Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
АнализфункциональностирепутационныхсервисовМосква 2013
Свойства зловредов• Модуль обхода антивирусных систем• Незаметность для конечного пользователя• Связь с центром управления...
Требования к системе обнаружениявредоносного ПО• Оперативность• Минимальное влияние на производительность работы пользоват...
Механизмы обнаружения вредоносного ПО• Сигнатурный• Эвристический• Белые/черные списки• Sandbox• Репутационный
Сигнатурный анализОбнаружение зловредов, по характерному отпечатку(сигнатуре)Преимущества:• Низкий процент ложных срабатыв...
Эвристический анализОбнаружение зловредов по поведению на хостеПреимущества:• Механизм не зависит от базы данных сигнатурН...
Черные/белые спискиПроверка запуска процессов/запущенных программ– Запрет запуска определенного набора ПО(черный список)– ...
SandboxОтслеживание поведения зловреда ввиртуализованной оболочкеПреимущества:• Механизм не зависит от базы данных сигнату...
Репутационный анализХеш (или контрольная сумма) проверяемого объекта(файла, почтового сообщения, URL-ссылки) отправляетсяв...
Эффективность репутационного анализа(почта)ПочтовыйсерверИнтернетОблачныйЛокальныйАнализ соединенияРепутация сообщенияРепу...
Эффективность репутационного анализа(файлы)-20,00040,00060,00080,000100,000120,000140,000Sep/10 Oct/10 Nov/10 Dec/10Обнару...
Источники• Исследовательские лаборатории• Интернет-сканеры• Развернутые продуктыЧем больше узлов, работающих с сервисом –т...
Примеры реализации репутационныхсервисов
Kaspersky Security NetworkЗадача:Защита домашних и корпоративных рабочих станций отвредоносных файлов, почтовых сообщений,...
Check Point ThreatCloudЗадача:Защита корпоративной сети на уровне сети от вредоносногоПО, обнаружение активности бот-сетей...
McAfee Global Threat IntelligenceЗадача:• Защита корпоративных пользователей от вредоносного ПО,спама, сетевых атакВ каких...
Резюме• Современное вредоносное ПО крайне сложно остановить• Необходим системный подход – эшелонированная защита, комбинац...
Контактная информация:Павел КоростелевE-mail: p_korostelev@step.ruСпасибо за внимание!
Upcoming SlideShare
Loading in …5
×

Павел Коростелев. Анализ функциональности репутационных сервисов.

607 views

Published on

Published in: Technology
  • Be the first to comment

  • Be the first to like this

Павел Коростелев. Анализ функциональности репутационных сервисов.

