Лаборатория Касперского. Борис Шалопин. "Тренды, проблематика и стратегия про...
Доктор Веб. Вячеслав Медведев. "Антивирусная защита почтовых серверов и шлюзовых решений"
1. Г. ОМСК
26 МАЯ 2016
#CODEIB
Антивирусная защита почтовых серверов и
шлюзовых решений
Вячеслав Медведев
Доктор Веб
ООО "Доктор Веб"
+7(495)789-4587
+7(495)796-8992
3. #CODEIB
Мы можем долго рассказывать о
защите рабочих станций, но не
будем тратить ваше время
Г. ОМСК
26 МАЯ 2016
4. #CODEIB
Зачем нужен антивирус на шлюзе и/или на
почтовом сервере?
Зачем (например) проверять трафик на
шлюзе?
Справка. Этот трафик все равно попадет на рабочие станции и
сервера – где уже стоят антивирусы – там его и проверим! Тем
более, что антивирусное ядро, проверяющее почту и файлы и на
антивирусе для рабочей станции и на антивирусе для шлюза или
почтового сервера – одно и тоже
Г. ОМСК
26 МАЯ 2016
6. #CODEIB
Защита почтовых серверов MS Exchange
Проверка всей входящей и исходящей электронной корреспонденции,
поступающей для обработки на почтовый сервер, как от вредоносных
программ, так и от спама.
Обработка писем в зависимости от правил для групп клиентов
Г. ОМСК
26 МАЯ 2016
7. #CODEIB
Dr.Web Mail Security Suite
Защита почтовых серверов MS Exchange
Антивирус должен проверить все объекты до того, как
они передаются клиенту для обработки – в том числе
в поиске пока неизвестных вредоносных файлов
Возможность обнаружения неизвестных вирусов
Возможность обнаружения и удаления вирусов, скрытых
под неизвестными упаковщиками
Г. ОМСК
26 МАЯ 2016
8. #CODEIB
Защита почтовых серверов MS Exchange
В случае интеграции с почтовым сервером Microsoft Exchange с помощью
интерфейса Microsoft Virus Scanning Application Interface (VSAPI)
антивирусу доступны:
возможность проверки документов, хранящихся в базе данных, а также
проверки при доступе к письму.
проверку всех почтовых ящиков, включая служебные почтовые ящики
SystemMailbox, System Attendant;
фильтрацию и блокировку сообщений в зависимости от вероятности
принадлежности их к спаму – по категориям спам, вероятно, спам и
маловероятно спам;
Запуск задания на фоновую проверку в целях обнаружения ранее
неизвестных вредоносных программ;
Г. ОМСК
26 МАЯ 2016
11. Только факты
Android.Triada внедряется в системный процесс Zygote - отвечающий за запуск всех
приложений. Внедряясь в Zygote, троянцы фактически получают возможность
инфицировать процессы всех запускаемых в дальнейшем программ и могут
выполнять вредоносные действия от имени и с правами этих приложений.
Представители семейства Android.Triada обладают функцией самозащиты.
http://news.drweb.com/show/?c=5&i=9899&lng=ru
Android.Loki.3 реализует на инфицированном устройстве две функции: внедряет
библиотеку liblokih.so в процесс системной службы system_server и позволяет
выполнять команды от имени суперпользователя (root). Поскольку троянцы
семейства Android.Loki размещают часть своих компонентов в системных папках
ОС Android, к которым у антивирусной программы нет доступа… оптимальный
способ ликвидировать последствия заражения – перепрошивка устройства с
использованием оригинального образа ОС
http://news.drweb.com/show/?c=5&i=9822&lng=ru
1111
#CODEIB Г. ОМСК
26 МАЯ 2016
12. #CODEIB
Сотрудники, работающие удаленно и почтовые
клиенты, не имеющие актуальной защиты –
должны иметь гарантию того, что в письме нет
известного вируса
Г. ОМСК
26 МАЯ 2016
13. Проверяется ли ваш трафик на уровне
драйверов?
Контролирует ли ваш поведенческий
анализатор процесс, если эксплойт не
обращается ни к чему за пределами
процесса?
