Доктор Веб. Вячеслав Медведев. "Год 2016. Антивирусная безопасность в тисках угроз"

Г. Санкт-Петербург
21 АПРЕЛЯ 2016#CODEIB
Год 2016
Антивирусная безопасность в тисках угроз
Вячеслав Медведев
Доктор Веб
ООО "Доктор Веб"
+7(495)789-4587
+7(495)796-8992

1. Вы уверены, что вы знаете все угрозы?
2. По вашему мнению защита находящихся под вашим
контролем сетей/компьютеров/устройств адекватна
текущему уровню угроз?
3. Откуда вы узнаете о новых угрозах?
4. Насколько часто вы пересматриваете список угроз?
5. Существует ли в вашей компании процедура пересмотра
списка угроз и соответствующие документы?
6. Что вы делаете, если в течении финансового года в
очередной раз неожиданно возникает проблема
безопасности?
2
#CODEIB
21 АПРЕЛЯ 2016

Для примера
С какими правами работают антивирусные
программы на мобильных устройствах?
3
#CODEIB

Для примера
Какие антивирусы для устройств Apple вы
можете назвать?
4
#CODEIB

5
#CODEIB
И забегая вперед
Зачем нужен антивирус на шлюзе и на почтовом сервере?
Зачем (например) проверять трафик на шлюзе?
Он же он же все равно попадет на рабочие станции и
сервера – где уже стоят антивирусы – там его и проверим!
Тем более, что антивирусное ядро, проверяющее почту и
файлы и на антивирусе для рабочей станции и на
антивирусе для шлюза или почтового сервера – одно и
тоже

Перейдем к защите
Byod… Какие меры защиты вы используете?
6
#CODEIB

Только факты
7
#CODEIB

В течение 2015 года в Банк России было сообщено о хищениях
денежных средств из банкоматов … более 29 млн руб.
Банк России отмечает смещение вектора атак в сторону кредитных
организаций. Так инциденты, связанные с целевыми атаками на
операционную инфраструктуру кредитных организаций и платежных
систем, в 2015 году привели к финансовым потерям в размере более 900 млн
руб
http://www.cbr.ru/PSystem/P-sys/survey_2015.pdf
8
#CODEIB

Android.Triada внедряется в системный процесс Zygote - отвечающий за запуск всех
приложений. Внедряясь в Zygote, троянцы фактически получают возможность
инфицировать процессы всех запускаемых в дальнейшем программ и могут
выполнять вредоносные действия от имени и с правами этих приложений.
Представители семейства Android.Triada обладают функцией самозащиты.
http://news.drweb.com/show/?c=5&i=9899&lng=ru
Android.Loki.3 реализует на инфицированном устройстве две функции: внедряет
библиотеку liblokih.so в процесс системной службы system_server и позволяет
выполнять команды от имени суперпользователя (root). Поскольку троянцы
семейства Android.Loki размещают часть своих компонентов в системных папках
ОС Android, к которым у антивирусной программы нет доступа… оптимальный
способ ликвидировать последствия заражения – перепрошивка устройства с
использованием оригинального образа ОС
http://news.drweb.com/show/?c=5&i=9822&lng=ru
99
#CODEIB

И это далеко не все векторы атак
• Атаки на Linux и Mac
• Атаки на сетевое оборудование
• Разработка вредоносных программ, в момент
проникновения не обнаруживаемых традиционным
антивирусом с актуальной базой
• …
1010
#CODEIB

Новый подход к заражению
Вредоносные программы удаляют свои компоненты,
отвечающие за заражение системы, очищая при этом
логи. В итоге заражение может производиться
многократно. Это возможно в связи с тем, что в системе
защиты не используются SIEM системы и защищенные
системы логирования
11
#CODEIB

В итоге антивирусные компании не получают всех
компонент вредоносной программы!
12
#CODEIB
Обнаруживает
неизвестные
угрозы
Предотвращает
запуск вирусов
Вредоносные программы удаляют свои компоненты, отвечающие
за заражение системы, очищая при этом логи. В итоге заражение
может производиться многократно. Это возможно в связи с тем,
что в системе защиты не используются SIEM системы и
защищенные системы логирования.

