Документ представляет обзор угроз информационной безопасности за 2014 год с акцентом на эволюцию вредоносных программ и данные по атакам, предотвращенным решениями 'Лаборатории Касперского'. В частности, он подчеркивает рост числа уникальных вредоносных образцов и количество успешно заблокированных атак, которые значительно увеличились по сравнению с предыдущими годами. Также рассматриваются мобильные угрозы и изменения в киберугрозах, в том числе активность банковских троянцев на платформе Android.

28. ОБЗОР УГРОЗ 2014
Павел Александров
Инженер предпродажной поддержки в ПФО
Pavel.Alexandrov@Kaspersky.com

29. ЭВОЛЮЦИЯ ВРЕДОНОСНЫХ ПРОГРАММ
29
1994
Один новый вирус каждый час

30. ЭВОЛЮЦИЯ ВРЕДОНОСНЫХ ПРОГРАММ
30
2006
Один новый вирус каждую минуту

31. ЭВОЛЮЦИЯ ВРЕДОНОСНЫХ ПРОГРАММ
31
2011
Один новый вирус каждую секунду
Или 70 000 образцов в день

32. EVOLUTION OF MALWARE
32
Что насчёт
2014 ?

33. EVOLUTION OF MALWARE
33
«Лаборатория Касперского»
сейчас обрабатывает
315 000
уникальных образцов
вредоносных программ
каждый день

34. IT-БЕЗОПАСНОСТЬ В 2013
Основные цифры и статистика

35. 2013 В ЧИСЛАХ - ОБЗОР
35
Боремся с киберзлоумышленниками по всему миру
Согласно данным облачной инфраструктуры Kaspersky Security Network, продукты
компании нейтрализовали 5 188 740 554 кибератак на пользовательских компьютерах и
мобильных устройствах.
Решения «Лаборатории Касперского» предотвратили 1700 870 654 атак, инициированных
множеством вредоносных онлайн-ресурсов, расположенных по всему миру.
Продукты компании перехватили почти 3 миллиарда попыток локального заражения
пользовательских компьютеров. При этом этого было обнаружено 1.8 миллиона
вредоносных и подозрительных программ.
45% всех веб-атак, заблокированных решениями «Лаборатории Касперского», были
инициированы вредоносными онлайн-ресурсами, находящимися в США и России

36. ПРИЛОЖЕНИЯ, ЧЬИ УЯЗВИМОСТИ ИСПОЛЬЗУЮТСЯ
ЗЛОУМЫШЛЕННИКАМИ
Представленная статистика по
содержащим уязвимости
приложениям основана на данных
о попытках использования
злоумышленниками
соответствующих эксплойтов.
Учтены как заблокированные веб-
атаки, так и предотвращённые
локальные заражения, в том числе
и на мобильных устройствах.
36

37. ОПЕРАЦИОННЫЕ СИСТЕМЫ НАШИХ
ПОЛЬЗОВАТЕЛЕЙ
37
61,5% пользователей
«Лаборатории Касперского»,
согласившихся участвовать в
Kaspersky Security Network,
используют различные версии
Windows 7
Однако 26,58% по-прежнему
пользуются системами поколения
Windows XP
Microsoft прекращает поддержку Windows XP в апреле 2014!

38. ОНЛАЙН УГРОЗЫ
38
Число атак, которые были
инициированы расположенными
по всему миру веб-ресурсами,
увеличилось с 1 595 587 670 в
2012 до 1 700 870 654.
Это означает, что продукты
«Лаборатории Касперского»
защищали своих пользователей в
сети в среднем 4 659 920 раз в
день.
Распределение онлайн-ресурсов с вредоносным ПО
по странами

39. РИСК ОНЛАЙН-ЗАРАЖЕНИЯ
39
В среднем глобальный
риск заражения в
Интернете вырос на 6,9
пунктов: в 2013 году
41,6% пользователей как
минимум раз
сталкивались с атакой из
Сети
Интернет по-прежнему
является основным
источником вредоносных
программ для
пользователей в
большинстве стран мира

40. МОБИЛЬНЫЕ ВРЕДОНОСНЫЕ ПРОГРАММЫ
Статистика

41. ЭВОЛЮЦИЯ ВРЕДОНОСНЫХ ПРОГРАММ
41
1 160 образцов
2011
6 193 образцов 2004 – 2010
Декабрь
2 137
образцов
2011 был гАод чотмо нмаосбчиёлть 2н0ы1х2 в?редоносов

42. В
2012
мы
Всего было обнаружено
обнаружили
39,807
образцов
ЭВОЛЮЦИЯ ВРЕДОНОСНЫХ ПРОГРАММ
2004 – 2010
143 211 образцов
1,160 samples
2011
2013:
6,193 samples
December
2,137
samples
What about 2012?

