Similar to Доктор Веб. Медведев Вячеслав. "Антивирусная безопасность. Типичные ошибки. Почему при наличии антивируса компании несут убытки от вирусны (20)
Лаборатория Касперского. Борис Шалопин. "Тренды, проблематика и стратегия про...
Доктор Веб. Медведев Вячеслав. "Антивирусная безопасность. Типичные ошибки. Почему при наличии антивируса компании несут убытки от вирусны
1. Г. Уфа
11 февраля 2016#CODEIB
Антивирусная безопасность. Типичные ошибки .
Почему при наличии антивируса компании несут убытки от
вирусных эпидемий и как с этим бороться?
Вячеслав Медведев
Доктор Веб
ООО "Доктор Веб"
+7(495)789-4587
+7(495)796-8992
3. 3
#CODEIB
В большинстве случаев считается, что задача
антивируса – не допустить ни одной вредоносной
программы в локальную сеть
Но это ответ, устаревший на кучку лет
Сколько вредоносных файлов приходит нам на анализ
ежедневно?
100? 1000?
Назовите свою цифру!
Г. Уфа
11 февраля 2016
5. Справка. Тесты на обнаружение неизвестных вирусов определяют
возможность обнаружения угроз подобных ранее известным и ничего не
говорят о возможности решения противостоять угрозе, заточенной на
необнаружение конкретным решением
55
#CODEIB
Наиболее опасные вредоносные программы
разрабатываются не хакерами-одиночками, но
криминальными структурами, что позволяет “выпускать на
рынок” вредоносные программы, протестированные на
необнаружение антивирусами
Г. Уфа
11 февраля 2016
6. 66
#CODEIB
Еще одна обнаруженная на прошлой неделе угроза безопасности
Android-устройств - новое семейство троянов Android.Loki.
Вредоносное ПО способно загружать из Google Play приложения с
помощью специальной реферальной ссылки, позволяя
вирусописателям получать доход за установку программ.
http://www.securitylab.ru/news/479227.php
Г. Уфа
11 февраля 2016
Ничего страшного – правда?
http://news.drweb.com/show/?c=5&i=9822&lng=ru
7. 7
• Для проведения атак внешнему злоумышленнику теперь требуется
более низкая квалификация. Для 50% атак достаточно низкой
квалификации, тогда как ранее такая квалификация была достаточной
для 40% атак
• с 74 до 91% выросла доля систем, где оказалось возможным получение
доступа во внутреннюю сеть.
• Получение полного контроля над важными ресурсами из внутренней
сети теперь возможно для 100% рассмотренных систем, тогда как ранее
подобный результат был получен в 84% случаев. В 71% случаев
внутренний нарушитель может получить полный контроль над всей
информационной инфраструктурой.
7
#CODEIB
Статистика уязвимостей корпоративных систем (2013 ) Positive Technologies
Г. Уфа
11 февраля 2016
8. • Количество обращений в техническую поддержку в связи с
шифровальщиками превысило 60% от обращений
• Продолжился рост количества вредоносных программ для краж
денежных средств под Android
• Существенно вырос интерес злоумышленников к операционным
системам Linux, а также встраиваемым системам/IoT/АСУТП
8
#CODEIB
Г. Уфа
11 февраля 2016
Что год прошедший нам…
Умные, но слабозащищенные устройства – следующая цель
злоумышленников
10. Итого:
• Даже если в организации равно защищены все места, где
обрабатываются данные – неизвестный вирус может проникнуть в
систему
• Как правило организации защищены недостаточно – они защищают
только рабочие компьютеры сотрудников – оставляя без защиты
сервера, мобильные устройства, домашние компьютеры сотрудников.
В итоге проникший на рабочие станции вирус вырывается на
свободу – с легкостью проникая на сервера с критически важной
информацией
1010
#CODEIB
Г. Уфа
11 февраля 2016
11. 11
#CODEIB
Г. Уфа
11 февраля 2016
Какие компоненты антивируса
нужны для защиты от
неизвестных угроз?
От момента совершения мошеннической операции и
до вывода средств проходит 1–3 минуты!
