов
• Использование внешних систем подразумевает
использование программных компонентов, что
позволяет компрометировать и эти устройства,
считавшиеся панацеей
• Подтверждение по СМС не подходит для большинства
организаций — в силу количества операций
150
151. Клиенты – государственные органы
Администрация президента
Федеральное собрание
Российской Федерации.
Совет Федерации
Министерство обороны
Министерство иностранных дел
ФСБ
Министерство финансов
Министерство образования
и науки
151
152. Клиенты
Банки и компании
финансового сектора
Центральный Банк
Российской Федерации
Сбербанк России
Raiffeisen Bank Aval
152
153. Клиенты
Промышленные
предприятия и
энергетический сектор
РАО “Газпром”
Российские Железные
дороги
Предприятия военно-
промышленного комплекса
ArcelorMittal (Kryvyj Rig)
153
155. Что такое Dr.Web Enterprise Suite 10?
Упрощение процедуры закупки и внедрения
Сокращение стоимости сопровождения системы
защиты
Полное использование возможностей
современных решений
Защита большего количества операционных
систем с момента установки
Усиление безопасности и отказоустойчивости
Управление политиками системы защиты
Dr.Web Enterpise Suite 10.0 – центр контроля
безопасности
Новая система обновлений
Удобная система отчетов и статистики
155
156. Размер документа с краткой информацией о
изменениях превышает 10 страниц
156
159. Антивирусная технология
Доктор Веб входит в число немногих разработчиков
антивирусного ПО, обладающих собственной технологией
обнаружения и лечения вирусов.
Миссия компании Доктор Веб – постоянное развитие
технологий обнаружения современных вредоносных программ,
развитие систем информационной безопасности высочайшего
класса
Антивирусное ядро: Dr.Web®
Разрабатывается с: 1992
Автор антивируса Dr.Web: Игорь Данилов
Владелец технологий Dr.Web: «Доктор Веб» – 100%
российская компания
159
161. Сертификаты
Сертификаты соответствия
ФСТЭК и ФСБ
Dr.Web – антивирус,
сертифицированный МО РФ
Dr.Web полностью
соответствует требованиям
закона о защите
персональных данных
Dr.Web – антивирус,
сертифицированный на
работу с программами 1С
161
162. Обучение специалистов
IT-специалисты могут получить
подтвержденные «Доктор Веб» знания
значительно быстрее и, что самое главное,
совершенно бесплатно.
Чтобы стать специалистом в администрировании
программных продуктов Dr.Web, необходимо:
1. Зарегистрироваться на сайте
training.drweb.com/external и получить доступ к
«Личному кабинету»;
2. Самостоятельно изучить учебные материалы,
которые находятся в «Личном кабинете»
3. Сдать соответствующий экзамен.
В случае успешной сдачи экзамена соискатель
получает электронный сертификат по
выбранному направлению.
162
163. Мы не внушаем нашим клиентам иллюзий
– мы развиваем технологии, дающие
реальную защиту!
163
164. Предлагая клиентам наши продукты, мы не обманываем.
Купив наш продукт, пользователь получит тот функционал,
который ему обещали
Только продукты Dr.Web способны не замедлять работу
программ, а, наоборот, даже ускорять ее
Мы не проводим социальных экспериментов на
пользователях – мы их защищаем
164
166. Вопросы?
Благодарим за внимание!
Желаем вам процветания и еще больших успехов!
www.drweb.com
Номер службы технической поддержки
8-800-333-7932
Запомнить просто! – возникла проблема – набери DRWEB!
8-800-33-DRWEB