43. ОТЧЁТ О МОБИЛЬНЫХ ВРЕДОНОСНЫХ ЗА 2013 ГОД
43
Мобильные платформы под прицелом
Платформа Android по-прежнему является
основной целью атак, подтверждая
одновременно как её популярность, так и
уязвимость
В 2013 общее число новых найденных
образцов вредоносного кода составило 143 211
Так как один и тот же вредоносный код
внедряется в разные приложения, всего таких
программ для Android за 2013 год было найдено
3 905 502
За 2012 и 2013 в сумме было найдено
примерно 10 миллионов вредоносных программ
для Android

44. ОТЧЁТ О МОБИЛЬНЫХ ВРЕДОНОСНАХ ЗА 2013 ГОД
44
Виды мобильных зловредов
Большинство вредоносных программ нацелено
на кражу денег
В течение года число модификаций мобильных
зловредов, нацеленных на фишинг, кражу
данных кредитных карт и денежных средств,
увеличилось почти в 20 раз
В 2013 году решения для мобильных платформ
«Лаборатории Касперского» предотвратили 2
500 заражений банковскими троянцами.

45. ТЕНДЕНЦИЯ – БАНКОВСКИЕ ТРОЯНЦЫ
В 2013 было отмечено резкое
увеличения числа банковских
троянцев, нацеленных на
Android
Кибериндустрия мобильных
вредоносов становится более
сфокусированной на
получении прямой прибыли с
помощью фишинга, кражи
данных кредитных карт,
осуществления финансовых
транзакций со счёта жертвы
на счета мобильных
телефонов и оттуда на
электронные кошельки
злоумышленников. Число мобильных банковских троянцев в коллекции «Лаборатории
45
Касперского»

46. МОБИЛЬНЫЕ ЗЛОВРЕДЫ – ГЕОГРАФИЯ УГРОЗ
46
Мобильные угрозы зависят от
региона – злоумышленники
пользуются различными
категориями вредоносного ПО в
разных регионах и странах
Страна
доля всех
атакованных
пользователей
1 Россия 40.34%
2 Индия 7.90%
3 Вьетнам 3.96%
4 Украина 3.84%
5
Соединённое
Королевство
3.42%

47. ИНЦИДЕНТЫ
Текущие угрозы

48. МАСКА
48
Маска – глобальная сеть кибершпионажа, которая
функционирует как минимум с 2007 года
Ее выделяет сложность арсенала атакующих,
который включает в себя ряд крайне изощренных
вредоносных программ, разработанных для
различных платформ, включая Mac OS X, Linux и,
возможно, iOS.
Название происходит от испанского разговорного
слова "Careto" («Маска»), которое авторы
использовали в названии некоторых модулей.

49. МАСКА
49
С помощью алгоритмов идентификации мы насчитали
более 380 уникальных жертв среди более чем 1 000 IP-
адресов
В числе основных жертв:
Государственные учреждения
Дипломатические посольства и
миссии
Нефтегазовые компании
Исследовательские институты
Частные инвестиционные
компании
Активисты

50. KASPERSKY SECURITY ДЛЯ ВИРТУАЛЬНЫХ СРЕД
ПРЕДСТАВЛЯЕМ «ЛЕГКИЙ АГЕНТ»

51. КАК ИЗМЕНИЛИСЬ РИСКИ БЕЗОПАСНОСТИ
С ПРИХОДОМ ВИРТУАЛЬНЫХ СРЕД?
51
► Данные пользователей
отделены от среды
вычислений
► Срок жизни ВМ уменьшился
► Срок развертывания новой
ВМ из шаблона минимален
► Усилилась взаимозависимость. Нестабильность одной ВМ может
оказывать влияние на всю инфраструктуру.
► Сохранились традиционные риски ИБ– утечка данных, потеря данных
► Сохранился риск нарушения непрерывности бизнеса

52. ВРЕДОНОСНОЕ ПО В ВИРТУАЛЬНЫХ СРЕДАХ
52
► РАБОТАЮТ ЛИ ВИРУСЫ В ВИРТУАЛЬНЫХ
? СРЕДАХ?
► УЯЗВИМЫ ГОСТЕВЫЕ ОС. БОЛЬШИНСТВО
ТРАДИЦИОННЫХ ВИРУСОВ НЕЗАВИСИМЫ ОТ СРЕД
ВИРТУАЛИЗАЦИИ
ДА
► ИСПОЛЬУЮТ ЛИ СПЕЦИФИКУ ВИРТУАЛЬНЫХ
? СРЕД? ДА
► ПЕРВЫЙ ТРОЯН, ЗАРАЖАЮЩИЙ ШАБЛОНЫ
ВИРТУАЛЬНЫХ МАШИН VMWARE БЫЛ НАЙДЕН В 2012
(MORCUT)
Д?А ► МОГУТ ЛИ ВЫЖИВАТЬ В ВИРТУАЛЬНОЙ СРЕДЕ?
► СЕТЕВОЙ ЧЕРВЬ, ПРОШЕДШИЙ ЧЕРЕЗ
КОРПОРАТИВНЫЙ ПЕРИМЕТР, МОЖЕТ ЖИТЬ СКОЛЬ
УГОДНО ДОЛГО