13
#CODEIB
Любой документ до его использования или попадания в
клиентскую программу должен быть проверен
Dr.Web ShellGuard – следующее
поколение Dr.Web Process Heuristic не
просто не позволяет вредоносным
объектам внедриться в процессы других
программ, а контролирует процессы
изнутри
Г. ОМСК
26 МАЯ 2016
15. #CODEIB
На данный момент наилучший вариант проверки
трафика - SMTP-шлюз, самостоятельно
принимающий и отправляющий почту - не
ограниченный в своих возможностях анализа
Все антивирусные программы, проверяющие почту, поступающую на
почтовый сервер, интегрируются с ним с помощью API этого сервера - и
тем самым ограничиваются в своих возможностях.
Г. ОМСК
26 МАЯ 2016
18. #CODEIB
Шлюз – защита от вредоносных файлов тех
компьютеров и устройств (от сетевого
оборудования до мобильных устройств), где
антивирус поставить нельзя – из-за отсутствия
ресурсов, неподдерживаемой операционной
системы или специфических задач.
Г. ОМСК
26 МАЯ 2016
19. #CODEIB
Если у вас используются облачные системы,
имеются филиалы или сотрудники используют
внешние сервисы – трафик компании покидает
защищенный периметр, по дороге на вашу
машину специально сформированный файл
вполне может внедриться в интересующее
хакера место
Г. ОМСК
26 МАЯ 2016
20. Антивирусная защита, соответствующая требованиям
закона о персональных данных, должна включать защиту
всех узлов локальной сети:
рабочих станций;
файловых и терминальных серверов;
шлюзов сети Интернет;
почтовых серверов.
Использование демилитаризованной зоны и средств
проверки почтового трафика на уровне SMTP-шлюза
повышает уровень защиты.
Вирусы
Шлюз сети
Интернет
Межсетевой
экран
SMTP-шлюз
Интернет
Dr.Web Enterprise Security Suite
21. И не забываем про и домашние машины – там тоже
читают письма! А вирусы таскают на работу
21
#CODEIB Г. ОМСК
26 МАЯ 2016
23. 23
Шлюз это шанс сделать работу быстро:
• Ускорение проверки за счет специальных технологий на
самом шлюзе
• Отказ от проверки на рабочей станции
Если ваши приложения требуют ресурсов – сделайте им
приятное!
24. #CODEIB
Комплексная защита это:
• Бесплатная расшифровка специалистами
«Доктор Веб» в случае заражения
троянцами-вымогателями.
66,23% от общего числа запросов в
техническую поддержку – запросы от
пользователей иных вендоров на
расшифровку
Г. ОМСК
26 МАЯ 2016
25. #CODEIB
Комплексная защита это:
• Готовность в любой момент к вирусному
инциденту.
А вы готовы к сезону отпусков?
Г. ОМСК
26 МАЯ 2016
26. Только факты
В течение 2015 года в Банк России было сообщено о хищениях
денежных средств из банкоматов … более 29 млн руб.
Банк России отмечает смещение вектора атак в сторону кредитных
организаций. Так инциденты, связанные с целевыми атаками на
операционную инфраструктуру кредитных организаций и платежных
систем, в 2015 году привели к финансовым потерям в размере более 900 млн
руб
http://www.cbr.ru/PSystem/P-sys/survey_2015.pdf
26
#CODEIB Г. ОМСК
26 МАЯ 2016
27. #CODEIB
Dr.Web Enterprise Security Suite
Полная комплексная защита
Централизованное управление защитой
всех узлов корпоративной сети
Рабочие станции
Файловые серверы и серверы приложений
Почта
Шлюзы
Мобильные устройства
Мы сертифицируем всю линейку наших продуктов
Г. ОМСК
26 МАЯ 2016
29. Вопросы?
Благодарим за внимание!
Желаем вам процветания и еще больших успехов!
www.drweb.com
Номер службы технической поддержки
8-800-333-7932
Запомнить просто! – возникла проблема – набери DRWEB!
8-800-33-DRWEB
#CODEIB Г. ОМСК
26 МАЯ 2016
Editor's Notes
Поверхностное сравнение показывает преимущество экономии – в антивирусе для рабочей станции есть:
Проверка входящего почтового трафика
База данных нарушителей
Настраиваемые черные списки
Фактически все тоже самое, что есть и у системы защиты на сервере. Защита на уровне сервера не нужна?
