АнализфункциональностирепутационныхсервисовМосква 2013
Свойства зловредов• Модуль обхода антивирусных систем• Незаметность для конечного пользователя• Связь с центром управления...
Требования к системе обнаружениявредоносного ПО• Оперативность• Минимальное влияние на производительность работы пользоват...
Механизмы обнаружения вредоносного ПО• Сигнатурный• Эвристический• Белые/черные списки• Sandbox• Репутационный
Сигнатурный анализОбнаружение зловредов, по характерному отпечатку(сигнатуре)Преимущества:• Низкий процент ложных срабатыв...
Эвристический анализОбнаружение зловредов по поведению на хостеПреимущества:• Механизм не зависит от базы данных сигнатурН...
Черные/белые спискиПроверка запуска процессов/запущенных программ– Запрет запуска определенного набора ПО(черный список)– ...
SandboxОтслеживание поведения зловреда ввиртуализованной оболочкеПреимущества:• Механизм не зависит от базы данных сигнату...
Репутационный анализХеш (или контрольная сумма) проверяемого объекта(файла, почтового сообщения, URL-ссылки) отправляетсяв...
Эффективность репутационного анализа(почта)ПочтовыйсерверИнтернетОблачныйЛокальныйАнализ соединенияРепутация сообщенияРепу...
Эффективность репутационного анализа(файлы)-20,00040,00060,00080,000100,000120,000140,000Sep/10 Oct/10 Nov/10 Dec/10Обнару...
Источники• Исследовательские лаборатории• Интернет-сканеры• Развернутые продуктыЧем больше узлов, работающих с сервисом –т...
Примеры реализации репутационныхсервисов
Kaspersky Security NetworkЗадача:Защита домашних и корпоративных рабочих станций отвредоносных файлов, почтовых сообщений,...
Check Point ThreatCloudЗадача:Защита корпоративной сети на уровне сети от вредоносногоПО, обнаружение активности бот-сетей...
McAfee Global Threat IntelligenceЗадача:• Защита корпоративных пользователей от вредоносного ПО,спама, сетевых атакВ каких...
Резюме• Современное вредоносное ПО крайне сложно остановить• Необходим системный подход – эшелонированная защита, комбинац...
Контактная информация:Павел КоростелевE-mail: p_korostelev@step.ruСпасибо за внимание!
Upcoming SlideShare
Loading in …5
×

Павел Коростелев. Анализ функциональности репутационных сервисов.

534 views

Published on

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
534
On SlideShare
0
From Embeds
0
Number of Embeds
2
Actions
Shares
0
Downloads
0
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide
  • Добавить источник
  • Павел Коростелев. Анализ функциональности репутационных сервисов.