53. ВАРИАНТЫ ЗАЩИТЫ ВИРТУАЛЬНОЙ СРЕДЫ
53
Без защиты
Традиционные
решения
Решения для
виртуализации
?

54. ПРОБЛЕМЫ ИСПОЛЬЗОВАНИЯ ТРАДИЦИОННЫХ АНТИВИРУСНЫХ
РЕШЕНИЙ В ВИРТУАЛЬНЫХ СРЕДАХ
54
1. Совместимость
• Поддерживает ли официально ваш антивирус ESXi? (Xen? Hyper-V?)
• Как поведет себя антивирус под действуем vMotion, XenMotion, и.т.п.?
2. Специфика виртуальных сред:
• Сканирование по расписанию => деградация производительности хоста
• Обновление антивирусных баз => деградация производительности хоста
• Для шаблонов виртуальных машин – устаревание антивирусных сигнатур
3. Отношение защита/производительность

55. РЕШЕНИЯ ДЛЯ ВИРТУАЛИЗАЦИИ | «БЕЗАГЕНТСКАЯ» ТЕХНОЛОГИЯ
55
Антивирусная защита на уровне гипервизора посредством VMware
vShield Endpoint API
1. Защищаемые виртуальные машины
содержат только драйверы VMware
2. Специальная машина защиты
содержит антивирусное решение
3. Запросы на проверку отсылаются на
машину защиты.
4. Обработка запросов и обновления баз
сконцентрированы на одной виртуальной
машине в пределах хоста
Запрос на
проверку
Вердикт
Только VMware

56. РЕШЕНИЯ ДЛЯ ВИРТУАЛИЗАЦИИ | «БЕЗАГЕНТСКАЯ» ТЕХНОЛОГИЯ
56
Преимущества
1. Совместимость обеспечивается вендором
2. Решается проблема «штормов»:
• Антивирусные базы на одной машине
3. Снижается нагрузка на ресурсы
гипервизора
• Меньше «след» машин в памяти
• Избегаем повторного сканирования
(общий кэш вердиктов)
Запрос на
проверку
Вердикт
► ТОЛЬКО ДЛЯ VMWARE. КАК БЫТЬ ПОЛЬЗОВАТЕЛЯМ HYPER-V? XEN?
Только VMware

57. РЕШЕНИЯ ДЛЯ ВИРТУАЛИЗАЦИИ | ЛЕГКИЙ АГЕНТ
57
Добавляется
небольшое
приложение для
резидентной
защиты
Hyper-V, Xen
Антивирусная защита на уровне гипервизора: Легкий агент
1. Отличия в реализации:
• Дополнительное лёгкое приложение
на защищаемой ВМ.
• Не использует VMware API
• Содержит дополнительные модули защиты
2. Поддерживает Hyper-V и Citrix (Xen)
3. Наиболее полный набор технологий
защиты:
• Система защиты от вторжений и сетевой экран
• Контроль приложений/web/устройств
• Проверка памяти и системных процессов
4. Оптимальное потребление ресурсов при настраиваемом уровне защиты

58. KSV | ЛЕГКИЙ АГЕНТ ДЛЯ HYPER-V
58
► ЗАЩИТА НА УРОВНЕ ГИПЕРВИЗОРА
► ВОЗМОЖНОСТЬ РАЗВЕРТЫВАНИЯ НА ФУНКЦИОНИРУЮЩИЕ
СИСТЕМЫ БЕЗ ПЕРЕЗАГРУЗКИ
► ПОД ДЕЙСТВИЕМ LIVE MIGRATION ЗАЩИЩАЕМЫЕ МАШИНЫ
АВТОМАТИЧЕСКИ НАХОДЯТ БЛИЖАЙШУЮ МАШИНУ ЗАЩИТЫ
► СОВМЕСТИМОСТЬ: LIVE BACKUP
Hyper-V 2008 R2, Hyper-V 2012

