Ежегодная конференция IT UP (Сентябрь_Новосибирск)
предоставить бизнес-потребителям и представителям ИТ-компаний (вендоры, дистрибьюторы, интеграторы) независимую площадку для обсуждения актуальных решений для ИТ-структур в организациях.
http://askbda.ru/results/it/159-iii-ezhegodnaya-regionalnaya-konferenciya-sovremennye-it-resheniya-dlya-kompanij-yeffektivnost-logichnost-i-bezopasnost.html
2. Актуальные проблемы
Постоянный рост количества вредоносных программ
Увеличение количества типов вредоносных программ
Постоянное увеличение количества пользователей сети
Интернет, не имеющих знаний в области информационной
безопасности
Неразвитость рынка услуг
Отсутствие специализированных тестовых центров
3. Актуальные пути проникновения
вирусов
Электронная почта
Системы мгновенного
обмена сообщениями
Социальные сети
Уязвимости популярного
ПО и ОС
Сменные носители
Коммутатор Почтовый сервер
Рабочие станции и файловые серверы
4. Актуальные пути проникновения вирусов
Электронная почта
Спам с аттачем
Спам со ссылкой на экплойт браузера
Спам со ссылкой на экплойт Acrobat Reader
5. Актуальные пути проникновения вирусов
Электронная почта
Наиболее популярные цели вирусописателей
Создание бот-сетей
Кража паролей
7. Актуальные пути проникновения вирусов
Социальные сети
Размещение и распространение зараженных файлов. В
том числе Trojan.Winlock
Ссылки на зараженные страницы
Широкое использование ботов
8. Актуальные пути проникновения вирусов
Веб-серфинг
Порносайт с порноплеером-вирусом
Взломанный сайт с внедренным эксплойтом
Всплывающие окна с сообщениями о найденных
проблемах
9. Актуальные пути проникновения вирусов
Использование уязвимостей
Уязвимости популярного ПО (Adobe)
Уязвимости браузеров
Уязвимости ОС (Stuxnet)
11. SpyWare
Скрытная установка на компьютер. Деинсталляция в
большинстве случаев невозможна.
Скрытная загрузка в память при запуске компьютера. Создание
«неубиваемых» процессов, которые перезапускают друг друга в
случае остановки.
Выполнение операций без участия пользователя. Прием или
передача информации в Интернет.
Модификация системных настроек без ведома пользователя.
Например, изменения уровня безопасности.
Изменение информации или информационных потоков.
12. Trojan.Winlock
Trojan.Hosts
Trojan.Fakealert
Trojan.SMSSend
Интернет-мошенники
Помощь от компании Доктор Веб
бесплатная помощь пострадавшим пользователям
любого антивируса;
сайт кодов разблокировки Dr.Web Unlocker;
техподдержка (100-150 запросов по блокировке
ежедневно);
Dr.Web CureIt! с режимом усиленной защиты;
загрузочный диск Dr.Web LiveCD.
13. Пути проникновения вредоносных
программ
Результаты опроса пользователей
«Что заставляет вас открывать подозрительные
письма?»
http://www.securelist.com/ru/analysis/175414841/Chelovecheskiy_faktor_i_ego_rol_v_obespechenii_info
rmatsionnoy_bezopasnosti
14. Несколько фактов
Причина утечки
Каналы утечки
(не злоумышленные)
15. Тенденции
Переход от крупных всеобщих вирусных эпидемий к
целенаправленным атакам
Объединение киберпреступников в организованные группы
DoS-атаки с последующим вымогательством
Переход от создания вредоносного кода с деструктивной
функцией к коду с троянской/шпионской составляющей
(повышение скрытности заражения)
Применение социально-психологических технологий для
привлечения жертвы к открытию/активации вредоносного
содержимого
16. Вирусы для Android
первая вирусная запись – март 2010 г.;
всего вирусных записей – 130;
время между добавлением записей – сокращается;
наиболее высокий уровень роста на рынке мобильных ОС.