Можно ли
защититься?
13
#CODEIB

А ваши логи защищены от несанкционированных
правок?
14
#CODEIB
Вся инфраструктура сети должна быть контролируема в
любой момент времени

Грустно, но недавно пришел клиент, который сам
написал Центр управления для контроля антивирусов.
Хотя имеющийся бесплатен и доступен практически для
любой лицензии…
15
#CODEIB
Знаете ли вы все о современных методах с средствах
защиты?

Делаете ли вы резервные копии?
Надежно ли вы защищаете бекап от изменений?
Продумали ли вы процедуру на случай заражения
резервной копии?
16
#CODEIB
йВы должны доверять вашему бекапу

Знает ли дежурная смена кому звонить?
А если вас нет на месте?
Насколько часто вы проверяете актуальность процедуры
обработки инцидента?
17
#CODEIB
йГотовы ли вы к вирусному инциденту?
Скоро праздники! Готовы ли вы к ним?

Можете ли вы в любой момент времени внести изменения на все
мобильные, на которых обрабатываются данные вашей
компании/семьи?
Установлен ли у вас антивирус?
18
#CODEIB
Используете ли вы MDM-системы?
Внимание! Dr.Web Security Space для Android может лечить
вредоносные файлы в системных областях. А вы к этому готовы?

Проверяете ли вы трафик этих устройств?
А трафик, идущий на сетевые устройства? Думаете, что
заражают только домашние роутеры?
19
#CODEIB
Согласно каким правилам устройства ваших сотрудников
входят в сеть?

А для программ?
20
#CODEIB
Учитываете ли вы, что белый список для сменных
носителей невозможен?

Какой почтовый сервер у вас стоит?
А как он проверяет почтовые сообщения?
Зачем вам нужен антивирус на почтовом
сервере?
21
#CODEIB
Уверены ли вы, что скачанное вами с почтового сервера/файлового
сервера/сервера документооборота письмо/документ проверено
актуальной версией антивируса?

Г. МИНСК
14 АПРЕЛЯ 2016#CODEIB
Dr.Web Mail Security Suite
Защита почтовых серверов MS Exchange
В случае интеграции с почтовым сервером Microsoft Exchange с помощью
интерфейса Microsoft Virus Scanning Application Interface (VSAPI)
программные средства Системы должны обеспечивать
 возможность проверки документов, хранящихся в базе данных, а также
проверки при доступе к письму.
 проверку всех почтовых ящиков, включая служебные почтовые ящики
SystemMailbox, System Attendant;
 фильтрацию и блокировку сообщений в зависимости от вероятности
принадлежности их к спаму – по категориям спам, вероятно, спам и
маловероятно спам;
 Запуск задания на фоновую проверку в целях обнаружения ранее
неизвестных вредоносных программ;

23
#CODEIB
Отличный функционал, обеспечивающий
актуальную защиту почты в любой
момент времени
Вот только производитель, начиная с MS Exchange 2013
убрал эту возможность защиты

Проверяется ли ваш трафик на уровне
драйверов?
Контролирует ли ваш поведенческий
анализатор процесс, если эксплойт не
обращается ни к чему за пределами процесса?
24
#CODEIB
Любой документ до его использования или попадания в
клиентскую программу должен быть проверен
Dr.Web ShellGuard – следующее
поколение Dr.Web Process Heuristic не
просто не позволяет вредоносным
объектам внедриться в процессы других
программ, а контролирует процессы
изнутри

Учебный курс по защите
от шифровальщиков
2525
#CODEIB

2626
#CODEIB
Убедитесь, что на компьютерах нет
вирусов:

Вопросы?
Благодарим за внимание!
Желаем вам процветания и еще больших успехов!
www.drweb.com
Номер службы технической поддержки
8-800-333-7932
Запомнить просто! – возникла проблема – набери DRWEB!
8-800-33-DRWEB
#CODEIB
Г. МИНСК

Доктор Веб. Вячеслав Медведев. "Год 2016. Антивирусная безопасность в тисках угроз"

More Related Content

What's hot

Similar to Доктор Веб. Вячеслав Медведев. "Год 2016. Антивирусная безопасность в тисках угроз"

More from Expolink

Доктор Веб. Вячеслав Медведев. "Год 2016. Антивирусная безопасность в тисках угроз"