12. Не все золото, что блестит
Многие ранее реализованные подсистемы безопасности в силу
современных угроз либо потеряли свою значимость, либо стали
просто вредны
Многие рекомендуемые Вам технологии имеют не только
преимущества
12
#CODEIB
Г. Уфа
11 февраля 2016
13. 13
#CODEIB
В этих условиях антивирус обязан
иметь систему самозащиты, не позволяющую
неизвестной вредоносной программе нарушить
нормальную работу антивируса
нормально функционировать до поступления
обновления, позволяющего пролечить заражение
Иметь возможность противостоять неизвестным
антивирусному ядру инфекциям
лечить активные заражения
Г. Уфа
11 февраля 2016
14. 14
#CODEIB
Антивирус обязан быть установлен
На рабочих станциях и файловых серверах
На почтовых серверах
На шлюзах
На мобильных устройствах
Г. Уфа
11 февраля 2016
15. Dr.Web Enterprise Security Suite защищает не только
локальную сеть, но и мобильные устройства сотрудников,
их домашние ПК — как имеющие выход в Интернет, так
и не имеющие его.
Администратор компании может гарантировать, что с
личных компьютеров сотрудников в локальную сеть не
попадет ничего лишнего.
15
15
15
#CODEIB
Г. Уфа
11 февраля 2016
16. Продукт Поддерживаемые ОС/платформы Базовая лицензия Дополнительные
компоненты
Dr.Web®
Desktop Security Suite
Windows
Комплексная защита* ЦУ
КриптографАнтивирус**
Mac OS X, Linux
Антивирус
ЦУ
OS/2, MS DOS
Dr.Web®
Server Security Suite
Windows, Novell NetWare,
Mac OS X Server Антивирус ЦУ
Unix (Samba)
Dr.Web®
Mail Security Suite
MS Exchange
IBM Lotus Domino
Unix
Kerio (Windows, Linux, Mac OS X)
Антивирус
ЦУ
Антиспам (кроме Kerio)
SMTP proxy
Dr.Web®
Gateway Security Suite
MS ISA/TMG
Антивирус
Kerio
ЦУ
Unix
MIMEsweeper, Qbik WinGate Антиспам
Dr.Web®
Mobile Security Suite
Windows Mobile
Антивирус
ЦУ
Android
Symbian OS Антиспам
16
В состав Dr.Web Enterprise Security Suite добавлялись
новые продукты
16
16
#CODEIB
Г. Уфа
11 февраля 2016
19. Нет ничего проще!
Предотвратить заражения через вредоносные веб-ресурсы?
19
SpiderGate проверяет веб-трафик до его поступления
в браузер, использует базу вредоносных ресурсов,
сигнатурный поиск вирусов и эвристические
технологии
19
#CODEIB
Г. Уфа
11 февраля 2016
20. Нет ничего проще!
Предотвратить заражения при запуске вируса пользователем?
Обнаруживает
неизвестные
угрозы
Предотвращает
запуск вирусов
2020
#CODEIB
Г. Уфа
11 февраля 2016
22. 2222
#CODEIB
Г. Уфа
11 февраля 2016
Dr.Web Katana защищает от использования эксплойтами как уже
известных, так и еще неизвестных уязвимостей.
В отличие от традиционного сигнатурного анализа Dr.Web Katana
анализирует угрозы «на лету» – непосредственно в процессе
попыток использования уязвимостей в защищаемой системе.
24. 2424
#CODEIB
Г. Уфа
11 февраля 2016
10 февраля — 10 апреля 2016 г.
при покупке Dr.Web для защиты почты и/или шлюзов
на 1 год
бесплатно
предоставляется защита от угроз, не определяющихся
традиционными сигнатурными методами
25. 2525
#CODEIB
Г. Уфа
11 февраля 2016
В состав Акционного продукта Dr.Web — комплекта
«Dr.Web Katana+» входят по желанию клиента два или
три продукта Dr.Web:
• Dr.Web Katana и Dr.Web Mail Security Suite
• Dr.Web Katana и Dr.Web Gateway Security Suite
• Dr.Web Katana, Dr.Web Mail Security Suite и Dr.Web
Gateway Security Suite.