    1. 1. АнализфункциональностирепутационныхсервисовМосква 2013
    2. 2. Свойства зловредов• Модуль обхода антивирусных систем• Незаметность для конечного пользователя• Связь с центром управления через SSL-тоннель
    3. 3. Требования к системе обнаружениявредоносного ПО• Оперативность• Минимальное влияние на производительность работы пользователей• Низкий уровень ложных срабатываний
    4. 4. Механизмы обнаружения вредоносного ПО• Сигнатурный• Эвристический• Белые/черные списки• Sandbox• Репутационный
    5. 5. Сигнатурный анализОбнаружение зловредов, по характерному отпечатку(сигнатуре)Преимущества:• Низкий процент ложных срабатыванийПроблемы:• Необходимо постоянное обновление БД• При росте количества вредоносов БД будет расти,занимая больше места и снижаяпроизводительность• Не работает против неизвестных вредоносов
    6. 6. Эвристический анализОбнаружение зловредов по поведению на хостеПреимущества:• Механизм не зависит от базы данных сигнатурНедостатки:• Высокий уровень ложных срабатываний при«строгих» настройках• Низкий уровень эффективности при «мягких»настройках
    7. 7. Черные/белые спискиПроверка запуска процессов/запущенных программ– Запрет запуска определенного набора ПО(черный список)– Разрешение запуска явно определенногонабора ПО (белый список)Преимущества:• Снижение зависимости безопасности серверов отобновлений ПО, которые не могут быть поставленыоперативно• Возможность работы без обновлений антивирусныхбазНедостатки:• Трудоемкий процесс поддержания списков вактуальном состоянии
    8. 8. SandboxОтслеживание поведения зловреда ввиртуализованной оболочкеПреимущества:• Механизм не зависит от базы данных сигнатур• Анализ происходит до того момента, какНедостатки:• Ресурсоемкость• Низкая эффективность против «спящих» вредоносов
    9. 9. Репутационный анализХеш (или контрольная сумма) проверяемого объекта(файла, почтового сообщения, URL-ссылки) отправляетсяв облачный сервис, который возвращает репутациюобъекта (плохой, скорее плохой, средний, скореехороший, хороший)Преимущества:• Мгновенная реакция на изменение репутации объекта• Минимальные затраты ресурсов (временных,вычислительных) на проверку объектов• Возможность кросс-векторного анализа объектов (URL-ссылка из спам-письма будет также иметь плохуюрепутацию)Недостатки:• Необходимость постоянного подключения к Интернет• Дополнительный входящий-исходящий трафик• Зависимость от функционирования облачного сервиса
    10. 10. Эффективность репутационного анализа(почта)ПочтовыйсерверИнтернетОблачныйЛокальныйАнализ соединенияРепутация сообщенияРепутация IP-адресаСтатистический иэвристический анализФильтрация ~ 50% спамаФильтрация ~ 80% спамаФильтрация ~ 90% спамаФильтрация ~ 99.5% спама
    11. 11. Эффективность репутационного анализа(файлы)-20,00040,00060,00080,000100,000120,000140,000Sep/10 Oct/10 Nov/10 Dec/10Обнаружено с помощью сигнатурОбнаружено с помощью репутационного сервиса McAfee GTIУвеличение эффективности на 35%Увеличение эффективностина 25%По данным McAfee
    12. 12. Источники• Исследовательские лаборатории• Интернет-сканеры• Развернутые продуктыЧем больше узлов, работающих с сервисом –тем он эффективнее!
    13. 13. Примеры реализации репутационныхсервисов
    14. 14. Kaspersky Security NetworkЗадача:Защита домашних и корпоративных рабочих станций отвредоносных файлов, почтовых сообщений, URL-ссылокВ каких продуктах используется:• Домашние, начиная с Kaspersky Internet Security 2009• Корпоративные, начиная с Kaspersky Endpoint Security 8for Windows• Kaspersky Security для почтовых серверовАнтивирусные агенты отправляют в облако:• Информацию о контрольных суммах обрабатываемыхфайлов• Информацию для определения репутации URL• Статистические данные для защиты от спама
    15. 15. Check Point ThreatCloudЗадача:Защита корпоративной сети на уровне сети от вредоносногоПО, обнаружение активности бот-сетейВ каких продуктах используется:• Программные и аппаратные межсетевые экраны на базеCheck Point Security Gateway R75.40Отправляет в облако:• Информацию о типе зафиксированной атаки• IP-адрес источника атакиОсобенности:• Обнаружение в проверяемом трафике признаковкоммуникации ботов и центров управления• Блокировка взаимодействия ботов и командных центровбот-сетей
    16. 16. McAfee Global Threat IntelligenceЗадача:• Защита корпоративных пользователей от вредоносного ПО,спама, сетевых атакВ каких продуктах используется:• Межсетевой экран, cетевой IPS, Анти-спам, web-шлюз,антивирус для рабочих станций, SIEM и др.Отправляет в облако:• Хеши проверяемых объектов• IP-адреса, с которых был получены вредоносные файлы,спам-сообщения• URL-ссылки, на которых найдены вредоносные элементыОсобенности:• Очень большое количество узлов работающих с системой(100+ млн.)• Кросс-векторный анализ репутаций объектов
    17. 17. Резюме• Современное вредоносное ПО крайне сложно остановить• Необходим системный подход – эшелонированная защита, комбинация различныхмеханизмов обнаружения вредоносного ПО• Репутационные сервисы значительно повышают эффективность средств ИБ
    18. 18. Контактная информация:Павел КоростелевE-mail: p_korostelev@step.ruСпасибо за внимание!

    ×