17. Нешуточные последствия заражений
Система автоматической выписки рецептов во Франции была заражена,
в результате погибло 2 человека
Поражены внутренние сети ВМС Франции, что воспрепятствовало
получению планов полетов для некоторых экипажей
Парализована центральная система судебного делопроизводства города
Хьюстон
17
18. Ресурсы в сети Интернет
Dr.Web Virus Analysts Web Site - работа антивирусной лаборатории в
online-режиме
19. Перечень типов объектов защиты
Линии связи и сети передачи данных
Сетевые программные и аппаратные средства, в том числе
сетевые серверы
Файлы данных, базы данных, хранилища данных
Носители информации, в том числе бумажные
Прикладные и общесистемные программные средства
Программно-технические компоненты
автоматизированных систем
Помещения, здания, сооружения
Платежные и информационные технологические процессы
Бизнес-процессы
20. Подсистемы, требуемые к созданию
согласно 152-ФЗ
Организационно-
технические меры Технические меры защиты
и средства защиты
Резервное Программные Дополнительные программные средства
средства ОС
копирование
Изолирование
участков Средства блокирования Криптографи- Средства Другие
оперативной памяти исследования, ческие средства защиты от средства
Уничтожение модификации и ПМВ защиты
остаточных несанкционированного
запуска
Абонентского Средства Средства
данных Средства предупреждения шифрования контроля тестирования
Контроль Пакетного целостности сетей и
целостности пользователей шифрования Средства программ
данных и программ о выполнении Шифрования обнаружения Средства
Смена паролей опасных действий
Программные средства
паролей вредоносных обнаружения
Ограничения на Стеганографии программ атак
администрирования
использование (разграничения ЭЦП Средства Межсетевые
сетевых полномочий, VPN- тестирования экраны
сервисов, служб, регистрации и контроля) технологии Утилиты для
сетевых протоколов, Программные средства
восстановления
сценариев идентификации
и аутентификации информации
Программные средства
резервного копирования
21. Актуальные проблемы
Нехватка квалифицированных кадров
Реализация всех требований по информационной безопасности
является невозможной для большинства мелких и средних
компаний. В том числе в связи с недоступностью для
большинства компаний специалистов, необходимых для
создания системы безопасности и ее поддержания в актуальном
состоянии. Это приводит к проблемам в исполнении
требований в части информационной безопасности.
22. Существующие проблемы
Неразвитость рынка услуг
Неготовность большинства компаний использовать услуги
сторонних организаций как по аудиту, так и по реализации
требований законодательства
Отсутствие традиций использования программно-аппаратных
комплексов, позволяющих решить задачи предприятий с
минимальными усилиями
23. Существующие проблемы
Отсутствие специализированных тестовых центров
Широкое распространение систем, не обеспечивающих
высокий уровень защиты
Отсутствие комплексных систем тестирования систем
защиты, доступных большинству компаний
Реальный уровень детектирования почти всех антивирусов в
условиях «дикой природы» не превышает 30%
28. Почему Доктор Веб?
Ресурсы в сети Интернет
Dr.Web Virus Analysts Web Site - работа антивирусной лаборатории в
online-режиме
29. Вопросы?
Благодарим за внимание!
Желаем Вам процветания и еще больших успехов!
www.drweb.com
С вопросами по стипендиальной программе обращайтесь
по адресу
education@drweb.com
Editor's Notes
В ходе презентации слушатели получат информацию об актуальных угрозах информационной безопасности и методах их нейтрализации. Будут обсуждены проблемы развития антивирусной индустрии и пути дальнейшего совершенствования средств защиты
На данный момент состояние информационной среды таково, что заражен может быть файл практически любого формата, а не только исполняемый, как было ранее. Вредоносные коды могут проникать в систему через почту и скачиваемые программы, уязвимости и вместе и на flash -дисках. По статистике достаточно в среднем 15-ти минут работы в интернет на незащищенном компьютере для его заражения. Основные пути распространения вирусов сегодня: - электронная почта; - системы мгновенного обмена сообщениями; - социальные сети; - уязвимости браузеров; - уязвимости популярного софта (Adobe Reader, etc.); - уязвимости операционных систем; - съёмные диски (как правило, подсоединяемые через USB). Тенденцией современных угроз является то, что современных вирусописателей интересует информация, хранящаяся на компьютере, в первую очередь, музыка и пароли к программам и электронным счетам, а также использование компьютера в качестве основы для ботнета. Последствием заражения является не только замедление работы компьютера и нарушение нормальной работы установленных на нем программ, но и пропажа денег со счетов, утечка конфиденциальной информации, блокировка провайдером доступа в интернет в случае попадания компьютера в ботнет, используемый для рассылки спама