26. 2626
#CODEIB
Г. Уфа
11 февраля 2016
В акции участвуют:
• новые лицензии
• лицензии миграции с другого антивирусного ПО
Покупателям комплекта «Dr.Web Katana+» при условии перехода
на Dr.Web с антивирусного ПО для фильтрации почты и/или
интернет-трафика другого производителя (не ООО «Доктор
Веб») предоставляется скидка 50% на миграцию.
27. Попробуйте и вы!
Благодарим за внимание!
Желаем вам процветания и еще больших успехов!
www.drweb.com
Номер службы технической поддержки
8-800-333-7932
Запомнить просто! – возникла проблема – набери DRWEB!
8-800-33-DRWEB
#CODEIB
Г. Уфа
11 февраля 2016
Editor's Notes
11.02.2016 Уфа
Антивирусная безопасность. Почему при наличии антивируса компании несут убытки от вирусных эпидемий и как с этим бороться?
Каждая система безопасности настолько надежна, насколько она себя контролирует. Примеры взлома защищенных систем (java, защищенные среды исполнения) постоянно освещаются в новостях. Полагаясь на систему управления, компоненты которой не защищены от модификации или подмены администратор может в один прекрасный момент увидеть совсем не то, что происходит в сети
Обновления антивируса должны доставляться мгновенно и поэтому нагружают сеть. Штатные системы обновления операционных систем не столь торопятся
Напомним, что время хищения – менее трех минут
http://news.drweb.com/show/?c=5&i=9822&lng=ru
(дата на момент написания статьи)
2012-04-09
Trojan.Carberp.14(4) Trojan.Carberp.15 Trojan.Carberp.276(11) Trojan.Carberp.29(60) Trojan.Carberp.33(2) Trojan.Carberp.339 Trojan.Carberp.340(5) Trojan.Carberp.381 Trojan.Carberp.382 Trojan.Carberp.383 Trojan.Carberp.384 Trojan.Carberp.385 Trojan.Carberp.386 Trojan.Carberp.388 Trojan.Carberp.389 Trojan.Carberp.390 Trojan.Carberp.391 Trojan.Carberp.392 Trojan.Carberp.393 Trojan.Carberp.394 Trojan.Carberp.395 Trojan.Carberp.396 Trojan.Carberp.397 Trojan.Carberp.398 Trojan.Carberp.399
У ZeuS появились аналоги для open-source систем
С конца прошлого года вирусописатели выпустили более пяти новых версий банковского трояна с различным функционалом. Как сообщили представители IT-компании Seculert, после публикации в 2011 году исходного кода ZeuS, злоумышленники воспользовались им с целью разработки банковского трояна для open-source систем. На протяжении последних нескольких недель вышло несколько вариаций трояна ZeuS, получивших общее название Citadel.По данным экспертов Seculert, вирусописатели основали новый цикл разработки троянской программы. Представители IT-компании Seculert сообщают, что ведущие разработчикивируса также создали форум, на котором покупатели Citadel могут вносить изменения
Статистика уязвимостей корпоративных систем (2013 ) Positive Technologies
Недостатки защиты сетевого периметра
• В 9 из 10 систем любой внешний нарушитель, действующий со стороны сети Интернет, способен получить доступ к узлам внутренней сети. При этом в 55% случаев внешний злоумышленник может развить атаку и получить полный контроль над всей инфраструктурой компании.
• В среднем для преодоления сетевого периметра внешнему атакующему требуется осуществить эксплуатацию двух различных уязвимостей, при этом для проведения атаки в 82% случаев достаточно иметь среднюю или низкую квалификацию.
• В 40% случаев вектор проникновения во внутреннюю сеть основывается на слабости парольной защиты. Так же, как и в предыдущие два года, данная уязвимость является самой распространенной, она была обнаружена на сетевом периметре 82% исследованных систем, причем в каждой из этих систем словарные пароли присутствовали в том числе и в веб-приложениях.
В 67% компаний словарные пароли использовались для привилегированных учетных записей.
• В каждой третьей системе доступ во внутреннюю сеть осуществляется через уязвимости веб-приложений. Так, уязвимости типа «Загрузка произвольных файлов» и «Внедрение операторов SQL» встречаются в 55% систем. В целом уязвимости веб-приложений были обнаружены в 93% исследованных систем.