  1. 1. АнализфункциональностирепутационныхсервисовМосква 2013
  2. 2. Свойства зловредов• Модуль обхода антивирусных систем• Незаметность для конечного пользователя• Связь с центром управления через SSL-тоннель
  3. 3. Требования к системе обнаружениявредоносного ПО• Оперативность• Минимальное влияние на производительность работы пользователей• Низкий уровень ложных срабатываний
  4. 4. Механизмы обнаружения вредоносного ПО• Сигнатурный• Эвристический• Белые/черные списки• Sandbox• Репутационный
  5. 5. Сигнатурный анализОбнаружение зловредов, по характерному отпечатку(сигнатуре)Преимущества:• Низкий процент ложных срабатыванийПроблемы:• Необходимо постоянное обновление БД• При росте количества вредоносов БД будет расти,занимая больше места и снижаяпроизводительность• Не работает против неизвестных вредоносов
  6. 6. Эвристический анализОбнаружение зловредов по поведению на хостеПреимущества:• Механизм не зависит от базы данных сигнатурНедостатки:• Высокий уровень ложных срабатываний при«строгих» настройках• Низкий уровень эффективности при «мягких»настройках
  7. 7. Черные/белые спискиПроверка запуска процессов/запущенных программ– Запрет запуска определенного набора ПО(черный список)– Разрешение запуска явно определенногонабора ПО (белый список)Преимущества:• Снижение зависимости безопасности серверов отобновлений ПО, которые не могут быть поставленыоперативно• Возможность работы без обновлений антивирусныхбазНедостатки:• Трудоемкий процесс поддержания списков вактуальном состоянии
  8. 8. SandboxОтслеживание поведения зловреда ввиртуализованной оболочкеПреимущества:• Механизм не зависит от базы данных сигнатур• Анализ происходит до того момента, какНедостатки:• Ресурсоемкость• Низкая эффективность против «спящих» вредоносов
  9. 9. Репутационный анализХеш (или контрольная сумма) проверяемого объекта(файла, почтового сообщения, URL-ссылки) отправляетсяв облачный сервис, который возвращает репутациюобъекта (плохой, скорее плохой, средний, скореехороший, хороший)Преимущества:• Мгновенная реакция на изменение репутации объекта• Минимальные затраты ресурсов (временных,вычислительных) на проверку объектов• Возможность кросс-векторного анализа объектов (URL-ссылка из спам-письма будет также иметь плохуюрепутацию)Недостатки:• Необходимость постоянного подключения к Интернет• Дополнительный входящий-исходящий трафик• Зависимость от функционирования облачного сервиса
  10. 10. Эффективность репутационного анализа(почта)ПочтовыйсерверИнтернетОблачныйЛокальныйАнализ соединенияРепутация сообщенияРепутация IP-адресаСтатистический иэвристический анализФильтрация ~ 50% спамаФильтрация ~ 80% спамаФильтрация ~ 90% спамаФильтрация ~ 99.5% спама
  11. 11. Эффективность репутационного анализа(файлы)-20,00040,00060,00080,000100,000120,000140,000Sep/10 Oct/10 Nov/10 Dec/10Обнаружено с помощью сигнатурОбнаружено с помощью репутационного сервиса McAfee GTIУвеличение эффективности на 35%Увеличение эффективностина 25%По данным McAfee
  12. 12. Источники• Исследовательские лаборатории• Интернет-сканеры• Развернутые продуктыЧем больше узлов, работающих с сервисом –тем он эффективнее!
  13. 13. Примеры реализации репутационныхсервисов
  14. 14. Kaspersky Security NetworkЗадача:Защита домашних и корпоративных рабочих станций отвредоносных файлов, почтовых сообщений, URL-ссылокВ каких продуктах используется:• Домашние, начиная с Kaspersky Internet Security 2009• Корпоративные, начиная с Kaspersky Endpoint Security 8for Windows• Kaspersky Security для почтовых серверовАнтивирусные агенты отправляют в облако:• Информацию о контрольных суммах обрабатываемыхфайлов• Информацию для определения репутации URL• Статистические данные для защиты от спама
  15. 15. Check Point ThreatCloudЗадача:Защита корпоративной сети на уровне сети от вредоносногоПО, обнаружение активности бот-сетейВ каких продуктах используется:• Программные и аппаратные межсетевые экраны на базеCheck Point Security Gateway R75.40Отправляет в облако:• Информацию о типе зафиксированной атаки• IP-адрес источника атакиОсобенности:• Обнаружение в проверяемом трафике признаковкоммуникации ботов и центров управления• Блокировка взаимодействия ботов и командных центровбот-сетей
  16. 16. McAfee Global Threat IntelligenceЗадача:• Защита корпоративных пользователей от вредоносного ПО,спама, сетевых атакВ каких продуктах используется:• Межсетевой экран, cетевой IPS, Анти-спам, web-шлюз,антивирус для рабочих станций, SIEM и др.Отправляет в облако:• Хеши проверяемых объектов• IP-адреса, с которых был получены вредоносные файлы,спам-сообщения• URL-ссылки, на которых найдены вредоносные элементыОсобенности:• Очень большое количество узлов работающих с системой(100+ млн.)• Кросс-векторный анализ репутаций объектов
  17. 17. Резюме• Современное вредоносное ПО крайне сложно остановить• Необходим системный подход – эшелонированная защита, комбинация различныхмеханизмов обнаружения вредоносного ПО• Репутационные сервисы значительно повышают эффективность средств ИБ
  18. 18. Контактная информация:Павел КоростелевE-mail: p_korostelev@step.ruСпасибо за внимание!

×