1. В электронной почте сейчас наблюдается некоторый спад распространения вредоносных программ. Тем не менее, клиенты бот-сетей в вяло-текущем режиме распространяются и через этот канал. Это видно по статистике. 14.01.2011 00:00 - 14.02.2011 09:00 1 Win32.HLLM.MyDoom.33808 966351 (12.19%) 2 Win32.HLLM.Netsky.18401 641954 (8.10%) 3 Trojan.DownLoad1.58681 577739 (7.29%) 4 Trojan.Packed.20878 416370 (5.25%) 5 Win32.HLLW.Texmer.51 399288 (5.04%) 6 Trojan.DownLoader2.265 392831 (4.96%) 7 Trojan.MulDrop.64589 373799 (4.72%) 8 Trojan.DownLoad.41551 307716 (3.88%) 9 Trojan.Oficla.zip 305987 (3.86%) 10 Trojan.DownLoad2.20306 300608 (3.79%) 11 Win32.HLLM.Netsky.35328 288054 (3.64%) 12 Trojan.Packed.20312 255074 (3.22%) 13 Trojan.DownLoader2.1901 170228 (2.15%) 14 Trojan.Oficla.38 144439 (1.82%) 15 Trojan.DownLoader2.2035 142230 (1.79%) 16 Win32.HLLM.Beagle 128822 (1.63%) 17 Trojan.AVKill.2788 110729 (1.40%) 18 Trojan.DownLoader2.2977 107621 (1.36%) 19 Trojan.PWS.SpySweep.17 93462 (1.18%) 20 Trojan.PWS.Panda.114 93461 (1.18%) (с) http://stat.drweb.com Как видим, несколько строчек здесь занимает Trojan.Oficla, которая является одной из самых больших бот-сетей. Также через почту распространяются троянцы, ворующие пароли.
Snatch - http://www.utro.ru/articles/2010/08/16/915087.shtml Snatch ведет себя изобретательно и успешно маскируется под живого человека. Спам-бот действует так: от уже зараженных пользователей из вашего контакт-листа приходит приглашение скачать файл Snatch.exe. При этом вирус даже может вступить в диалог с юзером, например, на вопрос "что ты мне прислал" он предлагает "глянуть", а на грубое "уйди, бот" может обругать в ответ: "Сам ты бот". Если пользователь клюнул на приманку и скачал файл, то Snatch начинает массовую рассылку спама с его компьютера. Некоторые юзеры также жалуются, что он украл у них логин и пароль, но достоверных данных о том, что Snatch сделал хоть что-то вредоносное, нет. По данным портала Руформатор , от нового вируса пострадали несколько тысяч человек, причем не только в России.
2 . Социальные сети давно являются достаточно широким каналом для распространения вредоносных программ. Из недавних примеров: http://news.drweb.com/show/?i=1455&c=9&lng=ru&p=0
4. Уязвимости браузеров. В основном, здесь речь стоит вести об Internet Explorer, ссылаясь на такие вот новости о закрываемых уязвимостях: http://www.xakep.ru/post/54520/default.asp А вот информация по февральскому кумулятивному обновлению для Internet Explorer, которым закрыто сразу несколько крупных уязвимостей в IE, причём всех версий, до актуальной 8-ой: http://www.microsoft.com/technet/security/Bulletin/MS11-003.mspx 5. Уязвимости в таких форматах документов как PDF и пр. Здесь Adobe делает большие шаги для усиления безопасности, и недавно была выпущена 10-ая версия Adobe Reader X, в которой реализованы новые механизмы противодействия уязвимостям. В частности, можно обратить внимание на эту новость: http://www.itsec.ru/newstext.php?news_id=74254 Вывод: необходимо использовать всё актуальное: обновлённую ОС, обновлённый браузер, обновлённый софт. При этом вероятность заражения многократно снизится. 6. Если говорить про уязвимости в ОС, то здесь стоит говорить о том, что наиболее технологичные вредоносные программы (тот же Stuxnet) в начале своего распространения используют уязвимости, которые были найдены для данной конкретной вредоносной программы. В частности, Stuxnet использовал четыре уязвимости "нулевого дня": http://www.eweek.com/c/a/Security/Sophisticated-Stuxnet-Worm-Uses-4-Microsoft-Zeroday-Bugs-629672/ Одна из этих уязвимостей после распространения Stuxnet использовалась (и продолжает использоваться) и сейчас, хотя патч давно уже вышел для всех ОС. Уязвимость эта заключается в альтернативном механизме автозапуска вредоносных программ со съёмных носителей при помощи создания специальных ярлыков. По классификации Dr.Web такие ярлыки детектятся как Trojan.Cpllnk. Немного подробнее можно почитать в этом обзоре: http://news.drweb.com/show/?i=1229&c=10&lng=ru&p=0 7. Традиционно вирусы переносятся на флешках и других USB-устройствах. Из актуального здесь можно сказать, что в февральских обновлениях Windows Microsoft отключила функцию автозапуска со сменных носителей во всех поддерживаемых версиях Windows: http://news.ferra.ru/soft/2011/02/09/108080/ Вывод: необходимо использовать лицензионную ОС, чтобы была возможность устанавливать беспрепятственно актуальные обновления безопасности, которые могут существенно помочь защитить систему от внешнего воздействия.