Проверка хранилища Microsoft Exchange
Возможность формирования списка защищаемых хранилищ
SIEM системы и защищенные системы логирования
BUOD – удобная вещь! Но не все вендоры предоставляют программный интерфейс для защиты их систем – в частности так поступает Apple
SIEM системы и защищенные системы логирования
Для MS Exchange в принципе невозможно проверить письмо целиком – и использовать правила опирающиеся на признаки, которые могут быть в различных частях письма - MS Exchange отдает письма своим плагинам только по частям. Для MS Exchange даже статистика проверенного отражает не количество проверенных писем, а количество проверенных объектов!
Ключевые функции
Антивирусная проверка FTP- и HTTP-трафика
Централизованное управление через Веб-администратор Центра управления Dr.Web Enterprise Security Suite
Фильтрация доступа по MIME-типу и размеру файлов или по названию хоста
Регулирование доступа к веб-ресурсам
Оптимизация проверки трафика за счет использования технологии Preview
Работа как с протоколом IPv4, так и с протоколом следующего поколения IPv6
Проверка и применение различных действий в зависимости от типов проверяемых файлов
Изоляция зараженных объектов в карантине
Предоставление отчетности в удобном виде
Обработка нескольких запросов в ходе одного соединения
Защита от несанкционированного доступа
Мониторинг и автоматическое восстановление работы системы
Оповещение пользователя о попытках загрузки вредоносной страницы или об обнаружении вируса
Преимущества
Широкие возможности по организации комплексной защиты от угроз, таящихся во входящем веб-трафике
Доставка только безопасного контента внутрь защищаемой сети
Эффективная фильтрация трафика на уровне ICAP-сервера – практически без замедления скорости доставки контента
Значительное снижение затрат на использование сети Интернет
Эффективное противодействие проникновению вредоносных программ любого типа
Высокая масштабируемость - способность обрабатывать гигантские массивы информации в режиме реального времени
Отличная совместимость – интеграция с любым программным обеспечением, поддерживающим ICAP-протокол, со всеми известными межсетевыми экранами
Поддержка практически всех используемых в настоящее время операционных систем на базе Unix
Нетребовательность к системным ресурсам – продукт идеально функционирует на интернет-шлюзах практически любой конфигурации
Гибкость и удобство администрирования – продукт позволяет реализовать те схемы защиты, которые соответствуют политике безопасности компании
После регистрации, введите серийный номер в поле формы получения Dr.Web CureNET! И получите Ваш персональный дистрибутив Dr.Web CureNET!
Проверьте компьютеры во всей сети
с 15 апреля по 30 июля при покупке коробочных продуктов Dr.Web Security Space (1 ПК / 1 год), отмеченных специальным шильдиком, клиенты получают второй год комплексной защиты Dr.Web со скидкой 100 %.
Покупатели акционных коробок Dr.Web Security Space (1 ПК / 1 год) смогут защитить компьютер на базе Windows, Linux или OS X. Также владельцам акционных лицензий предоставляется возможность бесплатно в течение двух лет защищать одно мобильное устройство под управлением Android, Symbian OS, Windows Mobile или BlackBerry.
При предъявлении ключевого файла или серийного номера от предыдущей лицензии постоянного клиента Dr.Web ожидает еще один приятный бонус — срок действия купленной лицензии будет увеличен на 150 дней и в итоге составит 29 месяцев!
С 15 апреля по 30 июля предлагайте своим клиентам купить Dr.Web Security Space (1 ПК / 1 год) с акционной наклейкой: только во время действия акции при регистрации серийного номера лицензии покупатели получат автоматическое увеличение срока действия антивируса на 1 год, активировать лицензию на льготных условиях можно до 30 июля.
8-800-333-7932 позволяет круглосуточно получать ответы на любые вопросы, связанные с использованием антивирусных продуктов Dr.Web, а также помогает разобраться в функциях и настройках программ. По номеру можно звонить как с мобильных, так и стационарных телефонов абсолютно бесплатно.
Кстати, такой номер выбран не случайно! На цифровых кнопках телефонных аппаратов написан ряд букв, и это делает возможным записать номер как 8-800-33-DRWEB. Так что запомнить новый номер «Доктор Веб» очень просто.