• По сравнению с 2011–2012 гг. средний уровень защищенности сетевого периметра понизился. На 17% выросла доля систем, где оказалось возможным получение доступа во внутреннюю сеть (с 74 до 91%). Для проведения атак внешнему злоумышленнику теперь требуется более низкая квалификация, преодоление периметра в среднем требует эксплуатации меньшего количества уязвимостей (2 против 3 в предыдущие два года). Сложившаяся картина свидетельствует о том, что используемые защитные меры развиваются
медленнее современных методов атак и не могут обеспечить достаточно высокий уровень безопасности. Так, например, существенно возросла (с 10 до 64%) доля систем, где не установлены актуальные обновления безопасности на узлах сетевого периметра.
• Во всех исследованных системах непривилегированный внутренний нарушитель, находящийся в пользовательском сегменте сети, может так или иначе расширить свои привилегии
и получить несанкционированный доступ к критически важным ресурсам. При этом в 71% случаев внутренний нарушитель может получить полный контроль над всей информаци-
онной инфраструктурой организации.
• Только в 17% случаев внутренний атакующий должен обладать высокой квалификацией для получения доступа к критическим ресурсам, тогда как в половине всех исследованных систем успешные атаки возможны со стороны любого неквалифицированного пользователя внутренней сети. В среднем при наличии доступа во внутреннюю сеть для контроля над критическими ресурсами злоумышленнику требуется эксплуатация 5 различных уязвимостей.
• Наиболее распространенной уязвимостью ресурсов внутренней сети по-прежнему является использование слабых паролей, которые встречаются в 92% систем. Следующие по
распространенности — недостатки фильтрации и защиты служебных протоколов (ARP, STP, CDP и др.), приводящие к перехвату и перенаправлению трафика, и хранение важных данных в открытом виде. Эти уязвимости обнаружены в 67% систем.
• Уровень защищенности внутренних сетей понизился по сравнению с 2011–2012 гг. Получение полного контроля над важными ресурсами из внутренней сети теперь оказалось возможным для 100% рассмотренных систем, тогда как ранее подобный результат был получен в 84% случаев. Как и для атак со стороны внешнего злоумышленника, снизилось среднее количество уязвимостей, эксплуатация которых необходима для успешной атаки, — с 7 до 5.
Требуемая квалификация злоумышленника также понизилась: для 50% атак достаточно низкой квалификации, тогда как ранее такая квалификация была достаточной для 40% атак. В целом, несмотря на некоторые улучшения в отдельных областях (повысился, к примеру, уровень антивирусной защиты), применяемых мер защиты недостаточно для противодействия современным атакам.
• В 66% случаев в результате оценки осведомленности пользователей в вопросах информационной безопасности были обнаружены те или иные недостатки. В каждой третьей системе уровень осведомленности пользователей был оценен как низкий, в этих системах свыше 20% адресатов рассылки, эмулирующей фишинг, перешли по предложенным ссылкам и запустили предложенный файл или ввели свои учетные данные.
• В среднем каждый десятый пользователь осуществлял переход по предлагаемой ссылке, при этом 3% пользователей попытались вступить в диалог, а 4% испытуемых загрузили исполняемые файлы либо ввели свои учетные данные в предлагаемой форме аутентификации.
• Уровень осведомленности сотрудников в вопросах информационной безопасности повысился. В 2013 году в каждой третьей системе уровень осведомленности был оценен как приемлемый.
В 67% компаний словарные пароли использовались для привилегированных учетных записей.
с 10 до 64% возросла доля систем, где не установлены актуальные обновления безопасности на узлах сетевого периметра.
Наиболее распространенной уязвимостью ресурсов внутренней сети по-прежнему является использование слабых паролей, которые встречаются в 92% систем.
В каждой третьей системе уровень осведомленности пользователей был оценен как низкий, в этих системах свыше 20% адресатов рассылки, эмулирующей фишинг, перешли по предложенным ссылкам и запустили предложенный файл или ввели свои учетные данные.