4. Уязвимости браузеров. В основном, здесь речь стоит вести об Internet Explorer, ссылаясь на такие вот новости о закрываемых уязвимостях: http://www.xakep.ru/post/54520/default.asp А вот информация по февральскому кумулятивному обновлению для Internet Explorer, которым закрыто сразу несколько крупных уязвимостей в IE, причём всех версий, до актуальной 8-ой: http://www.microsoft.com/technet/security/Bulletin/MS11-003.mspx 5. Уязвимости в таких форматах документов как PDF и пр. Здесь Adobe делает большие шаги для усиления безопасности, и недавно была выпущена 10-ая версия Adobe Reader X, в которой реализованы новые механизмы противодействия уязвимостям. В частности, можно обратить внимание на эту новость: http://www.itsec.ru/newstext.php?news_id=74254 Вывод: необходимо использовать всё актуальное: обновлённую ОС, обновлённый браузер, обновлённый софт. При этом вероятность заражения многократно снизится. 6. Если говорить про уязвимости в ОС, то здесь стоит говорить о том, что наиболее технологичные вредоносные программы (тот же Stuxnet) в начале своего распространения используют уязвимости, которые были найдены для данной конкретной вредоносной программы. В частности, Stuxnet использовал четыре уязвимости "нулевого дня": http://www.eweek.com/c/a/Security/Sophisticated-Stuxnet-Worm-Uses-4-Microsoft-Zeroday-Bugs-629672/ Одна из этих уязвимостей после распространения Stuxnet использовалась (и продолжает использоваться) и сейчас, хотя патч давно уже вышел для всех ОС. Уязвимость эта заключается в альтернативном механизме автозапуска вредоносных программ со съёмных носителей при помощи создания специальных ярлыков. По классификации Dr.Web такие ярлыки детектятся как Trojan.Cpllnk. Немного подробнее можно почитать в этом обзоре: http://news.drweb.com/show/?i=1229&c=10&lng=ru&p=0
7. Традиционно вирусы переносятся на флешках и других USB-устройствах. Из актуального здесь можно сказать, что в февральских обновлениях Windows Microsoft отключила функцию автозапуска со сменных носителей во всех поддерживаемых версиях Windows: http://news.ferra.ru/soft/2011/02/09/108080/ Вывод: необходимо использовать лицензионную ОС, чтобы была возможность устанавливать беспрепятственно актуальные обновления безопасности, которые могут существенно помочь защитить систему от внешнего воздействия.
Необходимо знать, что вредоносные файлы не исчерпываются только вирусами и троянами. Dr.Web – это не только антивирус!