59. KSV | ЛЕГКИЙ АГЕНТ ДЛЯ CITRIX XEN
59
Xen 6.0.2 и Xen 6.1
XenDesktop 5.6
► УСТАНОВКА НА ШАБЛОН ВИРТУАЛЬНОЙ МАШИНЫ VDI ПУЛА
► СОЗДАННЫЕ МАШИНЫ ИЗ ШАБЛОНА АВТОМАТИЧЕСКИ
НАХОДЯТ БЛИЖАЙШУЮ МАШИНУ ЗАЩИТЫ И НАЧИНАЮТ
РАБОТАТЬ
► ПОДДЕРЖИВАЕТ УДАЛЕННОЕ ПОДКЛЮЧЕНИЕ ЧЕРЕЗ CITRIX
RECEIVER ПОСРЕДСТВОМ ПРОТОКОЛА MULTI-STREAM ICA
► ПРИ ПЕРЕХОДЕ НА СОСЕДНИЙ ХОСТ ПОД ДЕЙСТВИЕМ
XENMOTION АВТОМАТИЧЕСКИ ВЫБИРАЕТСЯ БЛИЖАЙШАЯ
МАШИНА ЗАЩИТЫ
► ПОДДЕРЖКА PERSONAL VDISK, VM PROTECTION& RECOVERY

60. KSV | ЛЕГКИЙ АГЕНТ
ТЕХНОЛОГИИ ЗАЩИТЫ
СЕТЕВАЯ ЗАЩИТА – ПРЕДОТВРАЩЕНИЕ
ВТОРЖЕНИЙ, СЕТЕВОЙ ЭКРАН, ЗАЩИТА ОТ АТАК.
БЛОКИРОВАНИЕ ФИШИНГОВЫХ И ЗАРАЖЕННЫХ САЙТОВ
60
ЗАЩИТА ФАЙЛОВОЙ СИСТЕМЫ,
ПРОВЕРКА ПАМЯТИ И ПРОЦЕССОВ
АВТОМАТИЧЕСКАЯ ЗАЩИТА ОТ ЭКСПЛОЙТОВ,
ЗАЩИТА ОТ ОТКЛЮЧЕНИЯ (САМОЗАЩИТА)

61. KSV | ЛЕГКИЙ АГЕНТ
ТЕХНОЛОГИИ КОНТРОЛЯ
61
Контроль Web
Контроль приложений
Контроль устройств

62. 62
KSV | ЛЕГКИЙ АГЕНТ
ВЫСОКАЯ ПРОИЗВОДИТЕЛЬНОСТЬ
► Локальный кэш вердиктов
 Не нужно перепроверять файлы и приложения
► Общий кэш вердиктов
 Не нужно проверять одинаковые файлы на разных VM
 Существенно увеличивает производительность для
сценария VDI (много одинаковых файлов)
► Централизованное обновление баз
► Оптимизация файловых операций как на каждой VM,
так и в рамках всего хоста.

63. 63
KSV | ЛЕГКИЙ АГЕНТ
РЕАЛЬНАЯ ПРОВЕРКА ПРОИЗВОДИТЕЛЬНОСТИ
► Тестовый стенд :
 IBM System x3550 M3 (Intel Xeon 6 Cores), 128 GB RAM
 СХД IBM DS3400 (12x450Gb 15K SAS)
 Гостевая операционная система: Win7
 Офисная нагрузка : сеть, outlook, excel, файлы
► Достигнутый уровень консолидации: 100+ машин под защитой на одном хосте
(около 15 VM на ядро)
► Дисковые операции:
 Выигрыш от 20% до 50% по сравнению
с традиционным решением
 Сокращение дисковой очереди: в разы
800
600
400
200
0
PhysicalDiskDisk Writes/sec
3
12
21
30
39
48
57
66
75
84
93
102
111
120
Baseline
Traditional
KSV LA
50
40
30
20
10
0
PhysicalDiskAvg. Disk Queue
Length
3
9
15
21
27
33
39
45
51
57
63
69
75
81
87
93
99
105
111
117
123

64. 64
KSV
ГИБКОЕ ЛИЦЕНЗИРОВАНИЕ
 ЕДИНАЯ ЛИЦЕНЗИЯ ДЛЯ ВСЕХ ГИПЕРВИЗОРОВ – HYPER-V, XEN, ESXi
 ЕДИНАЯ ЛИЦЕНЗИЯ ДЛЯ БЕЗАГЕНТСКОГО РЕШЕНИЯ И ЛЕГКОГО АГЕНТА
ПО РЕСУРСАМ
(ЯДРО)
ПО
ВИРТУАЛЬНЫ
М МАШИНАМ
По серверам
По рабочим станциям

65. Павел Александров
Инженер предпродажной поддержки в ПФО
Е-mail: Pavel.Alexandrov@kaspersky.com
PAGE 65 | 1 2 3