Уязвимость в графической библиотеке подвергает опасности приложения, созданные с помощью C++ Builder или Delphi
http://www.securitylab.ru/news/456818.php
Уязвимость в BlackBerry Z10 позволяла обойти аутентификацию
http://www.securitylab.ru/news/456545.php
Эксперты проверили 10 тысяч наиболее популярных приложений для ОС Android и выяснили, что большая их часть содержит критические ошибки безопасности - в основном бреши в шифровании и обработке сертификатов. Более 60% из проверенных программ оказались подвержены этим уязвимостям.Подробнее: http://www.securitylab.ru/news/456808.php
Лицензирование для каждого защищаемого объекта (т. е. продукта) производится отдельно. С этой целью для каждого защищаемого объекта нужно выбрать базовую лицензию и, если это необходимо, дополнительные компоненты защиты. Так, например, базовыми лицензиями для рабочих станций являются Антивирус и Комплексная защита (в обе лицензии входит брандмауэр), в дополнение к которым можно выбрать криптограф.
Центр управления лицензируется отдельно — как в составе комплексного продукта Dr.Web Enterprise Security Suite, так и при покупке лицензии для отдельного продукта Dr.Web. ЦУ лицензируется бесплатно. Также бесплатен Антиспам для Dr.Web Mobile Security Suite.
Современные вредоносные программы распространяются, в основном, через флеш-накопители и заражённые веб-сайты. Для защиты от вирусов, которые распространяются через флешки, Dr.Web предлагает режим запрета выполнения автозапуска – опцию компонента SpiderGuard. Просто включите опцию «Блокировать автозапуск со сменных носителей» и компьютер защищён. Преимущество такой защиты в том, что можно продолжать использование флеш-накопителей в случаях, когда отказ от их использования затруднён.
Для защиты компьютера от заражения при посещении пользователем вредоносного сайта мы предлагаем комбинированную защиту. Во-первых, адрес сайта проверяется по обновляемой базе опасных и нежелательных объектов. Во-вторых, веб-трафик проверяется сигнатурным и эвристическим методами, причём проверка происходит до поступления трафика в браузер.
Часто вирусописатели прибегают к методам социальной инженерии, чтобы побудить пользователя собственноручно запустить файл вредоносной программы. К примеру, в Интернет можно встретить множество псевдо-кодеков, псевдо-антивирусов и прочих программ, которые вместо заваленного функционала несут прямую угрозу безопасности. Компонент SpiderGuard постоянно находится в памяти компьютера и предотвращает заражение, проверяя файлы перед их запуском, а также все системные процессы и при каждом обновлении антивируса. SpiderGuard эффективен против любых известных и многих неизвестных угроз, поскольку использует методы эвристического анализа.
Часто вирусописатели прибегают к методам социальной инженерии, чтобы побудить пользователя собственноручно запустить файл вредоносной программы. К примеру, в Интернет можно встретить множество псевдо-кодеков, псевдо-антивирусов и прочих программ, которые вместо заваленного функционала несут прямую угрозу безопасности. Компонент SpiderGuard постоянно находится в памяти компьютера и предотвращает заражение, проверяя файлы перед их запуском, а также все системные процессы и при каждом обновлении антивируса. SpiderGuard эффективен против любых известных и многих неизвестных угроз, поскольку использует методы эвристического анализа.
Часто вирусописатели прибегают к методам социальной инженерии, чтобы побудить пользователя собственноручно запустить файл вредоносной программы. К примеру, в Интернет можно встретить множество псевдо-кодеков, псевдо-антивирусов и прочих программ, которые вместо заваленного функционала несут прямую угрозу безопасности. Компонент SpiderGuard постоянно находится в памяти компьютера и предотвращает заражение, проверяя файлы перед их запуском, а также все системные процессы и при каждом обновлении антивируса. SpiderGuard эффективен против любых известных и многих неизвестных угроз, поскольку использует методы эвристического анализа.
8-800-333-7932 позволяет круглосуточно получать ответы на любые вопросы, связанные с использованием антивирусных продуктов Dr.Web, а также помогает разобраться в функциях и настройках программ. По номеру можно звонить как с мобильных, так и стационарных телефонов абсолютно бесплатно.
Кстати, такой номер выбран не случайно! На цифровых кнопках телефонных аппаратов написан ряд букв, и это делает возможным записать номер как 8-800-33-DRWEB. Так что запомнить новый номер «Доктор Веб» очень просто.