http://live.drweb.com/ Уникальный ресурс, не имеющий аналогов среди других антивирусных компаний, который показывает работу антивирусной лаборатории “ в живую ” . На данном сайте вы можете увидеть, как обрабатываются поступающие экземпляры вредоносного кода и какие вирусы на данный момент наиболее распространены в сети
Отсутствие квалифицированных кадров в регионах Отсутствие людей, способных оптимизировать бизнес-процедуры и контролировать их исполнение Непонимание необходимости иметь высокооплачиваемых специалистов – все это при неразвитости рынка услуг приводит к п роблемам в исполнении законодательства в части обеспечения защиты персональных данных В итоге : http://www.securitylab.ru/news/370272.php 20,1% опрошенных участников сообщили, что сокращения затронули часть специалистов этой профессии. Почти 7% респондентов ответили, что у них сократили всех сисадминов. Индекс проникновения вредоносного кода в России во второй половине 2008 года вырос на 58% по сравнению с первым полугодием и составил 21,1. Индекс проникновения вредоносного кода в России во второй половине 2008 года вырос на 58% по сравнению с первым полугодием и составил 21,1. С этим показателем Россия занимает второе место в мире. Напомним, что по итогам первого полугодия прошлого года в России этот показатель составлял 13,6 - на 16,9% выше, чем во второй половине 2007 г. Такие данные Microsoft представила в новом выпуске своего глобального отчета Security Intelligence Report (SIR). По данным SIR, общее количество сетевых угроз в России увеличилось на 6,8%, что связано более чем с 50-ти процентным ростом числа вирусов-червей, составляющих в совокупности почти треть от всего вредоносного ПО в стране. В то же время, США и Китай продолжают оставаться на первых двух местах в мире по количеству веб-серверов, распространяющих вредоносное ПО. Как показал SIR, по итогам 2008 г. общее количество уникальных уязвимостей в мире сократилось на 12%, однако больше половины из них по-прежнему имеют высокую степень опасности.
Как известно, антивирус приобретается для защиты от вирусов. Однако мало кто задумывается над тем, что антивирус должен не только защищать от вирусов – т.е. иметь много записей в вирусной базе для детектирования вирусов. Он должен еще и лечить от них – т.е. не просто удалять инфицированные файлы вместе с важной информацией, но и возвращать их в первоначальное «здоровое» состояние. Казалось бы, чем больше сигнатур у антивирусной компании, тем лучше ее антивирус. Но в реальной жизненной ситуации это совершенно не так. Вирусы пропускают 100% антивирусов, а величина реального детекта, а не журнальных тестирований, у большинства антивирусов не превышает 30%!!! Настоящий взлет ложных антивирусов пришелся на 2009 год. Сложились даже своего рода «традиции». Например, на территории России и стран СНГ, а также в Европе киберзлоумышленники более активно используют схемы вымогательства, использующие вредоносные сайты, на страницах которых содержатся так называемые онлайновые лжеантивирусы. Ссылки на такого рода сайты распространяются в основном через электронную почту, взломанные аккаунты систем мгновенного обмена сообщениями (ICQ, AIM, QIP), а также через контекстную рекламу популярных поисковых систем и социальные сети. Что касается способов оплаты, посредством которых злоумышленники получают доходы от распространения лжеантивирусов, то в России и СНГ это платные SMS-сообщения (стоимостью в среднем от 150 до 300 российских рублей)
Щит от интернет-угроз (Веб-антивирус SpIDer Gate™) Модуль SpIDer Gate™ в режиме реального времени прозрачно сканирует входящий и исходящий HTTP-трафик, перехватывает все HTTP-соединения, производит фильтрацию данных, автоматически блокирует зараженные страницы в любых веб-браузерах, проверяет файлы в архивах, защищает от фишинговых и других опасных интернет-ресурсов. Фильтрация практически не сказывается на производительности ПК, скорости работы с Интернетом и количестве передаваемых данных.
За счет модуля Офисного контроля (системы защиты от инсайдеров). Вы получаете дополнительную возможность обезопасить корпоративные данные и важную информацию от удаления или похищения злоумышленниками. В режиме реального времени он пресекает попытки посещения нежелательных страниц – например, интернет-магазинов, игровых сайтов, дает возможность прописывать политики доступа к веб-ресурсам. Это позволяет оптимизировать расходы на интернет-трафик, поднять производительность труда и и сэкономить на заработной плате на 10-12%. С его помощью можно запретить использование сотрудниками переносных хранилищ информации (флэш-дисков, USB-устройств), сетевых устройств, а также отдельных файлов и каталогов. Это дает возможность исключить большинство путей проникновения вирусов в систему, особенно такой распротраненный как флэшки.
http://live.drweb.com/ Уникальный ресурс, не имеющий аналогов среди других антивирусных компаний, который показывает работу антивирусной лаборатории “ в живую ” . На данном сайте вы можете увидеть, как обрабатываются поступающие экземпляры вредоносного кода и какие вирусы на данный момент наиболее распространены в сети